因特网上的人、软件和服务通过技术设备和互连网络进行交互而形成了网络空间,网络空间是不以任何物理形式存在的复杂环境。
网络空间安全依赖于信息安全(information security)、应用安全(application security)、网络安全(network security)和因特网安全(Internet security),这些都是网络空间安全的基础构建模块。网络空间安全是关键信息基础设施保护(Critical Information Infrastructure Protection, CIIP)的必要组成部分,同时,对关键基础设施服务的充分保护也有助于满足基础安全需求(即关键基础设施的安全性、可靠性和可用性),进一步实现网络空间安全的目标。
然而,网络空间安全并不等同于因特网安全、网络安全、应用安全、信息安全或者关键基础设施保护。它有其独特的范围,需要利益相关方发挥积极作用维护甚至提升网络空间的可用和可信。
ISO/IEC 27032对网络空间安全和其他形式安全的区分如下:
信息安全(Information security)
——通常关注对信息机密性、完整性、可用性的保护,以满足信息用户的需求。
应用安全(Application security)
——是一种执行过程,用以对一个机构的应用程序进行控制和度量,以管理这些程序的使用风险。控制和度量可以作用于应用程序本身(包括进程、组件、软件和结果)、应用程序的数据(包括配置数据、用户数据、组织数据)以及涉及应用程序生命周期的所有技术、程序和参与者。
网络安全(Network security)
——涉及网络的设计、实施和运营,目的在于实现机构内部、机构间以及机构与用户间网络的信息安全。
因特网安全(Internet security)
——作为机构和家庭网络安全方面的延伸,关注保护因特网相关的服务以及相关的ICT系统和网络以达到安全目的。同时,因特网安全也保证因特网服务的可用性和可靠性。
关键信息基础设施保护(CIIP)
——关注于保护关键基础设施供应商提供或运营的系统,例如能源、电信和水利部门等。CIIP确保这些系统和网络得到保护并有效地应对信息安全风险、网络安全风险、因特网安全风险以及网络空间安全风险。
图:网络空间安全与其他形式安全的关系
(注:标准中对Cybersafety的解释为”一种状态,可免受物理的、社会的、精神的、财务的、政治的、情感的、职业的、心理的、教育的或者其他形式或后果的失败、损害、错误、意外事故、伤害或者任何其他网络空间中不期望发生的事件”。为了避免与网络安全以及网络空间安全产生混淆,在图中将其翻译为“网络空间的安全”,不甚严谨还望见谅)
上图展示了网络空间安全和其他形式安全的关系。这些形式的安全与网络空间安全的关系很复杂。某些关键基础设施服务,如水务和交通,不会直接或者严重影响到网络空间安全的状态。但是,网络空间安全的缺失可能对关键基础设施供应商提供的关键信息基础设施系统的可用性产生不良影响。
另一方面,网络空间的可用性和可靠性在很多情况下依赖于与之相关的关键基础设施服务的可用性和可靠性,例如,电信网络基础设施。网络空间安全通常也与互联网、企业/家庭网络安全以及信息安全密切相关。值得注意的是,本章节所定义的安全都有其自己的目标和关注范围。解决网络空间安全问题,需要来自不同国家和组织的不同的私有和公共主体间的大量沟通和协作。关键基础设施服务被一些国家看作是与国家安全相关的服务,因此,这些服务可能不会被公开探讨和披露。此外,与关键基础设施脆弱点有关的信息如果使用不当,将直接牵扯到国家安全。所以,很有必要建立用于信息共享、问题或事件协作的基础框架,为网络空间利益相关方提供充分保障。
声明本文摘译自《ISO/IEC 27032信息技术-安全技术-网络空间安全指南》,谨供学习和研究为目的的参考使用。--网络安全标准研究组 西电捷通
|
.jpg)