王世伟

信息安全、网络安全、网络空间安全是近年来国内外非传统安全领域出现频度较高的词汇，在各国的安全战略和政策文件中，在相应的国家管理机构名称中，在新闻媒体的文字报道中，在学术理论研究的名词术语中，以及在各类相关的活动用语中，这几个概念交叉出现，但逻辑界线并不清晰，需要进行深入研究，以便在信息安全研究与实践的逻辑起点上有理性清晰的认知，在信息安全的基础理论研究中能形成业界内外公认的学术规范。本文主要依据近年来全球信息安全领域的文献资料，并结合与之相关的实践活动，对信息安全、网络安全、网络空间安全等概念及其相互关系做初步探讨。

1 “信息安全”的概念与范围

1.1 “信息安全”概念的出现和发展

信息安全的实践在世界各国早已出现，但一直到了20世纪40年代，通信保密才进入学术界的视野。20世纪50年代，科技文献中开始出现“信息安全”用词，至20世纪90年代，“信息安全”一词陆续出现在各国和地区的政策文献中，相关的学术研究文献也逐步增加。总部设在美国佛罗里达州的国际信息系统安全认证组织（International Information Systems Security Consortium）将信息安全划分为十大领域，包括物理安全、商务连续和灾害重建计划、安全结构和模式、应用和系统开发、通信和网络安全、访问控制领域、密码学领域、安全管理实践、操作安全、法律侦察和道德规划。可见，“信息安全”概念所涉的范围很广，在各类物理安全的基础上，包括了“通信和网络安全”的要素。据文献考察，1990年成立的“德国联邦信息技术安全局”（BSI）（或译为“德国联邦资讯安全局”），是“信息安全”出现在机构名称中较早的例子。1992年3月，欧盟理事会通过了“关于信息系统安全领域的第92、242、EEC号决定”，是欧盟较早的信息安全政策，也是“信息安全”一词出现在政策文件中较早的例子。1994年2月，中国国务院出台了第一部关于计算机信息安全的法规《中华人民共和国计算机信息系统安全保护条例》；1996年 2月，法国也成立了“法国信息系统安全服务中心”。以上名称中均使用了“信息系统安全”。“信息安全”不仅成为机构和政策的用词，也逐渐细化为专指某一领域或某一方面的信息安全问题。

进入21世纪，“信息安全”一词出现的范围不断扩大，在各类文献中出现的频次也不断增加。

从以上列举的国际组织和国内外政府的相关文件中可以发现，进入21世纪后，“信息安全”成为各国安全领域聚焦的重点。既有理论的研究，也有国家秘密、商业秘密和个人隐私保护的探讨；既有国家战略的策划，也有信息安全内容的管理；既有信息安全技术标准的制定，也有国际行为准则的起草。信息安全已成为全球总体安全和综合安全最重要的非传统安全领域之一。

1.2 “信息安全”的内涵及其引申出的系列相关概念

所谓信息安全，指保障国家、机构、个人的信息空间、信息载体和信息资源不受来自内外各种形式的危险、威胁、侵害和误导的外在状态和方式及内在主体感受。信息安全从研究和实践而言，可以从诸多维度来观察。以信息安全威胁而言，包括信息主权的博弈、各类信息犯罪、各类信息攻防的技术等。以信息安全政策而言，包括国际和地区组织的政策、国家或城市的政策、某一领域和行业的政策、国际的双边与多边协议等。以信息安全法律而言，包括国际和地区组织的法律、国家或某一城市的法律、某一领域和行业的法律等。以信息安全标准而言，包括国际信息安全标准、国家信息安全标准、信息安全管理标准、信息安全认证标准、信息安全评价标准、信息安全等级标准、某一范围的信息安全标准等。以信息安全机构而言，包括国际或地区组织机构、国家机构、各国的行业机构、学术研究机构和智库等。以信息安全产业而言，包括信息安全产业基地或产业园、信息安全企业、信息安全产学研创新联盟、信息安全产品、信息安全服务等。以信息安全教育而言，包括信息安全素养教育、信息安全专业教育、信息安全职业认证、信息安全教育实践等。以信息安全研究而言，包括信息安全研究机构、信息安全著作和论文、信息安全会议与论坛、信息安全刊物和网站等。

