网络安全里的“安全”包含两层重要含义 政企都做到了吗?
网络安全,已上升为我们的国家战略,堪称传统国家安全三大领域领土、政权、军事之后的又一重要领域。得益于从中央到地方的广泛重视,以及各相关企业网络安全意识的提升,中国网络安全从技术到应用都得到了快速的发展。
但是今天,我们既不谈我们所取得的成绩,也不谈某项技术或趋势,而是谈谈我们在探讨网络安全的时候,应该更全面的理解这个概念以及这个概念所对应的领域和策略。
事实上,完整的“网络安全”的定义应该包含2个层面。但是,受限于中文语境中“安全”这个词的字面解释,我们不得不用英文来加以区分。
在英文里,安全对应了两个单词,一个是Security,一个是Safety。有学术论文对网络安全中Security与Safety进行比较研究。大体上,Security可在网络安全领域中定义为保护网络免遭蓄意的攻击破坏,而Safety则可定义为防止网络出现意外事件。
在security情境下,“网络安全”是采取各种防范措施阻止恶意攻击,非法窃取信息用以牟利或者其他目的。像雅虎超15亿账号信息被盗、老牌信用机构Equifax被黑1.43亿用户信息泄露、黑客窃取1.2亿个Facebook用户私人信息等,皆属此类。
越来越网络化的今天,此类网络安全威胁愈发频繁了。反观各类政企,新时代下数字化转型的迫切需求和安全压力并行,使得寻求一套数字化与安全能力兼备的解决方案,成为了政企数字化转型之路的首要考虑因素。
以蓝信为例加以说明:蓝信是专注服务大型企业及政府机构的移动工作平台,亦是企业数字化转型的最佳实践平台,其保护免遭蓄意攻击破坏的安全能力(security)一直处于业内最为突出的位置。
蓝信率先通过了国家信息系统安全等保三级认证,并获得了ISO27001:2013国际信息安全管理体系认证。这是从评定和认证层面给予蓝信的直接肯定,但还远不止于此。在数据传输和存储上,蓝信采用先进的国密算法保障链路安全,并能对使用者的数据进行私有化部署,存储本身也使用国密算法;在防范的全面性上,蓝信共享了360集团在全球病毒查杀领域的数据库和分析引擎;此外,未雨绸缪,蓝信的每个版本都有360团队、第三方安全公司、专业的安全机构进行侵入测试,并出具评估报告,确保安全。
相对于上述这些保护以免遭蓄意攻击破坏(security)的安全举措,safety的网络安全更强调避免意外受损事件的发生。体现在具体的安全策略和措施上时,维护safety的工作会显得非常的“细枝末节”。然而,正是对这些“细枝末节”的斤斤计较,才使得最广义的网络安全成为可能。借蓝信平台举几例加以说明:
如2017年的真实案例:一个职员无意间看到了她本不该看到的公司股票交易信息,并随手发了个朋友圈,结果给该企业造成了一系列损失。这个案例说明,组织中的不同信息应该严格按照对应的权限,由相关人员操作和掌握。一旦超出范围,后果难料。
在蓝信上,一个组织的数据、信息、文件以及应用,都有着严格的权限区隔和管理。不仅限定组织内部的办公人员,还要包含外部合作者、个人临时外部成员等三种场景;另外,三种不同人员还可分别存在于三个独立的安全域内,数据、权限隔离,确保安全。
再比如,工作人员不小心遗失手机而带来的潜在风险,该如何防范?这类安全细节,蓝信同样有对应的设计。蓝信拥有远程擦除能力,拾得人即便破解手机密码打开手机,也什么信息都看不到。
值得推崇的safety层面的安全举措还有很多,限于篇幅,不一一列举了。此外,人的因素也非常重要,但不在本篇讨论范围,也不详述。
在百度百科上,网络安全被定义为:网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。该定义显然已经提及恶意和偶然的因素,所以,即使中文的词汇里不能将“网络安全”的含义全部涵盖,但在执行是,各个政企一定要考虑周全,防微杜渐。