網(wǎng)絡(luò)安全（cybersecurity）國(guó)際標(biāo)準(zhǔn)進(jìn)展與解讀

謝宗曉 甄杰 董坤祥

網(wǎng)絡(luò)安全（cybersecurity）已經(jīng)成為ISO/IEC JTC 1/SC27（信息安全、網(wǎng)絡(luò)安全與隱私保護(hù)分技術(shù)委員會(huì)）的重要方向之一，在最新公布的SD11中1），信息安全管理體系工作組（WG1）會(huì)承擔(dān)相應(yīng)的工作。截至2019年5月，開(kāi)發(fā)中的或發(fā)布的相關(guān)標(biāo)準(zhǔn)共有4項(xiàng)，如表1所示。

1 概述與概念

ISO/IEC 27100于2018年10月立項(xiàng)，目前正在開(kāi)發(fā)中，狀態(tài)為工作組草案。計(jì)劃在2021年11月發(fā)布。該標(biāo)準(zhǔn)提供了網(wǎng)絡(luò)安全的概述，以及相關(guān)的術(shù)語(yǔ)和定義。

網(wǎng)絡(luò)安全已成為一個(gè)重要話題。雖然它看起來(lái)與信息安全相似，并且許多信息安全控制、方法和技術(shù)可以用于管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但網(wǎng)絡(luò)安全與信息安全還是存在諸多不同。尤其之前存在的狹義的網(wǎng)絡(luò)安全（network security），這與網(wǎng)絡(luò)安全術(shù)語(yǔ)的使用方式不一致[1，2]。需要一個(gè)標(biāo)準(zhǔn)來(lái)定義網(wǎng)絡(luò)安全，建立其情境，并描述相關(guān)概念，包括網(wǎng)絡(luò)安全與信息安全的關(guān)系和區(qū)別。

需要注意的是，在目前可以獲取的版本中，對(duì)于網(wǎng)絡(luò)空間（cyberspace）的定義并沒(méi)有強(qiáng)調(diào)其虛擬性，而是強(qiáng)調(diào)基礎(chǔ)設(shè)施，其中認(rèn)為：網(wǎng)絡(luò)空間是一個(gè)全球互聯(lián)的空間，包括互聯(lián)網(wǎng)和其他網(wǎng)絡(luò)、數(shù)字設(shè)備、系統(tǒng)、服務(wù)和流程，為個(gè)人、企業(yè)和政府的廣泛活動(dòng)和互動(dòng)提供了全球性的基礎(chǔ)設(shè)施。當(dāng)然，這與“虛擬性”也不矛盾。

2 框架開(kāi)發(fā)指南

ISO/IEC 27101于2018年4月立項(xiàng)，目前正在開(kāi)發(fā)中，狀態(tài)為工作組草案。計(jì)劃在2020年4月發(fā)布。該標(biāo)準(zhǔn)為網(wǎng)絡(luò)安全框架開(kāi)發(fā)提供了指南，適用于組織內(nèi)網(wǎng)絡(luò)安全框架的開(kāi)發(fā)者使用，計(jì)劃適用于所有類(lèi)型的組織。

目前已經(jīng)發(fā)布的網(wǎng)絡(luò)安全框架主要有：

a）ISO/IEC 27032：2012《信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全指南》[3];

b）《NIST網(wǎng)絡(luò)安全框架》（NIST 4） Cybersecurity Framework）[4]。

考慮到ISO/IEC 27032：2012的提案者為美國(guó)，應(yīng)該會(huì)大量參考《NIST網(wǎng)絡(luò)安全框架》，當(dāng)然，在目前可以參考的文獻(xiàn)中，最詳細(xì)、最有參考價(jià)值的也是《NIST網(wǎng)絡(luò)安全框架》。

