Bảo mật là một nguyên tắc, một tập hợp các kỹ năng và phương pháp được thiết kế và học hỏi để xác định các mối đe dọa và giảm thiểu tác động của chúng đối với tài sản. An ninh mạng là về các hệ thống kỹ thuật và mạng cung cấp năng lượng cho thế giới hiện đại của chúng ta, trong khi bảo mật thông tin là về khái niệm thông tin trừu tượng hơn, bất kể nó ở đâu.
Nếu bạn có bất kỳ liên quan nào đến bảo mật, bạn sẽ bắt gặp những người sử dụng bảo mật mạng và bảo mật thông tinhoán đổi cho nhauvà những người khác tranh luận (to tiếng và sôi nổi) rằng chúng hoàn toàn khác biệt. Theo phong cách điển hình, tôi sẽ cân nhắc thực tế là cả hai đều sai.
Do chúng ta đang xử lý các lĩnh vực rất quan trọng, vì mọi người gặp rủi ro do hiểu sai về bảo mật, sự khác biệt là gì?
Có rất nhiều quan điểm khác nhau ở đây, vì vậy nếu tôi chà đạp lên quan điểm yêu thích của bạn thì hãy nhớ rằng đó không phải là vấn đề cá nhân. Tôi sẽ nghiêng về các định nghĩa học thuật, rõ ràng hơn là tiếp thị vì những điều này thực sự quan trọng.
Lĩnh vực và lĩnh vực
Điều đầu tiên chúng ta cần đề cập là sự khác biệt giữa một ngành học và một lĩnh vực. Điều này có thể trở nên phức tạp, vì vậy tôi sẽ cắt bỏ tất cả các chi tiết không cần thiết. Các định nghĩa khác nhau tồn tại, nhưng đây là những định nghĩa hữu ích nhất cho những gì chúng ta đang nói đến.
Kỷ luật: một cách tiếp cận, một tập hợp kiến thức và kỹ năng có thể được áp dụng cho các môi trường khác nhau để hiểu và tương tác. Ví dụ về một môn học có thể là sinh học, vật lý hoặc y học.
Tên miền : một môi trường hoặc khu vực, theo định nghĩa quân sự, đây là những nhà hát hoạt động riêng biệt. Một ví dụ về lĩnh vực mang tính hàn lâm hơn có thể là đại dương, trong khi lĩnh vực quân sự và không gian mạng là hai trong số các lĩnh vực thường được công nhận.
Bản thân bảo mật là một kỷ luật, một tập hợp các kỹ năng và phương pháp tiếp cận được thiết kế và học hỏi để xác định các mối đe dọa và giảm thiểu tác động của chúng đối với tài sản. Cuối cùng, bất kể chúng ta đang nói đến loại bảo mật nào, các mối đe dọa luôn là con người và tài sản sẽ là nhiều người hơn. Có thể có một số công cụ và công nghệ can thiệp, nhưng bảo mật là về con người. Nếu chúng tôi lo lắng về các mối đe dọa môi trường, thay vào đó chúng tôi sẽ gọi đó là sự an toàn.
Nếu chúng ta coi bảo mật là một nguyên tắc, điều đó có nghĩa là an ninh mạng là nguyên tắc được áp dụng cho miền mạng. Bảo mật thông tin là nguyên tắc tương tự được áp dụng cho lĩnh vực thông tin. Nếu chúng ta muốn có một phép ẩn dụ tiện dụng, thì chúng ta có thể so sánh kỷ luật, kiến thức và kỹ năng bảo mật với bộ công cụ tiêu chuẩn. Nếu chúng ta gắn bó với phép ẩn dụ (và kéo dài nó đến điểm đột phá) thì miền có thể là sự khác biệt giữa việc tiếp cận một công việc điện hoặc hệ thống ống nước.
Rõ ràng là có sự khác biệt giữa việc trở thành thợ sửa ống nước hoặc thợ điện, nhưng cả hai loại nhiệm vụ này đều có thể được thực hiện bởi một người nghiệp dư lành nghề (tất nhiên là không có gì đảm bảo về sự an toàn hoặc thành công). Và các công cụ cho cả hai có sự trùng lặp 90%, chỉ có một số công cụ chuyên dụng tạo nên sự khác biệt.
Miền thông tin là gì?
Miền thông tin là lớn.
Thực sự lớn.
Và cũ.
Nói một cách chính xác, những ví dụ sớm nhất được biết đến về bảo mật thông tin đã có từ hơn bốn nghìn năm trước, từ những hợp đồng của người Sumer được viết và sau đó được đựng trong một phong bì bằng đất sét (với một bản sao khác của hợp đồng được viết trên đó) để duy trì tính toàn vẹn của thông tin.
Vài trăm năm sau, chúng ta có chương 12 của Sách Thẩm phán kể về lần đầu tiên (được biết đến) sử dụng mật khẩu để xác định danh tính con người, trong một câu chuyện mà ngày nay chúng ta vẫn còn dùng thuật ngữ shibboleth.
Một ví dụ khác, chỉ vài thế kỷ trước, là các thư viện bị xiềng xích thời Trung cổ được thiết kế không phải để bảo vệ tính bảo mật, như bạn có thể mong đợi, mà là tính sẵn có - sách là mục tiêu hấp dẫn của kẻ trộm, vì vậy việc đảm bảo chúng có sẵn trong thư viện liên quan đến xiềng xích nặng nề .
