对于信息安全的一点浅见

无论是信息安全技术和信息安全管理，究其根本而言，其核心就是保证数据和服务的安全；特别是数据安全更是核心中的核心，原因很简单：信息从某种意义上可以理解为就是数据。由此推论，就比较好理解如下几种安全之间的关系：

某些服务及其相关数据是依赖于某些中间件系统或其本身就是一种特定应用，故所以所谓的应用安全；

数据和服务总是被安装在某类系统上的（可以广义地理解为操作系统、数据库系统等），故所以有所谓系统安全；

一般而言，系统总是处于特定网络环境下的，故所以有所谓的网络安全；

网络是存在区域划分的，各类区域之间的安全等级、用途等不尽相同，它们应进行区别、隔离，故所以有所谓的边界安全；

所有系统、设备均是需要被放置于一定的物理环境下，对于环境安全的要求就形成了所谓的物理安全；

进而，由于需要对操作各类系统的人员进行管理，即对其权限、存取方式、访问系统等进行控制，对人员的整个工作生命周期进行控制，从而确保数据和服务的安全，故形成了所谓的人员安全；

最后，为了对上述各类安全进行管理和控制及考核，各类组织需要制定各种安全规范、标准以保证安全目标的达成，故有了安全策略。

另外，灾备管理是一种针对数据安全的保障方式，连续性管理是针对服务安全的保障方式。