全球主要网络安全指数研究

作者简介

王娟娟

中国信息通信研究院政策与经济研究所高级工程师，主要从事网络安全、数据安全、信息通信技术应用创新、科技自立自强与新技术安全、产业安全等方面研究工作。

张倩

中国信息通信研究院安全研究所高级工程师，主要从事网络安全、工业互联网安全、信息通信行业监管等方面研究工作。

论文引用格式：

王娟娟, 张倩. 全球主要网络安全指数研究[J]. 信息通信技术与政策, 2024, 50(8): 2-8.

全球主要网络安全指数研究

王娟娟¹ 张倩²

（1.中国信息通信研究院政策与经济研究所，北京 100191；

2.中国信息通信研究院安全研究所，北京 100191）

摘要：安全和发展是一体之“两翼”。网络安全能力在数字竞争力中发挥重要作用，基础设施建设、经济和技术发展为网络安全能力奠定重要基础。通过全球主要的网络安全相关指数，对中外网络发展与数字竞争力以及网络安全能力等情况进行对比分析，从组织、技术、能力发展和合作等维度，总结提炼全球主要国家推动网络安全建设的经验做法。最后，结合国际有益经验为我国下一步提升网络安全能力水平提出建议。

关键词：网络安全；数字安全；安全指数；网络能力；数字竞争力

0 引言

网络安全是国家安全的重要组成部分^[1-2]。面对网络空间与数字领域日益凸显的威胁和严峻态势，世界各国均不断提升网络安全战略地位，推动国家网络安全体系和能力建设，完善数字安全战略布局。安全指数是评估安全能力的重要指标，不少国际组织和国家机构对全球网络安全相关指数开展监测，并研究网络与数字安全当前进展及未来趋势。

1 主要网络安全相关指数概况

1.1 网络安全相关指数

目前，全球网络安全相关指数主要有3个（见表1），包括全球网络安全指数（Global Cybersecurity Index，GCI）^[3]、国家网络安全指数（National Cyber Security Index，NCSI）和网络安全暴露指数（Cybersecurity Exposure Index，CEI）等。其中，国际电信联盟（International Telecommunication Union，ITU）发布的GCI是基于法律、技术、组织、能力发展和合作5个维度，对联盟成员国的网络安全状况进行的评估和排名。该指数在2015年被首次推出，此后分别于2017年、2018年、2020年发布，共计4版。爱沙尼亚电子政务学院发布的NCSI包含基本网络安全、网络事件管理、一般网络安全发展3个评估维度，实时更新。美国Password Managers公司发布的CEI包含恶意软件遭遇率、勒索软件遭遇率、加密货币挖矿遭遇率、偷渡式下载页面遭遇率、云提供商相关的传入攻击、网络安全承诺水平6个评估维度，评估某国的网络安全状况，发布于2020年。

表1 主要网络安全指数

来源：公开资料整理

在上述这些指数中，从来源机构看，GCI、NCSI和CEI分别源自国际组织、非营利性基金会以及私营企业。从评测情况看，GCI和NCSI是从网络安全管理和发展的维度来评估某国的网络安全能力，GCI的指标设计和数据来源较NCSI更全面，CEI则主要根据网络安全事件发生的情况来进行反向评测。

1.2 网络能力与数字竞争力相关指数

目前，全球知名的网络能力与数字竞争力相关指数主要有3个（见表2），包括国家网络能力指数（National Cyber Power Index，NCPI）、全球数字竞争力排名（World Digital Competitiveness Ranking，WDCR）和G20国家数字竞争力指数（National Digital Competitiveness Index，NDCI）。从指数的来源机构看，NCPI、WDCR和G20 NDCI分别源自美国哈佛大学贝尔福科学与国际事务研究中心、瑞士洛桑国际管理发展学院和中国大数据战略重点实验室。从指数的发布时间看，NCPI分别于2020年、2022年发布了两次；WDCR和G20 NDCI则分别从2017年、2020年起每年发布。从对指数的评测情况看，3个指数各有侧重，在评估一国的网络能力与数字竞争力方面可互为补充。其中，G20 NDCI的二级指标数字安全能力主要涵盖制度安全、设施安全、技术安全3个维度，数据来源于ITU的GCI、世界银行的世界发展指标（World Development Indicators，WDI）数据库以及公开资料。

表2 主要网络能力与数字竞争力指数

来源：公开资料整理

此外，还有总部位于伦敦的经济学人智库（Economist Intelligence Unit，EIU）于2011年发布的网络力量指数（Cyber Power Index，CPI）、美国波托马克政策研究所于2015年发布的网络就绪指数2.0（Cyber Readiness Index 2.0，CRI 2.0），这两个指数由于年代比较久远，本文不予纳入分析。英国国际战略研究所（International Institute for Strategic Studies，IISS）于2021年发布了《网络能力与国家力量：净评估》^[4]报告，从战略与学说，治理、指挥和控制，核心网络情报能力，网络赋权与依赖，网络安全与弹性能力，网络空间事务的全球领导力，进攻性网络能力7个方面对15个国家的网络能力进行了定性评估，考虑到评估的国家比较有限，在本文中不予纳入分析。

