給自己B站導個流：

呃，半年以後才來更……自己都覺得扯淡……

這次想講一個看上去並不怎麼有意思的問題：什麼是網絡安全？

如果把這個詞分解，“網絡安全”無非就是“網絡”+“安全”（簡直廢話）。那麼我們首先來看什麼是“安全”。我們生活當中有著大量的“安全”元素：比如房門就有一定的阻擋外部人員進入的功能、攝像頭有震懾不法分子以及確保環境情況的作用、樓房中的滅火器則是在火災發生時能有一定的減緩作用、保險箱可以給貴重物品有多一層防護等等。如果將這些場景抽象出共性來看，我們可以認為“安全”是“一種確保目標事物的狀態不受不被期望的事件影響的手段”（有點繞口）。那麼，“網絡安全”就是確保“網絡”這個目標事物，以所期望的方式運作的一系列技術、措施。

另一個問題就是，這裡的“網絡”指的是什麼？事實上，與“網絡安全”相關的詞非常多，包括“信息安全”、“數據安全”、“計算機安全”、“數字安全”等等。其實，“網絡安全”本身也是經過一系列的發展而成的。

假如，我們把這裡的“網絡”是基於計算機系統而存在的，那麼“網絡安全”最早可以溯源到“計算機安全”——即對單個計算機的安全。而當網絡（包括局域網）誕生的時候，需要保護的對象就從單一的計算機，到網絡范圍內的所有計算機——同時，包括通信網絡的安全，有瞭“第一代網絡安全”——Network Security。當然，彼時的“網絡安全”（Network Security）與現在的“網絡安全”並不是一個意思。事實上，個人角度來看，Network Security與其說是“網絡安全”，不如說是“網路安全”更合適，確保的是網絡路線各個維度的安全性。順便，如果從另一個維度來看，將“網絡”視為通信技術的一種，那麼“網絡安全”的起源可以追溯到更早的現代通信安全——也就是電報機。這一個方向其實也沒有錯，因為我們當前環境中使用的加密方式都是基於從二戰開始的現代密碼學發展起來的，將當年那些密碼機與電報通信視為我們現在加密流量通信的前身也絲毫不為過。從這個維度來看的話，“網絡安全”也可以視為“通信安全”的一個真子集。

從計算機安全（Computer Security）到我所謂的“第一代網絡安全”（Network Security），或者說網路安全，這裡一部分還算正常，下面要說的，是從英文到中文都一團糟的各種“安全”，大傢先平心靜氣，清理一下大腦，然後開始燒腦。以下是我個人理解，並不代表全對，因為這幾個詞具體怎麼說，各種說法都有。另外，學術界與產業界對這些詞的理解都會經常打架。我隻做瞭一個個人理解層面的總結，歡迎討論。

計算機讓人們的處理能力大幅度提升，開始將更多的重要數據存儲在計算機上，同時通過網絡可以進行數據的傳輸（但實際上，即使是現在，一些極度機密的信息依然不會使用網絡傳輸），保障數據不會被竊取的，同時數據完整的重要性逐漸凸顯，這個時候有瞭“數據安全”（Data Security）這個概念。當然，具體數據安全的發展那是更之後的事情瞭。

在“數據安全”之後，開始有瞭“信息安全”。但是，這裡的“信息安全”是有一定歧義的：因為中文為瞭簡略，將“信息安全”（Information Security，英文縮寫InfoSec）與“信息技術安全”（Information Technology Security，英文縮寫IT Security）都成為“信息安全”。國內說的“信息安全”一般指後者。

InfoSec是指確保信息的安全性，減少信息面臨的風險，包括非法接入、泄露、損壞等等。InfoSec和數據安全的區別，一說是“信息”是指有“意義的數據”（這裡的數據理解為Data，數據不一定隻是數字，如果要杠，那就是你對，一切都是0和1），也就是說數據隻有具體的含義，才能成為“信息”，像我頭滾鍵盤打出“q03287urfosdjkbapu”這串亂碼就不能稱為“信息”（誰知道呢，沒準在某種加密方式下就能有價值）。另一種說法，則是認為數據安全特指電子化的“數據”的安全，也就是存儲在硬盤、記憶卡上的“數據”；而“信息”則是包括瞭電子化與一般物理的內容，比如書信、比如紙質化的地圖等。從這兩個角度來看，InfoSec其實能理解為通信安全，因為現在的定義中，InfoSec的基礎就是CIA三要素，其保護的核心是“信息”以及“信息”的整個生命周期。國內來看，InfoSec其實和數據安全概念的混用更多。

