对于CISO来说，网络安全四个字到底意味着什么？

然而，“cyber security”和“cyber safety”的概念是不同的，这样的术语若缺乏精确性，就会导致所从事的活动、所共享的信息以及所持有的期望容易被人们误解和混淆。

基于此，可看一下“safety”和“security ”到底有何区别。首先从含义来看，security侧重于保护的行动，指具体的行为，其内涵是确保外界的因素不会对相关的人事物造成伤害。比如高墙林立，与外界的威胁隔绝；手中有可以攻击的武器，与危险对抗；而safety更多指一种被保护的感觉，偏向情感方面，比如年幼的孩子待在父母身边被保护的感觉。

再从涉及的范围来看，security泛指对个人、组织和财产的保护，使它们免遭外部威胁和一些犯罪活动的损害。需要注意的是，security更多聚焦在那些有意对个人、组织和财产施加伤害的行为；而safety指的是被保护起来的状态，远离那些有可能引起伤害的事物，也就是说safety还可以用来指代一种状态。

为了简化safety和security之间的区别，让人们更容易理解，在这些单词前面加上相关的修饰会起到一定的作用。比如，食品safety实践包括卫生检查、第三方检查和检查清单，其覆盖面更广，强调的是对状况的保护、状况的安全；相对比，食品security引发了人们对婴儿奶粉配方短缺、食物中毒和饥饿的担忧，其内容所涉及的面更小，注重于行为带来的安全。

当然，还有学术专家解释得更直白：safety问题是由意外造成，如疏忽、事故、环境、外界因素等，而security问题是由有意的人为因素造成，比如偷窃、间谍、抢劫、入侵等造成。区别就在于是否有意。

比如，某人开车不小心撞上了树，那么此时的“安全事故”就要用safety accident来表达。同样，道路安全要用road safety，指谨慎驾驶不要由于“疏忽”造成“安全”问题；而如果公司的软件被黑客入侵，给公司造成了损失，公司因此召开软件安全会议，此时公司要讨论的就是software security的问题。software security指保护软件不会遭到破解、侵入等。

从以上例子可以明白，业内通常会将安全问题归结于和人之间的斗争，也就是更偏向于cyber security，防止黑客入侵、破坏等，而很多时候安全团队面临的不仅仅是cyber security，还有cyber safety，比如很多人认为遵从法律法规不等于cyber security，其实是因为法规的遵从性更关乎cyber safety。遵守良好的safety实践通常会提高公司在合规、风险上的安全质量，而security式的思维模式往往会延迟相应的安全实践。

这就好比“主动安全策略”和“被动安全策略”的区别，security的安全既然着重于“人为因素”，那就一定会变成“需要看到人为结果才能有对应的处理手段”，而safety的安全核心在于状态、在于防止意外，其所思考的面会更广，所以防护措施必然会更周全。

举几个例子，比如网络上某些类型的信息被广泛共享，而有些类型的信息却没有，你可以从他们之中看到关联性，像那涉及到国际形势的内容，例如每个国家都会公开共享nuclear （核）safety实践，而不是nuclear security 实践。也就是说，我们会倾向于对safety透明，而不是对security透明，每个国家通常都希望safety措施是非常明显、易被理解且广为人知的，包括酒店和航空公司反复强调“他们会采取必要的措施来确保我们的safety”，也是一样的道理。

这些制造环境都突出了一个现象，即表明他们在没有发生安全事故的情况下为“safety”准备了多少措施和防护。比如核安全该怎么防护，关注点并不在于“他人会对它如何破坏”，而是在于“意外泄漏事件”；比如飞机安全该怎么防护，关注点更多地会在“劫机”上吗？不是，而是在保险带、防护层、氧气瓶等常用工具上，关注的重点依然在“意外”上。

另一方面，人们倾向于保持security措施的隐蔽性和未知性，除非在某些情况下，有人明确希望通过展示枪支、警卫和摄像头来威慑攻击者。对比到信息安全业，这可能就解释了安全从业人员为什么通常不愿意与外部（甚至内部）共享安全信息，因为这里的安全信息大多指的是security上的信息。

关于safety上的措施可能会被隐藏在常人看不到的地方，例如汽车上的安全气囊和电梯里的电梯制动器，但即使如此，我们也能看到它们的检验证书，以证明它们达到了最低的安全标准。这在网络世界中其实也应该有相应的呈现，许多公司受到了数种不同的检查，但他们的检查结果往往是常人所看不到的，如果常规评估（如SOC2和ISO27001）更类似于在safety上的检查，那么这些结果应该被公开（如SOC3），以便人们可以看到这些公司已满足了最低网络安全防护。

很多时候，个人的自我行为会直接影响安全问题，这就好比大多数人都该知道我们要采取哪些措施来改善个人卫生，而当其他人忽视这些简单的步骤时，我们会对此表示震惊，比如晚上不刷牙、不洗澡的人，我们能说他是对自己负责的人吗？或者我们能说应该有其他人负责他的个人卫生吗？而在安全界，security的防护通常被视为“该由他人对个人负责”，这种采取防护的主体通常仅限于那些“被动看到安全事件然后再处理安全事件”的角色。

