第三节 Cybersafety(网络空间安全态)与其他术语的关系
一、Information security(信息安全)
ISO/IEC 27032:2012对information security的定义为:Information security is concerned with the protection of confidentiality, integrity, and availability of information in general, to serve the needs of the applicable information user.
中文翻译为:信息安全通常涉及对信息的保密性、完整性、可用性的保护,以满足可用信息的用户需求。
作为信息安全的三大基本属性,实现信息的保密性、完整性和可用性对落实信息安全至关重要。
(一)保密性
传统的信息环境中,谈到保密性,通常是指保证某个信息不被公众所知悉。而计算机网络盛行的今天,信息安全的保密性则通常会涉及信息不被泄露,未被非法或者是非授权的访问,或者是信息没有被非法利用。此时,保密性对抗的是来自信息系统外部的主动攻击,重点是做好自身系统的保密工作,防止信息泄露。
(二)完整性
信息的完整性,一般来讲是指信息完好无损,保持原样,未被修改的特性。计算机网络信息系统中是指保证信息在从发出到被系统接收的过程中不被非法更改,及最后存储在系统中的信息不被更改的特性。具体来说,就是信息在传输或保存中未遭受人为或是物理性的增删、修改、乱序等破坏。完整性通常对抗的是来自信息系统外部的主动攻击,即信息系统遭遇对手入侵。
(三)可用性
首先需说明这里的可用性与信息本身的价值无关,其是指信息能够被已取得授权的用户所使用的特性。具体来说,就是信息和信息系统能够被用户访问,并按照其所要求的方式进行使用。或者,从反面来说就是当合法用户需要使用信息系统访问信息时,不被系统拒绝或者系统没有出现故障。可用性的保证与软件的可用性、硬件的可用性、人员的可用性等密切相关。
信息安全所要求的保密性、完整性、可用性之间相互联系,相互配合,共同构成信息安全的有机组成部分。其中,完整性是信息安全的基本要求,保密性是信息安全的重要要求。
此外,注意到ISO/IEC 27032:2012中对网络空间安全(cybersecurity)的定义:保护网络空间中的信息的保密性、完整性和可用性,也包括真实性、可核查性、不可否认性和可靠性等其他属性。也就是说,网络空间安全(cybersecurity)实质上是指在一个虚拟的复杂的网络环境中保护信息的保密性、完整性和可用性以及其他属性。相比于信息安全,网络空间安全也强调信息的保密性、完整性和可用性,但其关注的重点在于“空间”二字,其欲实现的是网络空间安全的维护,当保证了网络空间中信息的保密性、完整性和可用性,也就实现了网络空间安全。故两者的联系在于目标的一致性,网络空间安全实现的是网络空间中信息的保密性、完整性和可用性,最终指向信息安全;当然,二者的区别也显而易见。网络空间安全关注的重点在于网络空间中信息安全状态的维护,而信息安全关注的则是信息本身的安全。
除此之外,网络空间安全是在网络空间领域内保护信息的保密性、完整性和可用性,而信息安全则是从包括网络空间以及其他空间领域在内,均需保护信息的三性。两者的概念有明显的重合之处。信息安全的概念更为宽泛、抽象,囊括了在网络空间安全领域保护信息安全。相比信息安全较为基础和宽泛的层面,网络空间安全则显然位阶较高,其是有针对性地保护网络空间领域的信息安全。网络空间安全最终是需要实现在网络空间里信息安全的目标。从二者的概念由来可知,信息安全最早起源于军事领域,故其概念更加侧重保护信息的保密性,而网络空间安全说法起步时间相对较晚,其更加侧重保护信息的完整性和可用性。
二、Application security(应用程序安全)
ISO/IEC 27032:2012对application security的定义为:Application security is a process performed to apply controls and measurements to an organization's applications in order to manage the risk of using them.Controls and measurements may be applied to the application itself(its processes, components, software and results),to its data(conguration data, user data, organization data),and to all technology, processes and actors involved in the application's life cycle.