3 網(wǎng)絡(luò)保險(xiǎn)指南

ISO/IEC 27102目前正在開(kāi)發(fā)中，狀態(tài)為國(guó)際標(biāo)準(zhǔn)草案階段。從已經(jīng)發(fā)布的ISO/IEC DIS 27102來(lái)看，該標(biāo)準(zhǔn)中所討論的網(wǎng)絡(luò)保險(xiǎn)是甲方視角的，即討論怎么購(gòu)買(mǎi)網(wǎng)絡(luò)保險(xiǎn)，而不是如何售賣(mài)網(wǎng)絡(luò)保險(xiǎn)。從這個(gè)角度講，ISO/IEC 27102與ISO/IEC 27001：2013《信息安全管理體系 要求》就結(jié)合起來(lái)了，在ISO/IEC 27001：2013的4.2.1 f）中討論風(fēng)險(xiǎn)處置選項(xiàng)，其中一個(gè)選項(xiàng)就是將風(fēng)險(xiǎn)轉(zhuǎn)移至相關(guān)方，例如，保險(xiǎn)商或供應(yīng)商。

ISO/IEC DIS 27102定義了一系列的網(wǎng)絡(luò)（cyber）相關(guān)詞匯，例如，網(wǎng)絡(luò)事件、網(wǎng)絡(luò)保險(xiǎn)、網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)空間等。

ISO/IEC DIS 27102包含8章正文、1個(gè)附錄。前3章為通用條款，第4章為標(biāo)準(zhǔn)結(jié)構(gòu)說(shuō)明，第5章為概述，第6章討論了網(wǎng)絡(luò)風(fēng)險(xiǎn)與網(wǎng)絡(luò)保險(xiǎn)，既然是討論保險(xiǎn)，最相關(guān)的就是網(wǎng)絡(luò)事件，因此，在該章中還討論了網(wǎng)絡(luò)事件的類(lèi)型及其影響等。但是原則上講，對(duì)網(wǎng)絡(luò)事件的刻畫(huà)，應(yīng)該是保險(xiǎn)供應(yīng)商的問(wèn)題，而不是用戶(hù)的責(zé)任。這是一個(gè)新興的研究領(lǐng)域，例如，文獻(xiàn)[5]就對(duì)網(wǎng)絡(luò)安全事件進(jìn)行了數(shù)學(xué)建模。第7章，描述了一個(gè)支持網(wǎng)絡(luò)保險(xiǎn)的風(fēng)險(xiǎn)評(píng)估過(guò)程。第8章，專(zhuān)門(mén)討論了信息安全管理體系（Information Security Management System，ISMS）在網(wǎng)絡(luò)保險(xiǎn)中的角色。

總之，ISO/IEC DIS 27102所討論的網(wǎng)絡(luò)保險(xiǎn)，不是指線上保險(xiǎn)，而是指針對(duì)網(wǎng)絡(luò)安全事件的保險(xiǎn)，從這個(gè)角度講，與信息安全保險(xiǎn)區(qū)別不大。

4 ISO與IEC關(guān)于網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)

ISO/IEC 27103目前發(fā)布的狀態(tài)為技術(shù)報(bào)告階段，該標(biāo)準(zhǔn)實(shí)際類(lèi)似于一個(gè)ISO/IEC 27000標(biāo)準(zhǔn)族的索引，其中第5章也開(kāi)門(mén)見(jiàn)山地提出，雖然網(wǎng)絡(luò)安全是個(gè)新生事物，但是ISO、IEC以及ISO/IEC標(biāo)準(zhǔn)發(fā)展了至少25年了，已經(jīng)成為有用的參考。況且，ISO/IEC 27001已經(jīng)提供了一個(gè)風(fēng)險(xiǎn)管理框架，可用于確定組織內(nèi)網(wǎng)絡(luò)安全活動(dòng)的優(yōu)先級(jí)和實(shí)施。

ISO/IEC TR 27103：2018給出了一個(gè)網(wǎng)絡(luò)安全框架，包括：識(shí)別（Identify）、保護(hù)（Protect）、檢測(cè)（Detect）、響應(yīng)（Respond）與恢復(fù)（Recover）。圍繞這個(gè)框架，則是相應(yīng)的ISO、IEC或者ISO/IEC標(biāo)準(zhǔn)的索引。這個(gè)框架沿用自上文中所提到的《NIST網(wǎng)絡(luò)安全框架》，索引結(jié)構(gòu)的形式也是如此[6]。

