《全球网络安全指数衡量各国网络安全承诺.pdf》由会员分享,可在线阅读,更多相关《全球网络安全指数衡量各国网络安全承诺.pdf(4页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、Panorama网境纵横CNITSEC CNITSEC80 / 2017.10 2017.10 / 81全球网络安全指数衡量各国网络安全承诺本刊记者 王丹娜2017年7月,联合国专门机构国际电信联盟(ITU)发布题为全球网络安全指数(Global Cybersecurity Index,GCI)的调查报告。报告介绍了GCI 的背景、参考模型、指标体系、方法论;给出从全球角度分析调查得出的关键性结论以及从区域角度分析和比较五大基础支柱的得分;逐一将GCI与其他指标进行分地区比较;针对5大基础支柱及细分部分,选择典型国家进行实践说明,并得出报告的结论,其中,最关键的是建议各国政府应尽快采取国家网络
2、安全战略。这是该机构继 2014 年后,第二次公布同名报告,旨在衡量各国在应对全球网络安全问题上的承诺和行动。全球网络安全指数概况GCI 是衡量各国对网络安全承诺的参考文本。该指数概念源自2014年召开的国际电信联盟世界电信发展大会,虽然截至2017年共发布两次报告文本,但是其目标和宗旨、工作方法、考量标准和结论等,表明了其在评估各国安全能力建设方面的客观性和公信力。. 报告首发的背景国际电信联盟是信息社会世界峰会(WSIS)第C5行动方面的牵头协调机构,其在网络安全方面的职责进一步体现在第五届世界电信发展大会(WTDC-10)通过的第69号决议“关于特别为发展中国家成立国家计算机事件响应组(
3、CIRT)并开展这些组之间的合作”以及第 130 号决议“关于加强国际电信联盟在树立使用信息通信技术的信心和安全方面的作用”。在这一框架下,国际电信联盟推出全球网络安全议程(GCA)。作为国际电信联盟有关国际利益攸关方合作共建更加安全可靠信息社会的框架,重点在以下五个领域开展工作:法律措施、技术措施、组织措施、能力建设与合作。正是这五个指定领域,构成 GCI 报告的基础内容。2014 年 4 月,国际电信联盟世界电信发展大会在迪拜举行。在这次大会期间专门举办的“衡量各国网络安全和相关能力建设论坛”上,国际电信联盟推出GCI概念,并发布首份全球网络安全指数报告。2. GCI 的目标和宗旨GCI
4、是国际电信联盟和 ABI Research 公司推出的一项旨在衡量各国网络安全工作情况的独特举措,旨在加强全球网络安全,缩小全球在此领域的差距,同时在国家层面开展相关能力建设,推动各国政府改进应对网络安全威胁的措施,促进网络安全方面的双边和多边国际合作。根据国际电信联盟的报告,GCI 的长期目标是要推动在全球范围进一步采取网络安全措施,并将网络安全整合进入各国战略。GCI 通过衡量各个领域网络安全措施到位程网境纵横GCI2017万方数据Panorama网境纵横CNITSEC CNITSEC80 / 2017.10 2017.10 / 81CNITSEC度情况的工作,促使各国有机会评估其发展规模
5、,了解其在哪些方面尚需进一步改进,同时知道其距离可接受的网络安全基准的差距。正如在2015年4月发布的全球网络安全指数和网络健康状况 (Global Cybersecurity Index & Cyberwellness Profiles)中电信发展局主任布哈伊马 萨努指出,GCI 是衡量各国网络安全发展程度的手段,其最终目标是要帮助建设全球性网络安全文化,并将其以核心身份融入信息和通信技术。3. GCI 的内容框架2017年GCI报告的内容框架包括八个部分:在摘要后的第一部分是“介绍”开篇;第二部分是关于“GCI 范围和框架”,内容涉及背景、参考模型和概念框架;第三部分是关于报告采用的“方法
