第三节 ISO/IEC 27032:2012 中定义的四个基础概念
在国内外相关立法和学术文献中,信息安全(Information Security)、网络安全(Network Security)、因特网安全(Internet Security)、网络与信息安全(Network and Information Security)、网络空间安全(Cybersecurity)等概念都常见到。对这些术语如何进行取舍,可以借鉴ISO/IEC 27032:2012。
与质量管理体系的ISO 9000系列标准类似,信息安全管理体系(ISMS)是国际标准化组织(ISO)发展的一个信息安全管理标准族,用以保障各机构的信息系统和业务的安全和正常运作。从2000年ISO/IEC 17799:2000《信息技术-信息安全管理实施细则》正式发布以来,信息安全管理体系被世界各国逐渐认可和接受,由此发展成为ISO/IEC 27000系列标准族。该标准族中包括国际标准ISO/IEC 27032:2012信息技术-安全技术-网络空间安全指南(ISO/IEC 27032:2012 Information technology-Security techniques -Guidelines for cybersecurity)。
ISO/IEC 27032:2012阐述了“网络空间”(the Cyberspace)所面临的独特的安全问题。网络空间存在着目前信息安全、应用程序安全、网络安全和因特网安全等多种安全领域所不能涵盖的安全问题,原因在于这些安全领域之间存在差距。网络空间安全将解决在网络空间中由于不同的安全领域差距所导致的安全问题。同时,网络空间安全为网络空间中不同的安全利益相关者提供合作框架基础。
在ISO/IEC 27032:2012中已经给出了相关术语的准确定义。首先看对于四个基础概念的定义。
一、网络空间(the Cyberspace)
网络空间:不以任何物理形式存在的,通过技术设施和网络接入其中的,由因特网上(on the Internet)的人员、软件、服务的相互作用所产生的复杂环境。
网络空间可以描述为一个虚拟环境。
二、网络空间安全(Cybersecurity/Cyberspace security)
网络空间安全:在网络空间里(in the Cyberspace)保护信息的保密性、完整性、可用性。此外,像真实性、可追责性、不可抵赖性、可靠性等特性,也可以提及。
注意到,“网络空间安全”的定义比ISO/IEC 27000:2009中“信息安全”(information security)的定义只是增加了“在网络空间里”(in the Cyberspace)。
三、网络空间安全态(Cybersafety)
网络空间安全态:是一种状态,可免受身体的、社会的、精神的、财务的、政治的、情感的、职业的、心理的、教育的或者其他类型或后果的失败、损害、错误、事故、伤害或者其他在网络空间中可以视为不希望发生的事件。
注释1:这可采用避免将引起健康损害或经济损失的某种经历或披露某事的形式。它包括对人和对财产的保护。
注释2:安全态(safety)通常也定义为一种特定的状态,这时负面影响将不会通过某种代理引发或者在设定条件下引发。
注意到,网络空间安全态(Cybersafety)不同于网络空间安全(Cybersecurity)。用网络空间安全态翻译Cybersafety、用网络空间安全翻译Cybersecurity,正好可以在中文中明确区分这两者。后面将详细讨论“网络空间安全态”相关问题。
四、网络空间犯罪(态)(Cybercrime)
网络空间犯罪(态):是指在网络空间中的服务或应用程序被用于犯罪或者成为犯罪目标的犯罪活动,或者网络空间是犯罪来源、犯罪工具、犯罪目标或者犯罪地点的犯罪活动。
注意到,“网络空间犯罪(态)”(Cybercrime)是与“网络空间安全态”(Cybersafety)对应的一个概念。它们构成网络空间安全的两种极端状态,若以二进制表示,即一为“零”(0)状态、一为“壹”(1)状态。网络空间安全的实际状态通常是在这两个极端状态之间。