大数据城市网络安全 指数报告 （ 2017.5） 大数据协同安全技术国家工程实验室 提升 政府治理能力 大数据 应用技术 国家工程实验室 中国赛宝实验室 大数据 战略重点实验室 目 录 第一章 研究背景与方法 . 1 一、 研究背景与意义 . 1 二、 研究方法 . 3 （一） 指数的构成 . 3 （二） 样本的选择 . 6 （三） 指数计算原理 . 8 （四） GDP 因子 . 9 三、 研究的局限性 .10 第二章 中心城市网络安全指数分析 .12 一、 综合网络安全指数分析 .12 二、 政府网络安全指数分析 .14 三、 企业网络安全指数分析 .16 四、 个人网络安全指数分析 .18 第三章 其他城市网络安全指数列表 .21 附录 1 大数据城市网络安全指数算法说明 .29 一、 基础数据指标 .29 二、 指数计算模型 .29 （一） 个人网络安全指数 .29 （二） 企业网络安全指数 .33 （三） 政府网络安全指数 .37 （四） 综合网络安全指数 .41 附录 2 四大实验室简介 .42 一、 大数据协同安全技术国家工程实验室 .42 二、 提升政府治 理能力大数据应用技术国家工程实验室 .42 三、 中国赛宝实验室 .43 四、 大数据战略重点实验室 .44 1 第一章 研究 背景 与 方法 一、 研究 背景 与 意义 网络安全和信息化是我国经济社会健康、稳定发展驱动之双轮、一体之两翼。网络安全已上升为国家战略，并且成为网络强国建设的关键核心。习近平总书记 2014 年就指出：“没有网络安全就没有国家安全，没有信息化就没有现代化。”在中央和各省、市政府大力推进信息化和网络安全建设的大背景下，对各主要城市的网络空间安全状况进行评估和分析显得十分必要、重要和紧迫。 随着数字化、网络化与各行各业融合发展程度不断加深，网络安全逐渐成为现代城市建设必不可少的环节，是关系城市健康持续发展、关系广大人民群众切身利益的重大问题，也是体现一个城市安全治理水平和能力的重要指标。 本报告以“大数据城市网络安全指数”为选题，从个人、企业、政府三个维度，整体分析和研究大数据时代城市网络安全状况，并综合计算各城市的网络安全指数。该指数的研究，对评估全国各城市网络安全建设水平，促进地方政府乃至国家层面网络安全保障体系建设的改进和完善，均具有一定的参考价值和借鉴意义。 当前，城市信息化建设规模和 速度持续加大，移动互联网、云计算、物联网、人工智能、区块链等新兴数字信息技术应运而生，进而为城市带来集约、绿色、高效的全新发展模式。伴随这一过程，城市的网络安全隐患不容忽视，城市网络存在技术失控、网络攻击、信息泄密等隐患，需要政府、企业、个人各方面高度关注，及时采取有效措施加以应对。 但是，如何全面地考察一个城市的网络安全建设状况，一直2 是一个业界难题。 一方面，一个现代城市的网络信息系统往往错综复杂，即便是一个中小规模的城市，其电子政务系统、民用和商用网络系统也数量繁多、标准不一，以现有技术手段和管理体系， 很难进行完整的系统监测和数据采集。 另一方面，网络安全威胁本身也是一个错综复杂的问题，不仅网络攻击的形式不胜枚举，造成的损害的形式也多种多样，某些重大的网络安全事故也可能完全是偶发的，或由非人为因素引起的。 不仅如此，个人、企业、政府及事业单位等所使用网络安全防护软件、防护设备和防护系统也不尽相同；即便是使用了完全相同的防护软件、防护设备或防护系统，其实际使用水平也往往具有很大的差距。 此外，城市网络安全评价指标应当是一种可以横向比较的指标。但在现实环境中，往往难以获得各个城市同一时间、同等质量的数据，因为 需要充分考虑指标的可操作性和可比性。互联网是服务于城市的受多种因素相互作用、相互制约的系统，从城市主体角度看又分为多个子系统，因此，指标体系既要综合反映城市网络安全的整体特征，同时还要体现各子系统的特性、状态以及相互作用等。 