谢宗晓 董坤祥 甄杰

信息安全管理系列之五十四

ISO/IEC JTC 1/SC 27最近将其名称中“IT security techniques（信息技术安全技术）”修改为“information security，cybersecurity and privacy protection（信息安全、网络安全与隐私保护）”。虽然在本专栏中，我们已经讨论过数次，例如，文献[1][2]，但是对隐私保护介绍并不多。本文将这三个词汇放在一起，进行了辨析。

谢宗晓（特约编辑）

摘要：给出信息安全、网络安全与隐私保护的定义，分析三者之间的异同，介绍了“保密”的相关内容。

关键词：信息安全  网络安全  隐私保护

Abstract： This paper gives the definition of information security，cybersecurity and privacy protection，and analyzes the similarities and differences among the three，in addition，it also introduces the relevant content of keep state secrets.

Key words： information security，cybersecurity，privacy protection

ISO/IEC JTC 1/SC 27成立于1989年，其宗旨为：开发保护信息与信息通信技术的标准1），目前秘书处设在DIN （Germany）2）。2019年4月，ISO/IEC JTC 1/SC 27将其名称由IT security techniques修改为information security，cybersecurity and privacy protection。一般而言，信息安全、网络安全和隐私保护，都包括了IT安全，或者信息系统安全，其关系大致如图1所示。显然，新修改的名称更符合ISO/IEC JTC 1/SC 27成立的本意。

1  信息安全

信息安全是一个比较广义的词汇，也是目前应用最广泛的词汇。信息安全是随着IT的发展，从通信安全、计算机安全和网络安全（network security）等自然而然过渡而来的概念。因为，无论是“数据”还是“信息”，都要通过介质进行处理或者传输，所以导致在这过程中，人们倾向于以此代表强调的重点。例如，通信安全时代，是为了保护通信中的信息安全;计算机安全时代，是为了保护计算机所处理的信息的安全。但其最终目的都是一样的，即保护“信息”的安全。

信息是无处不在的，也存在于各种形式，可以是数字存储的，也可能是打印的，还有更多的以不可直接读的形式存储在人的大脑中。因此，如果对信息安全进行定义，就不能过于具体，基于这种考虑，ISO/IEC 27000：2018《信息技术  安全技术  信息安全管理体系 概述与词汇》中，对信息安全的定义为：

保持信息的保密性（confidentiality）、完整性（integrity）和可用性（availability）。

注1：此外，也可包括如真实性（authenticity）、可核查性（accountability）、不可否认性（non-repudiation）和可靠性（reliability）等其他属性。

ISO/IEC 27000：2018中对于信息安全的定义，不再提及安全保护的过程或手段，而是直接描述信息安全的结果和目的。简而言之，信息安全就是为了保持信息的安全。

2  网络安全

网络安全的全称为网络空间安全（cyberspace security），在ISO/IEC 27032：2012《信息技术 安全技术 网络安全指南》中，将cybersecurity/cyberspace security定义为：

保持网络空间信息的保密性、完整性和可用性。

注1：此外，也可包括如真实性、可核查性、不可否认性和可靠性等其他属性。

注2：该定义修改自ISO/IEC 27000：2009中对信息安全的定义。

网络空间是一个建立在IT技术基础上的虚拟世界，讨论网络空间安全的逻辑与讨论信息安全的逻辑完全不同。对于信息安全而言，核心是“信息”，如图2所示。

信息安全是围绕信息为中心展开的架构，之所以讨论软件、硬件直至物理环境等安全，本质都是为了保护信息。但是网络空间安全不同，网络空间本身就是广义的，包括了方方面面，ISO/IEC 27032：2012的定义相对是狭隘的，对于网络安全而言，其保护的对象应该是“网络空间”，而不仅仅是“网络空间信息”。例如，在网上对另一个人进行人身攻击，这并不涉及信息的保密性、完整性和可用性，当然，既然是攻击，可能会涉及一部分“真实性”等问题，但是对人的谩骂，信息是否真实，并不是重点，这只是表达激烈的情绪。在這个案例中，网络空间信息并没有受到太大影响，但是网络空间的秩序却遭到了破坏。