所以安全从业人员再三强调，安全需要每个人的积极参与，不该将安全措施视为谁的个人责任。在个人的角度，其实很容易看到自己能直接促进安全的改善，同样也很容易看到自己能恶化安全的环境，天天早晚刷牙或者不刷牙一定是显而易见的。因此我们可以在组织的利益相关者中灌输更多的个人责任制和个人问责制，不再把漏洞修复、数据防护、安全计划只局限在安全部门里，而是让整个公司的员工都参与进来，让所有组织的成员都参与进来，以此维护我们良好的网络卫生。

此外，为了提醒我们每个人对安全都有责任，比如在飞机上，每一趟航班乘客都会听到关于安全防护的广播，空姐会要求乘客注意飞机上的安全措施和规章制度，即使这些内容对大多数人而言已经耳熟能详了。再比如，如果谁在没有扣好安全带的情况下驾车，我们的车辆就会发出刺耳的警报声。也就是说，在其他这些领域，关于安全意识、安全防护的告警是定时发生的，他们不会仅在某个会议上或某次安全事件后的复盘大会上提出，这是我们安全业需要重视的。

将我们的行动定义为safety而不是security，这有助于网络从业者、安全从业者更好地理解，因为我们不能在safety上太过火。许多安全从业者会希望立即修补好所有的漏洞，但这就像要求餐饮业里没有一丝灰尘是一样的道理，如果在出现任何一点灰尘时都要清洁食品准备区，这将严重影响餐饮业的出餐速度，对业务的破坏是巨大的，同样，坚持立即修补所有代码漏洞会阻碍软件开发的进程。

为了使安全措施更有效，为了让safety上的防护更到位，我们必须了解并建立合理的安全边际（margins of safety）。事实上，大多数漏洞不需要立即修补，我们可以通过完善网络安全控制来提高安全边际的余地，从而允许我们将修补推迟到更合适的时间。

所以，重要的是这些网络安全控制必须易于使用，这就导致了实际操作员没有丝毫可以犯错的空间，但直到如今，IT产业的各个领域还远远没能完善这一点。我们目前计算机上的网络安全机制就像20世纪80年代的儿童安全座椅一样，父母们必须想出一个“复杂的安全带系统”，如果他们搞错了，就会被当成傻子或者罪魁祸首。在当今这数字时代的环境里，使用计算机产品的用户常常被指责为最薄弱的环节，尽管这些产品系统的界面混乱且毫无帮助。

要使儿童安全座椅更容易安装，需要汽车和座椅制造商的共同合作，同时车辆的门闩系统也要遵守相关的法律法规。个人责任在其中仍然是一个重要因素，但规章制度、汽车制造商和儿童安全座椅制造商之间的多方合作，可使父母能够避免一些常见的错误。

对比到网络环境、数字环境，生产者、消费者和监管机构之间在网络安全方面的协调是非常缺乏的，所以我们每个人都得重视起这一点，要看到安全不再是个人的安全，而是需要大家都协作起来、统一起来的安全。

对于网络安全的真正含义到底是什么，又应该如何定义，国内安全专家如此建议。

某券商安全专家宋士明表示，目前来讲，在他眼中的网络安全就是cyber security，网络空间安全，其包含网络空间中所有的网络、系统、应用和数据等各类实体对象的安全，包含相关的技术和管理体系。至于所谓的cyber safety，宋士明认为，它的范围应该更广、追求更大，因为会牵扯包含物理安全、人身安全，虽然目前的cyber security也对此有所涉及，但重心始终落在技术和网络空间上，以后若真发展为了cyber safety，可能重心要迁移，不能只着重于技术和虚拟空间。

而以目前趋势来看，万物互联的时代里，或许cyber safety已悄然、提前来到了我们的身边。宋士明提出，或许业内可以提早做好准备，将焦点集中在cyber safety，即安全不再是网络上的安全，而是人类整体的安全，各类因信息技术而产生的safety问题，它们对社会的危害是显而易见的，可能安全从业人员应该提早将应对safety问题的手段准备起来。

而某金融科技公司安全专家蔚晨指出，其实safety的标准是显性的，这也就像ISO27001的内容是对企业网络安全完善程度的最佳实践一样，了解安全体系的人都了解都明白。但当一家企业在落实safety标准的过程时，实施路径、手段、程度则大相径庭，我个人认为这个受客观条件约束的实现的过程、手段甚至是思路就是本文中提到的“security”。

一家企业中的安全部门就是一个有理想目标并不断发现问题、解决问题的内部机构，它需要保障整个组织或企业的运营安全，同时在出现意外情况时，它还需要组织完成应急处置和及时恢复。但是安全投入是需要成本的，安全整改的成本有时甚至更大，不受客观约束的理想的安全管理者是不存在的，它必须达到投入产出与实际或可能损失的平衡才有存在的价值。这就是我认为的网络安全的意义所在。