信息安全/网络安全/数据安全的关系

我们经常听说信息安全、网络安全、数据安全几个词，那么他们之间是什么关系呢？在弄清楚这几个概念之前，我们有必要先了解一下信息和数据的区别。

1.信息 vs 数据

为了直观的了解信息和数据，我们先来看几个实际的场景：

• 昨天A公司高层会议决定发布一款视频社交软件，跟B公司抢夺市场份额
• C公司股票可能要大涨了
• M国可能下个月要发起对Y国的打击

上述这些都可以称之为“信息”，且这些信息并不一定存在于某个系统或某个数据库中，但是我们的判断依据，却有可能存在于系统或数据库中，比如：

• A公司在会后输出的会议纪要，发布在内部办公系统
• C公司股票的历史数据，包括K线图、成交量以及各项指标数据，存储在数据库中
• 网站对M国军事动态的报道、航母的动态位置图片

这些属于客观存在于网络空间中的“数据”。由此可见，我们可以得出初步的结论：

• “数据”是“信息”的主要载体，但也要注意到，信息也有可能存在于网络空间之外；
• 对“数据”进行分析，可以得到有用的“信息”；同一份数据，不同的人可能得出不同的信息，比如K线图和各种指标数据，有的人得出的信息是股票要涨，有的人得出的信息是股票要跌。

基于上述判断，我们可以给信息和数据下个定义了：

• 信息是有价值的资产，是对数据做出的有意义的表达。
• 数据是信息在网络空间的载体，是对信息的记录。

2.信息安全

从发展趋势上看，信息安全一词是最早被用来概述安全体系的，那时还没有像现在这样众多的细分领域（如Web安全、渗透、逆向、漏洞挖掘、安全防御、体系建设等），但信息安全一词很好的概括了安全的目标，也就是保护信息的保密性、完整性和可用性。

信息不一定存在于网络空间中，因此，信息安全的外延非常大，一切可能造成信息泄露、信息被篡改、信息不可用的场景，都包含在信息安全的范围之内，除了常见的网络入侵窃密，也包括网络空间之外的场景，比如社会工程对人性的弱点的利用、间谍/卧底等。

3.网络安全

网络安全这个概念也是不断演化的，最早的网络安全是Network Security，是基于“安全体系以网络为中心”的立场，主要涉及网络安全域、防火墙、网络访问控制、抗DDOS（分布式拒绝服务攻击）等场景，特别是以防火墙为代表的网络访问控制设备的大量使用，网络安全域、边界、隔离、防火墙策略等概念深入人心。

后来，其范围越来越大，往云端、网络、终端等各个环节不断延伸，发展为网络空间安全（Cyberspace Security），甚至覆盖到陆、海、空、天领域，但这个词太长了，念起来没有网络安全方便，后来就简化为网络安全（Cyber Security）了。

所以，我们现在所说的网络安全，一般是指广义的网络安全（Cyber Security），仍基于“安全体系以网络为中心”的立场，泛指整个安全体系，侧重于网络空间安全、网络访问控制、安全通信、防御网络攻击或入侵等。

4.数据安全

数据安全（Data Security），是以数据为中心的立场，主要关注数据全生命周期的安全与合规，特别是敏感数据的安全与合规。

通常，对于大多数业务人员来说，主要关心的是数据的安全。使用数据安全这个术语，便于安全人员和业务人员在目标一致的前提下进行沟通。

随着信息时代向数据时代的转变，数据安全这个概念，更接近安全保护的目标，更适应业务发展的需要，并且这里的数据不仅包括静态的、存储层面的数据，也包括流动的、使用中的数据。

我们需要在使用数据的过程中保护数据，在数据的全生命周期中保护数据，特别是涉及个人隐私的数据。也就是说，数据安全这个词，可以将信息安全、网络安全以及隐私保护的目标统一起来。

5.信息安全/网络安全/数据安全的关系

网络空间是计算的资源与环境（覆盖云/管/端的设施与应用），数据是计算的对象。

我们通过保护【网络空间】里面的【数据】这种手段，来达成【信息安全】或【数据安全】的目标。

• 【信息安全】侧重于保护一切有价值的信息，不限于网络空间，比如窃听、社工、各种人为因素的泄露等也在信息安全的工作范围。
• 【网络安全，即网络空间安全】侧重于计算的资源与环境，是有边界的，通常受限于主权边界。通过保障计算环境（网络空间）的安全，从而最终保障计算对象（数据）的安全。
• 【数据安全】侧重于数据的全生命周期内的安全与合规，可能涉及长臂管辖与域外效力。

在上图中，网络安全的范围参考橙色边框，数据安全的范围参考蓝色边框。

网络安全可以理解为手段，而数据安全（和信息安全）可以理解为目标。

通常来说数据比信息更具有针对性，范围更明确，因此在使用“数据安全”这一术语时，安全团队的目标与业务团队的目标一致，都是保障计算对象的安全。从这一角度来说，数据安全是一个很好的抓手，用于推动安全工作的开展。

6.典型使用场景

大家其实不用过于纠结我们究竟应该使用哪个术语，我们完全可以根据企业的需要、侧重点，选择相应的术语。

信息安全、网络安全、数据安全的使用场景，可以参考：

7.附录

上述内容根据笔者《数据安全架构设计与实战》进行整理。