这也是信息安全和网络安全的最主要区别之一。

信息安全是为了保护信息的诸多安全属性，对于信息处理设施的保护，视角依然是其对信息本身的作用大小，是手段，而不是目的。但是网络安全，要保护的是这个虚拟的网络空间的安全，还包括了上述案例中所描述的秩序等要素。

一般而言，信息安全最直观的保护要素是“保密性”，这也是实践中最经常被混淆的概念，例如，以为信息安全就是为了保密。网络最直观要保护的要素是“可用性”，构建网络空间的关键信息基础设施（Critical Information Infrastructure，CIIs）一旦被破坏，网络空间不存在了，网络安全就成了无源之水无本之木。

3  隐私保护

隐私保护在信息系统出现之前就是很重要的研究问题，只是信息系统大面积应用之后，隐私保护的形势变得更加严峻而已[3]。在国内，隐私保护并不是经常提及的概念，而是代之以另一个概念，即个人信息保护。

GB/T 35273—2017《信息安全技术 个人信息安全规范》将“个人敏感信息”定义为：

一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

注1：个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14周岁以下（含）儿童的个人信息等。

在GB/T 35273—2017中，并沒有单独定义“隐私”的概念，但是在附录B中指出“自然人的隐私信息属于个人敏感信息”，这说明上述定义中所举的个人敏感信息都属于隐私的范畴。无论是隐私保护，还是个人信息保护，主要都是为了保护与个体相关的信息，进而保护个体的人身安全。

在信息安全中，由于绝大部分信息都存储在信息系统中，因此“信息系统安全”显得尤为重要，从其发展过程来看，“计算机安全”也一度成为信息安全的代名词。隐私保护还是有很大的不同，虽然信息系统安全也很重要，但绝对到不了词汇相互混用或容易混淆的状态，真正导致隐私保护得到前所未有重视的，实际是大数据时代的到来。

4  保守国家秘密

保守国家秘密，在实践中，经常被简称“保密”。对政府机关而言，公文中所谓的“涉密”“保密”一般情况下指的都是“国家秘密”。显然，这是一个限定了范围的专用词汇，虽然其简称很容易被混淆。

保密与隐私保护情况差不多，在信息系统出现之前就已经很重要，例如，《保守国家机密暂行条例》于1951年6月1日政务院3）第八十七次政务会议通过，1951年6月7日报请中央人民政府主席批准，1951年6月8日公布。这就是《中华人民共和国保守国家秘密法》的早期版本。世界上第一台计算机“ENIAC”到1946年才在美国发明，在1951年，信息系统在国内不可能得到大规模的应用。

可见，虽然保密与信息系统也有着千丝万缕的联系，但是保守国家秘密与信息系统的发展并没有必然的联系。讨论信息安全的公文一般都会将“涉密”的内容单独拿出来，而且主管机构也不是一个。1994年公布的《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）中明确规定“公安部主管全国计算机信息系统安全保护工作”，“依法履行保密行政管理职能”则是国家保密局的职责。

5  小结

本文主要针对ISO/IEC JTC 1/SC 27名称的变化，对于其中词汇进行了统一的辨析，重点给出了信息安全、网络安全与隐私保护的定义，分析了这三者之间的异同。笼统地讲，网络安全偏重国家安全的层次，信息安全偏重组织安全的层次，隐私保护则偏重个体安全的层次。当然，这三者并没有严格的区分。除此之外，为防止词汇混淆，本文中也介绍了经常被简称为“保密”的保守国家秘密。

参考文献

[1] 谢宗晓. 信息安全、网络安全及赛博安全相关词汇辨析[J].     中国标准导报，2015（12）30-32.

[2] 谢宗晓. 关于网络空间（cyberspace）及其相关词汇的再解      析[J]. 中国标准导报，2016（2）26-28.

[3] 林润辉，李大辉，谢宗晓，等. 信息安全管理 理论与实践[M].      北京：中国标准出版社，2015.