【编者按】2020年9月,贝尔弗科学与国际事务中心发布《2020年国家网络能力指数》(National Cyber Power Index 2020)报告。该报告详细介绍了国家网络能力指数(NCPI)的定义、组成部分以及计算公式,并在七个国家目标的背景下,利用32个意图指标和27个能力指标,对30个国家的网络能力进行了评估。根据NCPI的最终计算,美国、中国、英国位列全球网络能力指数的前三位。

1、介绍

公众只对少数几个国家的网络力量有了解,特别是美国、中国、俄罗斯、以色列、伊朗等国家。大多数新闻报道只报道大规模的进攻性网络攻击。这是对网络空间能力、目标和参与者范围的全面误解。此外,在报道这些事件时,甚至没有对这一范围内网络能力进行系统的衡量或比较。

NCPI 2020的目标

2020年国家网络能力指数(以下简称“NCPI 2020”)旨在提供一种比现有指数更为完整的网络力量衡量标准。采取一种“所有国家”(all-of-country)的方法来衡量网络力量,尽可能将所有方面纳入政府控制之下。NCPI衡量政府战略、防御和进攻能力、资源分配、私营部门、劳动力和创新,这种衡量是对已证权力和潜力的衡量,最终评估的前提是假定该国政府能够有效地运用这些能力。

与现有的网络相关指数相比,我们对“网络力量存在绝对衡量标准”的观点提出质疑,实际上网络力量由多个部分组成,而且需要结合一国的国家目标和实现这些目标的意图来综合考虑。

NCPI综合衡量了一个国家作为网络参与者的“全面性”,这种“全面性”指的是一个国家利用网络来实现多个目标,而不是少数目标。要成为最全面的网络力量,需要具备两个条件:一是拥有利用网络实现多个国家目标的意图,二是拥有实现这些目标的能力。

NCPI在七个国家目标的背景下,利用32个意图指标和27个能力指标,从公开数据中收集相关证据,对30个国家的网络能力进行了评估。

根据NCPI 2020对七个国家目标的评估,排名前十位的最全面的网络强国依次是美国、中国、英国、俄罗斯、荷兰、法国、德国、加拿大、日本、澳大利亚。

报告提出了三种不同指数:NCPI、网络意图指数(the Cyber Intent Index ,CII)和网络能力指数(the Cyber Capability Index,CCI)。CII和CCI是独立的指数,NCPI是CII和CCI的组合。

国家网络目标并非孤立地构成:网络能力只是与传统军事手段、外交手段、公共政策、惩罚性措施和贸易政策并驾齐驱的一套工具,可供各国用来实现其国家目标。NCPI的目的是扩大对网络力量的讨论,以反映其不仅仅只能用于破坏性的目的,更是政府实现多重目标的重要工具。我们认为,需要进一步提高各国网络目标和能力的透明度,以制定更相关和更有效的长期战略,并防止国家间的危险升级。

NCPI与现有网络指数的对比

在过去的十年里,一些机构和组织制定了衡量国家网络力量的框架,主要有以下三种:

其一,国际电信联盟的全球网络安全指数(Global Cybersecurity Index,GCI)。十年来该指数已经发布了三次。GCI以成员国的自我评估为基础,旨在鼓励国际电信联盟成员国发展国际网络应变能力,侧重于国内网络恢复能力。

其二,波托马克政策研究所的网络就绪指数2.0( Cyber Readiness Index 2.0,CRI2.0)。该指数旨在评估一个国家的成熟度和对保护其国家网络基础设施和服务的承诺。CRI 2.0调查了125个国家(包括国际电信联盟ICT发展指数和G20排名前75位的国家)。值得注意的是,CRI 2.0并未对其分析的国家进行评分或排名。

其三,经济学人智库和博思艾伦在2011年制定了一项“网络力量指数”(Cyber Power Index,CPI),对G20中的19个国家进行排名。与其他两个专门衡量网络安全相关能力的指数相比,CPI声称提供了更广泛的衡量网络实力的指标。然而,CPI与贝尔弗的NCPI相比,并没有衡量进攻能力,其主要关注经济和资源指标,尽管这对于理解和发展网络力量的潜力很重要,但并没有提供网络能力的全面描述。

