這幾年國內(nèi)網(wǎng)絡(luò)安全概念很熱，國家層面在談，政府在談，各種公司在談，各行各業(yè)的從業(yè)人員也在談，仿佛網(wǎng)絡(luò)安全一下子從圈子內(nèi)專業(yè)人員的小眾化專業(yè)詞匯，變成眾人熱捧的時尚名詞，從業(yè)人員無論是薪水還是專業(yè)地位得到了前所未有的提高與重視。無論從業(yè)務(wù)保障視角還是專業(yè)價值體現(xiàn)甚至到國家安全層次，網(wǎng)絡(luò)安全理應(yīng)上升到一定的高度，得到肯定和重視。

說了這么多網(wǎng)絡(luò)安全，那么網(wǎng)絡(luò)安全是什么呢?先從這個詞語本身來看，大概在90年代末期國內(nèi)出現(xiàn)了與計算機(jī)安全有關(guān)的內(nèi)容與要求，成為網(wǎng)絡(luò)安全，如果對應(yīng)成英文會更容易理解Network Security，沒錯，就是網(wǎng)絡(luò)安全，以網(wǎng)絡(luò)為核心的安全。當(dāng)時的環(huán)境，信息化較早的公司開始建設(shè)企業(yè)網(wǎng)絡(luò)，國家也在開始部署X金工程，金卡、金關(guān)、金盾等等，核心內(nèi)容就是兩個業(yè)務(wù)系統(tǒng)信息化與跨地域網(wǎng)絡(luò)聯(lián)通，這種大環(huán)境下，安全的重點(diǎn)就不難理解為網(wǎng)絡(luò)層面的安全，保護(hù)網(wǎng)絡(luò)的邊界，確保聯(lián)網(wǎng)后不出現(xiàn)重大安全事件。過了幾年，大概到2005、2006年，開始采用信息安全這個詞語，對應(yīng)的英文變?yōu)镮nformation Security，更加重視保護(hù)信息，也就是內(nèi)容與數(shù)據(jù)，這時的信息安全所指的安全涵蓋范圍更廣泛，內(nèi)容更多樣，包括了傳統(tǒng)的網(wǎng)絡(luò)安全內(nèi)容，也包括了信息、數(shù)據(jù)等安全內(nèi)容。近幾年安全的專業(yè)詞語又發(fā)生了變化，成為網(wǎng)絡(luò)安全，但這個網(wǎng)絡(luò)安全不同于最初的網(wǎng)絡(luò)安全，從英文上看，已經(jīng)演化為Cyber Security，可以理解為網(wǎng)絡(luò)空間的安全，這個范圍就更大更廣泛了，甚至不僅僅是商業(yè)視角的范疇了，具體幾個詞語的意義與演化可以在網(wǎng)上找找，有很清晰的解釋。

不管稱為網(wǎng)絡(luò)安全也好，信息安全也好，詞語在更新，內(nèi)容在演化，涵蓋的領(lǐng)域也在不斷完善與豐富，這就要求我們從業(yè)人員深刻領(lǐng)會與理解，并運(yùn)用到實(shí)際專業(yè)工作中。不過從實(shí)踐角度來看，筆者從1998年開始專業(yè)從事網(wǎng)絡(luò)安全工作到現(xiàn)在也有17年的時間，國內(nèi)無論是甲方安全管理還是乙方的安全服務(wù)與咨詢，大部分的重點(diǎn)還是放在了傳統(tǒng)IT安全的領(lǐng)域，比較側(cè)重在技術(shù)與基礎(chǔ)安全，這些方面不是不重要，只是可能忽略與遺漏企業(yè)安全中其他領(lǐng)域，從而降低IT安全本身的價值。從一個公司商業(yè)利益的角度，所有的投資最終要轉(zhuǎn)化為對商業(yè)利益有所貢獻(xiàn)的活動，這也是公司所有者、經(jīng)營者、高級管理層更加重視與更容易理解的內(nèi)容。在IT安全活動與商業(yè)利益活動中，往往缺乏了一些直接的關(guān)聯(lián)關(guān)系或者中間層次的遞進(jìn)，出現(xiàn)企業(yè)中高層非常重視安全但又很難理解安全價值的情況。