信息安全作为一个大的概念，也引申出一系列相关的概念，如信息主权、信息疆域、信息战等。所谓信息主权，是指一个国家对本国的信息传播系统和传播数据内容进行自主管理的权利，是信息时代国家主权的重要组成部分。由此也形成了信息疆域的概念，即同国家安全有关的信息空间及物理载体。在世界上，一些信息强国利用技术、语言、文化以及经济等方面的优势，控制、限制乃至压制他国信息内容的多样性、信息传播的自主性及信息管理的安全性。2014年7月，习近平总书记在巴西出席金砖国家领导人第六次会晤和在巴西国会发表演讲时强调：“互联网技术再发展也不能侵犯他国的信息主权。……更不能牺牲别国安全谋求自身所谓绝对安全。国际社会要本着相互尊重和相互信任的原则，通过积极有效的国际合作，共同构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的国际互联网治理体系。”这里所提出的“信息主权”的概念，已经与建设民主平等的网络安全和构建全球互联网治理体系的创新思想联系在一起。“信息战”的概念则折射出信息安全与网络安全概念的前后相续和相互交织。信息战的研究始于20世纪90年代初。1990年沈伟光的《信息战》一书问世，较早地提出了信息战的新概念，被誉为“信息战之父”。1994年，温·施瓦图出版了《信息战：电子高速公路上的混乱》一书，提出了“电子珍珠港事件”随时可能发生的警告，这一新思想启发了网络大规模杀伤性武器等新概念的提出。2000年4月，俄罗斯总统普京签署了《新军事学说》，同年6月，俄罗斯发布了国家政策文件《国家信息安全学说》，专门讨论军事领域的信息战问题，认为以侵略为目的的信息操作已成为世界形势不稳定的主要原因之一。以上列举的信息安全相关概念，都或多或少地反映出信息安全与网络安全、网络空间安全概念具有紧密的联系。

2 “信息安全”与“网络安全”“网络空间安全”的联系与区别

随着全球社会信息化的深入发展和持续推进，相比物理的现实社会，网络空间中的数字社会在各个领域所占的比重越来越大，有的已经超过了半数。数量的增长带来了质量的变化，以数字化、网络化、智能化、互联化、泛在化为特征的网络社会，为信息安全带来了新技术、新环境和新形态，信息安全主要体现在现实物理社会的情况发生了变化，开始更多地体现在网络安全领域，反映在跨越时空的网络系统和网络空间之中，反映在全球化的互联互通之中。

2.1 互联网的发展使信息安全向网络安全和网络空间安全聚焦

20世纪60年代，互联网发端之际，美国国防部高级研究计划署便将位于不同研究机构和大学的四台主要计算机连接起来，形成互联。20世纪70年代，这样的互联进一步扩展至英国和挪威，逐步形成了互联网。20年后的1994年4月，中国北京中关村的教育与科研示范网通过美国公司接入互联网国际专线，由此确立了全功能互联网国家的地位。随着互联网在全世界的普及与应用，信息安全更多地聚焦于网络数字世界。网络带来的诸多安全问题成为信息安全发展的新趋势和新特点，已很难直接用“信息安全”一词来准确表述网络安全和网络空间安全的新进展，且无法深刻揭示网络安全和网络空间安全的新特征。虽然“信息安全”仍经常使用，但“网络安全”和“网络空间安全”开始与“信息安全”并举，甚或直接用“国际联网安全”“互联网安全”“网络安全”“网络空间安全”等词语。20世纪90年代以来，信息安全开始向网络安全聚焦，经历了一个逐步发展和逐步强化的过程，这可以从国内和国际两个范围来考察。

