到底网络空间安全、网络安全、信息安全之间有啥区别？_信息安全与网络空间安全

01 什么是网络空间(Cyberspace)?

最早出现这个名词，是美国科幻小说家威廉.吉布森(William Gibson)在其短篇科幻小说《Burning Chrome》（燃烧的铬）创造了Cyberspace网络空间一词。没错，著名互联网公司谷歌的浏览器Chrome的名字—铬，世界上最硬的纯金属。

这本小说首次提到的“Matrix”名词，后来衍生出了著名电影《黑客帝国》（英文原名为The Matrix）。全世界的人开始关注黑客这个名词，也是从这部电影开始的。

严谨定义：网络空间是信息环境中一个整体域，它由独立且相互依存的信息基础设施和网络组成。包括了互联网、电信网、计算机系统、嵌入式处理器和控制器系统。这是来自2008年美国第54号总统令对Cyberspace定义。

专业解析：专业上通常把遵循ISO/OSI 7层协议框架（有时用TCP/IP协议框架）的设备统称为IT(Information Technology)设备或系统，例如路由器、服务器、PC，各类应用软件等。如果把整个范围扩大到所有可以连接到网络上的非IT设备系统：包括工业设备系统（Operation Technology，简称OT设备）如核电站；物联网设备系统（Internet of Things，简称IoT设备）如蓝牙音箱、自动驾驶汽车。这就是网络空间的范围。特点是：海量+万物。

图片

（网络空间架构对比图）

说人话：那就是包括了全世界所有一切能够相互连接在一起的电子设备和系统就是网络空间，俗称万物互联。

打比方：古代各个国之间因路途遥远，语言不通，交通困难极少来往，只能国内自己玩。例如IT国的人一般不和OT国的人玩。经过人类N年努力后终于海陆空路路通了。于是各国频繁来往通商，取名世界。网络空间也是同样道理，设备之间只在同类范围内通信。突然之间发现世界上所有设备都可以通过互联网相互连接了，就形成了网络空间。虚拟世界这个名词不够酷，遂取名网络空间(Cyberspace)。

02 什么是网络空间安全(Cybersecurity)？

有了网络空间的出现，就有网络空间安全问题产生。

严谨定义：CSEC2017 JTF 定义的网络空间安全为：基于计算的学科，涉及技术，人员，信息和流程，可确保在对手的上下文中进行有保证的操作。它涉及安全计算机系统的创建，操作，分析和测试。这是一门跨学科的学习课程，包括法律，政策，人为因素，道德和风险管理等方面。

专业解析：国际上习惯用机密性，完整性和可用性这三个属性（简称CIA）称为安全性的三个要素。凡是在网络空间中，涉及到CIA三个要素之一的内容，都纳入网络空间安全范畴。包括：防止信息被泄密、防止未授权的访问与篡改、防止系统不可用。

说人话：防止放在网络上所有有价值的东西被偷、被改、被封等等事情就是网络空间安全。特点是：海量+安全。

打比方：俗话说，值钱的东西贼才会惦记着。哪些东西是贼惦记的？怎样才能防贼？自己想办法琢磨明白，这是个人安全。这事儿一群人琢磨，就是企业安全。一个国家的人琢磨，就是国家安全。整个人类都在琢磨了，就是世界安全。放在网络空间，是一样道理的。

03 什么是网络安全(Network Security)？

网络安全实际上严格意义来说应该是通信网络安全。Network就是指IT设备之间的通信网络（Communication Network）。自从人们接触互联网后，最早关注安全问题，就是从黑客攻击通信网络开始的。所以这个名词出现的比较早，被广泛接受。是最容易混淆的网络空间安全与网络安全概念的地方。

严谨定义：来自维基百科的定义：为防止，检测和监视计算机网络和网络可访问资源的未经授权的访问、滥用、修改或拒绝而采取的策略、过程和做法组成。包含网络设备安全、网络信息安全、网络软件安全。

专业解析：网络安全通常是指遵循ISO 7层协议框架（或TCP/IP）的IT设备之间如何保障机密性、完整性和可用性的问题。如：系统被攻击，设备通信时被黑客嗅探获取密码。特点：IT设备。

说人话：网络安全是指服务器、路由器、交换器等等这些大家常用的IT设备怎么防止被破坏的。

打比方：这个世界太大了，先把范围缩小。我们中国人之间沟通用中文。但是我们不想让外国人知道我们在讲什么内容。怎样才能不让外国人偷听、听懂我们讲什么内容，这就是网络安全。

04 什么是信息安全(Information Security)？

如果我们不仅要考虑设备系统自身存在的安全风险问题，还考虑人为因素。那么就引入了信息安全概念。这个名词一般用在企业内比较多。

严谨定义：ISO27001定义：保护组织有价值的信息资产机密性、完整性和可用性，而建立的组织、策略与流程。

专业解析：企业内部有价值的信息资产包括硬件、软件、服务、人员、数据、无形资产等。如何保护这些资产的机密性、完整性和可用性。例如：防止公司重要数据库服务器被破坏。可能是外部黑客，也可能是内部人员破坏。

说人话：企业又要防外部黑客攻击设备系统，还要防内部人员监守自盗，管人又管物，不容易。只说网络安全（Network Security）呢，又担心内部人员暗暗窃喜。干脆来个新名词：信息安全。

