根据官方信息,国际电信联盟(ITU)预计在2021年6月对外发布第4版《全球网络安全指数》(Global Cybersecurity Index version4,GCI v4)调查报告。全球网络安全指数(GCI)是国际电信联盟牵头开展的一项衡量各国网络安全能力水平的持续研究项目,这个项目的核心目标是加强全球网络安全,缩小全球各国之间在网络安全领域的差距,促进各国在国家层面开展网络安全相关能力建设,推动各国政府改进应对网络安全威胁的综合措施,以及促进各国在网络安全方面的双边和多边国际合作。
在2014年世界电信发展大会“衡量各国网络安全和相关能力建设论坛”上,国际电信联盟(ITU)提出了GCI概念,并在2015年对外发布了第1版《全球网络安全指数》调查报告。随后,在2017年和2018年分别发布了第2版及第3版的《全球网络安全指数》调查报告。 全球网络安全指数(GCI)采用的是分层计算模式,最上层由法律、技术、组织、能力建设和合作这5大核心支柱构成,每个核心支柱下面又包括多个下级指标。每个指标设有对应关注的具体问题,并由来自全球各界人士构成的专家组给每个指标协商确定出不同的权重值,最终通过综合计算得到各个国家GCI总分。下面对第4版《全球网络安全指数》的相关指标进行简要介绍。立法是为各实体提供统一框架的关键措施,使其符合共同的法律和监管基础,无论是禁止特定犯罪行为还是最低监管要求。法律环境可以根据处理网络安全和网络犯罪的法律机构和有效框架的存在予以衡量。该部分由以下指标组成:
实体法是指所有类型的公法和私法,包括所有实质上创造、定义和规范权利的合同法、不动产法、侵权法、遗嘱法和刑法。如果没有足够的技术措施和能力用来发现和应对事件,成员国及其各自的实体仍然容易受到网络风险的影响。这种风险可能会损害采用数字技术带来的好处。因此,成员国需要有能力制定战略,为软件应用和系统建立公认的最低安全标准和认证方案。可以根据成员国认可或创建的处理网络安全的技术机构和框架衡量技术措施。该部分由以下指标组成:计算机事件响应团队,即CIRT/CSIRT/CERT,是具体的组织实体,负责协调和支持对国家层面计算机安全事件或事故的响应。行业CIRT/CSIRT/CERT是指对影响具体行业的电脑安全或网络安全的事件做出响应的实体。医疗、公共设施、科研界、应急服务和金融行业等重要行业一般都会成立行业CERT。通过一个(或多个)国家级的框架,用于实施国际公认的针对公共部门(政府机构)和关键基础设施(包括私营部门运营的)的网络安全标准至关重要。这些标准包括但不限于由以下机构制定的标准:ISO、ITU、IETF、IEEE、ATIS、OASIS、3GPP、3GPP2、IAB、ISOC、ISG、 ISI、ETSI、ISF、RFC、ISA、IEC、NERC、NIST、FIPS、PCI DSS等。这一指标衡量是否存在一个专门负责保护上网儿童的国家机构,是否有报告有关上网儿童问题的热线,以及是否有任何帮助保护上网儿童的其他技术机制和能力。组织和程序措施对于适当执行任何类型的国家举措都是必要的。成员国需要制定一个广泛的战略目标,并在实施、交付和衡量方面制定一个全面的计划。需要建立国家机构等结构,以便将战略付诸实施,并评估计划的成败。组织结构可以根据在国家层面组织网络安全发展的机构和战略的存在和数量予以衡量。该部分由以下指标组成:
制定政策以促进网络安全是国家的首要任务之一。国家网络安全战略应定义维护国家关键信息基础设施的弹性和可靠性,包括公民的安全和保障;保护公民、组织和成员国的物理资产和知识资产;对网络攻击做出反应,防止对关键基础设施的网络攻击;尽量减少网络攻击造成的破坏和恢复时间。•负责机构指实施国家网络安全战略/政策的机构,可包括常设委员会、官方工作组、咨询理事会或跨部门中心,此类机构也可直接负责国家的CIRT。有官方认可的国家或具体到行业的基准对照或参考,用于衡量网络安全发展、风险评估战略、网络安全审计和其他工具和活动,通过评级或评估结果提升未来的安全能力。例如,基于ISO/IEC27004的指标用于衡量信息安全管理。能力建设是前三项措施(法律、技术和组织)的内在要求。了解技术、风险和影响有助于制定更好的法律、更好的政策和战略,以及更好地承担各种角色和责任。这一领域的研究通常是从技术角度进行的,然而,许多社会经济和政治活动都会对这个领域产生影响。促进网络安全的能力建设框架应包括提高认识活动和资源提供,该部分由以下指标组成:
提高公众认识的活动包括向尽可能多的公民开展宣传活动,以及通过非政府组织 (NGO)、机构、组织、ISP、图书馆、本地工会、社区中心、社区大学和成人教育项目、学校和家长–教师组织普及安全的在线网络行为。有针对特定行业的专业培训计划,以提高公众的认识(即网络安全的国家宣传日、周或月),促进针对不同职业(技术、社会科学等)劳动力的网络安全教育,以及推动公共或私营部门的专业人士获得证书。该指标还包括是否有政府批准(或认可)的使用国际公认的网络安全标准对专业人员进行认证和考核的框架(或多个框架)。这些认证、考核和标准包括但不限于以下举例:云安全知识(云安全联盟)、CISSP、SSCP、CSSLP CBK、网络安全取证分析师(ISC2)等等。在学校、大专、大学或其他教学机构建立国家教育课程和项目并进行推广,对年轻一代进行网络安全相关的技能和职业培训。网络安全相关职业包括但不限于密码专家、数字取证专家、事件响应员、安全架构师和渗透测试员。该指标衡量的是私有、公共、学术、非政府或国际机构是否有对国家网络安全研发计划的投资。它还衡量了是否有经国家认可的监督该计划的制度化机构。支持有利于经济、政治和社会环境的网络安全开发,会激励与网络安全有关的私营部门的增长。提升公众意识的活动、人力资源开发、能力建设和政府激励措施将推动网络安全产品和服务市场的发展。本土成长的网络安全产业是这种有利环境的证明,将推动网络安全创业公司和相关网络保险市场的发展。该指标考察政府是否有任何激励措施,用于鼓励网络安全领域的能力建设,无论是通过税费减免、拨款、资助、贷款、提供设施,还是通过其他的经济或财务激励方式,包括成立本国认可的专属机构,监督网络安全能力建设活动。网络安全需要所有部门和领域的投入,因此需要从利益攸关的多方角度加以解决。合作加强了对话和协调,从而创造了一个更加全面的网络安全应用领域。不同领域之间以及私营部门运营商内部的信息共享最困难,国际层面的情况更加如此。该部分由以下指标组成:
双边协议(一对一协议)指官方认可的国家的或具体部门的所有合作机制,由政府与他国政府或区域实体进行的跨境网络安全信息或资产的分享(例如合作或交换信息、专长、技 术以及其他资源)。还可包括批准与网络安全相关的国际协议,如《非洲联盟网络安全和个人数据保护公约》、《布达佩斯网络犯罪公约》和其他。多边协议(一对多协议)指官方认可的国家或具体部门的所有合作项目,由政府与多个外国政府或国际组织进行的跨境网络安全信息或资产的分享(例如合作或交换信息、专长、技术以及其他资源)。公私合作伙伴关系(PPP)指的是在公共和私营部门之间开展的合作项目。这项绩效指标衡量的是官方正式认可的国家或具体部门的PPP项目数量,无论国内还是国际公共部门与私营部门之间分享网络安全信息和资产(人员、程序、工具,即通过正式的伙伴关系进行合作或交换信息、专长、技术和/或资源)。这项绩效指标指本成员国内不同政府机构之间的所有正式合作伙伴关系(不包括国际伙伴关系),包括部委、部门、项目和其他公共机构之间的信息或资产共享合作伙伴关系。全球网络安全指数(GCI)能够帮助各个国家在网络安全领域进行改进,并通过指标排名敦促各国开展网络安全相关行动,从而提升全球网络安全的整体水平。网络安全作为国家安全的关键组成,省市县等不同的城市级别网络安全规划与建设与大中小等不同类型单位的网络安全规划与建设都是国家网络安全整体规划与建设的重要组成。第4版《全球网络安全指数》可以作为在进行不同层次网络安全规划与建设的重要参考。天融信后续将密切跟进第4版《全球网络安全指数》调研报告发布情况。https://www.itu.int/en/Pages/default.aspx