中文翻译为:应用程序安全是通过对机构的应用程序实施控制和量度以管理其使用风险所完成的过程。这种控制和量度可以施加于应用程序本身(它的进程、组件、软件和结果),施加于应用程序的数据(配置数据、用户数据、组织数据),施加于应用程序生命周期中涉及的所有技术、进程和参与者。
本书所指应用程序是ISO/IEC 27032:2012标准所定义的Application,即IT solution, including application software, application data and procedures, designed to help an organization's users perform particular tasks or handle particular types of IT problems by automating a business process or function。中国台湾地区CNS27032标准将其翻译为包括应用软件、应用数据及程序,将运营过程或功能自动化的IT解决方案,为协助组织使用者履行特定任务或处理特定形式的IT问题而设计。
有关Application应翻译为“应用”还是“应用程序”的问题,不同的字典有不同的翻译方式。《21世纪大英汉词典》在计算机技术领域将其译为应用、应用程序(软件)(包括文字处理程序、图形处理程序和数据表格程序等)。《柯林斯英汉双解大辞典》在计算机技术领域将其解释为“In computing, an application is a piece of software designed to carry out a particular task.”。金山词霸等翻译软件将其翻译为应用软件。《牛津词典》在计算机技术领域将其解释为“a program designed to do a particular job, a piece of software”。结合上述标准的定义以及我国现阶段计算机技术领域的发展与应用,将application译为应用程序较为合适。
信息技术领域一般认为软件包括程序和文档,而有关国家标准将应用软件定义为设计用于实现用户的特定需要,而非计算机本身问题的软件,或是将应用软件和应用程序统一定义为专门解决应用问题的软件或程序。根据我国《计算机软件保护条例》(2013年修订)规定可知,计算机软件是指计算机程序及有关文档,计算机程序是指为了得到某种结果而可以由计算机等具有信息处理能力的装置执行的代码化指令序列,或者可以被自动转换成代码化指令序列的符号化指令序列或者符号化语句序列。此处的计算机程序实质就是指本书中的应用程序,两者的运行均是为了实现或得到某种结果。
应用程序需要区别于控制电脑本身的计算机程序,计算机程序是计算机指令和数据定义的组合,它允许计算机硬件执行计算或控制功能;而应用程序是用于解决某种需要或问题的程序。
随着科学技术的不断发展,互联网接入设备已不仅限于计算机,还包括其他设备如手机、平板电脑、智能家居设备、可穿戴智能设备、移动车载终端、移动医疗设备等移动智能终端。《移动互联网应用程序信息服务管理规定》所称移动互联网应用程序是指通过预装、下载等方式获取,并运行在移动智能终端上、向用户提供信息服务的应用软件。所谓移动智能终端是指具备开放的操作系统平台(应用程序的灵活开发、安装与运行),PC级的处理能力,高速接入能力和丰富的人机交互界面的移动终端,包括智能手机和平板电脑等。根据应用程序安装、运行的终端设备的不同,应用程序可划分为固定设备上的应用程序和移动设备上的应用程序,此划分具有一定的法律依据。同时也具有一定的技术支持,如现阶段大部分的应用程序都具有不同的版本,如PC端应用程序和iOS版本等。
三、Network security(网络安全)
ISO/IEC 27032:2012对network security的定义为:Network security is concerned with the design, implementation, and operation of networks for achieving the purposes of information security on networks within organizations, between organizations, and between organizations and users.
中文翻译为:网络安全涉及网络的设计、实施和运营,以达到在机构内部的网络上、机构与机构之间的网络上、机构与用户之间的网络上的信息安全。网络安全和因特网安全二者是并列关系。在我国,有一些网络并没有与因特网相连,如我国党政机关的电子政务网,军队内部网,各单位不与因特网连接的内部网等,诸类网络上的信息安全属于网络安全范畴。
四、Internet security(因特网安全)
ISO/IEC 27032:2012对Internet security的定义为:Internet security is concerned with protecting Internet-related services and related ICT systems and networks as an extension of network security in organizations and at home, to achieve the purpose of security.Internet security also ensures the availability and reliability of Internet services.