总体来看，现有的诸多网络安全评估指标体系、方法，普遍无法解决多个复杂网络共同存在并相互影响的问题，无法全面、深刻体现网络安全对城市多业务系统安全的影响。 为了能够找到一种覆盖度好、典型性和代表性强、实践中可行的城市网络安全评价指标体系，由大数据协同安全技术国家工程实验室、提升政府治理能 力大数据应用技术国家工程实验室、3 中国赛宝实验室、大数据战略重点实验室组成的联合研究团队，对全国 300 余个县级以上城市的网络安全状况展开了全面排查和分析，并最终确定了以 360 云端安全大数据为基础，以实际网络攻击发生情况为考核指标的归一化指数分析方法。 本报告创新性地提出城市网络安全指数，弥补了国内在城市网络安全指数研究方面的空白，通过系统、全面、整体性的研究分析，挖掘出城市网络安全建设的新规律，给出了研究过程中的新发现、新观点。在分析全国各城市网络安全指数及其在地域上的分布特点基础上，辅以可视化方法进行呈现， 简洁直观、清晰易懂，对全国各个城市的网络安全建设提供了前瞻性、顶层性、适用性指导意见。 不过，受到数据资源本身的局限性，分析维度的局限性，这一指数体系本身也还存在诸多不完善的地方。此外，希望能够通过本次报告的发布，使现代城市的网络安全评价体系能够走出象牙塔，向实践、实用的方向迈出第一步 。 二、 研究 方法 本次 报告涉及的大数据城市网络安全指数研究，主要以 360互联网安全中心 2016 年 -2017 年 3 月监测到的全国各个城市云端网络安全大数据为基础，通过对实际攻击行为的监测，分析全国各个城市的网络安全状况。 关于指数模型计算的详细数学方法，请参见报告“附录 1 大数据城市网络安全指数算法说明”。本小节主要对指数设计的基本思想和构成进行说明。 （一） 指数 的构成 为 了能够相对全面的反应一个城市的网络安全状况，我们将4 分别从三个维度来分析一个城市的网络安全状况：个人、企业、政府，最后将这三个维度的指数组合成一个城市的综合安全指数 。 1) 个人 网络 安全指数 个人网络安全指数的计算主要综合分析了各个城市中，个人网络用户在 PC 终端和移动终端上遭遇的各种主要的网络攻击情况。模型中包括的攻击类型主要包括 8个子项： PC 木马查杀、手机木马查杀、盗版软件使用、钓鱼网站拦截、网络诈骗举报、诈骗电话拦截、骚扰电话拦截和垃圾短信拦截。 2) 企业 网络 安全指数 对于政府和企业，想要建立全面的安全分析模型比较困难，这需要对各城市的政府和企业所使用的各种信息系统进行全面的、多维度的监测分析。这在目前的技术和市场环境下，几乎是不可能实现的。 但是，我们可以考虑以重要机构（如纳入等级保护三级或二级以上机构）的官方网站的安全性作为相关机构整体网络安全性的一个重要参考，并近似的以官方网站安全性代表相关机构信息系统的整体安全性。 之所以选择用官方网站代表相关机构信息系统的整体安全性，主要是基于以下两方面的考虑：一方面，官方网站服务器本身可以作为攻击内网的跳板，如果其安全性不足，那么机构内网受到攻击的风险就大。另一方面，官方网站作为机构对外提供访问和服务的门户，综合体现了相关机构安全防护水平的三个方面：机构对安全的重视程度，安全防护工具的应用水平和安全防护能力。所以说，相关机构官方网站的防护水平对政企机构 信息系统的整体安全性具有一定的代表性。 5 因此，以网站作为分析对象，可以进行量化的指标就比较多了。在对全国各城市重点企业进行的网站安全性分析中，本次报告主要采用了以下 6项通用指标：漏洞扫描检出量、第三方漏洞报告量、遭漏洞攻击次数、钓鱼网站服务器数量、网页遭篡改数量、被挂马次数及其他攻击情况等。 其中，钓鱼网站服务器数量，是指 IP 地址在某个城市的钓鱼网站的服务器数量，这并不是某个单一企业网站安全性的问题。