总体来看，ITU发布的GCI最为全面，共4级指标，细分的指标权重是由全球近百位专家研究给出，193个ITU成员国的指数得分是综合该国问卷调查和证明材料得出。因此，本文主要基于GCI，并结合其他相关指数或权威报告进行综合分析。

2 从指数看中外网络安全发展能力

2.1 我国网络与数字整体发展水平较高

中国网络能力和数字竞争力较强。在对国家网络能力或数字能力进行全面评价的主要指数（见表3）中，中国的排名均处于较靠前的位置。在NCPI和G20 NDCI中，中国保持世界第2的位置，均在前10%以内，处于第一梯队；在WDCR中，中国位于中上游，排名均在前30%。

表3 中国网络能力和数字竞争力排名情况

来源：公开资料整理

主要国家发展网络能力的维度各有侧重。根据2020年和2022年的NCPI排名，在提高国家网络和技术能力方面，中国、美国持续占据前二的位置，但中美差距在拉大，多数发展中国家的排名都出现小幅提升。同时，大部分发展中国家在国内团体的监测监督方面取得较大的进步，如埃及从第27名提升至第6名。在国家网络防御方面，美国排名稳定在前五。

网络安全能力在数字竞争力中发挥越来越重要的作用。2022年，WDCR评估标准中新增了“政府网络安全能力”^[5]和“依法保护隐私”两项。这是因为在全球化、数字化等多重因素作用下，更多互联和互动的业务和经济活动正在互联网中进行，大大增加了遭受网络攻击的可能性。提升数字系统的安全性以及数字参与者的透明度，保护数字基础设施免受网络攻击，是各国政府或企业想要保持并提升其数字竞争力的重中之重^[6-7]。

2.2 我国网络与数字安全能力仍有提升空间

中国网络与数字安全能力水平仍有待提高。在评价国家网络安全或数字安全能力的主要指数和报告（见表4）中，中国的排名均相对靠前、位于中上游。相较于全球领先的网络能力和数字竞争力，我国的网络与数字安全建设仍需久久为功。2015年，ITU首次发布GCI，彼时该指标体系存在较大的提升空间，出现了很多国家排名并列的情况，最末名次为第29。从GCI后3次的排名看，中国平稳地保持在前20%。从NCSI、CEI、G20 NDCI等综合情况来看，中国排名均处于40%~50%的区间。

表4 中国网络与数字安全指数排名情况

来源：公开资料整理

根据GCI，表5给出了该指数的一、二级指标评估维度。其中，一级指标包括5个方面。法律维度是用于衡量打击网络犯罪和维护网络安全的法律法规情况，技术维度是通过国家和特定部门机构衡量技术能力的实施情况，组织维度是用来衡量实施网络安全的国家战略和组织情况，能力发展维度是用来衡量网络安全能力发展的意识活动、培训、教育和激励措施，合作维度是用来衡量机构、公司和国家之间的合作关系。从GCI最新评估的细分维度上看，我国在法律维度得分最高，但在其他维度上的排名仍有提升空间。比如，在组织维度，我国在193个ITU成员国中的排名仅为第71位。在能力发展与合作两个维度，我国排名分别为第43位和第44位。在技术维度，我国排名为第59位，与我国信息技术产业的发展能力形成不对称的局面。

表5 GCI一、二级指标情况

来源：公开资料整理

基础设施建设为网络安全能力奠定了重要基础。从2020年GCI排名结果可以看出，欧洲共有31个国家位列前60位（即前30%），占欧洲全部参评国家的66%左右。这说明，66%的欧洲国家的网络安全能力位居全球前30%，这与欧洲国家近年来数字化转型发展好、互联网基础设施建设水平提高有重要联系。在互联网普及率方面，欧洲总体的数据高达84%，在全球主要国家及地区中高居首位。

经济和技术发展与国家网络安全能力正相关。从GCI 历次排名结果可以看出，美国、英国、韩国、新加坡等国家网络安全指数的排名一直位于第一梯队。如美国在GCI排名中一直是冠亚军，英国在近两次的评估中名次与美国不相上下，新加坡等国家排名稳定在前十，日本、德国、意大利、新西兰等国家则位于全球中上游。这些国家的经济、技术发展水平也相对较高。

