【网安智库】国际电信联盟全球网络安全指数报告概要

【网安智库】国际电信联盟全球网络安全指数报告概要本站　　全球网络安全指数 (GCI) 是一项调查，旨在衡量成员国对网络安全的承诺，以提高人们对网络安全的认识

　　全球网络安全指数 (GCI) 是一项调查，旨在衡量成员国对网络安全的承诺，以提高人们对网络安全的认识。GCI 围绕国际电信联盟全球网络安全议程 (GCA) 及其五大核心指标 ( 法律、技术、组织、能力建设和合作 ) 展开。每一项核心指标都有对应的问题以衡量得分。通过与专家组的协商确定问题的权重，得出 GCI 总分。该调查是通过在线平台进行的，该平台也用于收集相关证据。2016 年，共有一百三十四个成员国对该调查做出了回应。对于没有回应的会员国，电联会邀请其对公开资料研究进行验证。因此，本文报告的 GCI 结果覆盖了 193 个国际电信联盟成员国。2017 年的 GCI 调查同样显示了世界各国对网络安全的承诺。总体来说，网络安全议程的五个要素在各地区和国家都得到了改进和加强。但是，在各层次合作、能力建设和组织措施方面，还有进一步改善的空间。此外，不同地区在网络安全参与程度上，仍然存在可见的差距。同一地区国家各核心指标的发展水平各不相同，虽然欧洲在法律和技术领域的承诺水平仍很高，非洲和美洲地区的形势却依然严峻，需要持续参与和支持。除了 GCI 的得分外，本报告还提供了一些代表性措施，使读者能够了解一些国家的成就。

　　计算机网络威胁的统计数据令人警醒，过去相对无害的垃圾邮件变成了恶意的威胁。一家安全公司在追踪 2016 年网络事件时的发现，恶意电子邮件成为了当年各种网络攻击的首选武器，不击者是国家赞助的网络间谍组织，还是群发带有勒索软件邮件的团伙。131 封电子邮件中就有一封是恶意的，这一数字创了五年来的新高。

　　2016 年，攻击者的平均赎金要求上升至1 077 美元，高于一年前的 294 美元 1。网络犯罪的规模驱使政府建立一个健全的网络安全生态系统，减少威胁并增强人们对电子通讯和服务的信心。

　　综上所述，信息技术的发展与增长的非法和恶意使用之间，存在着直接因果关系。网络安全在各国决策者眼中越来越重要，而网络安全的相关规定几乎已经在全球建立。然而，各国之间仍存在明显的差距。

　　在这种背景下，国际电信联盟与各界国际伙伴一起建立了全球网络安全指数，其关键目标就是在国家、区域和国际层面进行能力建设，通过评估各国网络安全水平，收集数据，制定最佳实践列表，满足各国需要。

　　全球网络安全指数(GCI)在 2014 年首次推出，旨在帮助培育全球网络安全文化，并将其整合为信息通讯技术(信息通信技术)的核心。第二次网络安全指数评估了国际电联成员国对网络安全的承诺，其目的是进一步推动全球范围内采用并整合网络安全。

　　全球网络安全指数是一个综合指数，将25 个指标整合成一个基准指标，以监测和比较国际电信联盟成员国网络安全承诺的水平，用于评价的 5 个核心标准，是由高级别专家小组认可并得到全球网络安全议程(GCA)支持的。

　　全计划和倡议上的投入程度划分。全球网络安全指数的目标是帮助各国在网络安全领域进行改进，敦促他们采取行动，提高排名，从而提高全球网络安全的整体水平。

　　通过收集信息，全球网络安全指数旨在说明各国的做法，使成员国能够根据国情选择合适的政策，有利于协调做法，形成全球网络安全文化。

　　全球网络安全指数的五大核心指标如下 :(1)法律:基于处理网络安全和网络犯罪的法律机构和框架进行评价。(2)技术:基于网络安全技术机构进行评价。(3)组织:基于在国家层面建立的发展网络安全的政策协调机关和战略进行评价。(4)能力建设:基于研究发展以及教育培训项目;是否有具有资格的专业人士和公共机构促进能力建设进行评价。(5)合作:基于合作伙伴、框架和信息共享网络进行评价。每个核心指标下都有如下子指标，见图 1。

