网络空间安全法律问题研究
上QQ阅读APP看书,第一时间看更新

第五节 ISO/IEC 27032:2012中区分的六个相关概念

该国际标准对与Cybersecurity(网络空间安全)相关且容易混淆的下列五个相关概念给出了定义,进行了区分,提供了它们之间相互关系的示意图:

(1)Information security(信息安全);

(2)Application security(应用程序安全);

(3)Network security(网络安全);

(4)Internet security(因特网安全);

(5)Critical Information Infrastructure Protection(CIIP,关键信息基础设施保护)。

该国际标准中的相关说明和定义如下。

网络空间安全依赖信息安全、应用程序安全、网络安全和因特网安全作为基础性的构建模块。网络空间安全是关键信息基础设施保护的必要活动之一,同时,对关键基础设施服务的足够保护有助于满足为达到网络空间安全之目标的基本安全需求(即关键基础设施的安全性、可靠性、可用性)。

然而,网络空间安全并不是因特网安全、网络安全、应用程序安全、信息安全或关键信息基础设施保护的同义词。它有独一无二的范围,需要利益相关者发挥积极作用以维持(如果不是改善的话)网络空间的可用性和可信性。

信息安全(Information security)通常涉及对信息的保密性、完整性、可用性的保护,以满足可用信息的用户需求。

应用程序安全(Application security)是通过对机构的应用程序实施控制和量度以管理其使用风险所完成的过程。这种控制和量度可以施加于应用程序本身(它的进程、组件、软件和结果),施加于应用程序的数据(配置数据、用户数据、组织数据),施加于应用程序生命周期中涉及的所有技术、进程和参与者。

网络安全(Network security)涉及网络的设计、实施和运营,以达到在机构内部的网络上、机构与机构之间的网络上、机构与用户之间的网络上的信息安全。

因特网安全(Internet security)作为机构中和家庭中的网络安全的扩展,涉及保护因特网相关的服务和相关的信息通信技术系统与网络,以达安全目的。因特网安全也确保因特网服务的可用性和可靠性。

关键信息基础设施保护(CIIP)涉及由能源、电信和水务部门之类的关键基础设施提供商提供或运营的系统的保护。关键信息基础设施保护确保这些系统和网络受到保护,并可承受信息安全风险、网络安全风险、因特网安全风险以及网络空间安全风险。

该国际标准给出的网络空间安全与其他安全领域的关系图如图1-5所示。该图引自ISO/IEC 27032:2012。图中中文为寿步所译。对此做出贡献的还有张田田、白莉莉。

图1-5 网络空间安全与其他安全领域的关系图

该国际标准对图1-5给出了如下说明:上图展示了网络空间安全和其他安全领域的关系。这些安全领域与网络空间安全的关系非常复杂。某些关键基础设施服务,如水务和交通,不会直接地或者显著地影响网络空间安全的状态。然而,网络空间安全的缺失却可能对关键基础设施提供商提供的关键信息基础设施系统的可用性产生负面影响。另一方面,网络空间的可用性和可靠性在许多情况下依赖于与之相关的关键基础设施服务的可用性和可靠性,例如电信网络基础设施。网络空间的安全通常也与因特网安全、企业/家庭的网络安全和信息安全密切相关。值得注意的是,该国际标准中本节所定义的安全域都有其自己的目标和关注范围。关于网络空间安全的话题,需要来自不同国家和组织的不同的私有和公共实体间的实质性的交流与合作。关键基础设施服务被一些国家视为国家安全相关的服务,因此可能不会公开探讨和披露这些服务。此外,关于关键基础设施脆弱点的知识,如果被不当使用,将直接牵涉国家安全。因此,有必要建立用于信息共享、问题或事故合作的基础框架以缩小差距,为网络空间的利益相关方提供充分的保障。

五个安全术语(信息安全、网络安全、因特网安全、应用程序安全、网络空间安全)之间的衍生关系也可以用笔者给出的图1-6表示。

图1-6 五个安全术语之间的衍生关系图

通过上述定义和图解,可以非常清晰地了解网络空间安全(Cybersecurity)与信息安全(Information Security)、网络安全(Network Security)、因特网安全(Internet Security)、应用程序安全(Application security)、关键信息基础设施保护(CIIP)等概念之间的异同和相互关系。

不论在中文还是在英文中,不论是从内含还是从外延看,网络空间安全(Cybersecurity)都不可能等于网络安全(Network Security);当然,网络空间安全(Cybersecurity)也就不应该简称为网络安全(Network Security)。我们不能因为英文中的Cyberspace可以简写为Cyber,英文中的Cyberspace security可以简写为Cyber security进而合成为一个单词Cybersecurity,就将中文的“网络空间”简称为“网络”,进而将“网络空间安全”简称为“网络安全”。因为,在英文中,Cyberspace =Cyber ≠ Network。如果在中文中实在需要一个“网络空间安全”的简称,则可以考虑简称为“网空安全”,以别于“网络安全”。

因此,如果能以该国际标准为基础在我国的网络空间安全立法中定义并且区分使用这些概念,则可避免在相关法律中相关术语的模糊、混淆和争论。

令人遗憾的是,在《国家网络空间安全战略》的一开始,就用“网络空间安全(以下称网络安全)”的说法进行了将“网络空间安全”(Cybersecurity)简称为“网络安全”(Network Security)的转换。这样做实质上是将“网络空间安全”这个概念用另一个不同的概念“网络安全”作为其简称,因此并不妥当。

类似的,在《网络空间国际合作战略》中文本和官方英译本中,将中文“网络安全”译为cyber security或者cyberspace security也是不妥的。