信息安全管理系列之五十四 信息安全、網絡安全與隱私保護

謝宗曉 董坤祥 甄杰

信息安全管理系列之五十四

ISO/IEC JTC 1/SC 27最近將其名稱中“IT security techniques（信息技術安全技術）”修改為“information security，cybersecurity and privacy protection（信息安全、網絡安全與隱私保護）”。雖然在本專欄中，我們已經討論過數次，例如，文獻[1][2]，但是對隱私保護介紹并不多。本文將這三個詞匯放在一起，進行了辨析。

謝宗曉（特約編輯）

摘要：給出信息安全、網絡安全與隱私保護的定義，分析三者之間的異同，介紹了“保密”的相關內容。

關鍵詞：信息安全 ?網絡安全 ?隱私保護

Abstract： This paper gives the definition of information security，cybersecurity and privacy protection，and analyzes the similarities and differences among the three，in addition，it also introduces the relevant content of keep state secrets.

Key words： information security，cybersecurity，privacy protection

ISO/IEC JTC 1/SC 27成立于1989年，其宗旨為：開發保護信息與信息通信技術的標準1），目前秘書處設在DIN （Germany）2）。2019年4月，ISO/IEC JTC 1/SC 27將其名稱由IT security techniques修改為information security，cybersecurity and privacy protection。一般而言，信息安全、網絡安全和隱私保護，都包括了IT安全，或者信息系統安全，其關系大致如圖1所示。顯然，新修改的名稱更符合ISO/IEC JTC 1/SC 27成立的本意。

1 ?信息安全

信息安全是一個比較廣義的詞匯，也是目前應用最廣泛的詞匯。信息安全是隨著IT的發展，從通信安全、計算機安全和網絡安全（network security）等自然而然過渡而來的概念。因為，無論是“數據”還是“信息”，都要通過介質進行處理或者傳輸，所以導致在這過程中，人們傾向于以此代表強調的重點。例如，通信安全時代，是為了保護通信中的信息安全;計算機安全時代，是為了保護計算機所處理的信息的安全。但其最終目的都是一樣的，即保護“信息”的安全。

信息是無處不在的，也存在于各種形式，可以是數字存儲的，也可能是打印的，還有更多的以不可直接讀的形式存儲在人的大腦中。因此，如果對信息安全進行定義，就不能過于具體，基于這種考慮，ISO/IEC 27000：2018《信息技術 ?安全技術 ?信息安全管理體系 概述與詞匯》中，對信息安全的定義為：

保持信息的保密性（confidentiality）、完整性（integrity）和可用性（availability）。

注1：此外，也可包括如真實性（authenticity）、可核查性（accountability）、不可否認性（non-repudiation）和可靠性（reliability）等其他屬性。

ISO/IEC 27000：2018中對于信息安全的定義，不再提及安全保護的過程或手段，而是直接描述信息安全的結果和目的。簡而言之，信息安全就是為了保持信息的安全。

2 ?網絡安全

網絡安全的全稱為網絡空間安全（cyberspace security），在ISO/IEC 27032：2012《信息技術 安全技術 網絡安全指南》中，將cybersecurity/cyberspace security定義為：

保持網絡空間信息的保密性、完整性和可用性。

注1：此外，也可包括如真實性、可核查性、不可否認性和可靠性等其他屬性。

注2：該定義修改自ISO/IEC 27000：2009中對信息安全的定義。

網絡空間是一個建立在IT技術基礎上的虛擬世界，討論網絡空間安全的邏輯與討論信息安全的邏輯完全不同。對于信息安全而言，核心是“信息”，如圖2所示。

信息安全是圍繞信息為中心展開的架構，之所以討論軟件、硬件直至物理環境等安全，本質都是為了保護信息。但是網絡空間安全不同，網絡空間本身就是廣義的，包括了方方面面，ISO/IEC 27032：2012的定義相對是狹隘的，對于網絡安全而言，其保護的對象應該是“網絡空間”，而不僅僅是“網絡空間信息”。例如，在網上對另一個人進行人身攻擊，這并不涉及信息的保密性、完整性和可用性，當然，既然是攻擊，可能會涉及一部分“真實性”等問題，但是對人的謾罵，信息是否真實，并不是重點，這只是表達激烈的情緒。在這個案例中，網絡空間信息并沒有受到太大影響，但是網絡空間的秩序卻遭到了破壞。

