更多精彩原创文章,请持续关注麟学堂公众号。
B站“麟学堂-张妤”有专门针对性视频讲解及历次干货分享活动,欢迎关注。
每次给学员上课,还有给客户做咨询项目,或者对外演讲的时候,很多人都问我到底网络空间安全、网络安全、信息安全、数据安全等等之间有啥区别?
大家上百度百科、知乎之类搜索,也只能得到支离破碎、只言片语、一知半解的回答,大部分还是为获得点击量的口水帖。
入门阶段最需要的是理清基本概念,于是我写了这篇文章。
人类活在这个星球上是为了替每一样东西取名字。
尤其是IT人类,恨不得将世界上所有可以组合的词语进行排列组合。每日不整个新鲜名词出来,就是科技没有创新,公司没有发展。整日呕心沥血的排列组合取名字,还要有说得过去的理由,着实不易。
所以IT人活得累,早早秃头也不是没有原因的。动物和植物也是活着,但人类是唯一给这个世界取名字的生物。
从哲学的角度我们理解了每天产生无数新名词原因,可以减少我们的焦虑感。
再回到现实中:中国的网络空间安全学科建立要比欧美国家晚很多年,大量教材和技术都从国外直接引进。因此绝大部分专业名词都是英文翻译为中文。翻译国外专业名词最难的莫过于如何在中文词库精准配对。
网络空间安全领域上万个外来专业名词,让安全从业人员把每一个名词都能精准翻译成中文,那是个相当高难度也是极为痛苦的事情。不是人人都像梁实秋、傅雷、季羡林这些大师们能做到“信、雅、达”的翻译。
所以大家混淆多个名词也是正常的,别觉得自己low。
理解了这些专业名词现实来源,最好的办法,那就是带着英文解释中文。
01 什么是网络空间(Cyberspace)?
最早出现这个名词,是美国科幻小说家威廉.吉布森(William Gibson)在其短篇科幻小说《Burning Chrome》(燃烧的铬)创造了Cyberspace网络空间一词。没错,著名互联网公司谷歌的浏览器Chrome的名字—铬,世界上最硬的纯金属。
这本小说首次提到的“Matrix”名词,后来衍生出了著名电影《黑客帝国》(英文原名为The Matrix)。全世界的人开始关注黑客这个名词,也是从这部电影开始的。
严谨定义:网络空间是信息环境中一个整体域,它由独立且相互依存的信息基础设施和网络组成。包括了互联网、电信网、计算机系统、嵌入式处理器和控制器系统。这是来自2008年美国第54号总统令对Cyberspace定义。
专业解析:专业上通常把遵循ISO/OSI 7层协议框架(有时用TCP/IP协议框架)的设备统称为IT(Information Technology)设备或系统,例如路由器、服务器、PC,各类应用软件等。如果把整个范围扩大到所有可以连接到网络上的非IT设备系统:包括工业设备系统(Operation Technology,简称OT设备)如核电站;物联网设备系统(Internet of Things,简称IoT设备)如蓝牙音箱、自动驾驶汽车。这就是网络空间的范围。特点是:海量+万物。
图片
(网络空间架构对比图)
说人话:那就是包括了全世界所有一切能够相互连接在一起的电子设备和系统就是网络空间,俗称万物互联。
打比方:古代各个国之间因路途遥远,语言不通,交通困难极少来往,只能国内自己玩。例如IT国的人一般不和OT国的人玩。经过人类N年努力后终于海陆空路路通了。于是各国频繁来往通商,取名世界。网络空间也是同样道理,设备之间只在同类范围内通信。突然之间发现世界上所有设备都可以通过互联网相互连接了,就形成了网络空间。虚拟世界这个名词不够酷,遂取名网络空间(Cyberspace)。
02 什么是网络空间安全(Cybersecurity)?