中文翻译为:因特网安全作为机构中和家庭中的网络安全的扩展,涉及保护因特网相关的服务和相关的信息通信技术系统与网络,以达安全目的。因特网安全也确保因特网服务的可用性和可靠性。
因特网安全保护因特网上信息的完整性、保密性和可用性。因特网安全是信息安全目标在因特网平台上的实现。
从ISO/IEC 27032:2012中对网络空间的定义可知,因特网是网络空间的一部分,相当于网络空间中的一个平台,平台上的人员、软件、服务相互作用构成的复杂环境才是网络空间。因特网是不包括人员的,因特网安全自然不包括用户安全,用户安全留待网络空间安全中考虑。因而因特网安全的要素只有三个:物理安全、逻辑安全、信息安全。
根据因特网安全的定义,可以知道因特网安全具有如下特点:
(1)不局限在家庭和机构的网络当中,而是家庭和机构中网络安全的扩展,即不仅仅关注“最后一公里”,而是涉及因特网的整个全球架构。
(2)因特网安全的内容包括两部分:一部分是因特网相关服务的安全,一部分是因特网相关的信息通信技术系统与网络的安全。其中,因特网相关服务的安全对应于信息安全要素,因特网相关的信息通信技术系统与网络的安全对应于物理安全要素和逻辑安全要素。
(3)因特网安全的最终目标是保护因特网上信息传输的完整性、保密性、可用性。
(4)从因特网全球互联互通的架构来看,因特网安全会面临着全球威胁,而且很难对威胁的来源进行追踪和溯源。
五、CIIP(关键信息基础设施保护)
ISO/IEC 27032:2012对CIIP的定义为:CIIP is concerned with protecting the systems that are provided or operated by critical infrastructure providers, such as energy, telecommunication, and water departments.CIIP ensures that those systems and networks are protected and resilient against information security risks, network security risks, Internet security risks, as well as Cybersecurity risks.
中文翻译为:关键信息基础设施保护(CIIP)涉及由能源、电信和水务部门之类的关键基础设施提供商提供或运营的系统的保护。关键信息基础设施保护要确保这些系统和网络受到保护,并可承受信息安全风险、网络安全风险、因特网安全风险以及网络空间安全风险。
前面介绍了因特网安全的定义,分析可知其有涉及对因特网相关的信息通信技术系统与网络的安全的基本要求。与此相关的是,因特网相关的信息通信技术系统与网络则多属于电信部门的关键信息基础设施范畴之内。因而可以说因特网安全的实现部分依赖于对与因特网相关的关键信息基础设施的保护。
此处再具体分析“关键信息基础设施保护”的定义,定义中强调的保护对象是特定的“系统和网络”。“系统”指“the systems of critical infrastructure”,即“关键基础设施的系统”,并且其加了定语“由能源、电信和水务部门之类的提供商提供或运营的”“关键基础设施”的系统。具体如能源、电信、水务部门等关键基础设施提供商提供或运营的系统。“网络”指“networks”。在ISO/IEC 27032中,关键信息基础设施保护不是孤立存在的,其与其他四大安全紧密联系。关键信息基础设施保护最终所要达到的安全标准是能够承受其他四大安全风险,即信息安全风险、网络安全风险、因特网安全风险和网络空间安全风险。
六、Cybercrime(网络空间犯罪态)
ISO/IEC 27032:2012对Cybercrime的定义为:criminal activity where services or applications in the Cyberspace are used for or are the target of a crime, or where the Cyberspace is the source, tool, target, or place of a crime)。
中文翻译为:网络空间中的服务或应用程序被用于犯罪或者成为犯罪目标的犯罪活动,或者网络空间是犯罪来源、犯罪工具、犯罪目标或犯罪地点的犯罪活动。
