大数据城市网络安全 指数报告 （ 2018.5） 目 录 第一章 研究背景与方法 . 1 一、 研究背景与意义 . 1 二、 研究方法 . 3 （一） 指数的构成 . 4 （二） 样本的选择 . 7 （三） 指数计算原理 . 9 （四） 影响因子 . 10 三、 研究的改进与局限性 . 12 第二章 中心城市网络安全指数分析 . 14 一、 综合网络安全指数分析 . 14 二、 政府网络安全指数分析 . 16 三、 企业网络安全指数分析 . 18 四、 个人网络安全指数分析 . 20 第三章 中等发达城市网络安全指数分析 . 23 第四章 其他城市网络安全指数列表 . 26 附录 1 大数据城市网络安全指数算法说明 . 33 一、 基础数据指标 . 33 二、 指数计算模型 . 34 （一） 个人网络安全指数 . 34 （二） 企业网络安全指数 . 38 （三） 政府网络安全指数 . 42 （四） 综合网络安全指数 . 45 附录 2 四大实验室简介 . 47 一、 大数据协同安全技术国家工程实验室 . 47 二、 提升政府治理能力大数据应用技术国家工程实验室 . 48 三、 中国赛宝实验室 . 49 四、 大数据战略重点实验室 . 50 1 第一章 研究 背景 与 方法 一、 研究 背景 与 意义 网络安全和信息化是我国经济社会健康、稳定发展驱动之双轮、一体之两翼。网络安全 已经 上升为国家战略，并且成为网络强国建设的关键核心。习近平总书记 在 2014 年指出：“没有网络安全就没有国家安全，没有信息化就没有现代化。” 之后， 在 2018年全国网络安全和信息化工作会议上， 他又 再次强调：“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。”在中央和各省、市政府大力推进信息化和网络安全建设的大背景下，对各主要城市的网络空间安全状况进行评估和分析显得十分必要、重要和紧迫。 随着数字化、网络化与各行各业融合发展程度不断加深，网络安全逐渐成为现代城市建设必不可少的环节，是关系城市健康持续发展、关系广大人民群众切身利益的重大问题，也是体现一个城市安全治理水平和能力的重要指标。 本报告以“大数据城市网络安全指数 ”为选题，从个人、企业、政府三个维度，整体分析和研究大数据时代城市网络安全状况，并综合计算各城市的网络安全指数。该指数的研究，对评估全国各城市网络安全建设水平，促进地方政府乃至国家层面网络安全保障体系建设的改进和完善，均具有一定的参考价值和借鉴意义。 大数据城市网络安全指数报告 于 2017 中国国际大数据产业博览会 期间 首次发布， 预计 此后每年发布一次。 当前，城市信息化建设规模和速度持续加大，移动互联网、云计算、物联网、人工智能、区块链等新兴数字信息技术应运而生， 这种 模型 为城市带来集约、绿色、高效的全新发展。伴随这2 一过程，城市的网络安全隐患不容忽视，城市网络存在技术失控、网络攻击、信息 泄露 等隐患，需要政府、企业、个人各方面高度关注，及时采取有效措施加以应对。 但是，如何全面地考察一个城市的网络安全状况，一直是一个业界难题。 一方面，一个现代城市的网络信息系统往往错综复杂，即便是一个中小规模的城市，其电子政务系统、民用和商用网络系统也数量繁多、标准不一，以现有技术手段和管理体系，很难进行完整的系统监测和数据采集。 另一方面，网络安全威胁本身也是一个错综复杂的问题，不仅网络攻击 的形式不胜枚举，造成的损害的形式也多种多样，某些重大的网络安全事故也可能完全是偶发的，或由非人为因素引起的。 不仅如此，个人、企业、政府及事业单位等所使用网络安全防护软件、防护设备和防护系统也不尽相同；即便是使用了完全相同的防护软件、防护设备或防护系统，其实际使用水平也往往具有很大的差距。 