打比方：内外兼修。

05 什么是数据安全(Data Security)？

以前人们只把锅碗瓢盘之类看到的事物作为有价值的资产。数据作为一种有价值的资产时候，数据安全定义出现了。

严谨定义：维基百科：保护数字数据免受破坏力和未经授权用户的有害行为的侵害，例如网络攻击或数据泄露。

专业解析：结构化数据、半结构化数据及非结构化数据在其整个生命周期中的机密性、完整性和可用性的保护。

说人话：数据库里面的客户信息、硬盘上的PPT文档、手机上微信聊天记录等等如何做好备份、防止被拷贝等等。

打比方：以前穷时候，挂在阳台晒干的腊肉都是经常被贼惦记着的。现在到处都是摄像头，贼不好下手偷腊肉了。但突然发现身份证号有人收购，这数据值钱了。被贼惦记着了，这就是个人隐私数据安全了。如果是不仅自己的身份证号被贼惦记着，还有一大群人的身份证号也被贼惦记着，就是数据安全了。

为了给各位更方便的理解，这些概念的关系如图所示：

网络空间安全概念图

06 总结

为什么要掌握网络空间安全？因为我们伟大人类找到了了科幻片里面的平行世界：真实世界+虚拟世界，而我们要确保这个平行世界的安全。

根据以上网络安全技能表不难看出，网络安全需要接触的技术还远远很多，常见的技能需要学习：外围打点能力、钓鱼远控能力、域渗透能力、流量分析能力、漏洞挖掘能力、代码审计能力等。

【—-帮助网安学习，以下所有学习资料免费领！】

① 网安学习成长路径思维导图

② 60+网安经典常用工具包

③ 100+SRC漏洞分析报告

④ 150+网安攻防实战技术电子书

⑤ 最权威CISSP 认证考试指南+题库

⑥ 超1800页CTF实战技巧手册

⑦ 最新网安大厂面试题合集（含答案）

⑧ APP客户端安全检测指南（安卓+IOS）

03网络安全的知识多而杂，怎么科学合理安排？

一、基础阶段

★中华人民共和国网络安全法 （包含18个知识点）

★Linux操作系统 （包含16个知识点）

★计算机网络 （包含12个知识点）

★SHELL （包含14个知识点）

★HTML/CSS （包含44个知识点）

★JavaScript （包含41个知识点）

★PHP入门 （包含12个知识点）

★MySQL数据库 （包含30个知识点）

★Python （包含18个知识点）

————————————————

入门的第一步是系统化的学习计算机基础知识，也就是学习以下这几个基础知识模块:操作系统、协议/网络、数据库、开发语言、常用漏洞原理。前面的基础知识学完之后，就要进行实操了。

因为互联网与信息化的普及网站系统对外的业务比较多,而且程序员的水平参差不齐和运维人员的配置事物，所以需要掌握的内容比较多。

二、渗透阶段

■SQL注入的渗透与防御（包含36个知识点）

■XSS相关渗透与防御（包含12个知识点）

■上传验证渗透与防御（包含16个知识点）

■|文件包含渗透与防御（包含12个知识点）

■CSRF渗透与防御（包含7个知识点）

■SSRF渗透与防御（包含6个知识点）

■XXE渗透与防御（包含5个知识点）

■远程代码执行渗透与防御（包含7个知识点）

■…（包含…个知识点）

————————————————

掌握常见漏洞的原理、使用、防御等知识。Web渗透阶段还是需要掌握一些必要的工具。

主要要掌握的工具和平台：burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、medusa、airspoof等，以上工具的练习完全可以利用上面的开源靶场去练习，足够了；

三、安全管理（提升）

★渗透报告编写（包含21个知识点）

★等级保护2.0（包含50个知识点）

★应急响应（包含5个知识点）

★代码审计（包含8个知识点）

★风险评估（包含11个知识点）

★安全巡检（包含12个知识点）

★数据安全（包含25个知识点）

————————————————

主要包括渗透报告编写、网络安全等级保护的定级、应急响应、代码审计、风险评估、安全巡检、数据安全、法律法规汇编等。

这一阶段主要针对已经从事网络安全相关工作需要提升进阶成管理层的岗位。如果你只学习参加工程师方面的岗位，这一阶段可学可不学。

四、提升阶段（提升）

■密码学（包含34个知识点）

■JavaSE入门（包含92个知识点）

■C语言（包含140个知识点）

■C++语言（包含181个知识点）

■Windows逆向（包含46个知识点）

■CTF夺旗赛（包含36个知识点）

■Android逆向（包含40个知识点）

————————————————

主要包括密码学、JavaSE、C语言、C++、Windows逆向、CTF夺旗赛、Android逆向等。

主要针对已经从事网络安全相关工作需要提升进阶安全架构需要提升的知识。

【—-帮助网安学习，以下所有学习资料免费领！】

① 网安学习成长路径思维导图

② 60+网安经典常用工具包

③ 100+SRC漏洞分析报告

④ 150+网安攻防实战技术电子书

⑤ 最权威CISSP 认证考试指南+题库

⑥ 超1800页CTF实战技巧手册

⑦ 最新网安大厂面试题合集（含答案）

⑧ APP客户端安全检测指南（安卓+IOS）

结语

给小伙伴们的意见是想清楚，自学网络安全没有捷径，相比而言系统的网络安全是最节省成本的方式，因为能够帮你节省大量的时间和精力成本。给自学的小伙伴们的意见是坚持住，既然已经走到这条路上，虽然前途看似困难重重，只要咬牙坚持，最终会收到你想要的效果