　　在这些子标准的基础上，我们制定了问卷。 25个指标的评估值是由157个二元问题的结果算出的。这样做是为了达到所需的数据粒度，并确保答案的准确性和质量。

　　图 2 说明了全球网络安全议程、核心标准、子标准和问题之间的关系 ( 考虑篇幅限制只扩展了法律核心标准 )。

　　全球网络安全指数问卷包涵 25 个指标和157 个问题。用于计算全球网络安全指数的指标是根据以下标准选择的 :

　　● 与五个全球网络安全议程核心标准的相关性，是否能为全球网络安全指数主要目标和概念框架作出贡献 ;

　　新版全球网络安全指数的整个概念基于的是网络安全发展树图和二元答案的可能性。图 2 所示的树图，举例说明了各国为加强其网络安全承诺而采取的可能措施。

　　各个国家的网络安全发展水平、各国的总体信息通信技术发展状况、网络安全需要，都被纳入考虑范围。这是基于这样一种概念，即 网络安全越发达，解决方案就应越复杂。因此，一个国家在图上走的越远，拥有的网络解决方案越多，其网络安全承诺就越成熟和复杂，全球网络安全指数就更高。使用二元答案的基本原理是消除基于观点的评估，以及对某些类型答案的任何可能的偏见。

　　此外，简单的二元概念可以进行更快更复杂的评估，因其不需要国家进行冗长的回答。反过来，这也被认为加速和简化了提供答案和进一步评估的过程。即被调查者只需确认某种网络安全解决方案的存在或缺失。一种用于收集答案，上传所有相关资料的在线调查机制，使我们能够从中提取出好的做法。

　　2014 年的全球网络安全指数和 2017 版本的全球网络安全指数之间最主要的不同是，2017 版本的全球网络安全指数采用的是一种二进制系统，而不是三层系统。二进制系统会评估某特定活动、部门或方法的存在与否。与2014 年版本的全球网络安全指数不同，它不考虑“部分”措施。被调查者可以通过上传支持文档和链接提供更多信息，证实二元答案。此外，为了进一步扩展研究深度，每个核心标准中都增加了一些新的问题。

　　由于方法的不同，全球网络安全指数2014 和全球网络安全指数 2017 不能直接比较。2014 年的指数采用的是一种简单的平均算法，2017 年指数的每个核心标准都有一个权重因素。

　　问卷调查是在 2016 年 1 月到 9 月以在线调查的形式展开的，调查对象为国际电信联盟来自非洲、美洲、阿拉伯国家地区、亚洲和太平洋地区、独联体、欧洲的 193 个 ( 加巴勒斯坦国 )成员国，得到了 134 个国家的回复，59 个国家没有提供原始数据，见表 1。

　　(1)由国际电信联盟秘书处给所有会员国发送一封邀请信，通知该倡议，并请求各国指定全球网络安全指数国家联络点，负责与国际电联联系，收集所有相关数据，完成在线全球网络安全指数问卷。邀请信附有在线问卷指南，里面提供了每一个问题的解释和例子。

　　● 检查成员国提交的问卷，确定没有丢失的元素 ( 没有或丢失的题目答案、没有或丢失的支持文档、没有或丢失的链接等 )。

　　——例如，如果某成员国的回答是“否”，国际电联就会研究证明他们在国际电联数据库或网络上确实没有任何文件。

　　● 联系有关成员国联络点，提供如何提高答案准确性的建议。在必要的情况下，国际电联会提供改进问卷的意见和指导。

　　● 一旦收到正式批准，问卷即被认为有效，可用于分析、评分和排名。(3)二手数据收集 ( 对于没有作答问卷的国家 ):