以上列举的仅是国内外信息安全发展趋势的部分例子，在20世纪90年代广泛使用的“信息安全”一词，在进入21世纪的十多年中，已逐步与“网络安全”和“网络空间安全”并用，而网络安全与网络空间安全的使用频度不断增加，这在发达国家的相关文献中尤为突出，而中国对网络安全和网络空间安全的认知相对滞后。尽管信息安全至今仍然是人们常用的概念，但随着2002年世界经合组织通过了关于信息系统和网络安全的指南文件，特别是2003年美国发布了网络空间战略的国家文件，“网络安全”和“网络空间安全”开始成为较之“信息安全”更为社会和业界所聚焦和关注的概念，在理论研究和实践中也使用得更加频繁。

2.2 信息安全、网络安全、网络空间安全三者的异同

从上文所列举的国内外诸多政策和标准文献中，我们可以发现，信息安全、网络安全、网络空间安全三者往往交替使用或并行使用。如2003年 12月在日内瓦召开的联合国“信息社会世界峰会”首次就信息社会问题进行了讨论。会议讨论通过的《日内瓦原则宣言》第五条原则“树立使用信息通信技术的信心并提高安全性”中，使用了“网络信息安全”的概念；会议通过的另一份文件《日内瓦行动计划》的十条措施中，多处并行使用了“信息安全”与“网络安全”两个概念。在中国，2012年6月，国务院发布《关于大力推进信息化发展和切实保障信息安全的若干意见》，文件中多次出现了“网络与信息安全”的用词，如“夯实网络与信息安全基础”“提升网络与信息安全监管能力”“提升网络与信息安全”等。说明信息安全在受到网络安全和网络空间安全影响的过程中，这3个词有一个混用的模糊期，使人们对这3个词汇概念的理解和在实践的应用中产生一定程度的或然性，使学术规范受到了影响，在实践应用中也产生了不确定性。

同时，网络安全与网络空间安全这两个概念在实际使用中区分也并不严格。如2011年11月英国发布的《国家网络安全战略：在数字世界中保护和促进英国的发展》，文件名称中讲的是网络安全，但在文件的内容阐述中，专门讨论了网络空间如何驱动经济增长和变化中的威胁等问题；2014年11月在中国浙江乌镇举行首届世界互联网大会，主办方在会议文件中对“网络安全”板块的讨论则用“网络空间安全”的主题来表述，使人们对网络安全与网络空间安全的概念难以区分。

那么信息安全、网络安全和网络空间安全这3个概念究竟应当如何理解并区分呢？

2.2.1 信息安全、网络安全与网络空间安全三者的相同点（1）三者均类属于非传统安全领域。较之军事、政治和外交的传统安全而言，信息安全、网络安全、网络空间安全都类属于非传统安全领域，是进入 20世纪末特别是21世纪初以来人类所共同面临的日益突出的安全问题。2004年9月，中国共产党第十六届中央委员会第四次全体会议通过的《中共中央关于加强党的执政能力建设的决定》，明确指出要“确保国家的政治安全、经济安全、文化安全和信息安全”以及“确保国防安全”。2006年10月，中国共产党第十六届中央委员会第六次全体会议通过《中共中央关于构建社会主义和谐社会若干重大问题的决定》，再次强调了四大安全领域，即“确保国家政治安全、经济安全、文化安全、信息安全”。2012年11月，中国共产党第十八次全国代表大会的报告中，先后提到了信息安全、太空安全、网络空间安全。2014年 2月，中央网络安全和信息化领导小组第一次会议进一步提出了网络安全的新要求。近年来中国与世界各国和地区组织签订的双边和多边的各类协议和发表的共同声明中，信息安全、网络安全和网络空间安全成为相互协商和共同治理的重要内容。

（2） 三者都聚焦于信息安全。信息安全可以理解为保障国家、机构、个人的信息空间、信息载体和信息资源不受来自内外各种形式的危险、威胁、侵害和误导的外在状态和方式及内在主体感受。网络安全、网络空间安全的核心也是信息安全，只是出发点和侧重点有所差别。

