网络安全与信息安全

最新推荐文章于 2024-08-01 18:06:00 发布

lsyou_2000

最新推荐文章于 2024-08-01 18:06:00 发布

阅读量1.9k

点赞数

分类专栏： Security Information

本文链接：https://blog.csdn.net/lsyou_2000/article/details/38038875

版权

Security Information 专栏收录该内容

19 篇文章 0 订阅

订阅专栏

随着以计算机和网络通信为代表的信息技术（IT）的迅猛发展，现代政府部门、金融机构、企事业单位和商业组织对IT的依赖性也日益增强，信息技术几乎渗透到了社会生活的各个方面。然而，信息化发展浪潮带来的信息安全阴影就像雾霾一样笼罩着信息时代社会生活的各个角落。随着人们越来越重视信息的安全性，对信息安全工作的理解也不断深入。从早期的“三分技术、七分管理”，到后来的“技管并重”，以及最近几年强调的“信息安全治理”，在纯技术手段勉强支撑、力有不逮的情况下，信息安全管理工作的重要性愈加凸显。然而在实践中，大多数组织机构没有深刻认识信息安全与网络安全之间的差异性，从认知、理解和工作中将二者混为一谈，对信息安全管理和网络安全管理通常采取相同的机制，甚至直接将两项工作由同一机构负责，造成组织机构内部信息安全工作有效性的缺失。主要表现在以下几个方面：

（1）虽然信息安全已经走过了很长的发展阶段，然而在2005年之前对信息安全的概念一直没有形成公认的说法，信息安全这一术语，与网络安全、计算机安全等术语经常被不正确地互相替换使用，人们仅能根据直观的理解给出解释.特别是在前几年，网络安全与信息安全两个概念之间孰大孰小及如何使用的问题还产生过争论。

（2）由于信息技术的广泛应用，提到“信息安全”这个概念的时候就默认为讨论的是信息系统环境下的信息安全，与“网络安全”之间存在诸多共同点，造成人们未进行深入区分。

（3）信息安全与网络安全的终极目标相同，都是为了保护信息的保密性、完整性和可用性，也在一定程度上造成人们对两个概念认知的模糊和混用。

实际上，信息安全与网络安全并不相同，二者之间存在完全相同的终极目标，但所采取的措施、途径、方法均不完全相同，在保密性、完整性和可用性三个基本属性之间的重心也不完全相同，对组织机构生存和发展的意义也完全不同。

1 信息安全与网络安全实践的差异性

1.1 信息安全与网络安全对业务安全的影响

对于任何一个组织来讲，最重要的就是保证其核心业务能够安全、稳定、有序开展。在当前信息化时代背景下，信息成为了一个组织机构最重要的资产，信息安全对组织的业务安全有至关重要的影响。例如，911事件中很多企业的倒闭不是因为人员的缺少，而是因为企业的所有信息的丢失，造成企业业务无法继续开展下去；个别企业因为企业内部的商业秘密信息（如工艺参数、客户信息等）泄露而导致企业业务的衰退和企业的倒闭。而网络安全对业务安全也有重要的影响，但对大多数组织来说，网络安全性遭到破坏，可能会使其业务出现一段时间的停顿，或对业务的发展产生负面影响，但不会产生致命的影响，而信息的安全性遭到破坏时则可能会对组织的生存和发展产生致命的负面影响。从范围来讲，业务安全中包含信息安全，网络安全也是信息安全中的一部分。

1.2 信息安全目标与实践的差距

目前，各个组织、各级领导都深刻认识到信息安全的重要性，从制度层面、宣传教育层面等也总是强调信息安全的重要性，但是在实践工作中却经常将“信息安全”与“网络安全”的工作相混淆，造成了信息安全工作的有效性受到一定程度的限制。主要体现在：

（1）从人才来讲，真正的信息安全人才及其缺乏。要真正做到广义上的信息安全，必须做到“技管并重”，而当前能够满足于组织要求的既懂信息安全技术，又懂信息安全管理的人才很少，远远无法满足组织的需求。

（2）从投入来说，由于很多领导认为“信息安全”与“网络安全”是一回事，只要做到了网络安全，就能保证信息安全。同时，网络安全的产出效果较为明显，因此常常为了保证网络的安全性投入了大量的人力（系统运行维护管理人员）、财力（采购设备和服务），而为保证信息的安全性所做的投入相对较少，配备的人员和技术手段相对有限。

（2）从内部机构设置来说，对于大多数组织来说，信息安全工作与网络安全工作是同一个团队负责，而且在组织内部处于相对弱势地位，通常作为一个服务团队而存在，信息安全管理工作无法真正有效落实，其管理效力无法得到保证。

1.3 加强信息安全管理

为了提升组织内部的信息安全防护能力，在组织内部真正做到“技管并重”，应将信息安全工作与网络安全工作区别对待，提升信息安全团队在组织内部的地位，强化信息安全管理的效力，将信息安全保护工作提升到组织的战略层面。具体内容包括：

（1）提升信息安全到组织的战略层面。信息安全是一个组织的职责，而不仅仅是一个内部IT部门的职责。信息安全的责任主体是一个完整的组织，而不是组织内部的IT部门。虽然IT部门控制管理着大多数的信息资产，它亦是信息安全管理的重中之重，但它仍然有着很大的局限性，它无法定义组织层面的战略，无法定义信息的重要敏感等级，没有权力决定什么信息可以受控或复制分发，这一切必须服从更高的策略与目的，即整个组织（业务）的战略目的与需要，所以不能仅仅站在IT视角去考虑信息安全，需要考虑组织的需要，业务的需要。网络安全工作可以和信息化工作一起，作为为组织内部业务工作提供支撑服务的形式存在，而信息安全关系到组织的生存和发展，必须提升到组织的战略层面加以规划和设计，以确保组织业务安全。

（2）分离信息安全团队与网络安全团队。网络安全工作可以以一个服务团队的形式存在，既可以由组织内部人员承担，是组织内的一个技术服务部门，也可以外包给第三方技术服务机构；而信息安全工作作为一个组织不可推卸的做人，应成为内部管理团队，而不是内部服务部门。在这一方面，在涉及国家秘密的组织机构内部的国家秘密信息安全保密管理方面取得了良好成绩。

（3）提高信息安全机构在组织内的地位。信息安全工作不是一项完全独立的工作，而是与组织内的各项业务工作紧密结合在一起的，包含的不仅仅是技术层面的信息网络系统中所传输、处理和存储的信息安全，还包括在组织内部各项业务工作开展过程中的所涉及到的信息的安全，因此信息安全团队在组织内部就不应该只是一个服务团队，而应是一个能够涵盖组织内所有工作层面的职能管理团队，这样才能将信息安全工作与业务工作进行有效融合，在组织内部有效开展信息安全管理工作，保证信息安全。在国外，作为组织最高领导之一，首席信息安全官（CISO）制度已经形成一个较为全面的制度体系[4]，并在组织机构的信息安全工作中发挥着积极作用，而国内的CISO还处在初级阶段，远未达到首席信息化主管（CIO）的高度。