這也是信息安全和網絡安全的最主要區別之一。

信息安全是為了保護信息的諸多安全屬性，對于信息處理設施的保護，視角依然是其對信息本身的作用大小，是手段，而不是目的。但是網絡安全，要保護的是這個虛擬的網絡空間的安全，還包括了上述案例中所描述的秩序等要素。

一般而言，信息安全最直觀的保護要素是“保密性”，這也是實踐中最經常被混淆的概念，例如，以為信息安全就是為了保密。網絡最直觀要保護的要素是“可用性”，構建網絡空間的關鍵信息基礎設施（Critical Information Infrastructure，CIIs）一旦被破壞，網絡空間不存在了，網絡安全就成了無源之水無本之木。

3 ?隱私保護

隱私保護在信息系統出現之前就是很重要的研究問題，只是信息系統大面積應用之后，隱私保護的形勢變得更加嚴峻而已[3]。在國內，隱私保護并不是經常提及的概念，而是代之以另一個概念，即個人信息保護。

GB/T 35273—2017《信息安全技術 個人信息安全規范》將“個人敏感信息”定義為：

一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。

注1：個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14周歲以下（含）兒童的個人信息等。

在GB/T 35273—2017中，并沒有單獨定義“隱私”的概念，但是在附錄B中指出“自然人的隱私信息屬于個人敏感信息”，這說明上述定義中所舉的個人敏感信息都屬于隱私的范疇。無論是隱私保護，還是個人信息保護，主要都是為了保護與個體相關的信息，進而保護個體的人身安全。

在信息安全中，由于絕大部分信息都存儲在信息系統中，因此“信息系統安全”顯得尤為重要，從其發展過程來看，“計算機安全”也一度成為信息安全的代名詞。隱私保護還是有很大的不同，雖然信息系統安全也很重要，但絕對到不了詞匯相互混用或容易混淆的狀態，真正導致隱私保護得到前所未有重視的，實際是大數據時代的到來。

4 ?保守國家秘密

保守國家秘密，在實踐中，經常被簡稱“保密”。對政府機關而言，公文中所謂的“涉密”“保密”一般情況下指的都是“國家秘密”。顯然，這是一個限定了范圍的專用詞匯，雖然其簡稱很容易被混淆。

保密與隱私保護情況差不多，在信息系統出現之前就已經很重要，例如，《保守國家機密暫行條例》于1951年6月1日政務院3）第八十七次政務會議通過，1951年6月7日報請中央人民政府主席批準，1951年6月8日公布。這就是《中華人民共和國保守國家秘密法》的早期版本。世界上第一臺計算機“ENIAC”到1946年才在美國發明，在1951年，信息系統在國內不可能得到大規模的應用。

可見，雖然保密與信息系統也有著千絲萬縷的聯系，但是保守國家秘密與信息系統的發展并沒有必然的聯系。討論信息安全的公文一般都會將“涉密”的內容單獨拿出來，而且主管機構也不是一個。1994年公布的《中華人民共和國計算機信息系統安全保護條例》（國務院令第147號）中明確規定“公安部主管全國計算機信息系統安全保護工作”，“依法履行保密行政管理職能”則是國家保密局的職責。

5 ?小結

本文主要針對ISO/IEC JTC 1/SC 27名稱的變化，對于其中詞匯進行了統一的辨析，重點給出了信息安全、網絡安全與隱私保護的定義，分析了這三者之間的異同。籠統地講，網絡安全偏重國家安全的層次，信息安全偏重組織安全的層次，隱私保護則偏重個體安全的層次。當然，這三者并沒有嚴格的區分。除此之外，為防止詞匯混淆，本文中也介紹了經常被簡稱為“保密”的保守國家秘密。

參考文獻

[1] 謝宗曉. 信息安全、網絡安全及賽博安全相關詞匯辨析[J].? ? ?中國標準導報，2015（12）30-32.

[2] 謝宗曉. 關于網絡空間（cyberspace）及其相關詞匯的再解? ? ? 析[J]. 中國標準導報，2016（2）26-28.

[3] 林潤輝，李大輝，謝宗曉，等. 信息安全管理 理論與實踐[M].?? ? ?北京：中國標準出版社，2015.