（3）三者可以互相使用，但各有侧重点。信息安全使用范围最广，可以指线下和线上的信息安全，即既可以指称传统的信息系统安全和计算机安全等类型的信息安全，也可以指称网络安全和网络空间安全，但无法完全替代网络安全与网络空间安全的内涵；网络安全可以指称信息安全或网络空间安全，但侧重点是线上安全和网络社会安全；网络空间安全可以指称信息安全或网络安全，但侧重点是与陆、海、空、太空等并行的空间概念，并一开始就具有军事性质；与信息安全相比较，网络安全与网络空间安全反映的信息安全更立体、更宽域、更多层次，也更多样，更能体现出网络和空间的特征，并与其他安全领域更多地渗透与融合。

2.2.2 信息安全、网络安全与网络空间安全三者的不同点（1）对应的英文名称反映出三者的视角不同。信息安全对应的英文是information security，网络安全对应的英文是network security或 cybersecurity，网络空间安全对应的英文是 security incyberspace。从三者对应的英文名称中可以看出，“信息安全”所反映的安全问题基于“信息”，“网络安全”所反映的安全问题基于“网络”，“网络空间安全”所反映的安全问题基于“空间”，这正是三者的不同点。

（2）三者提出的背景不同。信息安全最初是基于现实社会的信息安全所提出的概念，随着网络社会的来临，也可以指称网络安全或网络空间安全；网络安全则相对于现实社会的信息安全而言，是基于互联网的发展以及网络社会到来所面临的信息安全新挑战所提出的概念；而网络空间安全则是基于对全球五大空间的新认知，网域与现实空间中的陆域、海域、空域、太空一起，共同形成了人类自然与社会以及国家的公域空间，具有全球空间的性质。可见，三者的概念在安全的对象方面有所区别。

（3） 三者所涉内涵与外延不同。信息安全作为非传统安全的重要领域，以往较多地注重信息系统的物理安全和技术安全。随着信息技术的发展，先后出现了物联网、智慧城市、云计算、大数据、移动互联网、智能制造、空间地理信息集成等新一代信息技术和载体，这些新技术和新载体都与网络紧密相联，伴随着这些新技术和新载体的发展而带来的新的信息安全问题，形成了隐蔽关联性、集群风险性、泛在模糊性、跨域渗透性、交叉复杂性、总体综合性等新特点。在网络空间，安全主体易受攻击，安全侵害迅即发生，威胁不可预知，易形成群体极化，安全防范具有非技术性特点。如大数据在云端汇聚之后，就给网络安全带来了信息大量泄露的新威胁；物联网、智慧城市、移动互联网在提供高效、泛在和便捷服务的同时，也使巨量的个人信息和机构数据在线上不时处于裸露状态，为网络犯罪提供了可能。随着网络安全的发展，网络武器、网络间谍、网络水军、网络犯罪、网络政治动员等相继产生。不仅如此，网络安全和网络空间安全将安全的范围拓展至网络空间中所形成的一切安全问题，涉及网络政治、网络经济、网络文化、网络社会、网络外交、网络军事等诸多领域，使信息安全形成了综合性和全球性的新特点。以上这些都是以往“信息安全”一词所不具备的内涵或无法完全涵盖的，需要用“网络安全”和“网络空间安全”来表达。网络安全与网络空间安全形成了跨时空、多层次、立体化、广渗透、深融合的新形态，与其他传统安全和非传统安全领域形成了交叉渗透的联系，成为具有总体安全、综合安全、共同安全、合作安全性质的新安全领域。