6、论”;第四部分是“主要发现”,包括“各国网络安全承诺的热图”和“GCI 分组”两个方面;第五部分“全球展望”中公布“值得注意的数字”和“GCI与其他指标的比较”;第六部分是对包括非洲、美洲、阿拉伯国家、亚洲和太平洋地区、独联体国家以及欧洲进行的“区域展望”;第七部分“5大基础的实践说明”包括“法律、技术、组织、 能力建设、合作”各部分内容极其再细分的二级指标;第八部分的“结论”是对研究报告的结论性说明。4. GCI 的工作方法GCI 关注国际电信联盟全球网络安全议程及其五大支柱法律、技术、组织、能力建设和合作,并针对每个支柱提出问题,对承诺进行评估,为各国提供统计分析和业界基准方面的专业知识。
7、因此,GCI 的工作方法就是通过“专家咨询 + 问卷调查”的模式进行:通过专家组咨询,这些问题被加权,以获得总体 GCI 得分;调查通过在线平台管理,并通过在线平台收集支持证据。在统计方法上,GCI 采用基于多标准分析方法(MCA)的统计模型。2013 年,国际电信联盟向各成员国发送通知和调查问卷。根据收到的反馈情况,在全体成员国的支持下,国际电信联盟发布了2014年GCI报告。2016年,有 134 个成员国对调查进行了回应,未回应的国家被要求就开源研究做出回应。因此,2017 年的 GCI报告结果覆盖所有 193 个国际电信联盟成员国。除提供 GCI 评分外,2017 年的报告还提供了一套
8、观察国家网络安全建设成就的说明性实践结果。5. GCI 的意义和影响GCI 报告已在 2014 年国际电信联盟釜山全权代表大会上获得认可,并已纳入第130号决议。需要特别要指出的是,各成员国被邀请“支持国际电信联盟在网络安全包括全球网络安全指数方面的举措,以促进各国战略的实施,并推动各个产业和部门共享各自开展工作的信息”。GCI第一版实现了衡量各成员国在网络安全方面履行承诺程度的目标,并激发起各成员国对网络安全评估的兴趣。在 2017 年GCI 发布后,评论称,据此各国已经开始积极加强网络安全工作,提高对开展双边合作的重视程度,并增强在网络安全方面开展工作的能见度。2017全球网络安全指数报告
9、的主要结论2017年GCI报告显示,各成员国在法律、技术、组织、能力建设和合作这五个方面都有所改善和加强;在合作领域的各个层面以及能力建设和组织措施方面,还有进一步的改善空间;各成员国之间的网络安全关系水平存在明显差距;欧洲在法律和技术援助方面的承诺得分依然很高,非洲和美洲面对的挑战是继续参与和支持网络安全建设。但是,总体上说,“报告的结论并不乐观”。1. 国家富裕程度与网络安全能力并不直接相关调查发现,不是国家越富裕,其网络就越安全;许多富国的网络防御漏洞百出,而一些穷国的经验却可供富国借鉴。新加坡位列2017年“最投入网络安全国家”之首,虽然美国在法律、组织和成长潜力方面胜出,但是在协作方
10、面的得分却不如新加坡。然而,新加坡在2014年GCI报告中的全球排名位列第19名(并列第6名)。新加坡很早就开始重视网络安全建设,其在2005年发表第一份网万方数据Panorama网境纵横CNITSEC CNITSEC82 / 2017.10 2017.10 / 83络安全整体规划,2012年实施儿童网络安全保护法案,2015 年建立专门监督网络安全的网络安全局(Cyber Security Agency),2016 年发表国家级网络安全策略。2017 年 7 月,新加坡通信部(Ministry of Communications and Information)与网络安全局(Cyber Se
