这几年国内网络安全概念很热，国家层面在谈，政府在谈，各种公司在谈，各行各业的从业人员也在谈，仿佛网络安全一下子从圈子内专业人员的小众化专业词汇，变成众人热捧的时尚名词，从业人员无论是薪水还是专业地位得到了前所未有的提高与重视。无论从业务保障视角还是专业价值体现甚至到国家安全层次，网络安全 理应上升到一定的高度，得到肯定和重视。

说了这么多网络安全，那么网络安全是什么呢?先从这个词语本身来看，大概在90年代末期国内出现了与计算机安全有关的内容与要求，成为网络安全，如果对应成英文会更容易理解Network Security，没错，就是网络安全，以网络为核心的安全。当时的环境，信息化较早的公司开始建设企业网络，国家也在开始部署X金工程，金卡、金关、金盾等等，核心内容就是两个业务系统信息化与跨地域网络联通，这种大环境下，安全的重点就不难理解为网络层面的安全，保护网络的边界，确保联网后不出现重大安全事件。过了几年，大概到2005、2006年，开始采用信息安全这个词语，对应的英文变为Information Security，更加重视保护信息，也就是内容与数据，这时的信息安全所指的安全涵盖范围更广泛，内容更多样，包括了传统的网络安全内容，也包括了信息、数据等安全内容。近几年安全的专业词语又发生了变化，成为网络安全，但这个网络安全不同于最初的网络安全，从英文上看，已经演化为Cyber Security，可以理解为网络空间的安全，这个范围就更大更广泛了，甚至不仅仅是商业视角的范畴了，具体几个词语的意义与演化可以在网上找找，有很清晰的解释。

不管称为网络安全也好，信息安全也好，词语在更新，内容在演化，涵盖的领域也在不断完善与丰富，这就要求我们从业人员深刻领会与理解，并运用到实际专业工作中。不过从实践角度来看，笔者从1998年开始专业从事网络安全工作到现在也有17年的时间，国内无论是甲方安全管理还是乙方的安全服务与咨询，大部分的重点还是放在了传统IT安全的领域，比较侧重在技术与基础安全，这些方面不是不重要，只是可能忽略与遗漏企业安全中其他领域，从而降低IT安全本身的价 值。从一个公司商业利益的角度，所有的投资最终要转化为对商业利益有所贡献的活动，这也是公司所有者、经营者、高级管理层更加重视与更容易理解的内容。在 IT安全活动与商业利益活动中，往往缺乏了一些直接的关联关系或者中间层次的递进，出现企业中高层非常重视安全但又很难理解安全价值的情况。

笔者结合自己的专业经验与遇到的各种企业安全情况，总结了一些内容，供大家参考，如能对各位工作有所帮助，也算是一点小贡献吧。

首先，企业安全不是一个二维平面的状态，简单说，企业安全不是一般物理上看到的地域、区域、部门、分支机构连接的平面图，在二维平面上往往更加关注在网络 安全、边界安全、访问控制等安全设备的堆叠与各种解决方案的部署，而企业安全应该是一个三维、四维的立体时空状态，今天我们先不讨论“四维时空企业安全理论”，这个我会单独文章分享与探讨。从三维角度，企业安全包括安全纵深维度、安全情景维度与安全策略维度。

如下图所示：

企业安全三维图

企业安全纵深维度包括:业务安全、应用安全、数据安全、技术安全。

我们现在大部分的安全工作侧重在技术安全与一部分数据安全，对应用安全与业务安全涉及较少，或者这部分工作由企业内其他团队负责，可能出现纵深维度的脱节，当然这方面的全栈型人才本来就极少，能把4个层次贯通起来的，同时视角又够一定层次的就更少了。

不过具体4个层次的内容，在这里就不解释，大部分应该都能理解，后续也会写一些专题，讨论各个层次的问题。

安全情景维度包括：

行业特性，每个行业自身的安全要求具有较大差异。

业务特性，由于业务特性的要求，每个企业即使行业类似，对安全的要求与重点领域同样具有较大差异。

体系架构，体系架构的要求，对安全影响更加直接，如应用云计算环境与传统计算模式对安全要求的巨大差异。

合规要求，合规驱动的安全，无论是监管还是资本市场亦或是特殊行业要求，如银监会的指引、Sox与C-Sox、PCIDSS、ADSS等，数据保护、隐私管理等等。

这些内容会贯穿整个企业安全纵深维度，也就是不仅仅考虑业务安全，应用安全、数据安全与技术安全同样面临各个安全情景维度的引导与控制。

企业安全策略维度包括：

战略规划，企业的安全战略与总体要求，指引整个企业的安全活动

管理体系，管理要求

技术体系，技术要求

解决方案，落地的实务方案与执行

这个维度的内容，从企业的安全战略出发，正式或者非正式的安全战略指引企业安全的方向，成为企业安全与公司高层次策略与管理者的接口，通过管理体系与技术 体系的企业安全管控与建设要求，形成具体化的流程、活动、行为准则，承接战略目标的落地与具体解决方案的价值保障，最终所有内容通过解决方案得到落地执行。

作者：rapido

来源：51CTO