安全字段: AppSec与InfoSec与NetSec，等等

Question

在阅读有关计算机安全的文章时，提到了许多不同的领域:应用安全、信息安全、网络安全、IT安全等。在计算机安全领域中，有哪些不同的领域，它们之间有什么区别？

Answer 1

需要考虑的两点是:这些都是相对松散的术语，实践者通常必须能够在常规管理员或程序员的角色中发挥作用才能发挥功能。这并不意味着他们必须有这么高的效率--例如，AppSec人员可能不太习惯编写排序算法。

信息安全

伞涵盖一切与信息安全有关的事情。InfoSec专家涵盖广泛的主题，是熟练的多面手。在一家大公司的背景下，他们是你的首席信息官和经理。在一家较小的公司里，他们是你的从业者。

应用程序安全

更多地涉及软件设计和编程。AppSec专家熟悉编程，并且倾向于专注于安全应用程序设计。

网络安全

防火墙、IDS、VPN；实践者了解许多特定于应用程序的协议。任何流经路由器的东西都在他们的世界里。

IT安全

基于主机的安全，域控制器/ auth服务器，强制访问控制系统。ITSec集中在系统内部。

Answer 2

这些术语来自一个基本概念，即将相关系统和人员的领域划分为可以建立最佳实践的各个领域。详细的术语和实践可以在这里找到http://www.us-cert.gov/ITSecurityEBK/EBK2008.pdf (uscert.gov更新的URL)。每个域都呈现独特的方面和漏洞。如果单独处理这些问题，则整个IT基础结构可以以更广泛的泛化所不可能的方式得到加强。

Answer 3

在很大程度上，这些术语没有任何意义的区别，除了“网络应用安全”，人们可以互换使用它们。一个人使用的术语通常反映他们的背景，如政府、军事或金融。或者，他们的第一份工作是维护服务器、网络设备等。

原因是这些事情有很大的重叠。以Conficker蠕虫为例。是不是像病毒一样存在主机安全问题？或者是网络安全问题，因为它是蠕虫？

我使用“网络”安全一词，正是因为“网络”并不意味着任何具体的东西，只是它不同于“物理”安全。

最有用的区别是"web应用程序安全性“，它处理OWASP十大问题，如SQL注入或XSS。当然，您可能会在应用程序前面放置一个"web应用程序防火墙“，这是一个”网络安全“问题，但最终，您必须解决底层web应用程序的漏洞。