信息安全与网络安全的关系

前言

说说信息安全与网络安全的关系

一、包含和被包含的关系

信息安全包括网络安全，信息安全还包括操作系统安全，数据库安全，硬件设备和设施安全，物理安全，人员安全，软件开发，应用安全等。

二、针对的设备不同

网络安全侧重于研究网络环境下的计算机安全，信息安全侧重于计算机数据和信息的安全。

三、侧重点不同

网络安全更注重在网络层面，例如通过部署防火墙、入侵检测等硬件设备来实现链路层面的安全防护，而信息安全的层面要比网络安全的覆盖面大的多，信息安全是从数据的角度来看安全防护。通常采用的手段包括：防火墙、入侵检测、审计、渗透测试、风险评估等，安全防护不仅仅是在网络层面，更加关注的应用层面，可以说信息安全更贴近于用户的实际需求及想法。

四、就业方向不一样

网络安全工程师和信息安全工程师的区别：

1、工作内内容不同网络安全工程师：分析网络现状。对网络系统进行安全评估和安全加固，设计安全的网络解决方案；在出现网络攻击或安全事件时，提高服务，帮助用户恢复系统及调查取证。针对客户网络架构，建议合理 的网络安全解决方案；负责协调解决方案的客户化实施、部署与开发，推定解决方案上线；负责协调公司网络安全项目的售前和售后支持。信息安全工程师：在计算机软硬件、网络、应用相关领域从事安全系统设计、安全产品开发、产品集成、信息系统安全检测与审计等方面工作，服务单位可以是国家机关、企事业单位及科研教学单位等。2、从业要求不同网络安全工程师需要计算机应用、计算机网络、通信、信息安全等相关专业本科学历，三年以上网络安全领域工作经验，而信息安全工程师没有工作经验上的要求。3、就业职位不同网络安全工程师的就业职位有网络安全工程师、网络安全分析师、数据恢复工程师、网络构架工程师、网络集成工程师、网络安全编程工程师。信息安全工程师就业职位有系统安全工程师、网络系统安全软件工程师、信息安全工程师、Linux 操作系统工程师。信息安全和网络安全通常被认为是一回事，导致它们在安全领域构成混淆。不过每天都有如此多的术语涌现和新技术的出现，网络安全和信息安全的争论也就不足为奇了。信息安全是网络安全的子集吗？还是相反的呢？那么信息技术呢？信息技术和网络安全一样吗？这些都是常见的问题。

信息安全与网络安全实践的差异性

1.1 信息安全与网络安全对业务安全的影响

对于任何一个组织来讲，最重要的就是保证其核心业务能够安全、稳定、有序开展。在当前信息化时代背景下，信息成为了一个组织机构最重要的资产，信息安全对组织的业务安全有至关重要的影响。例如，911 事件中很多企业的倒闭不是因为人员的缺少，而是因为企业的所有信息的丢失，造成企业业务无法继续开展下去；个别企业因为企业内部的商业秘密信息（如工艺参数、客户信息等）泄露而导致企业业务的衰退和企业的倒闭。而网络安全对业务安全也有重要的影响，但对大多数组织来说，网络安全性遭到破坏，可能会使其业务出现一段时间的停顿，或对业务的发展产生负面影响，但不会产生致命的影响，而信息的安全性遭到破坏时则可能会对组织的生存和发展产生致命的负面影响。从范围来讲，业务安全中包含信息安全，网络安全也是信息安全中的一部分。

1.2 信息安全目标与实践的差距

目前，各个组织、各级领导都深刻认识到信息安全的重要性，从制度层面、宣传教育层面等也总是强调信息安全的重要性，但是在实践工作中却经常将“信息安全”与“网络安全”的工作相混淆，造成了信息安全工作的有效性受到一定程度的限制。主要体现在：

（1）从人才来讲，真正的信息安全人才及其缺乏。要真正做到广义上的信息安全，必须做到“技管并重”，而当前能够满足于组织要求的既懂信息安全技术，又懂信息安全管理的人才很少，远远无法满足组织的需求。

（2）从投入来说，由于很多领导认为“信息安全”与“网络安全”是一回事，只要做到了网络安全，就能保证信息安全。同时，网络安全的产出效果较为明显，因此常常为了保证网络的安全性投入了大量的人力（系统运行维护管理人员）、财力（采购设备和服务），而为保证信息的安全性所做的投入相对较少，配备的人员和技术手段相对有限。

（2）从内部机构设置来说，对于大多数组织来说，信息安全工作与网络安全工作是同一个团队负责，而且在组织内部处于相对弱势地位，通常作为一个服务团队而存在，信息安全管理工作无法真正有效落实，其管理效力无法得到保证。