11、curity Agency,CSA)共同发布网络安全法案2017(草案)征求意见。可见,新加坡在国家网络安全建设方面的投入和效果。尽管在拥有财富方面差距甚大,相对较穷的国家,比如马来西亚和阿曼,反而比法国和加拿大,在网络安全能力上更为强大。ITU 指出,财富孕育网络罪案,但是不会自动确保网络安全,因此,各国政府必须做好防御准备。2. 各国在网络安全能力建设方面存在明显差距调查报告指出,“各国在意识、理解、知识,以及策略配置、人才与计划能力方面,存在明显差距。”一方面,这种差距源于国家综合实力,另一方面,这些差距也与国家和政府的重视程度等不无关联。虽然在2017年GCI报告中美国的网络安全建设水
12、平仅次于新加坡,排名第二,但是,其他一些排名靠前的国家多是小国或发展中国家。而在2014 年 GCI 报告中,美国排名第一。2017 年 GCI报告数据显示,得分排名前十的国家包括新加坡、美国、马来西亚、阿曼、爱沙尼亚、毛里求斯、澳大利亚、格鲁吉亚和法国(并列排名第8)、加拿大、俄罗斯。日本和挪威并列排名第 11,韩国排名第 13,以色列排名第 20、泰国第 22,印度第 23,德国第24,中国第32。报告显示,朝鲜是网络安全排行高于经济发展的国家,排名第 52,其在“合作”方面的得分较低。全球最小的富国,包括安道尔、列支敦士登、摩纳哥和圣马力诺等,排名靠后。梵蒂冈排名第 160。排名最末的是
13、赤道几内亚,得分为 0。此外,在 2017 年 GCI 报告排名前十的国家中,虽然新加坡总分第一,但是没有一项指标获得满分,而美国在法律和能力建设两个指标项下都获得满分;而在能力建设方面,美国、马来西亚和法国三个国家都获得满分。因此,这些国家在网络安全建设方面的举措和取得的成绩,值得关注。3. 勒索软件继续给商业和消费者带来巨大损失从国家关键基础设施到基本人权在内,一切均可能会在网络互连时代遭到攻击。而且,随着信息技术的发展,信息泄露和网络攻击的样态等都在发生变化。报告认为,对计算机网络构成的威胁正在从垃圾邮件“向具有恶意的威胁方向转化”。研究显示,每 131 封邮件中就有一封恶意邮件,而发送
14、这些具有恶意邮件的主体,既包括受国家支持的网络情报组织,也有群发邮件勒索软件的团伙。此外,勒索软件继续给商业和消费者带来巨大损失,且黑客所索取的金额越来越高。2015 年,索取金额平均为 294 美元,而到 2016 年则上涨到 1077 美元。据统计数据,2016年全球互联网用户达到35亿人,约占世界总人口的一半。到2020年,接入互联网的终端设备预计将达到 120 亿台。因此,网络世界存在的安全威胁有可能造成更严重后果,各国除提升网络安全意识外,更应采取切实可行的措施,有效防御和积极应对。4. 排名第 32 位中国网络安全整体实力待提升2017 年 GCI 报告显示的中国排名是第 32 位
15、,国家 GCI得分 法律 技术 组织 能力建设 合作新加坡 0.92 0.95 0.96 0.88 0.97 0.87美国 0.91 1 0.96 0.92 1 0.73马来西亚 0.89 0.87 0.96 0.77 1 0.87阿曼 0.87 0.98 0.82 0.85 0.95 0.75爱沙尼亚 0.84 0.99 0.82 0.85 0.94 0.64毛里求斯 0.82 0.85 0.96 0.74 0.91 0.70澳大利亚 0.82 0.94 0.96 0.86 0.94 0.44格鲁吉亚 0.81 0.91 0.77 0.82 0.90 0.70法国 0.81 0.94 0.9