此外，城市网络安全评价指标应当是一种可以横向比较的指标。但在现实环境中，往往难以获得各个城市同一时间、同等质量的数据，因为需要充分考虑指标的可操作性和可比性。互联网是服务于城市的受多种因素相互作用、相互制约的系统，从城市主体角度看又分为多个子系统，因此，指标体系既要综合反映城市网络安全的整体特征，同时还要体现各子系统的特性、状态以及相互作用等。 总体来看，现有的诸多网络安全评估指标体系、方法，普遍无法解决多个复杂网络共同存在并相互影响的问题，无法全面、3 深刻体现网络安全对城市多业务系统安全的影响。 为了能够找到一种覆盖度好、典型性和代表性强、实践中可行的城市网络安全评价指标体系，由大数据协同安全技术国家工程实验室、提升政府治理能力大数据应用技术国家工程实验室、中国赛宝实验室、大数据战略重点实验室组成的联合研究团队，对全国 300 余个县级以上城市的网络安全状况展开了全面排查和分析，并最终确定了以 360 云端安全大数据为基础，以实际网络攻击发生情况为考核指标的归一化指数分析方法。 本报告创新性地提出城市网络安全指数，弥补了国内在城市网络安全指数研究方面的空白，通过系统、全面、整体性的研究分析，挖掘出城市网络安全建设的新规律，给出了研究过程中的新发现、新观点。在分析全国各城市网络安全指数及其在地域上的分布特点基础上，辅以可视化方法进行呈现，简洁直观、清晰易懂，对全国各个城市的网络安全建设提供了前瞻性、顶层性、适用性指导意见。 不过，受到数据资源本身的局限性，分析维度的局限性，这一指数体系本身也还存在诸多不完善的地方。此外，希望能够通过 该 报告的发布，使现代城市的网络安全评价体系能够走出象牙塔，向实践、实用的方向迈出第一步 。 二、 研究 方法 本次 报告涉及的大数据城市网络安全指数研究，主要以 360互联网安全中心 2017 年 -2018 年 3 月监测到的全国各个城市云端网络安全大数据为基础，通过对实际攻击行为的监测，分析全国各个城市的网络安全状况。 4 关于指数模型计算的详细数学方法，请参见报告“附录 1 大数据城市网络安全指数算法说明”。本小节主要对指数设计的基本思想和构成进行说明。 （一） 指数 的构成 为 了能够相对全面的反应一个城市的网络安全状况，我们将分别从三个维度来分析一个城市的网络安全状况：个人、企业、政府，最后将这三个维度的指数组合成一个城市的综合安全指数 。 1) 个人 网络 安全指数 个人网络安全指数的计算主要综合分析了各个城市中，个人网络用户在 PC 终端和移动终端上遭遇的各种主要的网络攻击情况。模型中包括的攻击类型主要包括 8个子项： PC 木马查杀、手机木马查杀、盗版软件使用、钓鱼网站拦截、网络诈骗举报、诈骗电话拦截、骚扰电话拦截和垃圾短信拦截。 2) 企业 网络 安全指数 对于政府和企业，想要建立全面的安全分析模型比较困难，这需要对各城市的政府和企业所使用的各种信息系统进行全面的、多维度的监测分析。这在目前的技术和市场环境下，几乎是不可能实现的。 但是，我们可以考虑以重要机构（如纳入等级保护三级或二级以上机构）的官方网站的安全性作为相关机构整体网络安全性的一个重要参考，并近似的以官方网站安全性代表相关机构信息系统的整体安全性。 之所以选择用官方网站代表相关机构信息系统的整体安全5 性，主要是基于以下两方面的考虑：一方面，官方网站服务器本身可以作为攻击内网的跳板，如果其安全性不足，那么机构内网受到攻击的风险就大。另一方面，官方网站作为机构对外提供访问和服务的门户，综合体现了相关机构安全防护水平的三个方面：机构对安全的重视程度，安全防护工具的应用水平和安全防 护能力。所以说，相关机构官方网站的防护水平对政企机构信息系统的整体安全性具有一定的代表性。 