1.3 加强信息安全管理

为了提升组织内部的信息安全防护能力，在组织内部真正做到“技管并重”，应将信息安全工作与网络安全工作区别对待，提升信息安全团队在组织内部的地位，强化信息安全管理的效力，将信息安全保护工作提升到组织的战略层面。具体内容包括：

（1）提升信息安全到组织的战略层面。信息安全是一个组织的职责，而不仅仅是一个内部 IT 部门的职责。信息安全的责任主体是一个完整的组织，而不是组织内部的 IT 部门。虽然 IT 部门控制管理着大多数的信息资产，它亦是信息安全管理的重中之重，但它仍然有着很大的局限性，它无法定义组织层面的战略，无法定义信息的重要敏感等级，没有权力决定什么信息可以受控或复制分发，这一切必须服从更高的策略与目的，即整个组织（业务）的战略目的与需要，所以不能仅仅站在 IT 视角去考虑信息安全，需要考虑组织的需要，业务的需要。网络安全工作可以和信息化工作一起，作为为组织内部业务工作提供支撑服务的形式存在，而信息安全关系到组织的生存和发展，必须提升到组织的战略层面加以规划和设计，以确保组织业务安全。

（2）分离信息安全团队与网络安全团队。网络安全工作可以以一个服务团队的形式存在，既可以由组织内部人员承担，是组织内的一个技术服务部门，也可以外包给第三方技术服务机构；而信息安全工作作为一个组织不可推卸的做人，应成为内部管理团队，而不是内部服务部门。在这一方面，在涉及国家秘密的组织机构内部的国家秘密信息安全保密管理方面取得了良好成绩。

（3）提高信息安全机构在组织内的地位。信息安全工作不是一项完全独立的工作，而是与组织内的各项业务工作紧密结合在一起的，包含的不仅仅是技术层面的信息网络系统中所传输、处理和存储的信息安全，还包括在组织内部各项业务工作开展过程中的所涉及到的信息的安全，因此信息安全团队在组织内部就不应该只是一个服务团队，而应是一个能够涵盖组织内所有工作层面的职能管理团队，这样才能将信息安全工作与业务工作进行有效融合，在组织内部有效开展信息安全管理工作，保证信息安全。在国外，作为组织最高领导之一，首席信息安全官（CISO）制度已经形成一个较为全面的制度体系[4]，并在组织机构的信息安全工作中发挥着积极作用，而国内的 CISO 还处在初级阶段，远未达到首席信息化主管（CIO）的高度。

首先，让我们看看如何定义网络安全和信息安全。根据国家标准与技术研究所的说法，网络安全是“保卫或保护网络空间的使用不受网络攻击的能力”。该组织将信息安全定义为“保护信息和信息系统免受未经授权的访问、使用、披露、破坏、修改或破坏，以提供保密性、完整性和可用性。”换句话说，区别在于范围。

网络安全与信息安全

尽管网络安全和信息安全是否意味着同一件事的争论仍在继续，但我们还是要将网络安全视为信息安全的一种。可以把信息安全看作是一把保护伞，里面撑着网络安全和其他安全主题，比如密码学和移动计算。

不过，我们可以基于范围做简单区分，要明确区分可能很难。例如，网络安全一词在美国被广泛使用，但在世界其他国家，它也通常被称为信息安全。这些因素和其他一些因素使得网络安全与信息安全的辩论继续进行下去。

在网络安全与信息安全的讨论中，还有其他的区别。网络安全是保护网络空间中的信息，而信息安全则是保护网络空间内外的数据。换句话说，互联网或终端设备可能只是安全图谱的一部分，两者都涉及保护网络空间免受黑客攻击，黑客攻击包括勒索软件、间谍软件、恶意软件和其他类型的有害软件，这些软件会造成各种各样的破坏。然而，网络安全专业人士关注的范围更为狭窄。

网络安全专业人员通过发现漏洞和造成漏洞的错误配置，在帮助保护服务器、端点、数据库和网络方面发挥积极作用。换句话说，他们有责任防止违约。最有才华的人就像黑客一样思考，甚至可能曾经是黑客。当然，信息安全专业人员也关心数据丢失的预防。他们在这方面与网络同行合作，但可能会在优先处理最敏感数据和制定如何从入侵中恢复的计划方面发挥更广泛的作用。

我们也可以从基本构成去区分数据和信息之间的差异。数据可以是任何东西——例如，一系列数字——但并非所有数据都是相等的。这些数据所代表的意义及其敏感性完全属于信息安全专业人员的职权范围。例如，如果一系列数字是客户的信用卡号码，则信息安全团队有责任确保它们符合政府法规。他们再次与网络同事密切合作，以确保最关键的数据是安全的并对组织的整体安全负责。

结论

最后，网络安全和信息安全的争论可能是解决这两个如此互补的问题的错误方式。这两个角色都可以保护数据不被窃取、访问、修改或删除。主要的区别在于他们关注的范围。