信息安全管理系列之五十四 信息安全、網(wǎng)絡(luò)安全與隱私保護(hù)

謝宗曉 董坤祥 甄杰

信息安全管理系列之五十四

ISO/IEC JTC 1/SC 27最近將其名稱(chēng)中“IT security techniques（信息技術(shù)安全技術(shù)）”修改為“information security，cybersecurity and privacy protection（信息安全、網(wǎng)絡(luò)安全與隱私保護(hù)）”。雖然在本專(zhuān)欄中，我們已經(jīng)討論過(guò)數(shù)次，例如，文獻(xiàn)[1][2]，但是對(duì)隱私保護(hù)介紹并不多。本文將這三個(gè)詞匯放在一起，進(jìn)行了辨析。

謝宗曉（特約編輯）

摘要：給出信息安全、網(wǎng)絡(luò)安全與隱私保護(hù)的定義，分析三者之間的異同，介紹了“保密”的相關(guān)內(nèi)容。

關(guān)鍵詞：信息安全 ?網(wǎng)絡(luò)安全 ?隱私保護(hù)

Abstract： This paper gives the definition of information security，cybersecurity and privacy protection，and analyzes the similarities and differences among the three，in addition，it also introduces the relevant content of keep state secrets.

Key words： information security，cybersecurity，privacy protection

ISO/IEC JTC 1/SC 27成立于1989年，其宗旨為：開(kāi)發(fā)保護(hù)信息與信息通信技術(shù)的標(biāo)準(zhǔn)1），目前秘書(shū)處設(shè)在DIN （Germany）2）。2019年4月，ISO/IEC JTC 1/SC 27將其名稱(chēng)由IT security techniques修改為information security，cybersecurity and privacy protection。一般而言，信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)，都包括了IT安全，或者信息系統(tǒng)安全，其關(guān)系大致如圖1所示。顯然，新修改的名稱(chēng)更符合ISO/IEC JTC 1/SC 27成立的本意。

1 ?信息安全

信息安全是一個(gè)比較廣義的詞匯，也是目前應(yīng)用最廣泛的詞匯。信息安全是隨著IT的發(fā)展，從通信安全、計(jì)算機(jī)安全和網(wǎng)絡(luò)安全（network security）等自然而然過(guò)渡而來(lái)的概念。因?yàn)椋瑹o(wú)論是“數(shù)據(jù)”還是“信息”，都要通過(guò)介質(zhì)進(jìn)行處理或者傳輸，所以導(dǎo)致在這過(guò)程中，人們傾向于以此代表強(qiáng)調(diào)的重點(diǎn)。例如，通信安全時(shí)代，是為了保護(hù)通信中的信息安全;計(jì)算機(jī)安全時(shí)代，是為了保護(hù)計(jì)算機(jī)所處理的信息的安全。但其最終目的都是一樣的，即保護(hù)“信息”的安全。

信息是無(wú)處不在的，也存在于各種形式，可以是數(shù)字存儲(chǔ)的，也可能是打印的，還有更多的以不可直接讀的形式存儲(chǔ)在人的大腦中。因此，如果對(duì)信息安全進(jìn)行定義，就不能過(guò)于具體，基于這種考慮，ISO/IEC 27000：2018《信息技術(shù) ?安全技術(shù) ?信息安全管理體系 概述與詞匯》中，對(duì)信息安全的定義為：

保持信息的保密性（confidentiality）、完整性（integrity）和可用性（availability）。

注1：此外，也可包括如真實(shí)性（authenticity）、可核查性（accountability）、不可否認(rèn)性（non-repudiation）和可靠性（reliability）等其他屬性。

ISO/IEC 27000：2018中對(duì)于信息安全的定義，不再提及安全保護(hù)的過(guò)程或手段，而是直接描述信息安全的結(jié)果和目的。簡(jiǎn)而言之，信息安全就是為了保持信息的安全。

2 ?網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全的全稱(chēng)為網(wǎng)絡(luò)空間安全（cyberspace security），在ISO/IEC 27032：2012《信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全指南》中，將cybersecurity/cyberspace security定義為：

