前言
一、包含和被包含的关系
信息安全包括网络安全,信息安全还包括操作系统安全,数据库安全
,硬件设备和设施安全,物理安全,人员安全,软件开发,应用安全等。
二、针对的设备不同
网络安全侧重于研究网络环境下的计算机安全,信息安全侧重于计算机数据和信息的安全。
三、侧重点不同
网络安全更注重在网络层面,例如通过部署防火墙、入侵检测等硬件设备来实现链路层面的安全防护,而信息安全的层面要比网络安全的覆盖面大的多,信息安全是从数据的角度来看安全防护。
通常采用的手段包括:防火墙、入侵检测、审计、渗透测试、风险评估等,安全防护不仅仅是在网络层面,更加关注的应用层面,可以说信息安全更贴近于用户的实际需求及想法。
四、就业方向不一样
1、工作内内容不同
网络安全工程师:分析网络现状。对网络系统进行安全评估和安全加固,设计安全的网络解决方案;在出现网络攻击或安全事件时,提高服务,帮助用户恢复系统及调查取证。
针对客户网络架构,建议合理 的网络安全解决方案;负责协调解决方案的客户化实施、部署与开发,推定解决方案上线;负责协调公司网络安全项目的售前和售后支持。
信息安全工程师:在计算机软硬件、网络、应用相关领域从事安全系统设计、安全产品开发、产品集成、信息系统安全检测与审计等方面工作,服务单位可以是国家机关、企事业单位及科研教学单位等。
2、从业要求不同
网络安全工程师需要计算机应用、计算机网络、通信、信息安全等相关专业本科学历,三年以上网络安全领域工作经验,而信息安全工程师没有工作经验上的要求。
3、就业职位不同
网络安全工程师的就业职位有网络安全工程师、网络安全分析师、数据恢复工程师、网络构架工程师、网络集成工程师、网络安全编程工程师。
信息安全工程师就业职位有系统安全工程师、网络系统安全软件工程师、信息安全工程师、Linux操作系统工程师。
信息安全和网络安全通常被认为是一回事,导致它们在安全领域构成混淆。不过每天都有如此多的术语涌现和新技术的出现,网络安全和信息安全的争论也就不足为奇了。信息安全是网络安全的子集吗?还是相反的呢?那么信息技术呢?信息技术和网络安全一样吗?这些都是常见的问题。
信息安全与网络安全实践的差异性
对于任何一个组织来讲,最重要的就是保证其核心业务能够安全、稳定、有序开展。在当前信息化时代背景下,信息成为了一个组织机构最重要的资产,信息安全对组织的业务安全有至关重要的影响。例如,911事件中很多企业的倒闭不是因为人员的缺少,而是因为企业的所有信息的丢失,造成企业业务无法继续开展下去;个别企业因为企业内部的商业秘密信息(如工艺参数、客户信息等)泄露而导致企业业务的衰退和企业的倒闭。而网络安全对业务安全也有重要的影响,但对大多数组织来说,网络安全性遭到破坏,可能会使其业务出现一段时间的停顿,或对业务的发展产生负面影响,但不会产生致命的影响,而信息的安全性遭到破坏时则可能会对组织的生存和发展产生致命的负面影响。从范围来讲,业务安全中包含信息安全,网络安全也是信息安全中的一部分。
1.2 信息安全目标与实践的差距
目前,各个组织、各级领导都深刻认识到信息安全的重要性,从制度层面、宣传教育层面等也总是强调信息安全的重要性,但是在实践工作中却经常将“信息安全”与“网络安全”的工作相混淆,造成了信息安全工作的有效性受到一定程度的限制。主要体现在:
(1)从人才来讲,真正的信息安全人才及其缺乏。要真正做到广义上的信息安全,必须做到“技管并重”,而当前能够满足于组织要求的既懂信息安全技术,又懂信息安全管理的人才很少,远远无法满足组织的需求。
(2)从投入来说,由于很多领导认为“信息安全”与“网络安全”是一回事,只要做到了网络安全,就能保证信息安全。同时,网络安全的产出效果较为明显,因此常常为了保证网络的安全性投入了大量的人力(系统运行维护管理人员)、财力(采购设备和服务),而为保证信息的安全性所做的投入相对较少,配备的人员和技术手段相对有限。
(2)从内部机构设置来说,对于大多数组织来说,信息安全工作与网络安全工作是同一个团队负责,而且在组织内部处于相对弱势地位,通常作为一个服务团队而存在,信息安全管理工作无法真正有效落实,其管理效力无法得到保证。
1.3 加强信息安全管理
为了提升组织内部的信息安全防护能力,在组织内部真正做到“技管并重”,应将信息安全工作与网络安全工作区别对待,提升信息安全团队在组织内部的地位,强化信息安全管理的效力,将信息安全保护工作提升到组织的战略层面。具体内容包括:
(1)提升信息安全到组织的战略层面。信息安全是一个组织的职责,而不仅仅是一个内部IT部门的职责。信息安全的责任主体是一个完整的组织,而不是组织内部的IT部门。虽然IT部门控制管理着大多数的信息资产,它亦是信息安全管理的重中之重,但它仍然有着很大的局限性,它无法定义组织层面的战略,无法定义信息的重要敏感等级,没有权力决定什么信息可以受控或复制分发,这一切必须服从更高的策略与目的,即整个组织(业务)的战略目的与需要,所以不能仅仅站在IT视角去考虑信息安全,需要考虑组织的需要,业务的需要。网络安全工作可以和信息化工作一起,作为为组织内部业务工作提供支撑服务的形式存在,而信息安全关系到组织的生存和发展,必须提升到组织的战略层面加以规划和设计,以确保组织业务安全。
(2)分离信息安全团队与网络安全团队。网络安全工作可以以一个服务团队的形式存在,既可以由组织内部人员承担,是组织内的一个技术服务部门,也可以外包给第三方技术服务机构;而信息安全工作作为一个组织不可推卸的做人,应成为内部管理团队,而不是内部服务部门。在这一方面,在涉及国家秘密的组织机构内部的国家秘密信息安全保密管理方面取得了良好成绩。
(3)提高信息安全机构在组织内的地位。信息安全工作不是一项完全独立的工作,而是与组织内的各项业务工作紧密结合在一起的,包含的不仅仅是技术层面的信息网络系统中所传输、处理和存储的信息安全,还包括在组织内部各项业务工作开展过程中的所涉及到的信息的安全,因此信息安全团队在组织内部就不应该只是一个服务团队,而应是一个能够涵盖组织内所有工作层面的职能管理团队,这样才能将信息安全工作与业务工作进行有效融合,在组织内部有效开展信息安全管理工作,保证信息安全。在国外,作为组织最高领导之一,首席信息安全官(CISO)制度已经形成一个较为全面的制度体系[4],并在组织机构的信息安全工作中发挥着积极作用,而国内的CISO还处在初级阶段,远未达到首席信息化主管(CIO)的高度。
首先,让我们看看如何定义网络安全和信息安全。根据国家标准与技术研究所的说法,网络安全是“保卫或保护网络空间的使用不受网络攻击的能力”。该组织将信息安全定义为“保护信息和信息系统免受未经授权的访问、使用、披露、破坏、修改或破坏,以提供保密性、完整性和可用性。”换句话说,区别在于范围。
网络安全与信息安全
尽管网络安全和信息安全是否意味着同一件事的争论仍在继续,但我们还是要将网络安全视为信息安全的一种。可以把信息安全看作是一把保护伞,里面撑着网络安全和其他安全主题,比如密码学和移动计算。
不过,我们可以基于范围做简单区分,要明确区分可能很难。例如,网络安全一词在美国被广泛使用,但在世界其他国家,它也通常被称为信息安全。这些因素和其他一些因素使得网络安全与信息安全的辩论继续进行下去。
在网络安全与信息安全的讨论中,还有其他的区别。网络安全是保护网络空间中的信息,而信息安全则是保护网络空间内外的数据。换句话说,互联网或终端设备可能只是安全图谱的一部分,两者都涉及保护网络空间免受黑客攻击,黑客攻击包括勒索软件、间谍软件、恶意软件和其他类型的有害软件,这些软件会造成各种各样的破坏。然而,网络安全专业人士关注的范围更为狭窄。
网络安全专业人员通过发现漏洞和造成漏洞的错误配置,在帮助保护服务器、端点、数据库和网络方面发挥积极作用。换句话说,他们有责任防止违约。最有才华的人就像黑客一样思考,甚至可能曾经是黑客。当然,信息安全专业人员也关心数据丢失的预防。他们在这方面与网络同行合作,但可能会在优先处理最敏感数据和制定如何从入侵中恢复的计划方面发挥更广泛的作用。
我们也可以从基本构成去区分数据和信息之间的差异。数据可以是任何东西——例如,一系列数字——但并非所有数据都是相等的。这些数据所代表的意义及其敏感性完全属于信息安全专业人员的职权范围。例如,如果一系列数字是客户的信用卡号码,则信息安全团队有责任确保它们符合政府法规。他们再次与网络同事密切合作,以确保最关键的数据是安全的并对组织的整体安全负责。
| 信息安全 | |
| 关注数据相关的安全 | |
| 处理保护数据免受任何威胁 | 学会像黑客一样思考 |
| 监督未经授权的访问/修改/删除 | 深入了解恶意软件 |
| 预防数据丢失,做好恢复计划 | 作为第一道防线 |
结论
最后,网络安全和信息安全的争论可能是解决这两个如此互补的问题的错误方式。这两个角色都可以保护数据不被窃取、访问、修改或删除。主要的区别在于他们关注的范围。
网络安全学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
最后
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
黑客工具&SRC技术文档&PDF书籍&安全>web安全等(可分享)
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失