16、6 0.60 1 0.61加拿大 0.81 0.94 0.93 0.71 0.82 0.702017年“网络安全最投入国家”排名前十万方数据Panorama网境纵横CNITSEC CNITSEC82 / 2017.10 2017.10 / 83这意味着中国网络安全维度的整体实力相较美、俄,甚至比一些小国还要弱。而在2014年GCI报告中,中国的全球排名是第 49 位(并列第 14 位)。相比之下,中国的排名有提高,但是仍未能进入第一梯队。虽然一直以来,中国在网络安全能力建设方面不断投入,各级政府也不断提升重视程度并加大投入,但是仍然存在建设能力不足等问题,或将直接导致在网络安全建设方面的被动局
17、面。据相关数据,目前中国网络安全投资占整体信息化建设经费的比例不足 1%,与美国的 15%、欧洲的 10% 相比,存在巨大差距。因此,中国应该在网络安全相关法律、技术、组织、能力建设和合作等方面持续发力,尽快补齐短板。全球网络安全趋势及建议根据报告的结论,世界各国均在加强网络安全方面做出努力,许多国家在加强网络安全的五个重点层面有所改善,但是在合作、能力建设和组织措施方面仍有很大改善空间。国际电信联盟根据 GCI分数将193个成员国的网络安全承诺分为三个阶段:共有96个国家处于“开始阶段”,已经开始承诺履行网络安全职责;共有77个国家处于“成熟阶段”,做出复杂的网络安全承诺,并采取网络安全计划
18、和举措;共有21个国家处于“领先阶段”,在五大考核因素中得分较高。未来,各国应更加关注国家安全策略、网络安全生态建设和相关网络安全问题,这些都值得参考借鉴。1. “最关键的第一步是要制定一套全国安全策略”报告指出,约38%的国家发布了国家安全战略,但是只有 11% 的国家制定了专门独立的战略,另有12% 的国家正在制定网络安全战略。其中,有 61%的国家建立了国家级网络紧急响应中心,如 CERT等。此外,有 43% 的国家具有执法和司法系统能力构建计划,有 95% 的国家愿意参与国际间的网络安全行动。这意味着,全球大多数国家仍然没有清晰的网络威胁应对策略,这种状况不利于防范相关风险。此外,调查
19、数据显示,发展中国家缺乏训练有素的网络安全专家,也没有对网络安全司法问题的深入理解及必要的教育培训,缺少对立法和司法机构的持续投入和发展规划。因此,报告指出,最关键的第一步是要制定一套全国安全策略,特别是那50% 毫无策略的国家。2. 各国政府应采取措施加强网络安全生态环境建设网络安全建设是一个生态系统,其中法律、组织机构、技能、合作与技术的协同发展非常重要。但是,报告以2017年肆虐的各种勒索软件为例,说明现阶段存在的网络安全威胁情况。勒索软件背后的黑客索要金额越来越高,给机构和个人用户造成巨大损失。因此,报告强调,网络犯罪规模不断上升,政府必须采取措施,加强网络安全生态环境建设,以减少犯罪
20、威胁,提高人们对使用网络服务的信心。根据报告的结论,“越早采取网络安全措施,就越能够确保各国建立长期的更为安全可靠的基础设施”。3. 各国政府仍需投入更多精力并高度重视数字风险国际电信联盟前秘书长哈玛德 图埃(Hamadoun Toure)指出:“大连通性亦带来了更大风险。随着现实世界正日益与网络世界重叠交错,处理相关挑战的需求也日甚一日,只有这样才能确保安全、人权、法治、善治和经济发展。”因此,报告指出,各个层面都存在合作的改善空间。报告鼓励政府考虑将网络安全纳入国家政策,政府和企业机构有必要改变网络安全防护观念并与专业化的网络安全公司合作建立全新安全体系,更要尽早部署下一代网络安全系统核心的网络安全态势感知与应急响应,同时,鼓励发展防护系统与安全人员应急处置相结合的体系。因此,各国需在网络安全领域投入更多精力加强网络安全能力建设,特别是在数据信息泄露事件数量增多和规模增大的背景下,“尤其要高度重视数字风险”。万方数据
黑公网安备:91230400333293403D