這幾年國內網絡安全概念很熱，國家層面在談，政府在談，各種公司在談，各行各業的從業人員也在談，仿佛網絡安全一下子從圈子內專業人員的小眾化專業詞匯，變成眾人熱捧的時尚名詞，從業人員無論是薪水還是專業地位得到了前所未有的提高與重視。無論從業務保障視角還是專業價值體現甚至到國家安全層次，網絡安全 理應上升到一定的高度，得到肯定和重視。

說了這么多網絡安全，那么網絡安全是什么呢?先從這個詞語本身來看，大概在90年代末期國內出現了與計算機安全有關的內容與要求，成為網絡安全，如果對應成英文會更容易理解Network Security，沒錯，就是網絡安全，以網絡為核心的安全。當時的環境，信息化較早的公司開始建設企業網絡，國家也在開始部署X金工程，金卡、金關、金盾等等，核心內容就是兩個業務系統信息化與跨地域網絡聯通，這種大環境下，安全的重點就不難理解為網絡層面的安全，保護網絡的邊界，確保聯網后不出現重大安全事件。過了幾年，大概到2005、2006年，開始采用信息安全這個詞語，對應的英文變為Information Security，更加重視保護信息，也就是內容與數據，這時的信息安全所指的安全涵蓋范圍更廣泛，內容更多樣，包括了傳統的網絡安全內容，也包括了信息、數據等安全內容。近幾年安全的專業詞語又發生了變化，成為網絡安全，但這個網絡安全不同于最初的網絡安全，從英文上看，已經演化為Cyber Security，可以理解為網絡空間的安全，這個范圍就更大更廣泛了，甚至不僅僅是商業視角的范疇了，具體幾個詞語的意義與演化可以在網上找找，有很清晰的解釋。

不管稱為網絡安全也好，信息安全也好，詞語在更新，內容在演化，涵蓋的領域也在不斷完善與豐富，這就要求我們從業人員深刻領會與理解，并運用到實際專業工作中。不過從實踐角度來看，筆者從1998年開始專業從事網絡安全工作到現在也有17年的時間，國內無論是甲方安全管理還是乙方的安全服務與咨詢，大部分的重點還是放在了傳統IT安全的領域，比較側重在技術與基礎安全，這些方面不是不重要，只是可能忽略與遺漏企業安全中其他領域，從而降低IT安全本身的價 值。從一個公司商業利益的角度，所有的投資最終要轉化為對商業利益有所貢獻的活動，這也是公司所有者、經營者、高級管理層更加重視與更容易理解的內容。在 IT安全活動與商業利益活動中，往往缺乏了一些直接的關聯關系或者中間層次的遞進，出現企業中高層非常重視安全但又很難理解安全價值的情況。

筆者結合自己的專業經驗與遇到的各種企業安全情況，總結了一些內容，供大家參考，如能對各位工作有所幫助，也算是一點小貢獻吧。

首先，企業安全不是一個二維平面的狀態，簡單說，企業安全不是一般物理上看到的地域、區域、部門、分支機構連接的平面圖，在二維平面上往往更加關注在網絡 安全、邊界安全、訪問控制等安全設備的堆疊與各種解決方案的部署，而企業安全應該是一個三維、四維的立體時空狀態，今天我們先不討論“四維時空企業安全理論”，這個我會單獨文章分享與探討。從三維角度，企業安全包括安全縱深維度、安全情景維度與安全策略維度。

如下圖所示：

企業安全三維圖

企業安全縱深維度包括:業務安全、應用安全、數據安全、技術安全。

我們現在大部分的安全工作側重在技術安全與一部分數據安全，對應用安全與業務安全涉及較少，或者這部分工作由企業內其他團隊負責，可能出現縱深維度的脫節，當然這方面的全棧型人才本來就極少，能把4個層次貫通起來的，同時視角又夠一定層次的就更少了。

不過具體4個層次的內容，在這里就不解釋，大部分應該都能理解，后續也會寫一些專題，討論各個層次的問題。

安全情景維度包括：

行業特性，每個行業自身的安全要求具有較大差異。

業務特性，由于業務特性的要求，每個企業即使行業類似，對安全的要求與重點領域同樣具有較大差異。

體系架構，體系架構的要求，對安全影響更加直接，如應用云計算環境與傳統計算模式對安全要求的巨大差異。

合規要求，合規驅動的安全，無論是監管還是資本市場亦或是特殊行業要求，如銀監會的指引、Sox與C-Sox、PCIDSS、ADSS等，數據保護、隱私管理等等。

這些內容會貫穿整個企業安全縱深維度，也就是不僅僅考慮業務安全，應用安全、數據安全與技術安全同樣面臨各個安全情景維度的引導與控制。

企業安全策略維度包括：

戰略規劃，企業的安全戰略與總體要求，指引整個企業的安全活動

管理體系，管理要求

技術體系，技術要求

解決方案，落地的實務方案與執行

這個維度的內容，從企業的安全戰略出發，正式或者非正式的安全戰略指引企業安全的方向，成為企業安全與公司高層次策略與管理者的接口，通過管理體系與技術 體系的企業安全管控與建設要求，形成具體化的流程、活動、行為準則，承接戰略目標的落地與具體解決方案的價值保障，最終所有內容通過解決方案得到落地執行。