謝宗曉 董坤祥 甄杰

信息安全管理系列之五十四

ISO/IEC JTC 1/SC 27最近將其名稱中“IT security techniques（信息技術(shù)安全技術(shù)）”修改為“information security，cybersecurity and privacy protection（信息安全、網(wǎng)絡(luò)安全與隱私保護(hù)）”。雖然在本專欄中，我們已經(jīng)討論過數(shù)次，例如，文獻(xiàn)[1][2]，但是對隱私保護(hù)介紹并不多。本文將這三個詞匯放在一起，進(jìn)行了辨析。

謝宗曉（特約編輯）

摘要：給出信息安全、網(wǎng)絡(luò)安全與隱私保護(hù)的定義，分析三者之間的異同，介紹了“保密”的相關(guān)內(nèi)容。

關(guān)鍵詞：信息安全 ?網(wǎng)絡(luò)安全 ?隱私保護(hù)

Abstract： This paper gives the definition of information security，cybersecurity and privacy protection，and analyzes the similarities and differences among the three，in addition，it also introduces the relevant content of keep state secrets.

Key words： information security，cybersecurity，privacy protection

ISO/IEC JTC 1/SC 27成立于1989年，其宗旨為：開發(fā)保護(hù)信息與信息通信技術(shù)的標(biāo)準(zhǔn)1），目前秘書處設(shè)在DIN （Germany）2）。2019年4月，ISO/IEC JTC 1/SC 27將其名稱由IT security techniques修改為information security，cybersecurity and privacy protection。一般而言，信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)，都包括了IT安全，或者信息系統(tǒng)安全，其關(guān)系大致如圖1所示。顯然，新修改的名稱更符合ISO/IEC JTC 1/SC 27成立的本意。

1 ?信息安全

信息安全是一個比較廣義的詞匯，也是目前應(yīng)用最廣泛的詞匯。信息安全是隨著IT的發(fā)展，從通信安全、計算機(jī)安全和網(wǎng)絡(luò)安全（network security）等自然而然過渡而來的概念。因為，無論是“數(shù)據(jù)”還是“信息”，都要通過介質(zhì)進(jìn)行處理或者傳輸，所以導(dǎo)致在這過程中，人們傾向于以此代表強(qiáng)調(diào)的重點。例如，通信安全時代，是為了保護(hù)通信中的信息安全;計算機(jī)安全時代，是為了保護(hù)計算機(jī)所處理的信息的安全。但其最終目的都是一樣的，即保護(hù)“信息”的安全。

信息是無處不在的，也存在于各種形式，可以是數(shù)字存儲的，也可能是打印的，還有更多的以不可直接讀的形式存儲在人的大腦中。因此，如果對信息安全進(jìn)行定義，就不能過于具體，基于這種考慮，ISO/IEC 27000：2018《信息技術(shù) ?安全技術(shù) ?信息安全管理體系 概述與詞匯》中，對信息安全的定義為：

保持信息的保密性（confidentiality）、完整性（integrity）和可用性（availability）。

注1：此外，也可包括如真實性（authenticity）、可核查性（accountability）、不可否認(rèn)性（non-repudiation）和可靠性（reliability）等其他屬性。

ISO/IEC 27000：2018中對于信息安全的定義，不再提及安全保護(hù)的過程或手段，而是直接描述信息安全的結(jié)果和目的。簡而言之，信息安全就是為了保持信息的安全。

2 ?網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全的全稱為網(wǎng)絡(luò)空間安全（cyberspace security），在ISO/IEC 27032：2012《信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全指南》中，將cybersecurity/cyberspace security定義為：

保持網(wǎng)絡(luò)空間信息的保密性、完整性和可用性。

注1：此外，也可包括如真實性、可核查性、不可否認(rèn)性和可靠性等其他屬性。

注2：該定義修改自ISO/IEC 27000：2009中對信息安全的定義。

網(wǎng)絡(luò)空間是一個建立在IT技術(shù)基礎(chǔ)上的虛擬世界，討論網(wǎng)絡(luò)空間安全的邏輯與討論信息安全的邏輯完全不同。對于信息安全而言，核心是“信息”，如圖2所示。

信息安全是圍繞信息為中心展開的架構(gòu)，之所以討論軟件、硬件直至物理環(huán)境等安全，本質(zhì)都是為了保護(hù)信息。但是網(wǎng)絡(luò)空間安全不同，網(wǎng)絡(luò)空間本身就是廣義的，包括了方方面面，ISO/IEC 27032：2012的定義相對是狹隘的，對于網(wǎng)絡(luò)安全而言，其保護(hù)的對象應(yīng)該是“網(wǎng)絡(luò)空間”，而不僅僅是“網(wǎng)絡(luò)空間信息”。例如，在網(wǎng)上對另一個人進(jìn)行人身攻擊，這并不涉及信息的保密性、完整性和可用性，當(dāng)然，既然是攻擊，可能會涉及一部分“真實性”等問題，但是對人的謾罵，信息是否真實，并不是重點，這只是表達(dá)激烈的情緒。在這個案例中，網(wǎng)絡(luò)空間信息并沒有受到太大影響，但是網(wǎng)絡(luò)空間的秩序卻遭到了破壞。