在表1中,我们比较了NCPI对十大网络强国的排名与国际电联(2018年)和经济学人智库(2011年)的排名提供的排名。

表1 前十位对比

2、2020年国家网络能力指数

如图1所示,在所有七个目标中,意图和能力水平最高的前十个国家如下所示。

图1 NCPI 2020:最全面的网络强国

研究人员和从业者可能以不同的方式使用NCPI。首先,他们可能会使用NCPI对所有七个国家目标的网络力量的综合衡量,以了解哪个国家是最全面的网络力量,如图1所示。图1显示了在多种网络目标的意图和能力方面得分较高的国家,这让我们评估这些国家是否在有效地使用网络手段来实现多重政策目标。

对网络力量的分析是意图和能力的产物,我们将每个目标内的国家划分为四个象限,如图2所示。需要注意的是,我们在意图和能力的平均值上绘制了象限(数据集中任何国家实现的最大值是,意图得分为100,能力得分为80)。通过分析发现,大多数国家都集中在中间地带。

图2 网络力量在意图和能力上的排名

第一类,更高的能力,更高的意图,如美国、英国、中国、法国、德国。此类对于一个特定目标(或多个目标)具有高度意图和能力的国家是NCPI中排名较高的国家。这些国家在战略和先前的网络攻击中都表明,他们打算利用网络来实现政策目标,并且有能力实现这些目标。

第二类,更高的能力,较低的意图,如韩国。此类能力水平高但对具体目标或既定目标的意图程度较低的国家,可能有两种可能。一种是,此类国家可能正试图回避一个具体目标。例如,由于美国拥有多家大型社交媒体公司,通过立法来更好地控制网络言论将是美国控制国内受众网络内容的有效途径。然而,由于美国坚定地坚持其宪法所赋予的言论自由权,美国很可能无意这么做。另一种可能是,这类国家可能试图秘密使用其网络能力,而没有公开表示他们打算将网络能力用于特定目标。

第三类,更高的意图,较低的能力,如俄罗斯、伊朗、以色列、荷兰。此类国家正积极向其他国家发出信号,表明他们打算发展其网络能力。但是,这类国家要么未公开披露其网络能力,要么目前不具备实现其网络目标的能力。

第四类,较低的意图,较低的能力,如埃及、立陶宛。此类国家要么不积极发展其在网络空间中能力和意图,要么没有发表(或公开)他们的网络策略、归因于其的网络攻击或者NCPI分析所需的信息。

此外,NCPI对国家网络力量的客观分析也存在一定的局限性,主要与网络力量主体的性质有关。目前,NCPI主要面临缺乏关于网络能力的公开可用数据,缺少围绕代理的数据,简单化,获取网络能力的双重性等问题。

3、概念框架

国家目标

我们研究的重点是一个国家如何发展和利用其网络能力来实现国家目标。为此,我们以国际关系理论为基础,利用外交关系委员会的数据库,确定了各国在2005-2019年间广泛追求的七个目标,具体包括:

· 监督和监测国内团体

· 加强和提升国家网络防御

· 控制和操纵信息环境

· 为国家安全在其他国家收集情报

· 提高国家网络和技术能力

· 摧毁或瘫痪对手的基础设施和能力

· 界定国际网络规范和技术标准

除了上述七个目标以外,还有一个目标明显缺失了,即积累财富,提取加密货币。这一目标是指一个国家通过网络手段非法或合法地创造财富。这可能包括使用勒索软件,攻击银行和金融机构的网络基础设施,以及根据通过黑客攻击和数据泄露获得的信息进行勒索。它还可以包括法律手段,例如鼓励国内行为者开发可出口的网络安全产品,开发加密货币。但是,这类活动大部分不是国家资助的行为,而且也无法找到相关的数据。未来,可能会获得相关的数据,并纳入到NCPI的升级中。

NCPI公式

从定义上看,意图是指衡量政府规划举措(即国家网络安全战略、危机计划和其他相关政府规划文件)质量和数量的一种衡量。这是对政府在网络相关问题上“观察到的行为”的主观评估;能力则是衡量国家产出的质量和数量是否与一个或多个网络目标有关(即每年申请的专利数量、全球顶级安全公司的数量、熟练工人的数量)。

