企业网络安全之安全维度_机房360

摘要：这几年国内网络安全概念很热，国家层面在谈，政府在谈，各种公司在谈，各行各业的从业人员也在谈，仿佛网络安全一下子从圈子内专业人员的小众化专业词汇，变成众人热捧的时尚名词，从业人员无论是薪水还是专业地位得到了前所未有的提高与重视。

　　这几年国内网络安全概念很热，国家层面在谈，政府在谈，各种公司在谈，各行各业的从业人员也在谈，仿佛网络安全一下子从圈子内专业人员的小众化专业词汇，变成众人热捧的时尚名词，从业人员无论是薪水还是专业地位得到了前所未有的提高与重视。无论从业务保障视角还是专业价值体现甚至到国家安全层次，网络安全理应上升到一定的高度，得到肯定和重视。

　　说了这么多网络安全，那么网络安全是什么呢?先从这个词语本身来看，大概在90年代末期国内出现了与计算机安全有关的内容与要求，成为网络安全，如果对应成英文会更容易理解Network Security，没错，就是网络安全，以网络为核心的安全。当时的环境，信息化较早的公司开始建设企业网络，国家也在开始部署X金工程，金卡、金关、金盾等等，核心内容就是两个业务系统信息化与跨地域网络联通，这种大环境下，安全的重点就不难理解为网络层面的安全，保护网络的边界，确保联网后不出现重大安全事件。过了几年，大概到2005、2006年，开始采用信息安全这个词语，对应的英文变为Information Security，更加重视保护信息，也就是内容与数据，这时的信息安全所指的安全涵盖范围更广泛，内容更多样，包括了传统的网络安全内容，也包括了信息、数据等安全内容。近几年安全的专业词语又发生了变化，成为网络安全，但这个网络安全不同于最初的网络安全，从英文上看，已经演化为Cyber Security，可以理解为网络空间的安全，这个范围就更大更广泛了，甚至不仅仅是商业视角的范畴了，具体几个词语的意义与演化可以在网上找找，有很清晰的解释。

　　不管称为网络安全也好，信息安全也好，词语在更新，内容在演化，涵盖的领域也在不断完善与丰富，这就要求我们从业人员深刻领会与理解，并运用到实际专业工作中。不过从实践角度来看，笔者从1998年开始专业从事网络安全工作到现在也有17年的时间，国内无论是甲方安全管理还是乙方的安全服务与咨询，大部分的重点还是放在了传统IT安全的领域，比较侧重在技术与基础安全，这些方面不是不重要，只是可能忽略与遗漏企业安全中其他领域，从而降低IT安全本身的价值。从一个公司商业利益的角度，所有的投资最终要转化为对商业利益有所贡献的活动，这也是公司所有者、经营者、高级管理层更加重视与更容易理解的内容。在 IT安全活动与商业利益活动中，往往缺乏了一些直接的关联关系或者中间层次的递进，出现企业中高层非常重视安全但又很难理解安全价值的情况。

　　笔者结合自己的专业经验与遇到的各种企业安全情况，总结了一些内容，供大家参考，如能对各位工作有所帮助，也算是一点小贡献吧。

　　首先，企业安全不是一个二维平面的状态，简单说，企业安全不是一般物理上看到的地域、区域、部门、分支机构连接的平面图，在二维平面上往往更加关注在网络安全、边界安全、访问控制等安全设备的堆叠与各种解决方案的部署，而企业安全应该是一个三维、四维的立体时空状态，今天我们先不讨论“四维时空企业安全理论”，这个我会单独文章分享与探讨。从三维角度，企业安全包括安全纵深维度、安全情景维度与安全策略维度。

　　如下图所示：