這幾年國內(nèi)網(wǎng)絡(luò)安全概念很熱，國家層面在談，政府在談，各種公司在談，各行各業(yè)的從業(yè)人員也在談，仿佛網(wǎng)絡(luò)安全一下子從圈子內(nèi)專業(yè)人員的小眾化專業(yè)詞匯，變成眾人熱捧的時(shí)尚名詞，從業(yè)人員無論是薪水還是專業(yè)地位得到了前所未有的提高與重視。無論從業(yè)務(wù)保障視角還是專業(yè)價(jià)值體現(xiàn)甚至到國家安全層次，網(wǎng)絡(luò)安全 理應(yīng)上升到一定的高度，得到肯定和重視。

說了這么多網(wǎng)絡(luò)安全，那么網(wǎng)絡(luò)安全是什么呢?先從這個(gè)詞語本身來看，大概在90年代末期國內(nèi)出現(xiàn)了與計(jì)算機(jī)安全有關(guān)的內(nèi)容與要求，成為網(wǎng)絡(luò)安全，如果對(duì)應(yīng)成英文會(huì)更容易理解Network Security，沒錯(cuò)，就是網(wǎng)絡(luò)安全，以網(wǎng)絡(luò)為核心的安全。當(dāng)時(shí)的環(huán)境，信息化較早的公司開始建設(shè)企業(yè)網(wǎng)絡(luò)，國家也在開始部署X金工程，金卡、金關(guān)、金盾等等，核心內(nèi)容就是兩個(gè)業(yè)務(wù)系統(tǒng)信息化與跨地域網(wǎng)絡(luò)聯(lián)通，這種大環(huán)境下，安全的重點(diǎn)就不難理解為網(wǎng)絡(luò)層面的安全，保護(hù)網(wǎng)絡(luò)的邊界，確保聯(lián)網(wǎng)后不出現(xiàn)重大安全事件。過了幾年，大概到2005、2006年，開始采用信息安全這個(gè)詞語，對(duì)應(yīng)的英文變?yōu)镮nformation Security，更加重視保護(hù)信息，也就是內(nèi)容與數(shù)據(jù)，這時(shí)的信息安全所指的安全涵蓋范圍更廣泛，內(nèi)容更多樣，包括了傳統(tǒng)的網(wǎng)絡(luò)安全內(nèi)容，也包括了信息、數(shù)據(jù)等安全內(nèi)容。近幾年安全的專業(yè)詞語又發(fā)生了變化，成為網(wǎng)絡(luò)安全，但這個(gè)網(wǎng)絡(luò)安全不同于最初的網(wǎng)絡(luò)安全，從英文上看，已經(jīng)演化為Cyber Security，可以理解為網(wǎng)絡(luò)空間的安全，這個(gè)范圍就更大更廣泛了，甚至不僅僅是商業(yè)視角的范疇了，具體幾個(gè)詞語的意義與演化可以在網(wǎng)上找找，有很清晰的解釋。

不管稱為網(wǎng)絡(luò)安全也好，信息安全也好，詞語在更新，內(nèi)容在演化，涵蓋的領(lǐng)域也在不斷完善與豐富，這就要求我們從業(yè)人員深刻領(lǐng)會(huì)與理解，并運(yùn)用到實(shí)際專業(yè)工作中。不過從實(shí)踐角度來看，筆者從1998年開始專業(yè)從事網(wǎng)絡(luò)安全工作到現(xiàn)在也有17年的時(shí)間，國內(nèi)無論是甲方安全管理還是乙方的安全服務(wù)與咨詢，大部分的重點(diǎn)還是放在了傳統(tǒng)IT安全的領(lǐng)域，比較側(cè)重在技術(shù)與基礎(chǔ)安全，這些方面不是不重要，只是可能忽略與遺漏企業(yè)安全中其他領(lǐng)域，從而降低IT安全本身的價(jià) 值。從一個(gè)公司商業(yè)利益的角度，所有的投資最終要轉(zhuǎn)化為對(duì)商業(yè)利益有所貢獻(xiàn)的活動(dòng)，這也是公司所有者、經(jīng)營者、高級(jí)管理層更加重視與更容易理解的內(nèi)容。在 IT安全活動(dòng)與商業(yè)利益活動(dòng)中，往往缺乏了一些直接的關(guān)聯(lián)關(guān)系或者中間層次的遞進(jìn)，出現(xiàn)企業(yè)中高層非常重視安全但又很難理解安全價(jià)值的情況。

