無論是信息安全技術和信息安全管理,究其根本而言,其核心就是保證數據和服務的安全;特別是數據安全更是核心中的核心,原因很簡單:信息從某種意義上可以理解爲就是數據。由此推論,就比較好理解如下幾種安全之間的關係:
某些服務及其相關數據是依賴於某些中間件系統或其本身就是一種特定應用,故所以所謂的應用安全;
數據和服務總是被安裝在某類系統上的(可以廣義地理解爲操作系統、數據庫系統等),故所以有所謂系統安全;
一般而言,系統總是處於特定網絡環境下的,故所以有所謂的網絡安全;
網絡是存在區域劃分的,各類區域之間的安全等級、用途等不盡相同,它們應進行區別、隔離,故所以有所謂的邊界安全;
所有系統、設備均是需要被放置於一定的物理環境下,對於環境安全的要求就形成了所謂的物理安全;
進而,由於需要對操作各類系統的人員進行管理,即對其權限、存取方式、訪問系統等進行控制,對人員的整個工作生命週期進行控制,從而確保數據和服務的安全,故形成了所謂的人員安全;
最後,爲了對上述各類安全進行管理和控制及考覈,各類組織需要制定各種安全規範、標準以保證安全目標的達成,故有了安全策略。
另外,災備管理是一種針對數據安全的保障方式,連續性管理是針對服務安全的保障方式。