筆者結(jié)合自己的專業(yè)經(jīng)驗與遇到的各種企業(yè)安全情況，總結(jié)了一些內(nèi)容，供大家參考，如能對各位工作有所幫助，也算是一點(diǎn)小貢獻(xiàn)吧。

首先，企業(yè)安全不是一個二維平面的狀態(tài)，簡單說，企業(yè)安全不是一般物理上看到的地域、區(qū)域、部門、分支機(jī)構(gòu)連接的平面圖，在二維平面上往往更加關(guān)注在網(wǎng)絡(luò) 安全、邊界安全、訪問控制等安全設(shè)備的堆疊與各種解決方案的部署，而企業(yè)安全應(yīng)該是一個三維、四維的立體時空狀態(tài)，今天我們先不討論“四維時空企業(yè)安全理論”，這個我會單獨(dú)文章分享與探討。從三維角度，企業(yè)安全包括安全縱深維度、安全情景維度與安全策略維度。

企業(yè)安全三維圖

企業(yè)安全縱深維度包括:

業(yè)務(wù)安全

應(yīng)用安全

數(shù)據(jù)安全

技術(shù)安全

我們現(xiàn)在大部分的安全工作側(cè)重在技術(shù)安全與一部分?jǐn)?shù)據(jù)安全，對應(yīng)用安全與業(yè)務(wù)安全涉及較少，或者這部分工作由企業(yè)內(nèi)其他團(tuán)隊負(fù)責(zé)，可能出現(xiàn)縱深維度的脫節(jié)，當(dāng)然這方面的全棧型人才本來就極少，能把4個層次貫通起來的，同時視角又夠一定層次的就更少了。

安全情景維度包括：

行業(yè)特性，每個行業(yè)自身的安全要求具有較大差異；

業(yè)務(wù)特性，由于業(yè)務(wù)特性的要求，每個企業(yè)即使行業(yè)類似，對安全的要求與重點(diǎn)領(lǐng)域同樣具有較大差異；

體系架構(gòu)，體系架構(gòu)的要求，對安全影響更加直接，如應(yīng)用云計算環(huán)境與傳統(tǒng)計算模式對安全要求的巨大差異；

合規(guī)要求，合規(guī)驅(qū)動的安全，無論是監(jiān)管還是資本市場亦或是特殊行業(yè)要求，如銀監(jiān)會的指引、Sox與C-Sox、PCIDSS、ADSS等，數(shù)據(jù)保護(hù)、隱私管理等等。

這些內(nèi)容會貫穿整個企業(yè)安全縱深維度，也就是不僅僅考慮業(yè)務(wù)安全，應(yīng)用安全、數(shù)據(jù)安全與技術(shù)安全同樣面臨各個安全情景維度的引導(dǎo)與控制。

企業(yè)安全策略維度包括：

戰(zhàn)略規(guī)劃，企業(yè)的安全戰(zhàn)略與總體要求，指引整個企業(yè)的安全活動

管理體系，管理要求

技術(shù)體系，技術(shù)要求

解決方案，落地的實(shí)務(wù)方案與執(zhí)行

這個維度的內(nèi)容，從企業(yè)的安全戰(zhàn)略出發(fā)，正式或者非正式的安全戰(zhàn)略指引企業(yè)安全的方向，成為企業(yè)安全與公司高層次策略與管理者的接口，通過管理體系與技術(shù)體系的企業(yè)安全管控與建設(shè)要求，形成具體化的流程、活動、行為準(zhǔn)則，承接戰(zhàn)略目標(biāo)的落地與具體解決方案的價值保障，最終所有內(nèi)容通過解決方案得到落地執(zhí)行。