【声明】对本文中的任何内容的任何性质之引用、摘抄、转发、复制、打印、分发时,请标注"引自CyberR7文章",谢谢。联系:Info@CyberR7.com
ISO 27032 :2012是目前为止全球第一个也是唯一的一个,以厘清"网络空间安全到底是什么"为核心主题的国际标准(IS)。在来自ISO/IEC SC27 WG1多学科领域专家共同的努力下,曾试图构建起全球安全产业的全新认知体系。(CyberR7在2020年5月写了篇文章:《观点| "带偏"网络空间安全 Cybersecurity概念的国际标准------ISO 27032:2012概述与分析》,探讨了这份标准的开创性与局限性)。
虽然ISO 27032:2012在时代背景下存在着诸多局限性和不足,但它通过输出下面这张著名的关系图(我国网络空间安全一级学科专业相关教材中广泛采用)------
这实际上在国际标准层面提出了一个至关重要的不等式:
|-----------------------------------------------------------------------------------------------------------------------------------------------------|
| Cybersecurity≠ Network|Internet|Application|Information|CII| ...security 网络空间安全≠网络安全 |互联网安全|应用程序安全|信息安全|CIIP| ... |
即网络空间安全,并不是已有安全领域(信息安全、网络安全、互联网安全、应用安全等)的简单叠加或扩展。
这个不等式,自2012年被抛出至今,ISO SC27 WG1标准组(专注信息安全管理体系方向)已求解了十四年。它从来不是一场学术文字游戏,而是中西信息科技安全产业发展至今,始终绕不开的底层核心痛点------与网络空间发展相匹配的安全理论框架的缺失。
在西方欧美的安全产业语境中,这一缺失的具体体现为概念泛化导致的产业失焦与安全域"烟囱"------作为概念发源地,欧美安全产业界常对Cyber/Cybersecurity这一概念边界泛化,将Cyber与Internet、Network、Digital、Web等同混用,缺乏明确的边界辨析,特别是对Cyber元定义的缺失;产业端形成了"Cyber+新场景或新议题=新安全赛道"的惯性:从Cyber Threat、Cyber Risk,到Cyber-Physical Systems、Cyber Robot、Cyber Supply Chain......,每一个新议题套上Cyber的前缀,就成为一个独立的新赛道或者新领域。
欧美这一模式下,一方面带动着全球安全产业的快速细分和创新,各类Cyber新词层出不穷;但另一方面也带来了严重的安全烟囱化问题,和数据烟囱一样,各自为战、侧重不一、无法协同,使得"Cybersecurity"最终变成了一个可以边界无限扩张的"容器性概念"。
而在我国的产业语境中,由于翻译软件先入为主的直译,以及我们自己的网络或信息安全的理论探索与发展,使得"Cybersecurity"与"网络安全"这一概念进行了某种意义强绑定。这种绑定带来的核心问题表象恰好与欧美相反,在于多层概念内涵的深度折叠、高度内聚,如下图总结所示:
这种多层内涵密集折叠于一个概念之中的情况下,很容易引发"上下理解错位"的问题,比如:治理层或监管层提出的"压实网络安全责任制",本来是基于网络空间顶层视角下对责任单位提出的组织级安全治理体系或综合性合规体系建设要求,但责任单位可能会基于自身业务关注重点,往往会将其窄化为IT部门或信息中心的任务性工作,而负责具体任务执行的IT部门或信息中心会进一步将任务理解窄化成网络运维的漏洞修补、边界防护等工作项。于是,原本面向全局的系统性治理要求,最终被简化成了技术团队的"单点补丁式任务"。这种错位本质上是"网络安全"一词的三层内涵被折叠在一起,导致在同一语境下,对同一个词的理解完全不在一个层级上。治理层谈的是"治理一个空间",管理层理解的是"合规一个业务",执行层理解的却是"保护一个资产"。