3 世界主要国家网络安全建设经验分析

从全球主要网络安全相关指数看，相较于网络能力和数字竞争力，我国网络安全能力水平均有待提升，亟需提炼、吸纳世界主要国家在网络安全能力发展细分维度的有益经验。为此，本文基于GCI的最新评估结果，考虑到我国在法律维度得分最高，重点在组织、技术、能力发展和合作等维度从193个ITU成员国中选取得分最高的国家，根据表5的二级指标对其经验进行了分析、总结。

3.1 加强网络安全战略规划和组织体系建设

根据GCI的评估结果，美国、英国、加拿大、法国、意大利等9个国家在组织维度得分最高，在国家网络安全战略、主管机关和网络安全指标方面，基本实现了全覆盖。主管机关的成立和组织体系的健全标志着国家网络安全监管、监督的专业化。网络安全主管机关的工作职责通常包括加强内部分析和法律解决方案制定，帮助执法机构解决网络威胁等与国家安全密切相关的问题，制定国家网络安全战略并监督其实施和更新等。

世界主要国家在着力加强网络安全政策举措之前，会出台相应的网络安全战略进行总体性、全局性的统筹规划。网络安全战略通常涉及国家关键信息基础设施保护^[8]、国家网络安全恢复能力等内容^[1]，并吸纳学术界专家意见，保持对战略一定频率的修订和更新。为应对全球网络安全事件急剧增加、网络风险格局不断变化带来的挑战，不少国家都在加快制定或者更新网络安全战略规划，对2025年前或2030年前国家的网络安全目标和路径做出了顶层设计。

3.2 坚持创新驱动安全技术产业突破发展

根据GCI的评估结果，美国、俄罗斯、德国、比利时、奥地利等9个国家在技术维度得分最高，在创建处理网络安全的技术机构和衡量技术措施的框架方面，基本实现了全覆盖。网络空间已经成为陆、海、空、天之外的“第五主权空间”，网络空间问题伴随着新兴技术的发展和迭代不断凸显。如果没有足够的技术措施和能力来发现和应对网络威胁事件，各国将极易受到网络风险的影响，且会因为这些风险削弱数字技术带来的好处。如美国对网络安全的重视程度很高，多次推出国家网络安全战略。美国科技、资金和人才资源能力雄厚，长期以来始终引领数字技术的创新发展，其先进的数字和网络技术为此提供了重要的支持。美国国防高级研究计划局的预算经费自2017年以来持续大幅上调至2021年的35亿美元。从该预算投资内容看，2021年的基础研究预算占总预算的15%，主要集中于人工智能、信息技术等领域，网络安全项目的数量和预算也有大幅增长。

3.3 注重优化能力布局并发展积累资源储备

根据GCI的评估结果，美国、英国、韩国、新加坡、西班牙等19个国家在能力发展维度得分最高，在公众网络安全意识宣传活动、网络安全专业人员培训、网络安全教育项目、网络安全研究与发展计划、国家网络安全产业、政府激励机制方面^[2]，基本实现了全面覆盖。为充分发挥产业、学校、科研机构等不同组织机构优势，形成强大、先进的研究、开发、生产一体化系统^[9]，不断丰富积累网络安全资源储备，全球主要国家（如美国、英国）都采取了“政产学研”等方面举措^[10]（见表6）。具体来看，“政”主要是指通过政府激励机制搭建网络安全技术应用发展平台，“产”主要是指发展网络安全产业的政策举措，“学”主要是指推动网络安全专业人才培养和技能培训、公众网络安全意识提升等，“研”主要是指推动网络安全技术发展以及产品服务研发应用。

表6 部分国家推动“政产学研”发展的相关举措

来源：公开资料整理

以人才资源储备为例，得分最高的国家基本形成了较为完备的人才培养体系，通过出台网络安全认证标准与流程保障从业者的资质和水平，将网络安全纳入全民教育培训体系，推动形成包含初等、中等、高等教育等在内的学术培养体系，并持续进行调整改进，从而更好满足行业和政府不断变化的网络安全需求。如俄罗斯联邦教育与科学部颁布了中等职业教育和高等职业教育信息安全专业及方向目录；日本制定了《网络安全普及与启蒙计划》^[11]，并开展“研究与实践结合培养高级网络安全人才项目”。

3.4 通过深化合作来提升网络安全合作效能

根据GCI的评估结果，美国、英国、爱沙尼亚、韩国、新加坡等27个国家在合作维度得分最高，在网络安全合作双边协议、国际机制、网络安全多边协议、私营机构合作、跨部门合作方面，基本实现了全覆盖。

从国际上看，世界主要国家和地区就网络安全问题在联合国框架下制定统一规则、协调各国立法和实践达成一致。各国也在积极寻找网络安全建设盟友，力求共同筑牢网络安全防线，实现多方利益共赢。