Ngày nay với sự thịnh hành của công nghệ, bảo mật thông tin thường bị nhầm lẫn với khía cạnh công nghệ, nhưng điều quan trọng là phải nhận ra rằng nếu chúng ta xem xét bảo mật thông tin một cách đúng đắn thì nó áp dụng cho tất cả thông tin, không chỉ những gì chúng ta lưu trữ trên máy tính ở đâu đó.
Lăng kính tiêu chuẩn mà mọi người nhìn vào bảo mật thông tin là bộ ba CIA - và mặc dù nó chắc chắn có những sai sót nhưng nó đã được công nhận rộng rãi và có uy tín nên tôi sẽ gắn bó với nó. CIA trong trường hợp này tiêu chuẩn cho ba thuộc tính mà bảo mật thông tin được thiết kế để bảo vệ:
Bảo mật: thông tin chỉ nên có sẵn cho những người được phép truy cập nó
Tính toàn vẹn: thông tin không được giả mạo bởi các bên trái phép
Sẵn có: thông tin nên có sẵn khi được yêu cầu
Các mô hình khác tồn tại, nhưng bất kỳ ai đã làm bất kỳ công việc nào trong lĩnh vực bảo mật thông tin đều sẽ thuộc lòng bộ ba CIA - nó thực tế đã khắc sâu vào não chúng ta bằng cách lặp đi lặp lại vào thời điểm này.
Tên miền điện tử là gì?
Vì vậy, chúng tôi đã có thông tin, còn khía cạnh mạng của mọi thứ thì sao?
Định nghĩa học thuật hay, rõ ràng nói về 'một miền xử lý thông tin điện tử bao gồm một hoặc một số cơ sở hạ tầng công nghệ thông tin'. Chìa khóa ở đây là phần công nghệ, vì vậy lĩnh vực mạng nói về công nghệ (và chúng ta sẽ giả sử công nghệ dựa trên điện tử, thay vì các viên đất sét của người Sumer) xử lý thông tin.
Nói chung, điều đó có nghĩa là an ninh mạng là một tập hợp con của bảo mật thông tin, nhưng nó hơi mờ nhạt ở vùng ngoại vi vì công nghệ tương tự cũng có thể hoạt động - cho dù đó là về mặt công nghiệp hay thậm chí là những thứ như kiểm soát truy cập. Nói một cách đơn giản, chúng ta có thể nói rằng miền mạng là về công nghệ có thể được kết nối với công nghệ khác liên kết với miền thông tin.
Vấn đề là chúng ta cần một thứ gì đó hơn là bộ ba CIA như một lăng kính để nhìn thế giới này. Tính bảo mật, tính toàn vẹn và tính khả dụng còn xa hơn một chút so với mức chúng ta cần nếu chúng ta đang nói ở cấp độ công nghệ. Khi chúng ta bước vào lĩnh vực công nghệ, chúng ta phải xử lý các ý tưởng chi tiết hơn, cụ thể hơn so với khi chúng ta xử lý lĩnh vực thông tin.
Cho đến nay vẫn chưa thực sự có một ống kính phù hợp nào được phát triển. Có một lập luận cho , bổ sung các yếu tố Sở hữu/Kiểm soát, Khả năng sử dụng và Tính xác thực vào bộ ba, nhưng chúng vẫn được kết hợp chặt chẽ với cấp độ khái niệm thông tin. Thay vào đó, an ninh mạng đồng thời là một triển khai cụ thể hơn của nguyên tắc bảo mật trong miền và khó xác định hơn do số lượng lớn các bộ phận chuyển động và mức độ phức tạp liên quan.
Cuối cùng, bạn có thể sử dụng các thuật ngữ thay thế cho nhau, bởi vì hầu hết mọi người đều làm như vậy. Tuy nhiên, nếu bạn muốn đi sâu vào lý thuyết thì điều quan trọng là phải nhận ra rằng có sự chồng chéo đáng kể giữa an ninh mạng và bảo mật thông tin, nhưng chúng không giống nhau.
Thay vào đó, an ninh mạng chủ yếu dựa vào việc triển khai kỹ thuật bảo mật thông tin trong các hệ thống công nghệ, trong khi bảo mật thông tin là một triển khai mang tính khái niệm hơn.
Sự khác biệt giữa an ninh mạng và an ninh thông tin có quan trọng không?
Nhiều người sẽ nói rằng sự khác biệt là không liên quan và họ không hoàn toàn sai. Mặc dù vậy, bạn nên nhận thức và thừa nhận vì bảo mật thực sự quan trọng. Tùy thuộc vào lĩnh vực cụ thể mà bạn đang làm việc, sẽ không ngoa khi gọi đó là vấn đề sinh tử.
Nếu bạn chỉ đang làm việc trong lĩnh vực an ninh mạng, bảo mật thông tin thuần túy hoặc thậm chí là một miền khác như bảo mật vật lý thì bạn cũng có thể làm điều đó - nhưng nhận thức được sự tồn tại của các miền khác và cách chúng giao tiếp với miền của bạn là điều tối quan trọng cần làm điều thực sự quan trọng trong bảo mật - bảo vệ tài sản (con người) khỏi các mối đe dọa (cả con người, đôi khi là cùng một thứ).
Làm chủ lĩnh vực của bạn và nhận ra nơi bạn có những khoảng trống đòi hỏi phải làm chủ các lĩnh vực khác. Phần không gian mạng sẽ trở nên phức tạp hơn và tương tác với nhiều miền hơn khi chúng ta chuyển sang phầnTương lai .