下载掌阅APP,畅读海量书库
立即打开
随着计算机与信息技术的飞速发展,“互联网+”时代的各类信息技术已经在各行各业落地开花,从提供各类业务办理的电子商务、网上银行、电子政务等,到提供各类通信及社交服务的Facebook、Twitter、微信、微博、Skype等,再到各种视频娱乐、游戏服务等,信息技术已经通过互联网及物联网技术逐步深入到个人生活、企业及政府等各个方面。
信息技术的发展与推广给个人生活及企事业工作带来了实实在在的效率提升与便利,同时也带来信息泄露、系统入侵等各类安全威胁及隐患,这些安全风险除了可能会给个人和企业带来各类经济利益损害及人身安全威胁,也可能给国家安全带来重大影响。为了防范和降低安全风险,安全技术已成为信息技术中一个重要的技术分支。
信息技术发展到今天,安全技术也持续发展。目前出现了三个主要的安全概念:信息安全、网络安全、数据安全。这三个安全概念都源于网络信息技术发展,既有很大相关性,又有较明显的差异,核心的理念最终也都是防护数据安全。
国际标准化组织(ISO)的定义是:信息安全是为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
美国联邦政府的定义是:信息安全是保护信息系统免受意外或故意的非授权泄露、传递、修改或破坏。
维基百科对信息安全(Information security)的定义是:保护信息免受未经授权的访问、使用等(Practice of defending information from unauthorized access,use,etc.)。
国内相关信息安全教材中的定义是:信息安全是指信息在产生、传输、处理和储存过程中不被泄露或破坏,确保信息的可用性、保密性、完整性和不可否认性,并保证信息系统的可靠性和可控性。
不同的组织机构对信息安全的定义虽略有差异,但信息安全防护的核心主体都是信息系统(Information System),都是为了防范信息系统在信息处理过程中的安全风险。
网络安全(Network Security)不仅包括网络信息的存储安全,还涉及信息的产生、传输和使用过程中的安全。网络安全分为狭义和广义两个概念,狭义的网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,保证系统连续可靠正常地运行,确保网络服务不中断。广义的网络安全是指网络空间安全。
网络空间安全的英文名称是Cyberspace Security。早在1982年,威廉·吉布森在其短篇科幻小说《全息玫瑰碎片》中首次使用Cyberspace一词,意指由计算机创建的虚拟信息空间。Cyberspace强调电脑爱好者在游戏机前体验到交感幻觉,体现了Cyberspace不仅是信息的简单聚合体,也包含了信息对人类思想认知的影响。此后,随着信息技术的快速发展和互联网的广泛应用,Cyberspace的概念不断丰富和演化。2008年,美国54号国家安全总统令对Cyberspace进行了定义:Cyberspace是信息环境中的一个整体域,它由独立且互相依存的信息基础设施和网络组成,包括互联网、电信网、计算机系统、嵌入式处理器和控制器系统。除了美国,还有许多国家也对Cyberspace进行了定义和解释,我国通常把Cyberspace翻译成网络空间。
在中国,网络空间安全也已经上升为国家战略,习近平主席在多次重要讲话中都提到加强国家网络空间安全。2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上强调,在信息时代,网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有密切关系。2019年9月16日,习近平总书记对国家网络安全宣传周作出重要指示,强调要坚持安全可控和开放创新并重,提升广大人民群众在网络空间的获得感、幸福感、安全感。
相比网络安全,信息安全概念提出时间更早,在计算机网络产生之前就有信息安全的概念,而网络安全则是随着计算机网络技术的发展而产生的。信息安全强调针对信息系统处理信息过程中的安全,网络安全则将安全范畴延伸到网络系统。
国家标准GB/T 37988—2019《信息安全技术 数据安全能力成熟度模型》 [1] 中对数据安全的定义是:通过管理和技术措施,确保数据有效保护和合规使用的状态。标准中也明确定义了数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等数据生存周期的六个阶段。数据安全保护的核心是指以数据为中心,针对数据生存周期过程中的数据防泄露、数据防破坏、数据防滥用等目标提供的安全保障措施。
《中华人民共和国数据安全法》中对数据安全的定义是:通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。这个定义和GB/T 37988—2019《信息安全技术 数据安全能力成熟度模型》中的定义略有差异,但都突出了确保数据处于有效保护和合法利用的状态这一数据安全核心要求。
数据安全与网络安全在防护对象、目标及防护策略等方面有很大差异。网络安全以网络边界为防护重心,防护目标以网络防破坏及网络数据防泄露为主,核心防护策略以网络区域隔离及安全策略控制为主。数据安全则以数据(尤其是敏感数据)为防护重心,防护目标除了数据泄露及破坏,还要确保数据不被滥用,防护策略以敏感数据生存周期流转监控为主。
网络安全与数据安全的差异与医院里“心血管科”(包括心血管内科、血管外科等)和“血液科”的差异有点类似,“心血管科”治疗的重点是与血管相关的疾病,如血管阻塞、血管炎、血管瘤等;“血液科”治疗的重点则是血液相关疾病,如白血病、血友病、凝血功能异常等。以血管比作网络,以血液比作数据,网络安全就是针对网络自身脆弱性导致的安全威胁,网络安全事件也常常会导致网络中的数据出现异常或泄露。而数据安全则针对数据自身威胁,如数据质量异常、数据被非法破坏、数据被滥用等,其中数据质量异常及数据滥用等威胁是常规的网络安全难以解决的,这也凸显数据安全相关技术的重要性及必要性。
