01
信息安全
咱们先搞明白,到底什么是信息?香农在1948年的开创性论文《通信的数学理论》里说,信息是用来消除随机不确定性的东西。这话听着有点抽象,不好懂,我给大家举个简单的例子:在你不知道抛硬币结果的时候,不管是正面还是反面,对你来说都是不确定的;等硬币落地,你看到是“正面”,这个“正面”的结果,就是信息,它一下子就帮你消除了之前的不确定性。而数据不销毁会给所有人带来无数麻烦。
弄懂了信息,咱们再聊信息安全。其实信息安全的历史,就是跟着信息的载体一起升级的历史,从最早的羊皮纸,到现在的云端,载体变了,咱们防御的范围、重点和思路,也一直在跟着变。之前咱们也提过,信息安全有三个核心目标,就是保护信息的机密性、完整性和可用性,这也就是常说的CIA三要素。
说到信息安全,就得提它的载体,载体其实很广泛,就是那些能让咱们直接摸到、感知到的,承载信息的东西。比如纸质文件、U盘、硬盘,甚至咱们的大脑,这可是最原始的信息载体了。信息安全的核心,其实一开始就是保护这些载体。为啥呢?因为信息本身是看不见摸不着的抽象东西,它必须依附在这些载体上,才能被存起来、传出去、用起来。所以咱们做信息安全相关的事,本质上就是对这些载体,做好物理和逻辑上的保护。
所以咱们今天聊的信息安全,是个很顶层、很宽泛的概念。它包含了所有技术和非技术的办法,目的就是不管信息是物理形式还是数字形式,不管载体是什么,都要保护好它们的CIA三要素。比如说,给文件柜上锁,这是保护物理载体的机密性和可用性;用最新的加密技术,保护云端传输的数据,这也是信息安全。不管是简单的办法,还是复杂的技术,只要是保护信息和它载体的,都属于信息安全。
02
网络安全
和刚才说的宽泛的信息安全比起来,网络安全有很明显的时代特点,侧重点也不一样。
首先,它的主战场在“虚拟空间”。以前咱们防的是偷物理东西的小偷,而网络安全要防的,是那些远在天边、连面都见不到的攻击者比如黑客、犯罪组织,甚至是国家级的攻击力量。他们的攻击手段,也都是数字化的,比如用恶意代码、协议攻击,而且很多都是自动化操作的。
其次,它的核心矛盾是“攻防对抗”。网络安全特别动态,就像一场停不下来的军备竞赛。防守的一方(咱们叫蓝队),一直在补漏洞、建防线;而攻击的一方(咱们叫红队),也在不停找新的漏洞、发明新的攻击手段,比如勒索软件、高级持续威胁(APT,简单说就是隐蔽性强、长期盯着一个目标的攻击)。
其实网络安全是信息安全的一部分,而且是最活跃、对抗性最强的前沿阵地。它不关心你那份纸质文件有没有锁进保险柜,那是物理安全的事,但它会全力保障,这份文件扫描成电子版后,不管是发邮件、在云端一起编辑,还是在数据库里被查询,整个过程都要安全。网络安全就是以网络为战场,攻防不断循环,核心就是保证信息流动的通道,不被断、不被滥用、不被污染。
03
数据安全
给大家举个好理解的比喻:如果说网络安全,保障的是运输的公路(也就是信息传输的通道)安全,那数据安全,保障的就是公路上运的货物(也就是数据资产),从产生到消失,整个生命周期的安全、合规,还要让这些数据能发挥价值。
数据安全是信息安全的深化和具体化,它源于一个核心认知:在现在的数字时代,数据已经不是以前那种,只是业务流程里的一个记录了,它变成了能驱动决策、创造价值的核心资产,就像生产产品需要的原材料一样重要。
和更偏重技术、偏重攻防的网络安全不一样,数据安全更看重治理、合规和业务本身,它的视角很特别,主要从“资产”和“风险”出发,咱们分三点说:
1. 核心对象是数据资产。这就要求咱们,像管公司的钱、个人的存款那样管数据:先弄清楚手里有哪些数据、给这些数据分个等级(比如哪些是核心数据,哪些是普通数据),知道这些数据存在哪、谁在使用,还有它们的价值和存在的风险。比如说,客户的个人信息、公司的核心技术源代码、财务营收数据,这些数据的重要程度不一样,保护的等级和方法,肯定也不一样。
2. 核心逻辑是跟着数据的生命周期来保护。数据从产生到消失,每一个环节都要做好保护。
3. 核心驱动力是合规与隐私。这也是近几年数据安全最受关注的一点。现在全球都有严格的法律法规,比如欧盟的GDPR,咱们国家的《个人信息保护法》《数据安全法》,这些法律给数据安全划了红线,不能碰。所以数据安全不只是防止数据泄露,更重要的是,确保咱们处理数据的每一个环节,都是合法、正当、有必要的,不能违规操作。数据销毁则是数据安全生命周期里最后一公里,最后一个关键环节
04
总结
信息安全是一个最广泛的顶层概念。
网络安全与数据安全是信息安全下属的两个最重要、最核心的子集和实现领域,它们彼此交叉,共同支撑起信息安全的大局。
网络安全是信息安全在网络空间这一特定领域的具体实践。
数据安全 是信息安全围绕“数据”这一核心资产进行深化治理的关键维度。
而数据销毁不仅是数据安全法的强制要求,还是广大企业、无数个人的真实需要。