　　● 收到审议，联系有关成员国联络点，提供如何提高答案准确性的建议。在必要的情况下，国际电联会提供改进问卷的意见和指导。

　　2017 全球安全指数的计算有专家小组的参与，根据他们在各问题上的具体专业知识，在自己的个人能力范围内，为评分的权重提供专家意见。

　　● 模仿阶段有 96 个国家 ( 全球网络安全指数得分低于第 50 百分位 )，这些国家刚开始在网络安全方面做出承诺。

　　● 成熟阶段有 77 个国家 ( 全球网络安全指数得分介于第 50 和第 89 百分位之间 )，这些国 家的网络安全承诺较成熟，并参与了网络安全项目与倡议。

　　● 领导阶段有 21 个国家 ( 全球网络安全指数得分在第 90 百分位以上 )，这些国家在所有的5 个核心标准中都表现突出。

　　所有 6 个国际电信联盟区域都有国家位列全球网络安全指数前 10(见表 2)。有三个来自亚洲和太平洋地区，欧洲和美洲各有两个，非洲、阿拉伯国家和独联体各有一个国家。

　　正如全球网络安全指数所显示的，在全球范围内，各国在网络防范方面存在着巨大的鸿沟。这一差距在区域间和区域内都存在。

　　此外，网络安全相关的承诺发展往往不均衡，常有国家在某些核心指标上表现良好，而在其他方面则不那么好。网络安全是一个生态系统，在这个生态系统中，法律、组织、技能、合作和技术需要实现和谐一致，这样才最有效果。

　　此外，网络安全不仅是政府需要关心的问题，它还需要企业和消费者的参与。因此，形成一种网络安全文化是很重要的，在这种文化中，公民在使用电子网络时能够意识到风险和监控此消彼长的关系。

　　全球网络安全指数由 25 个不同的指标组成。从某些指标中，我们可以看到目前全球网络安全的具体状况。

　　最有力的承诺之一是制定网络安全战略来描述该国将如何准备和应对针对其数字网络的攻 击。只有 38% 的国家发布过网络安全战略，只有11% 的国家有专门的独立战略 ( 见图 4 左 );另有12% 的国家有不完全的网络安全战略。

　　在这个关键领域需要更多的支持，制定战略是政府对数字风险重视的表现。培训领域需要加强，对那些最有可能通过法律处理网络安全犯罪国家更是这样，现在只有不超过一半的国家 (43%) 拥有执法和司法系统的能力建设规划(见图4右)。

　　尽管有一半的成员国没有网络安全战略，61% 的国家却有应急响应小组 ( 例如:CIRT(计算机事件响应小组)、CSRIT(计算机安全事件响应小组)和 CERT(计算机安全应急响应组))，为国家负责 ( 见图 5 左 )。然而，仅仅有超过五分之一 (21%) 的国家发布过网络安全事件的衡量标准 ( 见图 5 右 )。这使得大多数国家很难客观地基于证据评估网络安全事件，并决定保护措施是否有效。

　　只有不到三分之一的国家 (32%) 肯定了本国网络安全产业的存在 ( 见图 6 左 )。我们要更努力发展本国网络安全产业，它们更了解国情，有利于安全生态系统可持续发展。国际合作的潜力进一步加强，各国普遍(95%)表示会参与国际网络安全活动 ( 见图 6 右 )。

　　作为任何国家信息通信技术发展战略的重要组成部分，为了提高人们对投资网络安全重要性的认识，我们进行了一项定性比较(见图 7)。

　　这部分并不在于提供彻底的、详尽的统计分析，而是要说明网络安全是如何联系现有的国家进程的，以强调投资和承诺的重要性。将全球网络安全指数与值得关注的信息通信技术发展指数进行比较，并没有密切相关性，经验也表明，在信息通信技术发展中得分较高的国家不一定会在网络安全方面有同等级的投入，反之亦然。例如，将全球网络安全指数与国际电信联盟信息通讯技术发展指数 (IDI) 相比较，表明一些国家在全球网络安全指数上的表现要比信息通信 技术发展的水平好得多。