保持網(wǎng)絡(luò)空間信息的保密性、完整性和可用性。

注1：此外，也可包括如真實(shí)性、可核查性、不可否認(rèn)性和可靠性等其他屬性。

注2：該定義修改自ISO/IEC 27000：2009中對(duì)信息安全的定義。

網(wǎng)絡(luò)空間是一個(gè)建立在IT技術(shù)基礎(chǔ)上的虛擬世界，討論網(wǎng)絡(luò)空間安全的邏輯與討論信息安全的邏輯完全不同。對(duì)于信息安全而言，核心是“信息”，如圖2所示。

信息安全是圍繞信息為中心展開(kāi)的架構(gòu)，之所以討論軟件、硬件直至物理環(huán)境等安全，本質(zhì)都是為了保護(hù)信息。但是網(wǎng)絡(luò)空間安全不同，網(wǎng)絡(luò)空間本身就是廣義的，包括了方方面面，ISO/IEC 27032：2012的定義相對(duì)是狹隘的，對(duì)于網(wǎng)絡(luò)安全而言，其保護(hù)的對(duì)象應(yīng)該是“網(wǎng)絡(luò)空間”，而不僅僅是“網(wǎng)絡(luò)空間信息”。例如，在網(wǎng)上對(duì)另一個(gè)人進(jìn)行人身攻擊，這并不涉及信息的保密性、完整性和可用性，當(dāng)然，既然是攻擊，可能會(huì)涉及一部分“真實(shí)性”等問(wèn)題，但是對(duì)人的謾罵，信息是否真實(shí)，并不是重點(diǎn)，這只是表達(dá)激烈的情緒。在這個(gè)案例中，網(wǎng)絡(luò)空間信息并沒(méi)有受到太大影響，但是網(wǎng)絡(luò)空間的秩序卻遭到了破壞。

這也是信息安全和網(wǎng)絡(luò)安全的最主要區(qū)別之一。

信息安全是為了保護(hù)信息的諸多安全屬性，對(duì)于信息處理設(shè)施的保護(hù)，視角依然是其對(duì)信息本身的作用大小，是手段，而不是目的。但是網(wǎng)絡(luò)安全，要保護(hù)的是這個(gè)虛擬的網(wǎng)絡(luò)空間的安全，還包括了上述案例中所描述的秩序等要素。

一般而言，信息安全最直觀的保護(hù)要素是“保密性”，這也是實(shí)踐中最經(jīng)常被混淆的概念，例如，以為信息安全就是為了保密。網(wǎng)絡(luò)最直觀要保護(hù)的要素是“可用性”，構(gòu)建網(wǎng)絡(luò)空間的關(guān)鍵信息基礎(chǔ)設(shè)施（Critical Information Infrastructure，CIIs）一旦被破壞，網(wǎng)絡(luò)空間不存在了，網(wǎng)絡(luò)安全就成了無(wú)源之水無(wú)本之木。

3 ?隱私保護(hù)

隱私保護(hù)在信息系統(tǒng)出現(xiàn)之前就是很重要的研究問(wèn)題，只是信息系統(tǒng)大面積應(yīng)用之后，隱私保護(hù)的形勢(shì)變得更加嚴(yán)峻而已[3]。在國(guó)內(nèi)，隱私保護(hù)并不是經(jīng)常提及的概念，而是代之以另一個(gè)概念，即個(gè)人信息保護(hù)。

GB/T 35273—2017《信息安全技術(shù) 個(gè)人信息安全規(guī)范》將“個(gè)人敏感信息”定義為：

一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息。

注1：個(gè)人敏感信息包括身份證件號(hào)碼、個(gè)人生物識(shí)別信息、銀行賬號(hào)、通信記錄和內(nèi)容、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14周歲以下（含）兒童的個(gè)人信息等。

在GB/T 35273—2017中，并沒(méi)有單獨(dú)定義“隱私”的概念，但是在附錄B中指出“自然人的隱私信息屬于個(gè)人敏感信息”，這說(shuō)明上述定義中所舉的個(gè)人敏感信息都屬于隱私的范疇。無(wú)論是隱私保護(hù)，還是個(gè)人信息保護(hù)，主要都是為了保護(hù)與個(gè)體相關(guān)的信息，進(jìn)而保護(hù)個(gè)體的人身安全。