筆者結(jié)合自己的專業(yè)經(jīng)驗(yàn)與遇到的各種企業(yè)安全情況，總結(jié)了一些內(nèi)容，供大家參考，如能對(duì)各位工作有所幫助，也算是一點(diǎn)小貢獻(xiàn)吧。

首先，企業(yè)安全不是一個(gè)二維平面的狀態(tài)，簡單說，企業(yè)安全不是一般物理上看到的地域、區(qū)域、部門、分支機(jī)構(gòu)連接的平面圖，在二維平面上往往更加關(guān)注在網(wǎng)絡(luò) 安全、邊界安全、訪問控制等安全設(shè)備的堆疊與各種解決方案的部署，而企業(yè)安全應(yīng)該是一個(gè)三維、四維的立體時(shí)空狀態(tài)，今天我們先不討論“四維時(shí)空企業(yè)安全理論”，這個(gè)我會(huì)單獨(dú)文章分享與探討。從三維角度，企業(yè)安全包括安全縱深維度、安全情景維度與安全策略維度。

如下圖所示：

企業(yè)安全三維圖

企業(yè)安全縱深維度包括:業(yè)務(wù)安全、應(yīng)用安全、數(shù)據(jù)安全、技術(shù)安全。

我們現(xiàn)在大部分的安全工作側(cè)重在技術(shù)安全與一部分?jǐn)?shù)據(jù)安全，對(duì)應(yīng)用安全與業(yè)務(wù)安全涉及較少，或者這部分工作由企業(yè)內(nèi)其他團(tuán)隊(duì)負(fù)責(zé)，可能出現(xiàn)縱深維度的脫節(jié)，當(dāng)然這方面的全棧型人才本來就極少，能把4個(gè)層次貫通起來的，同時(shí)視角又夠一定層次的就更少了。

不過具體4個(gè)層次的內(nèi)容，在這里就不解釋，大部分應(yīng)該都能理解，后續(xù)也會(huì)寫一些專題，討論各個(gè)層次的問題。

安全情景維度包括：

行業(yè)特性，每個(gè)行業(yè)自身的安全要求具有較大差異。

業(yè)務(wù)特性，由于業(yè)務(wù)特性的要求，每個(gè)企業(yè)即使行業(yè)類似，對(duì)安全的要求與重點(diǎn)領(lǐng)域同樣具有較大差異。

體系架構(gòu)，體系架構(gòu)的要求，對(duì)安全影響更加直接，如應(yīng)用云計(jì)算環(huán)境與傳統(tǒng)計(jì)算模式對(duì)安全要求的巨大差異。

合規(guī)要求，合規(guī)驅(qū)動(dòng)的安全，無論是監(jiān)管還是資本市場亦或是特殊行業(yè)要求，如銀監(jiān)會(huì)的指引、Sox與C-Sox、PCIDSS、ADSS等，數(shù)據(jù)保護(hù)、隱私管理等等。

這些內(nèi)容會(huì)貫穿整個(gè)企業(yè)安全縱深維度，也就是不僅僅考慮業(yè)務(wù)安全，應(yīng)用安全、數(shù)據(jù)安全與技術(shù)安全同樣面臨各個(gè)安全情景維度的引導(dǎo)與控制。

企業(yè)安全策略維度包括：

戰(zhàn)略規(guī)劃，企業(yè)的安全戰(zhàn)略與總體要求，指引整個(gè)企業(yè)的安全活動(dòng)

管理體系，管理要求

技術(shù)體系，技術(shù)要求

解決方案，落地的實(shí)務(wù)方案與執(zhí)行

這個(gè)維度的內(nèi)容，從企業(yè)的安全戰(zhàn)略出發(fā)，正式或者非正式的安全戰(zhàn)略指引企業(yè)安全的方向，成為企業(yè)安全與公司高層次策略與管理者的接口，通過管理體系與技術(shù) 體系的企業(yè)安全管控與建設(shè)要求，形成具體化的流程、活動(dòng)、行為準(zhǔn)則，承接戰(zhàn)略目標(biāo)的落地與具體解決方案的價(jià)值保障，最終所有內(nèi)容通過解決方案得到落地執(zhí)行。