　　表 3 展示了特定区域内所有国家的全球网络安全指数各指标的平均分数。大多数地区各指标的平均得分都不同(如:在第 33 到 65 百分位之间 )，有改进的空间。

　　唯一的例外是欧洲，所有指标的平均得分都很高。非洲地区组织指标平均得分较低，独联体地区法律指标的平均得分较高。

　　哥伦比亚是世界上最早针对网络空间立法的国家之一。2009 年的 1273 法案规定了信息系统或通信网络罪将面临巨额罚款和监禁。

　　阿曼苏丹国建立了电子管理框架(eGovernanceFramework)，旨在加强政府服务。

　　国家计算机安全应急响应组(CERT)/ 计算机事件响应小组(CIRT)/ 计算机安全事件响应小组(CSIRT)

　　埃及为一些板块的个体提供埃及计算机安全应急响应组(EG-CERT)支持，帮助他们解决网络安全的相关威胁，这些板块包括信息通信技术板块、金融板块、政府板块。

　　巴西有三个不同的计算机安全应急响应组，分别为国家计算机安全应急响应组(CERT)，政府计算机安全事件响应小组(CSIRT)，和板块计算机安全事件响应小组(SCIRT)，有不同的功能。

　　卢森堡于 2011 年创立了计算机安全应急响应组(GOVCERT.LU)，以帮助保护政府计算机系统和数据、特定基础设施的安全。

　　斯里兰卡于 2014 年建立了金融板块计算机安全事件响应小组(FINCSIRT)，为银行和其他金融机构提供计算机安全警报和事件的接收、审查、处理和响应服务。

　　马来西亚创建了信息安全认证机构(ISCB)，下属于马来西亚网络安全机构，负责管理信息安全认证。

　　罗马尼亚创建了国家标准化组织 ，为信息技术安全领域的软件产品和系统使用的流程、工具、技术制定相关国家标准。

　　加拿大创建了投资行业监管机构(IIROC)，这是一个国家自我监管机构，用于监督债券和股权市场上的投资经销商和其交易行为。

　　德国于 2009 年签订了一项合作协议，规定教育与研究部(BMBF)与内政部(BMI)就 IT安全研究进行合作。

　　肯尼亚教育网络(KENET)是肯尼亚学术界的计算机安全应急响应组，是为教育和研究机构服务的非盈利运营商。

　　拉脱维亚在其国家计算机安全应急响应组终端上发布了一系列关于杀毒、防火墙等安全解决方案的免费文章。定期为公众提供免费病毒检测和杀软。

　　韩国网络安全机构(KISA)致力于通过提升网络服务的竞争力和网络信息知识的可靠性，为网络用户和网络公司建立网络基础。

　　芬兰是多个组织的积极参与者，如欧洲委员会(CoE)，欧洲安全与合作组织(OSCE)，联合国(UN)。

　　丹麦、芬兰、冰岛、挪威和瑞典通过北欧国家计算机安全应急响应组联盟(Nordic NationalCERT Collaboration)进行合作。

　　1990 年成立的事件应对与安全小组论坛(FIRST)，由公共、和学术板块的事件反应小组组成，论坛组织年度会议、技术座谈会和培训活动。

　　国际电联自诞生之日起就是一个公有和部门的合作机构，拥有 193 个成员国和700 多家部门实体和学术机构。国际电部设在瑞士日内瓦，在世界各地设有十二个区域代表处和地区办事处。国际电联的成员队伍体现了全球 ICT 领域的构成状况，其中既有世界上最大的制造商和运营商，也有采用新型与新兴技术的小型创新成员。而且现在主要研发机构和学术界也参与进来。秉承与政府(成员国)和部门(部门成员、部门准成员和学术界)开展国际合作的原则，国际电联已是首屈一指的全球性论坛，参与方可就影响行业未来方向的广泛问题共同努力、达成共识。

　　···························································