作为网络安全从业者，首先需要明确网络安全的含义。每位网络安全建设者都可以有自己对网络安全的看法和认识，但作为基础，我们先看看国家标准。

在国标 GB/T 25069—2022《信息安全技术 术语》中，对信息安全的定义是：

信息安全 information security

对信息的保密性、完整性和可用性的保持。

注：另外，也可包括诸如真实性、可核查性、抗抵赖和可靠性等其他性质。

[来源：GB/T 29246—2017,2.33, 有修改：注中的“其他特性”改为“其他性质”]

对网络安全的定义是：

网络安全 network security

对网络环境下存储、传输和处理的信息的保密性、完整性和可用性的保持。

[来源：GB/T 20270—2006, 3.1.1, 有修改：“网络环境下”改为“对网络环境下”，“表征”改为“保持”]

简单地说，网络环境下的信息安全就是网络安全。

对信息安全风险的定义是：

信息安全风险 information security risk

特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。

注：它以事态的可能性及其后果的组合来度量。

简单地说，信息安全风险是威胁利用脆弱性对组织造成的伤害，用事件后果乘以发生的可能性来度量。

这里的网络安全是狭义的network security，而不是广义的cybersecurity，目前还没有定义广义网络安全的国标。

在国际标准 ISO/IEC TS 27100:2020 《Information technology — Cybersecurity—Overview and concepts》中，有如下定义：

3.2 cybersecurity

safeguarding of people, society, organizations and nations from cyber risks (3.7)

Note 1 to entry: Safeguarding means to keep cyber risks at a tolerable level.

3.7 risk

effect of uncertainty on objectives

Note 1 to entry: Cyber risk can be expressed as effect of uncertainty on objectives of entities in cyberspace (3.5).

Note 2 to entry: Cyber risk is associated with the potential that threats will exploit vulnerabilities in cyberspace and thereby cause harm to entities in cyberspace.

[SOURCE:ISO/IEC 27000:2018, 3.61, modified — Notes 1 to 6 to entry have been replaced.]

3.5 cyberspace

interconnected digital environment of networks, services, systems, people, processes, organizations, and that which resides on the digital environment or traverses through it

Note 1 to entry: Interconnected digital environment that traverses public infrastructure e.g. the internet, rather than parts of the organisation’s internal network or air-gapped digital environments that may not traverse public infrastructure.

[SOURCE:ISO/IEC 27102:2019, 3.6, modified — In the definition, the part after "processes" has been added.]

网络空间cyberspace是由网络、服务、系统、人员、过程、组织等要素构成的互联数字环境（必须链接互联网，不能仅是内网）。是 the cyberspace，不是 a cyberspace 。

网络风险cyber risk 可以表现为不确定性对网络空间内实体的目标的影响。网络风险与威胁利用网络空间的漏洞，并对网络空间实体造成损害的可能性相关。

网络安全 cybersecurity 是指保护个人、社会、组织和国家免受网络风险。保护是指将网络风险保持在可接受的水平。

与信息安全的定义相比，发生在网络空间的信息安全风险就是网络风险。但与信息安全的保护对象是信息不同，网络安全的保护对象是个人、社会、组织和国家。我的个人理解是相比信息安全，网络安全的覆盖范围有所缩小，从更广义的信息缩小为与互联网相连的网络空间，但保护范围从信息扩展到了所有网络空间内的实体和相关方。

我们放到更大的尺度来看风险，在国际标准 ISO 31073:2022 《Risk management—Vocabulary》中，对风险是这样定义的：

3.1.1 risk

effect of uncertainty (3.1.3) on objectives (3.1.2)

Note 1 to entry: An effect is a deviation from the expected. It can be positive, negative or both, and can address, create or result in opportunities (3.3.23) and threats (3.3.13).

Note 2 to entry: Objectives can have different aspects and categories, and can be applied at different levels.

Note 3 to entry: Risk is usually expressed in terms of risk sources (3.3.10), potential events (3.3.11), their consequences (3.3.18) and their likelihood (3.3.16).

3.1.3 uncertainty

state, even partial, of deficiency of information related to understanding or knowledge

Note 1 to entry: In some cases, uncertainty can be related to the organization’s (3.3.7) context as well as to its objectives (3.1.2).

Note 2 to entry: Uncertainty is the root source of risk (3.1.1), namely any kind of “deficiency of information” that matters in relation to objectives (and objectives, in turn, relate to all relevant interested parties’ (3.3.2) needs and expectations).

3.3.13 threat

potential source of danger, harm, or other undesirable outcome

Note 1 to entry: A threat is a negative situation in which loss is likely and over which one has relatively little control.

Note 2 to entry: A threat to one party may pose an opportunity (3.3.23) to another.

3.3.23 opportunity

combination of circumstances expected to be favourable to objectives (3.1.2)

Note 1 to entry: An opportunity is a positive situation in which gain is likely and over which one has a fair level of control.

Note 2 to entry: An opportunity to one party may pose a threat (3.3.13) to another.

Note 3 to entry: Taking or not taking an opportunity are both sources of risk (3.1.1).

[SOURCE:IEC 31010:2019, 3.2]

风险是不确定性对目标的影响。不确定性是信息不足。影响是与预期的偏差，可以是正面的，也可以负面的，表现为机会和威胁。

机会是预计有利于目标实现的情况组合。抓住机会或不抓住机会都是风险的来源。

作为网络安全从业者，我们总是习惯于从威胁和负面的角度来看风险，但机会也是风险的一部分。不抓住机会同样会造成风险，我们应该尝试更多地从积极、主动的角度来应对风险。

通过对信息安全和网络安全的定义和比较，我们可以更清晰地理解两者的异同和相互关系。信息安全主要关注信息的保密性、完整性和可用性，而网络安全则扩展到保护个人、社会、组织和国家免受网络风险。尽管网络安全的覆盖范围有所缩小，但其保护对象却更为广泛。作为网络安全从业者，我们不仅要关注潜在威胁，还要抓住机会，从积极、主动的角度来应对各种风险，确保网络空间的安全与稳定。