在引言中，用到了“最佳實(shí)踐（Best Practice，BP）”這個(gè)詞匯，但是并沒(méi)有明確地指出哪些是最佳實(shí)踐?；镜倪壿嬍牵诿鎸?duì)網(wǎng)絡(luò)安全這樣的新生事物，利用已有的最佳實(shí)踐和基線（baseline）是大有裨益的。

此外，ISO/IEC TR 27103：2018引用了ISO/IEC 27000：2016《信息安全管理體系 概述與詞匯》關(guān)于“信息安全”的定義，并沒(méi)有定義“網(wǎng)絡(luò)安全”。對(duì)兩者的區(qū)別，有提及，但是沒(méi)有深入。該標(biāo)準(zhǔn)中提到：風(fēng)險(xiǎn)管理的視角和方法受到“網(wǎng)絡(luò)安全”和“信息安全”術(shù)語(yǔ)的影響。在處置類(lèi)似風(fēng)險(xiǎn)時(shí)，“網(wǎng)絡(luò)安全”側(cè)重于外部威脅和為組織目的使用信息的需要，而“信息安全”則考慮來(lái)自?xún)?nèi)部或外部的所有風(fēng)險(xiǎn)。還有一種看法是，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要與對(duì)抗性威脅有關(guān)，缺乏“網(wǎng)絡(luò)安全”對(duì)組織造成的后果可能比缺乏“信息安全”更嚴(yán)重。因此，網(wǎng)絡(luò)安全比信息安全更與組織相關(guān)。這種認(rèn)知會(huì)導(dǎo)致混淆，也會(huì)降低風(fēng)險(xiǎn)評(píng)估和處置的有效性。

5 小結(jié)

本文介紹了與網(wǎng)絡(luò)安全相關(guān)的4個(gè)國(guó)際標(biāo)準(zhǔn)，包括ISO/IEC 27100、ISO/IEC 27101、ISO/IEC 27102以及ISO/IEC 27103，雖然上述標(biāo)準(zhǔn)基本都在開(kāi)發(fā)中，但是其框架和主要內(nèi)容已經(jīng)比較明確。由于ISO和IEC等機(jī)構(gòu)已經(jīng)發(fā)布的信息安全標(biāo)準(zhǔn)眾多，而且體系完備，加上網(wǎng)絡(luò)安全和信息安全雖然不同，但畢竟存在諸多重合，在后續(xù)的標(biāo)準(zhǔn)研發(fā)中，網(wǎng)絡(luò)安全標(biāo)準(zhǔn)應(yīng)該會(huì)大量引用已有的“最佳實(shí)踐”和“安全基線”。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點(diǎn)無(wú)關(guān)）

參考文獻(xiàn)

[1] 謝宗曉. 關(guān)于網(wǎng)絡(luò)空間（cyberspace）及其相關(guān)詞匯的再解 ?析[J].中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)， 2016（2）： 26-28.

[2] 謝宗曉. 信息安全、網(wǎng)絡(luò)安全及賽博安全相關(guān)詞匯辨析[J].? ? ?中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)， 2015（12）： 30-32.

[3] 謝宗曉，張菡. 網(wǎng)絡(luò)安全指南國(guó)際標(biāo)準(zhǔn)（ISO/IEC 27032：? ? ?2012）介紹[J].中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)， 2016（10）： 22-24+29.

[4] 謝宗曉，董坤祥，張菡. NIST關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框? ? ?架介紹[J]. 中國(guó)質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)， 2017（5）：46-49.

[5] Bouveret A. Cyber Risk for the Financial Sector： A? ? ?Framework for Quantitative Assessment [J]， IMF? ? ?Working Papers 18/143， International Monetary?? ? ?Fund. 2018.

[6] 謝宗曉，甄杰，林潤(rùn)輝，等. 網(wǎng)絡(luò)空間安全管理[M]. 北京：中? ? ? 國(guó)標(biāo)準(zhǔn)出版社， 2017.