謝宗曉 甄杰 董坤祥

網(wǎng)絡(luò)安全（cybersecurity）已經(jīng)成為ISO/IEC JTC 1/SC27（信息安全、網(wǎng)絡(luò)安全與隱私保護分技術(shù)委員會）的重要方向之一，在最新公布的SD11中1），信息安全管理體系工作組（WG1）會承擔(dān)相應(yīng)的工作。截至2019年5月，開發(fā)中的或發(fā)布的相關(guān)標準共有4項，如表1所示。

1 概述與概念

ISO/IEC 27100于2018年10月立項，目前正在開發(fā)中，狀態(tài)為工作組草案。計劃在2021年11月發(fā)布。該標準提供了網(wǎng)絡(luò)安全的概述，以及相關(guān)的術(shù)語和定義。

網(wǎng)絡(luò)安全已成為一個重要話題。雖然它看起來與信息安全相似，并且許多信息安全控制、方法和技術(shù)可以用于管理網(wǎng)絡(luò)安全風(fēng)險，但網(wǎng)絡(luò)安全與信息安全還是存在諸多不同。尤其之前存在的狹義的網(wǎng)絡(luò)安全（network security），這與網(wǎng)絡(luò)安全術(shù)語的使用方式不一致[1，2]。需要一個標準來定義網(wǎng)絡(luò)安全，建立其情境，并描述相關(guān)概念，包括網(wǎng)絡(luò)安全與信息安全的關(guān)系和區(qū)別。

需要注意的是，在目前可以獲取的版本中，對于網(wǎng)絡(luò)空間（cyberspace）的定義并沒有強調(diào)其虛擬性，而是強調(diào)基礎(chǔ)設(shè)施，其中認為：網(wǎng)絡(luò)空間是一個全球互聯(lián)的空間，包括互聯(lián)網(wǎng)和其他網(wǎng)絡(luò)、數(shù)字設(shè)備、系統(tǒng)、服務(wù)和流程，為個人、企業(yè)和政府的廣泛活動和互動提供了全球性的基礎(chǔ)設(shè)施。當(dāng)然，這與“虛擬性”也不矛盾。

2 框架開發(fā)指南

ISO/IEC 27101于2018年4月立項，目前正在開發(fā)中，狀態(tài)為工作組草案。計劃在2020年4月發(fā)布。該標準為網(wǎng)絡(luò)安全框架開發(fā)提供了指南，適用于組織內(nèi)網(wǎng)絡(luò)安全框架的開發(fā)者使用，計劃適用于所有類型的組織。

目前已經(jīng)發(fā)布的網(wǎng)絡(luò)安全框架主要有：

a）ISO/IEC 27032：2012《信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全指南》[3];

b）《NIST網(wǎng)絡(luò)安全框架》（NIST 4） Cybersecurity Framework）[4]。

考慮到ISO/IEC 27032：2012的提案者為美國，應(yīng)該會大量參考《NIST網(wǎng)絡(luò)安全框架》，當(dāng)然，在目前可以參考的文獻中，最詳細、最有參考價值的也是《NIST網(wǎng)絡(luò)安全框架》。

3 網(wǎng)絡(luò)保險指南

ISO/IEC 27102目前正在開發(fā)中，狀態(tài)為國際標準草案階段。從已經(jīng)發(fā)布的ISO/IEC DIS 27102來看，該標準中所討論的網(wǎng)絡(luò)保險是甲方視角的，即討論怎么購買網(wǎng)絡(luò)保險，而不是如何售賣網(wǎng)絡(luò)保險。從這個角度講，ISO/IEC 27102與ISO/IEC 27001：2013《信息安全管理體系 要求》就結(jié)合起來了，在ISO/IEC 27001：2013的4.2.1 f）中討論風(fēng)險處置選項，其中一個選項就是將風(fēng)險轉(zhuǎn)移至相關(guān)方，例如，保險商或供應(yīng)商。

ISO/IEC DIS 27102定義了一系列的網(wǎng)絡(luò)（cyber）相關(guān)詞匯，例如，網(wǎng)絡(luò)事件、網(wǎng)絡(luò)保險、網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)空間等。

ISO/IEC DIS 27102包含8章正文、1個附錄。前3章為通用條款，第4章為標準結(jié)構(gòu)說明，第5章為概述，第6章討論了網(wǎng)絡(luò)風(fēng)險與網(wǎng)絡(luò)保險，既然是討論保險，最相關(guān)的就是網(wǎng)絡(luò)事件，因此，在該章中還討論了網(wǎng)絡(luò)事件的類型及其影響等。但是原則上講，對網(wǎng)絡(luò)事件的刻畫，應(yīng)該是保險供應(yīng)商的問題，而不是用戶的責(zé)任。這是一個新興的研究領(lǐng)域，例如，文獻[5]就對網(wǎng)絡(luò)安全事件進行了數(shù)學(xué)建模。第7章，描述了一個支持網(wǎng)絡(luò)保險的風(fēng)險評估過程。第8章，專門討論了信息安全管理體系（Information Security Management System，ISMS）在網(wǎng)絡(luò)保險中的角色。