在信息安全中，由于絕大部分信息都存儲(chǔ)在信息系統(tǒng)中，因此“信息系統(tǒng)安全”顯得尤為重要，從其發(fā)展過(guò)程來(lái)看，“計(jì)算機(jī)安全”也一度成為信息安全的代名詞。隱私保護(hù)還是有很大的不同，雖然信息系統(tǒng)安全也很重要，但絕對(duì)到不了詞匯相互混用或容易混淆的狀態(tài)，真正導(dǎo)致隱私保護(hù)得到前所未有重視的，實(shí)際是大數(shù)據(jù)時(shí)代的到來(lái)。

4 ?保守國(guó)家秘密

保守國(guó)家秘密，在實(shí)踐中，經(jīng)常被簡(jiǎn)稱(chēng)“保密”。對(duì)政府機(jī)關(guān)而言，公文中所謂的“涉密”“保密”一般情況下指的都是“國(guó)家秘密”。顯然，這是一個(gè)限定了范圍的專(zhuān)用詞匯，雖然其簡(jiǎn)稱(chēng)很容易被混淆。

保密與隱私保護(hù)情況差不多，在信息系統(tǒng)出現(xiàn)之前就已經(jīng)很重要，例如，《保守國(guó)家機(jī)密暫行條例》于1951年6月1日政務(wù)院3）第八十七次政務(wù)會(huì)議通過(guò)，1951年6月7日?qǐng)?bào)請(qǐng)中央人民政府主席批準(zhǔn)，1951年6月8日公布。這就是《中華人民共和國(guó)保守國(guó)家秘密法》的早期版本。世界上第一臺(tái)計(jì)算機(jī)“ENIAC”到1946年才在美國(guó)發(fā)明，在1951年，信息系統(tǒng)在國(guó)內(nèi)不可能得到大規(guī)模的應(yīng)用。

可見(jiàn)，雖然保密與信息系統(tǒng)也有著千絲萬(wàn)縷的聯(lián)系，但是保守國(guó)家秘密與信息系統(tǒng)的發(fā)展并沒(méi)有必然的聯(lián)系。討論信息安全的公文一般都會(huì)將“涉密”的內(nèi)容單獨(dú)拿出來(lái)，而且主管機(jī)構(gòu)也不是一個(gè)。1994年公布的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院令第147號(hào)）中明確規(guī)定“公安部主管全國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作”，“依法履行保密行政管理職能”則是國(guó)家保密局的職責(zé)。

5 ?小結(jié)

本文主要針對(duì)ISO/IEC JTC 1/SC 27名稱(chēng)的變化，對(duì)于其中詞匯進(jìn)行了統(tǒng)一的辨析，重點(diǎn)給出了信息安全、網(wǎng)絡(luò)安全與隱私保護(hù)的定義，分析了這三者之間的異同?；\統(tǒng)地講，網(wǎng)絡(luò)安全偏重國(guó)家安全的層次，信息安全偏重組織安全的層次，隱私保護(hù)則偏重個(gè)體安全的層次。當(dāng)然，這三者并沒(méi)有嚴(yán)格的區(qū)分。除此之外，為防止詞匯混淆，本文中也介紹了經(jīng)常被簡(jiǎn)稱(chēng)為“保密”的保守國(guó)家秘密。

參考文獻(xiàn)

[1] 謝宗曉. 信息安全、網(wǎng)絡(luò)安全及賽博安全相關(guān)詞匯辨析[J].? ? ?中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2015（12）30-32.

[2] 謝宗曉. 關(guān)于網(wǎng)絡(luò)空間（cyberspace）及其相關(guān)詞匯的再解? ? ? 析[J]. 中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2016（2）26-28.

[3] 林潤(rùn)輝，李大輝，謝宗曉，等. 信息安全管理 理論與實(shí)踐[M].?? ? ?北京：中國(guó)標(biāo)準(zhǔn)出版社，2015.