有了网络空间的出现,就有网络空间安全问题产生。
严谨定义:CSEC2017 JTF 定义的网络空间安全为:基于计算的学科,涉及技术,人员,信息和流程,可确保在对手的上下文中进行有保证的操作。它涉及安全计算机系统的创建,操作,分析和测试。这是一门跨学科的学习课程,包括法律,政策,人为因素,道德和风险管理等方面。
专业解析:国际上习惯用机密性,完整性和可用性这三个属性(简称CIA)称为安全性的三个要素。凡是在网络空间中,涉及到CIA三个要素之一的内容,都纳入网络空间安全范畴。包括:防止信息被泄密、防止未授权的访问与篡改、防止系统不可用。
说人话:防止放在网络上所有有价值的东西被偷、被改、被封等等事情就是网络空间安全。特点是:海量+安全。
打比方:俗话说,值钱的东西贼才会惦记着。哪些东西是贼惦记的?怎样才能防贼?自己想办法琢磨明白,这是个人安全。这事儿一群人琢磨,就是企业安全。一个国家的人琢磨,就是国家安全。整个人类都在琢磨了,就是世界安全。放在网络空间,是一样道理的。
03 什么是网络安全(Network Security)?
网络安全实际上严格意义来说应该是通信网络安全。Network就是指IT设备之间的通信网络(Communication Network)。自从人们接触互联网后,最早关注安全问题,就是从黑客攻击通信网络开始的。所以这个名词出现的比较早,被广泛接受。是最容易混淆的网络空间安全与网络安全概念的地方。
严谨定义:来自维基百科的定义:为防止,检测和监视计算机网络和网络可访问资源的未经授权的访问、滥用、修改或拒绝而采取的策略、过程和做法组成。包含网络设备安全、网络信息安全、网络软件安全。
专业解析:网络安全通常是指遵循ISO 7层协议框架(或TCP/IP)的IT设备之间如何保障机密性、完整性和可用性的问题。如:系统被攻击,设备通信时被黑客嗅探获取密码。特点:IT设备。
说人话:网络安全是指服务器、路由器、交换器等等这些大家常用的IT设备怎么防止被破坏的。
打比方:这个世界太大了,先把范围缩小。我们中国人之间沟通用中文。但是我们不想让外国人知道我们在讲什么内容。怎样才能不让外国人偷听、听懂我们讲什么内容,这就是网络安全。
04 什么是信息安全(Information Security)?
如果我们不仅要考虑设备系统自身存在的安全风险问题,还考虑人为因素。那么就引入了信息安全概念。这个名词一般用在企业内比较多。
严谨定义:ISO27001定义:保护组织有价值的信息资产机密性、完整性和可用性,而建立的组织、策略与流程。
专业解析:企业内部有价值的信息资产包括硬件、软件、服务、人员、数据、无形资产等。如何保护这些资产的机密性、完整性和可用性。例如:防止公司重要数据库服务器被破坏。可能是外部黑客,也可能是内部人员破坏。
说人话:企业又要防外部黑客攻击设备系统,还要防内部人员监守自盗,管人又管物,不容易。只说网络安全(Network Security)呢,又担心内部人员暗暗窃喜。干脆来个新名词:信息安全。
打比方:内外兼修。
05 什么是数据安全(Data Security)?
以前人们只把锅碗瓢盘之类看到的事物作为有价值的资产。数据作为一种有价值的资产时候,数据安全定义出现了。
严谨定义:维基百科:保护数字数据免受破坏力和未经授权用户的有害行为的侵害,例如网络攻击或数据泄露。
专业解析:结构化数据、半结构化数据及非结构化数据在其整个生命周期中的机密性、完整性和可用性的保护。
说人话:数据库里面的客户信息、硬盘上的PPT文档、手机上微信聊天记录等等如何做好备份、防止被拷贝等等。
打比方:以前穷时候,挂在阳台晒干的腊肉都是经常被贼惦记着的。现在到处都是摄像头,贼不好下手偷腊肉了。但突然发现身份证号有人收购,这数据值钱了。被贼惦记着了,这就是个人隐私数据安全了。如果是不仅自己的身份证号被贼惦记着,还有一大群人的身份证号也被贼惦记着,就是数据安全了。
为了给各位更方便的理解,这些概念的关系如图所示:
网络空间安全概念图
06 总结
为什么要掌握网络空间安全?因为我们伟大人类找到了了科幻片里面的平行世界:真实世界+虚拟世界,而我们要确保这个平行世界的安全。
未完待续–To Be Continued–