与网络安全相比较，网络空间安全作为一个相对的概念，具有针对性和专指性，与网络安全有细微的差别。尽管两者都聚焦于网络，但所提出的对象有所不同；较之“网络安全”，“网络空间安全”更注重空间和全球的范畴。2011年4月，美国政府正式公布了《网络空间可信身份国家战略》，此战略阐述了美国政府试图在现有技术和标准的基础上建立“身份生态体系”，进而实现相互信任的网络环境，促进网络健康发展。2011年7月，美国国防部发布了《网络空间行动战略》，这一战略明确将网络空间与陆、海、空、太空并列为五大行动领域，将网络空间列为作战区域，提出了变被动防御为主动防御的网络战进攻思想，推动了网络空间军事化的进程。在这一战略中所提出的五大战略倡议，包括确立网络空间的应有军事地位，进行主动防御，保护关键设施，防护集体网络，加强技术创新，使非传统安全的“网络空间安全”打上了传统军事安全的深刻烙印。可见，美国所推出的系列网络空间战略政策文件，实际上涉及了网络空间安全的生态环境问题，体现了网络空间的专指性，可以帮助我们认识网络安全与网络空间安全两者之间的差异。

2.2.3 案例说明本文通过3个案例来进一步认识信息安全、网络安全与网络空间安全三者的异同。

（1）中国古代边疆面临侵犯危险时，多在高台上烧柴或狼粪以报警，被称为烽火、烽烟、狼烟、烽燧等，春秋战国时期及后来历代修筑的长城即筑有烽火台。公元前400年，斯巴达人发明了“塞塔式密码”，形成了最早的密码技术，并据此产生了密文。注重高台、烽火的作用，以及使用密码等信息安全技术，这些都是传统信息安全的案例，具有现实社会信息安全的性质。

（2）2006年12月，由澳大利亚籍人士阿桑奇创办的维基解密网站，目的是在全球范围内公开秘密信息，这些信息来自匿名的个人、机构，以及网络泄露的信息。该网站没有总部或传统的基础设施，主要依靠《纽约时报》等五家合作媒体以及数十个国家的支持者发布重大消息。2010年7月，该网站公开了多达 9.2万份驻阿富汗美军的秘密文件，引起全球的广泛关注。这一案例说明，网络安全具有载体虚拟化、传播网络化、影响跨国界的特点，注重从网络系统软硬件的互联互通着眼，关注网络系统中的数据内容是否遭到破坏、更改、泄露，系统是否连续可靠地正常运行等。

（3）2011年7月，美国国防部发布了《网络空间行动战略》，这一战略将网络空间列为与陆、海、空、太空并列的行动领域。这一行动战略与同年美国政府发布的另两个政策文件一起，形成了系列的网络空间国家安全战略框架体系，另两个文件分别是2011年4月的《网络空间可信身份国家战略》和2011年5月的《网络空间国际战略》。其中《网络空间可信身份国家战略》以构建网络空间安全、高效、易用的身份生态体系为目标，《网络空间国际战略》以塑造并主导网络空间的全球秩序为目标，《网络空间行动战略》则以形成主动防御和技术创新的网络空间主导地位为目标。这是网络空间安全的例子，具有网络空间安全在特定空间领域的针对性、专指性和相对性，注重网络空间中信息安全的全球治理方案和各类战略举措。

综上所述，信息安全、网络安全、网络空间安全三者既有互相交叉的部分，也有各自独特的部分。信息安全可以泛称各类信息安全问题，网络安全可以指称网络所带来的各类安全问题，网络空间安全则特指与陆域、海域、空域、太空并列的全球五大空间中的网络空间安全问题。

2013年11月，习近平总书记在《关于＜中共中央关于全面深化改革若干重大问题的决定＞的说明》中，就加快完善互联网管理领导体制问题指出：“网络和信息安全牵涉到国家安全和社会稳定，是我们面临的综合性挑战。”2014年2月，习近平总书记在主持召开的中央网络安全和信息化领导小组第一次会议上进一步强调：“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展。……网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。……没有网络安全就没有国家安全，……网络安全和信息化对一个国家很多领域都是牵一发而动全身的。”这些论述阐明了新形势下信息安全必须注入“网络”的新要素，揭示了互联网时代信息安全必须关注网络安全的新战略，论述了网络安全与信息化之间的紧密联系，为我们认识信息安全、网络安全、网络空间安全三者概念的异同提供了新视野。❖