商务咨询

13020133833

技术支持

18621663782

您的反馈是我们前行的动力

如何区分信息安全与 IT 安全?

文章发表于2025-11-26 09:26:13,归属【信息安全】分类,已有7人阅读

信息安全

每年这个时候,各类关于技术行业现状的文章与调研都会纷纷涌现。不出所料,网络安全(尤其是数据安全)始终是重点话题。2025 年,网络威胁丝毫没有减弱的迹象,此时我们也应当深入探讨,在抵御威胁的过程中,IT 安全与信息安全各自应扮演怎样的角色。

 

网络安全回顾

据调查,2025 年的网络安全威胁较 2024 年有所增加,用于应对威胁的 IT 解决方案支出也在同步上升,而遭遇数据泄露的企业所面临的经济处罚同样愈发严厉。

遗憾的是,引发的大部分评论都聚焦于同一话题 —— 强化对外防护。诚然,绝大多数网络安全威胁确实来自外部,但仍有相当比例的威胁源于内部。对外部威胁的过度关注,会导致 IT 安全与信息安全可能产生冲突 —— 尤其是当内部用户希望按照自己偏好的时间、地点和方式自由协作时,这种冲突更加明显。

 

内部威胁在风险等级中处于何种位置?

意外操作失误与恶意内部人员共同导致了约 50% 的数据泄露事件。对于关注《通用数据保护条例》(GDPR)合规性的组织而言,前者(意外操作失误)尤其需要警惕,因为在该条例框架下,因敏感数据处理不当引发的泄露事件将面临严格审查。例如,Nordstrom 之前就发生了一起内部人员相关事件:一名承包商因操作失误泄露了敏感员工数据,所幸未涉及大量客户数据。

即便深入分析由外部人员引发的泄露事件,我们也会发现内部人员往往在其中扮演关键角色。外部攻击者的典型策略是登录后后逐步扩张,以寻找基础设施中的薄弱环节。在大量案例中,攻击者都成功找到了 “突破口”—— 能够让他们访问敏感数据的用户或系统凭据。因此,抵御外部攻击者的核心策略之一,就是同时针对内部和外部威胁建立完善的防护机制。

值得欣慰的是,IDG 报告指出,用于更快发现数据泄露的工具的 IT 支出正在增加。这类工具具备基于文件数量或访问时间检测异常用户下载文件行为的能力,无疑有助于发现(甚至阻止)操作失误、恶意行为,或外部人员冒充合法用户的情况。

 

信息安全与 IT 安全的区别

尽管看到企业开始意识到需要投入资源应对内部威胁,我们仍需关注一个问题:这些资金可能未用在正确的地方,或缺乏恰当的指导。这一问题的根源,就在于人们混淆了信息安全与 IT 安全的概念。

从表面上看,两者的优先级似乎高度一致,以至于 IT 部门常常承担起信息安全的职责。但在当下强调协作的环境中,这两个职能间的细微差异可能导致严重的目标冲突,并使敏感数据面临风险。当 IT 部门负责信息安全时,其关注重点往往偏向 IT 部门自身的视角,而非信息安全本应具备的全组织视角。

《Dark Reading》杂志的一篇文章精准总结了为何两者视角不同会导致优先级差异:“IT 的优先级是灵活性、技术功能与效率;而信息安全的优先级则是机密性、完整性与可用性。”

除了两者在数据安全层面的视角和需求差异外,这种职责混淆还引发了一个更严重的问题:信息安全措施的验证工作由实施这些措施的人员(即 IT 部门)自行完成 —— 这显然存在利益冲突。

 

信息安全的内部焦点

为保护敏感数据而建立独立的信息安全视角,除了能规避潜在的利益冲突外,还能带来其他显著益处。如今,用户的协作方式已发生巨大变化,我们不能再将数据或用户视为在时空维度上固定不变的实体。从业务角度来看,允许用户自由地(几乎是无限制地)与任意对象协作具有显著优势,这一现实意味着我们的安全防护策略必须具备更强的动态适应性。

纯粹的 IT 视角会重点关注访问控制与设备管控等方面,这些措施固然重要,但这类管控措施的实施时机与方式,最好由信息安全部门制定的规则来决定。例如,在某些情况下,在移动设备上对文档进行完全控制可能是完全合理的;但在一天中的其他时段,或针对其他类型的内容,可能仅允许以安全视图模式查看文件。由此可见,内容与场景是现代信息安全策略的核心要素。

数据防泄漏(DLP)与权限管理 IT 解决方案,是这类场景中的重要技术执行工具。但这些工具的运行细节需要与业务需求保持一致,而信息安全团队往往能从更 “全局” 的视角理解这些业务需求。此外,考虑到企业在未来某一时刻极有可能遭遇数据泄露,组织实际上只有两种选择:要么依赖快速检测与完善的响应计划,要么借助信息安全策略降低泄露造成的影响。

通过采用具备内容感知与场景感知能力的解决方案,即便发生数据泄露,用于防止用户自身操作失误的防护限制,也能阻止冒充合法用户的攻击者窃取 GB 或 TB 级别的敏感数据。同样,这类管控措施还能降低恶意内部人员窃取数据造成的影响。

 

信息安全与 IT 安全需协同考量

当前,来自外部攻击者、恶意员工以及疏忽大意或易出错用户的网络安全威胁,给企业带来了严峻挑战。对于那些认可信息安全团队价值、赋予其适当权限,并制定与 IT 安全策略协同运作的信息安全策略的企业而言,它们将更有能力在保护敏感数据的同时,支持用户通过自由协作更好地实现业务目标。

毫无疑问,未来两者的优先级仍会出现冲突,但通过制定两种独立且协同的策略,企业管理者将能够掌握更充分的信息,从而在决策时选择最优路径。