原创2024-11-11小艾老师

在我们日常生活中，常常会听到“信息安全”（信安）、“网络安全”（网安）和“数据安全”（数安）这些词。很多人可能会搞混，今天小艾老师就来聊聊它们之间的关系，以及它们各自的含义。

01_信息 vs 数据：先弄清楚这两个概念

在深入了解安全问题之前，我们得先搞清楚“信息”和“数据”这两个词的区别。可以通过几个简单的例子来理解：

信息：比如，某公司决定推出一款新软件，这是一个信息；或者某国准备对另一国进行军事行动，这也是信息。这些信息可能不一定存在于某个系统里，但它们对我们来说是有意义的。
数据：这些信息的背后通常有一些客观存在的“数据”。比如，公司的会议纪要、股票的历史价格图表、新闻报道等，这些都是数据。简单来说，数据是用来记录和表达信息的载体。

所以，我们可以总结出：数据是信息的基础，而信息是从数据中提炼出来的有用内容。

什么是信息安全

信息安全主要是指保护所有有价值的信息不被泄露、篡改或丢失。这并不仅限于网络上的信息，任何可能对信息造成威胁的场景都在信息安全的范围内。它不仅仅包括电子数据和网络通信，还包括纸质文件、口头交流等信息的安全性。

信息安全的核心目标是确保信息不被泄露、不被篡改、始终可用，对应的就是我们常说的信息安全的CIA三要素：保密性、完整性和可用性。

什么是网络安全

网络安全专注于保护网络环境的安全。_早的网络安全是Network Security，是围绕网络设备和防火墙展开的，主要涉及网络安全域、防火墙、网络访问控制、抗DDOS（分布式拒绝服务攻击）等场景。

随着时间的推移，它的概念逐渐扩大，涵盖了云端、终端等各个方面。现在，网络安全主要指的是保护网络空间的安全（Cyber Security），包括网络空间安全、网络访问控制、安全通信、防御网络攻击或入侵等。

什么是数据安全

数据安全则是以数据为中心，关注数据在整个生命周期中的安全性和合规性。无论是静态存储的数据，还是正在使用中的数据，都需要保护。尤其是涉及个人隐私的数据，数据安全的目标是保护这些数据不被滥用或泄露。

这三者之间其实是相辅相成的。我们可以这样理解：

可以把网络安全看作是实现信息安全和数据安全的手段，而数据安全则是更具体的目标。

看一下小艾老师找的这张图，大家可以有个更好的理解：网络安全的范围参考橙色实线边框，数据安全的范围参考蓝色虚线边框。网络安全可以理解为手段，而数据安全（和信息安全）可以理解为目标。

实际工作中，不用纠结到底使用哪个术语，因为这三个术语都可以泛指整个安全体系。你可以根据公司的需求和重点选择相应的术语。

比如，如果你在处理客户的个人信息，可能会更关心“数据安全“；而如果你在制定整体安全政策，”信息安全“可能是你关注的重点。以下是一些常见的使用场景，供参考。

术语	狭义	广义	典型使用场景
信息安全	防止敏感信息不当扩散，涵盖控制不良信息（黄赌毒）及内部泄密等	源于安全体系架构的 “以信息为中心” 理念，可以泛指整个安全体系	注重安全管理体系；强调信息及系统的保密性、完整性、可用性；关注内容合规；重视 DLP（防内部信息泄露）；强调静态信息保护（如存储及光盘信息）
网络安全	源于安全体系架构的 “以网络为中心” 理念，侧重网络安全域、访问控制及防网络攻击等	源于安全体系架构的 “以网络为中心” 理念，可以泛指整个安全体系	强调网络边界与安全域；注重网络入侵防御；强调网络通信或传输安全；关注网络空间主权
数据安全	以保护数据本身为核心，包含加密、脱敏、防差分隐私分析等	源于安全体系架构的 “以数据为中心” 理念，可以泛指整个安全体系	强调数据全生命周期保护；突出数据作为生产力；关注数据主权或主体权利；重视长臂管辖权；强调隐私保护