信息安全

信息安全体系

在系统的了解信息安全之前,我们先对信息安全、网络安全的定义有一个基本认识和区分。
「定义」信息安全是保护信息的机密性、完整性和可用性(CIA三要素)的过程,确保信息不被未经授权的访问、篡改或破坏。「范围」「信息形式」涵盖所有形式的信息,包括纸质文件、电子数据、数据库、云存储等;保护领域不仅限于网络环境,还包括物理安全(如锁柜、门禁)、人员管理(如安全意识培训)等。

网络安全(狭义概念)作为信息安全的子集,专注于保护信息在网络环境中传输、交换和访问过程中的安全,防止网络攻击、窃听、篡改等。核心目的是保护网络基础设施(如路由器、交换机、防火墙);防止网络攻击(如DDoS攻击、恶意软件、钓鱼攻击);确保网络服务的可用性和可靠性(专注于网络环境中的安全问题)。
广义的网络安全可分三个层次:基础设施安全(保障网络环境和设备不被攻击)、系统与应用安全(防止业务系统和应用软件被入侵或利用)、数据安全(保护用户数据和企业数据不被泄露或滥用)

而信息安全体系可划分为以下几个部分。属于战略视角,范围更广,包含数据、系统、人员、管理等全方位的安全保障。

本章节主要聚焦在业务安全、数据安全、网络安全和信息安全整体。信息安全侧重在政策、流程人员等全方位保障;数据安全、网络安全应用更加广泛。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
信息安全(Information Security

├── 网络安全(Network Security
│   ├── 防火墙 / VPN / TLS
│   ├── 入侵检测 / DDOS防护
│   └── 网络隔离 / 访问控制

├── 数据安全(Data Security
│   ├── 数据加密 / 备份 / 脱敏

├── 系统安全(System Security
│   ├── 操作系统加固 / 补丁管理

├── 应用安全(Application Security
│   ├── Web防护 / 代码审计

├── 管理与合规(Governance & Compliance)
│   ├── 安全策略 / 内部制度
│   └── 法律合规 / 员工培训

└── 风险控制(Risk Control)
    ├── 业务安全 / 账号安全 / 攻击防护
    └── 交易安全 / 内容安全 / 信贷风控

业务安全 = 防人 + 防机器人 + 防黑产团队 + 防系统滥用。不仅保护数据,主要还是保护企业真正“赚钱的流程”不被破坏。
“业务安全”在狭义上,主要指面向黑灰产对抗、策略识别和实时风控响应的安全能力,核心目标是保障企业关键业务流程不被恶意利用,避免经济损失。广义上的业务安全则涵盖了账号、交易、内容、信贷等多个核心业务场景,是业务正常运营和健康增长的重要保障手段。

网络安全层次

由下至上的安全防护体系

「基础(设施)安全」
网络边界安全(防火墙、防DDoS、入侵检测/防御系统 IDS/IPS)
主机安全(服务器加固、操作系统补丁、安全基线)
虚拟化与容器安全(Kubernetes、Docker 安全)
网络隔离与分区(VLAN、内外网隔离)
云安全基础设施(如 AWS、Azure 安全组配置)

「系统与应用安全」
Web 应用安全(防 XSS、SQL 注入、CSRF)
API 安全(身份认证、权限校验、接口加密)
中间件安全(如 Redis、Nginx、Tomcat 等的安全配置)
身份验证机制(多因素认证、OAuth、SSO)
安全开发(DevSecOps、代码审计)

「数据安全」
数据加密(传输加密 TLS,存储加密 AES)
数据脱敏(如手机号、身份证号脱敏展示)
数据访问控制(最小权限原则、访问审计)
数据备份与恢复(防止数据被篡改、丢失)
隐私保护(满足 GDPR、个人信息保护法等合规要求)

风控的层次

基础安全层(账号安全、网络安全)
   用来保护整个系统免受攻击、盗号等威胁

业务安全层(黑产防护、脚本防控)
   专门针对黑产、恶意行为、攻击者的各种手段(作弊、脚本等)进行防护
   一个专门的风控领域

功能风控层

  • 交易风控:防止交易过程中的欺诈行为。
  • 活动风控:防止用户滥用活动规则、恶意薅羊毛。
  • 内容风控:防止平台内传播违规内容(如色情、低俗、广告等)。
  • 账号风控:涉及注册、登录、密码召回、多设备、账号共享多个方面。
  • 信贷风控:以信用风险为主,判断用户是否有恶意借贷行为。