因特网上的人、软件和服务通过技术设备和互连网络进行交互而形成了网络空间,网络空间是不以任何物理形式存在的复杂环境。网络空间安全依赖于作为基础构建模块的信息安全(information security)、应用安全(application security)、网络安全(network security)、以及因特网安全(Internet security)。网络空间安全是关键信息基础设施保护(Critical Information Infrastructure Protection, CIIP)的必要组成部分。同时,对关键基础设施服务的充分保护有助于满足基础安全需求(即关键基础设施的安全性、可靠性和可用性),从而实现网络空间安全的目标。
然而,网络安全并不等同于因特网安全、网络安全、应用安全、信息安全,或者CIIP。它有其独特的范围,需要利益相关者发挥积极作用以维护甚至提升网络空间的有用性和可信性。
本标准对网络安全和其他安全领域做了如下区分:
信息安全Information security
通常关注对信息机密性、完整性、可用性的保护,以满足信息用户的需求。
应用安全application security
是一种执行过程,用以对组织的应用程序进行控制和度量,以管理这些程序的使用风险。控制和度量可以施加于应用程序本身(其进程、组件、软件和结果),应用程序的数据(配置数据、用户数据、组织数据),以及涉及应用程序生命周期的所有技术、程序和活动者。
网络安全network security
涉及网络的设计、部署和运营,目的在于实现网络中组织、组织间以及组织与用户间的信息安全。
因特网安全Internet security
作为网络安全在组织和家庭方面的延伸,关注于保护因特网相关的服务以及相关的ICT系统和网络,以达到安全目的。同时,因特网安全也保证因特网服务的可用性和可靠性。
关键信息基础设施保护CIIP
关注于保护关键基础设施供应商提供或运营的系统,例如能源、电信和水务部门。CIIP确保这些系统和网络得到保护并有效地应对信息安全风险、网络安全风险、因特网安全风险,以及网络空间安全风险。
图:网络空间安全与其他安全域的关系
(注:标准中对Cybersafety的解释为”一种状态,可免受物理的、社会的、精神的、财务的、政治的、情感的、职业的、心理的、教育的或者其他形式或后果的失败、损害、错误、意外事故、伤害或者任何其他网络空间中不期望发生的事件”。为了避免与网络安全以及网络空间安全产生混淆在图中翻译为“网络空间的安全“,不甚严谨还望见谅)
上图展示了网络空间安全和其他安全的区别。这些安全领域与网络空间安全的关系很复杂。某些关键基础设施服务,如水务和交通,不一定对国家的网络空间安全产生直接或重要影响。但是,网络空间安全的缺失可能对关键基础设施供应商提供的关键信息基础设施系统的可用性产生不良影响。
另一方面,网络空间的可用性和可靠性在很多情况下依赖于与之相关的关键基础设施服务的可用性和可靠性,例如,电信网络基础设施。网络空间的安全通常也与互联网、企业/家庭网络安全以及信息安全密切相关。值得注意的是,本章节所定义的安全域都有其自己的目标和关注范围。解决网络空间安全问题,需要来自不同国家和组织的不同的私有和公共主体间的大量沟通和协作。关键基础设施服务被一些国家看作是与国家安全相关的服务,因此,这些服务可能不会被公开探讨和披露。此外,与关键基础设施脆弱点有关的信息如果被不恰当的使用,将直接牵扯到国家安全。所以,用于信息共享和问题或事件协作的基础框架,对于提供路径并为网络空间利益相关者提供充分保障是很有必要。
本文摘译自《ISO/IEC 27032信息技术-安全技术-网络空间安全指南》,谨供学习和研究为目的的参考使用。
网络安全标准研究组 | 西电捷通
|