从国家内部看，公私部门和跨部门合作在加强网络安全防御方面也发挥着重要作用。公共部门和私人部门之间的合作多以政府和社会资本合作模式开展，多数国家已采取行动与本土或外资企业展开了网络安全领域的合作。如2021年11月，总部位于新加坡、使用云技术提供优化解决方案的网络安全公司Horangi与我国云服务供应商华为云建立合作伙伴关系，携手为亚太地区超过10个国家或地区提供云安全解决方案。跨部门合作一般通过会议横向沟通、协调达成协作，在一定程度上打破了专业化分工带来的部门壁垒，帮助政府整体提高效率、更加灵活地应对网络安全危机事件。如2022年7月，美国白宫发布备忘录，公布了跨政府部门网络安全投资优先事项，并呼吁联邦民事行政部门在政府网络防御能力和弹性、关键基础设施防御跨部门合作等网络安全重点领域进行投资。

4 建议

4.1 完善组织体系

提高网络安全发展水平离不开有力的组织体系保障。我国通过持续完善网络安全主管机构设置、优化与协同发展，不断促进国家网络安全职能专业化，如成立中央网络安全和信息化委员会，规定国家网信部门负责统筹协调网络安全工作和相关监督管理工作，国务院相关主管部门负责各自职责范围内的网络安全保护和监督管理工作。下一步，我国还需不断适应外部环境、产业变革、经济转型变化的新形势，加强对资源、流程、规章制度等的优化配置，保障国家网络安全体系和能力现代化建设的进程。

4.2 发展技术产业

主要国家的实践证明了技术创新和产业发展之于网络安全的重要意义。我国应优化网络安全和信息化领域创新创业的政策环境，增强政策的透明度和引导作用，加强国家网络安全产业园区、信息技术发展与安全创新应用示范区等建设与发展，强化产业聚集效应。在5G、物联网、区块链等新兴技术领域加大资金投入支持，有效防控新技术、新产品、新业态、新模式带来的安全风险和隐患，持续推进网络安全技术创新、产品与服务研发，加快网络安全产业发展，不断提升安全供给能力和水平。

4.3 注重人才培养

人才是支撑发展、保障安全的第一资源。我国应持续优化人才培养机制，完善网络安全和信息化领域的劳动力市场结构，健全高水平研究型人才、具有工匠精神的高技能人才、复合型人才和领军型人才等的培育引进和激励保障机制，做到能够培养人、留住人。我国应鼓励开展网络安全相关课程培训、学习参观、学术交流、研发竞赛等活动，持续提升人才安全技能。我国应推动网络安全教育触角向下延伸，如网络安全学术课程走进初等教育，加快网络安全知识全民宣传教育、普及，全面提升公众的网络安全意识和素养。

4.4 推动合作共治

网络安全问题的全球属性需要全球性的合作加以解决。为应对网络空间面临的安全风险和严峻态势，世界主要国家和地区都应群策群防，努力采取网络安全联合措施，筑牢数字安全屏障。国际方面，我国应持续深化与其他国家和地区、国际组织在网络安全、数据安全等领域的合作关系，探索拓展区域网络空间治理、跨境数据流动等方面合作。国内方面，我国仍需强化政府机构跨部门间的协作联动，加强政府与产业界之间的交流合作，推动“政产学研用”协同发展，共同为增强网络安全能力水平蓄力。

5 结束语

本文通过系统梳理分析全球主要网络安全和信息化发展相关指数的情况得出，我国网络与数字整体发展水平较高，但网络与数字安全能力仍有提升空间。从世界主要国家推动网络安全建设的经验来看，主要是从战略规划和组织建设、技术产业创新发展、优化能力和资源布局、深化国内外合作4个方面开展工作，并取得积极成效。我国也需结合国情，进一步强化在组织、技术、能力发展和合作等方面的能力和水平，加快推动网络安全体系和能力现代化，为我国高质量发展筑牢数字安全屏障。

Research on major global cybersecurity indicators

WANG Juanjuan¹, ZHANG Qian²

（1. Policy and Economic Research Institute, China Academy of Information and Communications Technology, Beijing 100191, China；

2. Security Research Institute, China Academy of Information and Communications Technology, Beijing 100191, China）

Abstract: Security and development are two wings of one body. Cybersecurity capability plays an important role in digital competitiveness. Infrastructure Construction, economic and technological development lay an important foundation for cybersecurity capability. Based on the main network and digital development and security-related indexes, a comparative analysis of the network strength, digital competitiveness and cybersecurity capability at home and abroad is made. Then, from the organizational, technical, capacity development and cooperation dimensions, the experience of main countries to enhance the strength of cybersecurity has been summed up. Finally, combined with the international useful experience, suggestions on how to improve the level of cybersecurity ability in China has been given.

Keywords: cybersecurity; digital security; security index; cyber power; digital competitiveness

本文刊于《信息通信技术与政策》2024年 第8期

声明：本文来自信息通信技术与政策，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。