因此，國內對“信息安全”的理解為IT Security就好理解瞭許多。信息技術安全包括瞭整個和信息環境相關的安全性，涵蓋瞭計算機相關系統、網路等等。在維基的定義中，將計算機安全（Computer Security）、網絡安全（Cybersecurity）和信息技術安全（IT Security）列為同義詞。其保護的對象不僅是計算機環境中的信息和數據，還有硬件、系統、服務本身。

解決瞭數據安全、兩種“信息安全”的相愛相殺以後，讓我們把“網絡安全”加入這場亂局。這裡的“網絡安全”是指Cybersecurity，意為網絡空間的安全。理論上，根據維基的定義Cybersecurity應該和IT Security等同。不過呢，國內許多人對IT Security的理解，認為IT Security局限於對信息系統與信息環境的安全，而Cybersecurity則擴展瞭這個范圍，覆蓋整個網絡空間（或者說計算機空間更為合適，因為Cyber指的是計算機以及計算機網絡相關），包括工業生產環境、各種物聯網車聯網環境等等。從英語的定義上來看，Cybersecurity是包含瞭系統、硬件、信息各方面的安全。但是，國內的一些理解可能隻是局限於瞭系統，將Cybersecurity和InfoSec作為“系統”和“信息”兩個分開的東西來看待。（題外話，在網上查各種說法的時候，有一說認為InfoSec最大，包含瞭Cybersecurity，因為最終都是為瞭information服務的。但個人認為，如果從直接保護對象來看，這種處理方式不妥。因為那麼包含的話，我們的郵政系統安全是不是也是InfoSec瞭？確保瞭我們快遞的完整性？）

最後談一個遠的，就是可能這兩年開始會流行的“數字安全”。這又是一個很“奇葩”的詞。“數字安全”這個東西並不是新詞——如果你把它看成“Digital Security”。但是Digital Security其實是一個非常狹隘的詞，它是特指保護每個人或者賬戶在網上的身份、資產和數據的安全，概括來說就是“個人數字化存在的安全”。但是，國內提出的“數字安全”，就更偏向於“Digital World Security”或者“Digitalized Security”，是涵蓋瞭整個數字化世界的安全，將整個和數字化相關內容的安全全部包含。這個趨勢也很好理解，畢竟現在都在提“數字化轉型”、“數字孿生城市”這一系列“數字”概念。不過呢，這個概念吧……誰知道過個幾年，會不會出來一個“元安全”（MetaSecurity）呢？

做一個小小的總結，當我們看一系列的安全的時候，可以從兩個方向來看：英文方向與中文方向（畢竟我們自有特殊情況嘛）。英文來看，Computer Security（廣義，從最早的單個計算機演化而來）= Information Technology Security = Cybersecurity，一般而言會包括Information Security/InfoSec。而Data Security更偏向於data在存儲狀態的保護。InfoSec和Network Security都是Cybersecurity的真子集。至於Digital Security，呃，忽略吧……中文的話，計算機安全可能隻是針對計算機的安全，“網絡安全”應對的是“網絡空間”的安全，而不是“網路”的安全；“信息安全”偏向於針對信息技術環境和系統的安全，與“網絡安全”有一定的交集；數據安全就是針對數據的安全（又說瞭一句廢話）。

以上隻是通過和業內的一些從業人員的溝通形成的個人感受，由於是在國外自學的CISSP，所以對國內學術界這些詞的定義並不是很瞭解。當然瞭，國外產業界這幾個詞混用的也不少。雖然整理瞭那麼多，但是我想說一句：

名字是什麼並不重要，重要的是自己會什麼，在做什麼，還有技術與產品的本質是什麼；概念吹得再響再大，不解決問題，都是空談！