總之，ISO/IEC DIS 27102所討論的網(wǎng)絡(luò)保險，不是指線上保險，而是指針對網(wǎng)絡(luò)安全事件的保險，從這個角度講，與信息安全保險區(qū)別不大。

4 ISO與IEC關(guān)于網(wǎng)絡(luò)安全的標準

ISO/IEC 27103目前發(fā)布的狀態(tài)為技術(shù)報告階段，該標準實際類似于一個ISO/IEC 27000標準族的索引，其中第5章也開門見山地提出，雖然網(wǎng)絡(luò)安全是個新生事物，但是ISO、IEC以及ISO/IEC標準發(fā)展了至少25年了，已經(jīng)成為有用的參考。況且，ISO/IEC 27001已經(jīng)提供了一個風(fēng)險管理框架，可用于確定組織內(nèi)網(wǎng)絡(luò)安全活動的優(yōu)先級和實施。

ISO/IEC TR 27103：2018給出了一個網(wǎng)絡(luò)安全框架，包括：識別（Identify）、保護（Protect）、檢測（Detect）、響應(yīng)（Respond）與恢復(fù)（Recover）。圍繞這個框架，則是相應(yīng)的ISO、IEC或者ISO/IEC標準的索引。這個框架沿用自上文中所提到的《NIST網(wǎng)絡(luò)安全框架》，索引結(jié)構(gòu)的形式也是如此[6]。

在引言中，用到了“最佳實踐（Best Practice，BP）”這個詞匯，但是并沒有明確地指出哪些是最佳實踐。基本的邏輯是，在面對網(wǎng)絡(luò)安全這樣的新生事物，利用已有的最佳實踐和基線（baseline）是大有裨益的。

此外，ISO/IEC TR 27103：2018引用了ISO/IEC 27000：2016《信息安全管理體系 概述與詞匯》關(guān)于“信息安全”的定義，并沒有定義“網(wǎng)絡(luò)安全”。對兩者的區(qū)別，有提及，但是沒有深入。該標準中提到：風(fēng)險管理的視角和方法受到“網(wǎng)絡(luò)安全”和“信息安全”術(shù)語的影響。在處置類似風(fēng)險時，“網(wǎng)絡(luò)安全”側(cè)重于外部威脅和為組織目的使用信息的需要，而“信息安全”則考慮來自內(nèi)部或外部的所有風(fēng)險。還有一種看法是，網(wǎng)絡(luò)安全風(fēng)險主要與對抗性威脅有關(guān)，缺乏“網(wǎng)絡(luò)安全”對組織造成的后果可能比缺乏“信息安全”更嚴重。因此，網(wǎng)絡(luò)安全比信息安全更與組織相關(guān)。這種認知會導(dǎo)致混淆，也會降低風(fēng)險評估和處置的有效性。

5 小結(jié)

本文介紹了與網(wǎng)絡(luò)安全相關(guān)的4個國際標準，包括ISO/IEC 27100、ISO/IEC 27101、ISO/IEC 27102以及ISO/IEC 27103，雖然上述標準基本都在開發(fā)中，但是其框架和主要內(nèi)容已經(jīng)比較明確。由于ISO和IEC等機構(gòu)已經(jīng)發(fā)布的信息安全標準眾多，而且體系完備，加上網(wǎng)絡(luò)安全和信息安全雖然不同，但畢竟存在諸多重合，在后續(xù)的標準研發(fā)中，網(wǎng)絡(luò)安全標準應(yīng)該會大量引用已有的“最佳實踐”和“安全基線”。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點無關(guān)）

參考文獻

[1] 謝宗曉. 關(guān)于網(wǎng)絡(luò)空間（cyberspace）及其相關(guān)詞匯的再解 ?析[J].中國標準導(dǎo)報， 2016（2）： 26-28.

[2] 謝宗曉. 信息安全、網(wǎng)絡(luò)安全及賽博安全相關(guān)詞匯辨析[J].? ? ?中國標準導(dǎo)報， 2015（12）： 30-32.

[3] 謝宗曉，張菡. 網(wǎng)絡(luò)安全指南國際標準（ISO/IEC 27032：? ? ?2012）介紹[J].中國標準導(dǎo)報， 2016（10）： 22-24+29.

[4] 謝宗曉，董坤祥，張菡. NIST關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進框? ? ?架介紹[J]. 中國質(zhì)量與標準導(dǎo)報， 2017（5）：46-49.

[5] Bouveret A. Cyber Risk for the Financial Sector： A? ? ?Framework for Quantitative Assessment [J]， IMF? ? ?Working Papers 18/143， International Monetary?? ? ?Fund. 2018.

[6] 謝宗曉，甄杰，林潤輝，等. 網(wǎng)絡(luò)空間安全管理[M]. 北京：中? ? ? 國標準出版社， 2017.