這也是信息安全和網(wǎng)絡(luò)安全的最主要區(qū)別之一。

信息安全是為了保護(hù)信息的諸多安全屬性，對于信息處理設(shè)施的保護(hù)，視角依然是其對信息本身的作用大小，是手段，而不是目的。但是網(wǎng)絡(luò)安全，要保護(hù)的是這個虛擬的網(wǎng)絡(luò)空間的安全，還包括了上述案例中所描述的秩序等要素。

一般而言，信息安全最直觀的保護(hù)要素是“保密性”，這也是實踐中最經(jīng)常被混淆的概念，例如，以為信息安全就是為了保密。網(wǎng)絡(luò)最直觀要保護(hù)的要素是“可用性”，構(gòu)建網(wǎng)絡(luò)空間的關(guān)鍵信息基礎(chǔ)設(shè)施（Critical Information Infrastructure，CIIs）一旦被破壞，網(wǎng)絡(luò)空間不存在了，網(wǎng)絡(luò)安全就成了無源之水無本之木。

3 ?隱私保護(hù)

隱私保護(hù)在信息系統(tǒng)出現(xiàn)之前就是很重要的研究問題，只是信息系統(tǒng)大面積應(yīng)用之后，隱私保護(hù)的形勢變得更加嚴(yán)峻而已[3]。在國內(nèi)，隱私保護(hù)并不是經(jīng)常提及的概念，而是代之以另一個概念，即個人信息保護(hù)。

GB/T 35273—2017《信息安全技術(shù) 個人信息安全規(guī)范》將“個人敏感信息”定義為：

一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽(yù)、身心健康受到損害或歧視性待遇等的個人信息。

注1：個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14周歲以下（含）兒童的個人信息等。

在GB/T 35273—2017中，并沒有單獨(dú)定義“隱私”的概念，但是在附錄B中指出“自然人的隱私信息屬于個人敏感信息”，這說明上述定義中所舉的個人敏感信息都屬于隱私的范疇。無論是隱私保護(hù)，還是個人信息保護(hù)，主要都是為了保護(hù)與個體相關(guān)的信息，進(jìn)而保護(hù)個體的人身安全。

在信息安全中，由于絕大部分信息都存儲在信息系統(tǒng)中，因此“信息系統(tǒng)安全”顯得尤為重要，從其發(fā)展過程來看，“計算機(jī)安全”也一度成為信息安全的代名詞。隱私保護(hù)還是有很大的不同，雖然信息系統(tǒng)安全也很重要，但絕對到不了詞匯相互混用或容易混淆的狀態(tài)，真正導(dǎo)致隱私保護(hù)得到前所未有重視的，實際是大數(shù)據(jù)時代的到來。

4 ?保守國家秘密

保守國家秘密，在實踐中，經(jīng)常被簡稱“保密”。對政府機(jī)關(guān)而言，公文中所謂的“涉密”“保密”一般情況下指的都是“國家秘密”。顯然，這是一個限定了范圍的專用詞匯，雖然其簡稱很容易被混淆。

保密與隱私保護(hù)情況差不多，在信息系統(tǒng)出現(xiàn)之前就已經(jīng)很重要，例如，《保守國家機(jī)密暫行條例》于1951年6月1日政務(wù)院3）第八十七次政務(wù)會議通過，1951年6月7日報請中央人民政府主席批準(zhǔn)，1951年6月8日公布。這就是《中華人民共和國保守國家秘密法》的早期版本。世界上第一臺計算機(jī)“ENIAC”到1946年才在美國發(fā)明，在1951年，信息系統(tǒng)在國內(nèi)不可能得到大規(guī)模的應(yīng)用。

可見，雖然保密與信息系統(tǒng)也有著千絲萬縷的聯(lián)系，但是保守國家秘密與信息系統(tǒng)的發(fā)展并沒有必然的聯(lián)系。討論信息安全的公文一般都會將“涉密”的內(nèi)容單獨(dú)拿出來，而且主管機(jī)構(gòu)也不是一個。1994年公布的《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院令第147號）中明確規(guī)定“公安部主管全國計算機(jī)信息系統(tǒng)安全保護(hù)工作”，“依法履行保密行政管理職能”則是國家保密局的職責(zé)。

5 ?小結(jié)

本文主要針對ISO/IEC JTC 1/SC 27名稱的變化，對于其中詞匯進(jìn)行了統(tǒng)一的辨析，重點給出了信息安全、網(wǎng)絡(luò)安全與隱私保護(hù)的定義，分析了這三者之間的異同?；\統(tǒng)地講，網(wǎng)絡(luò)安全偏重國家安全的層次，信息安全偏重組織安全的層次，隱私保護(hù)則偏重個體安全的層次。當(dāng)然，這三者并沒有嚴(yán)格的區(qū)分。除此之外，為防止詞匯混淆，本文中也介紹了經(jīng)常被簡稱為“保密”的保守國家秘密。

參考文獻(xiàn)

[1] 謝宗曉. 信息安全、網(wǎng)絡(luò)安全及賽博安全相關(guān)詞匯辨析[J].? ? ?中國標(biāo)準(zhǔn)導(dǎo)報，2015（12）30-32.

[2] 謝宗曉. 關(guān)于網(wǎng)絡(luò)空間（cyberspace）及其相關(guān)詞匯的再解? ? ? 析[J]. 中國標(biāo)準(zhǔn)導(dǎo)報，2016（2）26-28.

[3] 林潤輝，李大輝，謝宗曉，等. 信息安全管理 理論與實踐[M].?? ? ?北京：中國標(biāo)準(zhǔn)出版社，2015.