網絡安全（cybersecurity）國際標準進展與解讀

謝宗曉 甄杰 董坤祥

網絡安全（cybersecurity）已經成為ISO/IEC JTC 1/SC27（信息安全、網絡安全與隱私保護分技術委員會）的重要方向之一，在最新公布的SD11中1），信息安全管理體系工作組（WG1）會承擔相應的工作。截至2019年5月，開發中的或發布的相關標準共有4項，如表1所示。

1 概述與概念

ISO/IEC 27100于2018年10月立項，目前正在開發中，狀態為工作組草案。計劃在2021年11月發布。該標準提供了網絡安全的概述，以及相關的術語和定義。

網絡安全已成為一個重要話題。雖然它看起來與信息安全相似，并且許多信息安全控制、方法和技術可以用于管理網絡安全風險，但網絡安全與信息安全還是存在諸多不同。尤其之前存在的狹義的網絡安全（network security），這與網絡安全術語的使用方式不一致[1，2]。需要一個標準來定義網絡安全，建立其情境，并描述相關概念，包括網絡安全與信息安全的關系和區別。

需要注意的是，在目前可以獲取的版本中，對于網絡空間（cyberspace）的定義并沒有強調其虛擬性，而是強調基礎設施，其中認為：網絡空間是一個全球互聯的空間，包括互聯網和其他網絡、數字設備、系統、服務和流程，為個人、企業和政府的廣泛活動和互動提供了全球性的基礎設施。當然，這與“虛擬性”也不矛盾。

2 框架開發指南

ISO/IEC 27101于2018年4月立項，目前正在開發中，狀態為工作組草案。計劃在2020年4月發布。該標準為網絡安全框架開發提供了指南，適用于組織內網絡安全框架的開發者使用，計劃適用于所有類型的組織。

目前已經發布的網絡安全框架主要有：

a）ISO/IEC 27032：2012《信息技術 安全技術 網絡安全指南》[3];

b）《NIST網絡安全框架》（NIST 4） Cybersecurity Framework）[4]。

考慮到ISO/IEC 27032：2012的提案者為美國，應該會大量參考《NIST網絡安全框架》，當然，在目前可以參考的文獻中，最詳細、最有參考價值的也是《NIST網絡安全框架》。

3 網絡保險指南

ISO/IEC 27102目前正在開發中，狀態為國際標準草案階段。從已經發布的ISO/IEC DIS 27102來看，該標準中所討論的網絡保險是甲方視角的，即討論怎么購買網絡保險，而不是如何售賣網絡保險。從這個角度講，ISO/IEC 27102與ISO/IEC 27001：2013《信息安全管理體系 要求》就結合起來了，在ISO/IEC 27001：2013的4.2.1 f）中討論風險處置選項，其中一個選項就是將風險轉移至相關方，例如，保險商或供應商。

ISO/IEC DIS 27102定義了一系列的網絡（cyber）相關詞匯，例如，網絡事件、網絡保險、網絡威脅和網絡空間等。

ISO/IEC DIS 27102包含8章正文、1個附錄。前3章為通用條款，第4章為標準結構說明，第5章為概述，第6章討論了網絡風險與網絡保險，既然是討論保險，最相關的就是網絡事件，因此，在該章中還討論了網絡事件的類型及其影響等。但是原則上講，對網絡事件的刻畫，應該是保險供應商的問題，而不是用戶的責任。這是一個新興的研究領域，例如，文獻[5]就對網絡安全事件進行了數學建模。第7章，描述了一個支持網絡保險的風險評估過程。第8章，專門討論了信息安全管理體系（Information Security Management System，ISMS）在網絡保險中的角色。

總之，ISO/IEC DIS 27102所討論的網絡保險，不是指線上保險，而是指針對網絡安全事件的保險，從這個角度講，與信息安全保險區別不大。

4 ISO與IEC關于網絡安全的標準

ISO/IEC 27103目前發布的狀態為技術報告階段，該標準實際類似于一個ISO/IEC 27000標準族的索引，其中第5章也開門見山地提出，雖然網絡安全是個新生事物，但是ISO、IEC以及ISO/IEC標準發展了至少25年了，已經成為有用的參考。況且，ISO/IEC 27001已經提供了一個風險管理框架，可用于確定組織內網絡安全活動的優先級和實施。

ISO/IEC TR 27103：2018給出了一個網絡安全框架，包括：識別（Identify）、保護（Protect）、檢測（Detect）、響應（Respond）與恢復（Recover）。圍繞這個框架，則是相應的ISO、IEC或者ISO/IEC標準的索引。這個框架沿用自上文中所提到的《NIST網絡安全框架》，索引結構的形式也是如此[6]。

在引言中，用到了“最佳實踐（Best Practice，BP）”這個詞匯，但是并沒有明確地指出哪些是最佳實踐。基本的邏輯是，在面對網絡安全這樣的新生事物，利用已有的最佳實踐和基線（baseline）是大有裨益的。

此外，ISO/IEC TR 27103：2018引用了ISO/IEC 27000：2016《信息安全管理體系 概述與詞匯》關于“信息安全”的定義，并沒有定義“網絡安全”。對兩者的區別，有提及，但是沒有深入。該標準中提到：風險管理的視角和方法受到“網絡安全”和“信息安全”術語的影響。在處置類似風險時，“網絡安全”側重于外部威脅和為組織目的使用信息的需要，而“信息安全”則考慮來自內部或外部的所有風險。還有一種看法是，網絡安全風險主要與對抗性威脅有關，缺乏“網絡安全”對組織造成的后果可能比缺乏“信息安全”更嚴重。因此，網絡安全比信息安全更與組織相關。這種認知會導致混淆，也會降低風險評估和處置的有效性。

5 小結

本文介紹了與網絡安全相關的4個國際標準，包括ISO/IEC 27100、ISO/IEC 27101、ISO/IEC 27102以及ISO/IEC 27103，雖然上述標準基本都在開發中，但是其框架和主要內容已經比較明確。由于ISO和IEC等機構已經發布的信息安全標準眾多，而且體系完備，加上網絡安全和信息安全雖然不同，但畢竟存在諸多重合，在后續的標準研發中，網絡安全標準應該會大量引用已有的“最佳實踐”和“安全基線”。

（注：本文僅做學術探討，與作者所在單位觀點無關）

參考文獻

[1] 謝宗曉. 關于網絡空間（cyberspace）及其相關詞匯的再解 ?析[J].中國標準導報， 2016（2）： 26-28.

[2] 謝宗曉. 信息安全、網絡安全及賽博安全相關詞匯辨析[J].? ? ?中國標準導報， 2015（12）： 30-32.

[3] 謝宗曉，張菡. 網絡安全指南國際標準（ISO/IEC 27032：? ? ?2012）介紹[J].中國標準導報， 2016（10）： 22-24+29.

[4] 謝宗曉，董坤祥，張菡. NIST關鍵基礎設施網絡安全改進框? ? ?架介紹[J]. 中國質量與標準導報， 2017（5）：46-49.

[5] Bouveret A. Cyber Risk for the Financial Sector： A? ? ?Framework for Quantitative Assessment [J]， IMF? ? ?Working Papers 18/143， International Monetary?? ? ?Fund. 2018.

[6] 謝宗曉，甄杰，林潤輝，等. 網絡空間安全管理[M]. 北京：中? ? ? 國標準出版社， 2017.