有两点需要考虑：这些都是相对宽松的术语，从业者通常必须能够扮演普通管理员或程序员的角色才能发挥作用。这并不意味着它们必须同样高效——例如，AppSec 人员可能不习惯编写排序算法。

信息安全

伞涵盖与信息安全有关的一切。信息安全专家涵盖广泛的主题，并且是熟练的通才。在大公司设置中，他们是您的 CISO 和经理。在一个较小的公司，他们是你的实践者。

应用安全

更多地与软件设计和编程有关。AppSec 专家熟悉编程并倾向于专注于安全应用程序设计。

网络安全

防火墙、IDS、VPN；从业者了解许多特定于应用程序的协议。任何流经路由器的东西都在他们的世界里。

IT安全

基于主机的安全性、域控制器/身份验证服务器、强制访问控制系统。ITSec 专注于系统内部。

这些术语来自将相关系统和人员的领域分组到可以建立最佳实践的各个领域的基本概念。可以在此处找到条款和做法的详细说明http://www.us-cert.gov/ITSecurityEBK/EBK2008.pdf（从 uscert.gov 更新的 URL）。每个领域都呈现出独特的方面和漏洞。如果单独解决它们，则可以通过更广泛的概括无法实现的方式来加强整个 IT 基础设施。

很大程度上，这些术语没有任何有意义的区别，除了“网络应用安全”，人们可以互换使用它们。一个人使用哪个术语通常反映了他们的背景，例如政府、军队或金融。或者，他们的第一份工作是维护服务器、网络设备等。

原因是这些事情严重重叠。以Conficker 蠕虫为例。它是像病毒一样的主机安全问题吗？还是网络安全问题，因为它是蠕虫？

我使用术语“网络”安全，正是因为“网络”并不意味着任何特定的东西，除了它与“物理”安全之类的东西不同。

最有用的区别是“Web 应用程序安全”，处理 OWASP 十大问题，如 SQL 注入或 XSS。当然，您可能会在您的应用程序前面放置一个“网络应用程序防火墙”，这是一个“网络安全”问题，但最终，您必须解决底层的网络应用程序漏洞。