因此，以网站作为分析对象，可以进行量化的指标就比较多了。在对全国各城市重点企业进行的网站安全性分析中，本次报告主要采用了以下 6项通用指标：漏洞扫描检出量、第三方漏洞报告量、遭漏洞攻击次数、钓鱼网站服务器数量、网页遭篡改数量、被挂马次数及其 网络扫描 等。 其中，钓鱼网站服务器数量，是指 IP 地址在某个城市的钓鱼网站的服务器数量，这并不是某个单一企业网站安全性的问题。但鉴于某个城市存在的钓鱼网站服务器一般也是部署在当地某个运 营商的网络系统中，所以我们在进行指数分析时，将其作为企业安全指数的一个组成部分。 还有一点需要说明，在政府网络安全指数的分析指标中，我们有一项指标是 DDoS 攻击。但分析发现，在我们选定的重点企业网站样本中，遭到 DDoS 攻击的情况并不普遍。故， DDoS 攻击情况没有被选为企业网络安全指数的分析项目。 3) 政府 网络 安全指数 与企业网络安全指数的分析方法类似，我们也在每个城市中，选定重点政府机构的网站作为监测对象，对其遭到的网络攻击或漏洞报告情况进行分析，并由此形成政府网络安全指数。具体分析项目包括：漏洞扫描检出量、第三方漏洞报告量、遭漏洞攻击6 次数、 DDoS 攻击数量、网页遭篡改数量、被挂马次数及其他攻击情况等。 如前所述，在政府网络安全指数的分析项目中，不包括钓鱼网站服务器数量，但增加了 DDoS 攻击数量这一项目。监测发现，相比于绝大多数的企业网站，政府网站更容易遭到 DDoS 攻击。 这里需要说明的是，本次报告在分析过程中，对政府网 站的选择是比较苛刻的，主要选择的都是确实具有行政职权的管理机构，如工商、税务、城管、住建和党政机构等。而绝大多数的教育、医疗等类型的机构（主管部门除外）都被划归了企业网站进行分析。 下图给出了大数据城市网络安全指数的数据组成说明。 其中安全 软件 普及 情况和人均国内生产总值 是 两个指数影响因子， 其计算原理将在本节 的 “ （ 四 ） 指数 因子 ” 中 进行 说明。 7 应当说明的是，不同的威胁形式对于城市网络的整体安全性影响也有所不同。因此，也需要为每种不同的攻击形式在指数计算过程中分配不同的权重。不过，鉴于我们目前还没有找到一种针对所有网络威胁形式的危险程度进行全面科学分级的有效方法，因此，在本次报告的指数计算过程中，我们仅对部分属性相近 ，但危险性差异比较明显的细分项目指标进行了差异化的权重分配，而对于属性差异较大，危险性不易严格区分的威胁形式，采取了等权重的权重分配方法。详见附录 1。 （二） 样本 的选择 在个人网络安全指数的 8个分析项目中，安全数据主要来自于 360 终端安全产品对各类网络攻击的监测抽样统计。而企业和政府网络安全指数分析项目中，安全数据主要来自于 360 的网站安全监测平台、网站安全防护平台及补天漏洞响应平台。 特别值得 一提的是，相比于 前一次的 报告， 本次 报告 对政府网站样本 的 选择质量有 显著 的提高。 因为 在过去的一年中，全国共有 300 余 个城市的 6 万 余 个 政府 网站 加入 了 360 网站 安全云监测平台，接受 360全面 的 网络安全监测 与 保护 服务 ， 这使得 360云端 大数据 对 政府网站的 监测范围 和 监控频度都大大提升 。 除了 360互联网 安全中心 监测 的大量数据外，我们 还 对各地统计局公开的 数据 进行了收集， 其中 包括： GDP、 人口、 人均 GDP和 人均可支配收入 等 ，对 各个 城市的网络安全状况进行辅助分析。 不过，在对政府和企业的官方网站分析过程中，我们并没有对分布在各个城市中的海量网站进行整体分析，而是采用了小规模重点样本的精确分析。我们这样做的原因是希望能够把研究的