综上,无论是欧美的"概念泛化",还是我国的"概念内聚",本质都是同一个问题:"网络空间安全/ Cybersecurity "这一概念讲不清就无法为政产学各界的应用提供一个清晰的指引 。ISO 27032:2012当年正是基于这一目标出发,虽然回答得并不算良好,导致这一问题延宕至今甚至带来持续的后果叠加影响,但至少SC27 WG1标准组用它提出一个重要不等式的方式,为后续的持续探索插上了一面"登月旗帜🚩"。
SC27先是对ISO 27032:2012进行版本更新,在等待11年后,更新版的ISO 27032:2023选择主动放弃了原来"网络空间安全"顶层概念定义的目标,退而将原来的标准名从《安全技术---网络空间安全指南/Security techniques---Guidelines for cybersecurity》更名为《网络空间安全---互联网安全指南/Cybersecurity---Guidelines for Internet security》,从本是统领性的高度转向具体安全场景的落地指引,在业界期盼下,这份标准最终还是退回到了ISO 27000 ISMS系列擅长的舒适区。这意味着在多年的讨论后,来自各国不同知识领域的安全标准参与者们对于"网络空间安全本体论"的意见仍高度不一致,最后ISMS保守派赢得了争论,这对于所有认为"Cybersecurity是人类社会时代性空间治理课题,而不仅仅是信息系统等设施资产CIA三性是否得到 安全保护"的人们而言是一个坏消息。
但另外一个好消息是,接过ISO 27032 接力棒的,是全新的ISO/IEC TS 27100系列技术规范。原ISO 27032标准组中跨知识领域的标准专家们以"另起炉灶"的方式,于2020年共同发布了《ISO/IEC TS 27100:2020网络空间安全---概述和概念/Cybersecurity---Overview and concepts》,这是SC27十四年求解之路上的第二个里程碑。随后又陆续发布了多个配套子规范《ISO/IEC TS 27110:2021网络空间安全---框架制定指南》、《ISO/IEC TS 27103:2026网络空间安全框架---ISO/IEC标准映射使用指南》、《ISO/IEC AWI TS 27115 1/2/3:2026 SoS系统之系统的网络空间安全架构系列》等。
虽然ISO 27100系列只是国际技术规范(TS),效力和影响范围均有限,且要上升成为国际标准(IS)仍然还困难重重,但显然这个系列已经开辟出了新的探索路径。特别是它第一次彻底扭转了长期以来安全界"先讲安全重要性,再去倒推保护对象"的固化逻辑,确立了"先彻底清楚网络空间(Cyber/Cyberspace)本体是什么,再去定义网络空间安全(Cybersecurity)"的正确客观顺序。
为此,它把网络空间 明确定义为一个由人、组织、系统、数据共同构成的数字交互环境,第一次把"人"作为网络空间的核心组成部分,而非仅仅是被保护的客体,同时给出网络空间的三层分层模型如下图。(注:公众号对话框输入关键字:27100 可获取CyberR7整理版标准稿)
ISO 27100 TS系列已形成了一个完整的网络空间安全标准矩阵,从概念定义延伸到框架搭建,从体系整合延伸到复杂系统落地,继续求解着14年前那个模糊的不等式,并将它变成了可感知、可探索的理论框架,目前为止虽仍然还没有给出统一的最终答案,但已画出了一张清晰的地图,至少可为我国网络空间安全学科的建设输出一批新内容了。
最后,我们依然要客观地思考一个问题:**用技术标准的方式去解释网络空间这一复杂社会空间的运行规律,到底是否可行??**这也是ISO TS 27100系列可能无法跨越的极限,因为"网络空间安全≠网络安全"本质上是一个本体论问题,无法去让ISO 27000用安全控制项方式,去回答一个关于世界本质的问题。
在AIGC向Agentic AI快速发展、机器人等具身智能体加速与产业融合的当时当下,产业各届对于14年前的不等式的答案破解需求已经前所未有的迫切了。如果说之前的所有技术,都还只是在丰富网络空间的"基础设施",那么自主智能体的出现,正在彻底改变网络空间的"生态结构"。它们已不再是被动的被保护对象,而是会主动交互、自主决策、自我进化的活动主体。所有基于"资产-风险-控制"的传统信息科技安全方法论正在崩塌或失效。这是SC27求解了14年的课题,也是全球信息科技相关行业共同的课题。
小结:
文章系统梳理了书面化的"网络空间安全"和口语化的"网络安全"之间错综复杂的关系形成的脉络。