根据以上的定义,可以将网络空间犯罪的类型作如下划分:第一种划分逻辑,是以网络空间中的服务和应用程序在犯罪中的所扮演的角色为区分,将网络空间犯罪分为“以网络空间中服务和应用程序为工具的犯罪活动”和“以网络空间中服务和应用程序为犯罪目标的犯罪活动”。前者最为典型的是利用互联网实施如破坏计算机信息系统操纵证券交易交割、利用网络侵犯著作权、利用网络诽谤他人等犯罪行为。后者最为典型的是《刑法》第二百八十五条和第二百八十六条规定的罪名,如非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪等。第二种划分逻辑,是以网络空间在犯罪中所起的作用,将网络空间犯罪分为四个种类,即以网络空间作为犯罪来源的犯罪行为,以网络空间作为犯罪工具的犯罪行为,以网络空间作为犯罪目标的犯罪行为,以及以网络空间作为犯罪地点的犯罪行为。
除了cybercrime之外,学术界也会以“Internet crime”或者“network crime”表示网络空间犯罪。那么,三者究竟有何联系与区别呢?由于语言的差距,在国内,大多情况下将Internet、network、cyber这三者均翻译为“网络”,但细究三个词的具体含义,就会发现其各自所指代的“网络”的涵盖范围有很大差距。
根据ISO/IEC 27032:2012的定义,“Internet”是指“公共领域中网络互连的全球系统”(Global system of inter-connected networks in the public domain);“cyberspace”是指“不以任何物理形式存在的,通过技术设施和网络接入其中的,由因特网上的人员、软件、服务的相互作用所产生的复杂环境。”“network”是指不与Internet连接的其他网络。在我国,除因特网(Internet)的应用外,还有大量事务是需要在不与因特网连接的其他网络(network )中处理。例如:①我国党政机关使用的电子政务网络平台;②军队内部网;③各单位内不与因特网连接的内部网。“不与因特网连接的其他网络(network)”的安全问题,就是前述网络安全(network security)定义所涉及的安全问题。通过前一章节中“网络空间安全与其他安全领域的关系图”所示的网络安全与网络空间安全之间的交叉关系可以看到,我国不与因特网连接的其他网络(network)的安全问题仍可在网络空间安全法(Cybersecurity Law)的界限内进行规范,并无遗漏。因此在研究“网络空间安全领域”时,不仅要研究Internet的安全,还要研究network的安全。与此相对应,研究“网络空间犯罪”时,也要研究Internet crime和network crime,也就是说Internet crime 和 network crime是包含于cybercrime之中的。
除此之外,参照“网络空间安全与其他安全领域的关系图”,可以发现cybercrime是与cybersafety相对的另一概念。因此将cybercrime译为“网络空间犯罪态”比较恰当。cybercrime(网络空间犯罪态)表示网络空间处于完全混乱、安全系数为零的状态,是网络空间安全法采取各类措施所要尽量避免的。
七、网络空间安全态与上述术语的关系
cybersafety是指网络空间的一种安全状态,它几乎排除了网络空间中任何可能出现的不安全因素,包含了网络空间中从物理层到应用层纵向的安全,以及从信息安全到因特网安全等横向的各子领域的安全。而information security(信息安全)、application security(应用程序安全)、network security(网络安全)、internet security(因特网安全)、Critical Information Infrastructure Protection(CIIP)(关键信息基础设施保护)分别是网络空间中所要保护的几个子领域的安全,从“网络空间安全与其他安全领域的关系图”以及这五个术语的定义可知,这五个领域既有自己特有的内涵特征又有相互重合的部分,然而它们都包含于网络空间所要保护的安全中,即它们均包含于cybersafety中,一旦网络空间达到了完全安全的理想状态,它们也就达到了在自己领域safety的状态。当然,cybersafety的内涵远远不止这五个方面,它还包括了保护个人信息、管控违法信息等个人的、社会的、精神的、政治的等各种方面的安全,因此这五个方面倘若均达到了safety的状态,并不表示达到了cybersafety的状态,但倘若达到了cybersafety的状态,则这五个子领域必定达到了safety的状态。当然,现实中cybersafety是一个永远不可能达到的完全安全的理想状态。
与cybersafety相对的是cybercrime(网络空间犯罪态),这是一种混乱的毫无安全可言的状态,它与cybersafety共同构成了网络空间的两个极端状态,一个完全混乱,毫无安全可言;一个完全安全,没有任何危险。然而这两种极限在现实生活中都是几乎不能达到,前文中的图2-2与公式2-2足可说明两者关系。