意图和能力之间是一种动态关系。如果将能力作为行使网络力量的底线,那么一个国家的意图就是它的载体,确立了该国网络力量的大小和方向。一种强烈的意图能够放大网络能力的影响,而较低的意图则会阻碍网络力量的增强。

根据每个国家追求的七个目标的意图和实现目标的能力,我们确定了NCPI的计算公式(如下所示),通过对每个国家目标(一个国家的能力与其意图)相乘来计算NCPI的得分,其中代表七个目标中的一个。

一个国家只有在拥有强烈的意图和必要能力的情况下,才能在一种目标上取得高分,仅仅有能力或者是意图是不够的。从公式上看,一个国家的网络力量是能力和意图的综合产物。

4、方法和讨论

评分“意图”和来源

为了确定每个国家追求的目标,我们创建了一套独特的32个意图指标,以及附加的“意图因素”评估和归因攻击数据,共同形成一个意图得分。意图评分的一半是根据各国公开网络相关文件、公告和国家网络战略得出的指标制定的,另外50%则被分配给归因于攻击的证据。

依靠归因攻击的证据,以及其他显示预先计划和倾向的指标,有可能推断出一个总体的意图。因此,一个国家的意图也可以从它所进行的网络攻击和活动中推断出来。

网络意图指数(CII)基于32个指标的评分,这些指标分为七个国家目标:监视、防御、控制、情报、商业、犯罪和规范,再加上网络策略中的意图因素得分,以及归因攻击的得分,就构成了总体意图得分。

一个国家的总体评级是七个国家目标的平均值,最后换算成0-100%的等级。通过对30个国家的7个目标进行评分后,得分最高的前十个国家依次是:中国、美国、英国、俄罗斯、荷兰、以色列、西班牙、澳大利亚、加拿大、伊朗。

通过七个目标中的单项进行计算,不同的排名如下表所示:

表2 按目标划分的前十位国家

评分“能力”和来源

要成为网络强国,一个国家需要具备实现其预期目标的能力。网络能力涉及电子和计算机信息基础设施、网络、软件和人类技能的建立、控制和通信。因此,各国投入了广泛的资源,包括军事网络能力、网络防御和监控等,也包括人力资源、制度建设和国内政策。此外,通过技术标准、国际规范或出口等方式影响全球网络空间的环境,使各国能够培育出保护自身利益、行使自己权力、扩大影响范围的环境。于是,各国将不仅试图在本国境内控制网络空间,还将试图在国际上控制网络空间。

NCPI中包含的27个能力指标反映了比以前更全面的能力清单,使我们对国家层面的网络力量有了更现实的理解。关于能力收集的数据分为八个主题:攻击证据,国家在线网络内容,国内国家网络结构,减轻网络脆弱性,私营部门、贸易和创新,连通性,劳动力,以及法律和政策框架。

网络能力指数(CCI)基于27项指标的评分,这些指标按7个国家目标分组,CCI的总体评分是所有7个目标的平均值。最终经过计算,每个目标中排名前十的国家如下:

表3 CCI 2020(按目标)

5、结论

国家网络力量指数(NCPI)是一种在国家层面上概念化和衡量网络力量的新方法。这种方法是一种多维度、分门别类的方法,反映了这一概念的复杂性。这项指数设定了网络力量的七个主要目标。

网络能力是多种用途的,网络力量的每一种衡量手段都可能同时赋予其力量,并使其暴露于漏洞之下。

研究人员和从业者可能以不同的方式使用NCPI。首先,他们可能会使用NCPI对所有七个目标的网络力量的综合衡量,以了解哪个国家是最全面的网络力量。第二,NCPI框架可以帮助更广泛的受众更好地了解每个目标如何增强网络力量,以及不同意图和能力水平的国家如何在网络空间进行互动。第三,对特定国家目标或NCPI组成部分感兴趣的用户可以依据三种方式查看分析结果:七个国家目标之一、意图和能力。

创建NCPI的目的是提供一种措施,帮助政策从业者和学者推动网络政策对话向前发展。基于当前的研究,仍需要构建一种更加精确、细致的框架来理解网络力量。

最后,我们希望通过NCPI的研究促使网络能力和意图更加透明,这是防止国家间危险升级和冲突的关键组成部分。

编译 | 李书峰/赛博研究院研究员

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。