但鉴于某个城市存在的钓鱼网站服务器一般也是部署在当地某个运营商的网络系统中，所以我们在进行指数分析时，将其作 为企业安全指数的一个组成部分。 还有一点需要说明，在政府网络安全指数的分析指标中，我们有一项指标是 DDoS 攻击。但分析发现，在我们选定的重点企业网站样本中，遭到 DDoS 攻击的情况并不普遍。故， DDoS 攻击情况没有被选为企业网络安全指数的分析项目。 3) 政府 网络 安全指数 与企业网络安全指数的分析方法类似，我们也在每个城市中，选定重点政府机构的网站作为监测对象，对其遭到的网络攻击或漏洞报告情况进行分析，并由此形成政府网络安全指数。具体分析项目包括：漏洞扫描检出量、第三方漏洞报告量、遭漏洞攻击次数、 DDoS 攻击数量、 网页遭篡改数量、被挂马次数及其他攻击情况等。 如前所述，在政府网络安全指数的分析项目中，不包括钓鱼网站服务器数量，但增加了 DDoS 攻击数量这一项目。监测发现，相比于绝大多数的企业网站，政府网站更容易遭到 DDoS 攻击。 这里需要说明的是，本次报告在分析过程中，对政府网站的选择是比较苛刻的，主要选择的都是确实具有行政职权的管理机6 构，如工商、税务、城管、住建和党政机构等。而绝大多数的教育、医疗等类型的机构（主管部门除外）都被划归了企业网站进行分析。 下图给出了大数据城市网络安全指数的数据组成说明。 应当说明的 是，不同的威胁形式对于城市网络的整体安全性影响也有所不同。因此，也需要为每种不同的攻击形式在指数计算过程中分配不同的权重。不过，鉴于我们目前还没有找到一种针对所有网络威胁形式的危险程度进行全面科学分级的有效方法，因此，在本次报告的指数计算过程中，我们仅对部分属性相近，但危险性差异比较明显的细分项目指标进行了差异化的权重分配，而对于属性差异较大，危险性不易严格区分的威胁形式，采取了等权重的权重分配方法。详见附录 1。 （二） 样本 的选择 在个人网络安全指数的 8 个分析项目中，安全数据主要来自于 360 终端安全产品对各类网络攻击的监测抽样统计。而企业和7 政府网络安全指数分析项目中，安全数据主要来自于 360 的网站安全监测平台、网站安全防护平台及补天漏洞响应平台。 不过，在对政府和企业的官方网站分析过程中，我们并没有对分布在各个城市中的海量网站进行整体分析，而是采用了小规模重点样本的精确分析。我们这样做的原因是希望能够把研究的重点聚焦在管理机构最为关注的企业或政府机构中，尽可能的避免那些重要性相对较低，但数量极其庞大的一般网站对研究工作的复杂干扰。尽管这种分析方法也存在相当程度的局限性，但其分析结果更有利于协助各地管理机构发现关键问题，解决关键问题。 对于政府和企业官方网站进行抽样选择的具体规则如下： 1) 每个城市优先选择被纳入等级保护三级及以上机构的官方网站； 2) 监测分析 重点机构网站数量：北上广深四个发达城市（一线城市），政府网站 100 个及以上，企业网站 200 个以上；省会城市和计划单列市（不含深圳），政府网站 50个及以上，企业网站 100 个以上；其他城市，政府网站 20 个及以上，企业网站 40 个以上。 3) 在可靠的信息收集范围内，中小城市如果找不到足够数量的被纳入等级保护三级及以上机构的官方网站，则以低于三级的其他重要网站做补充，如该市大型企业或事业单位网站等。 特别说明，不同等保级别机构的网站、等保机构与非等保机构的网站，在指数计算过程中，分配的权重是有所不同的。等保级别越高，权重 越高。也就是说，对于一个城市而言，重要性越高的网站，其安全性对整个城市的网络安全性影响越大；反之，重要性相对较弱的网站，其安全性对整个城市的网络安全性影响8 也越小。 综上所述，本次报告共选择了全国 318 个个城市（由于研究团队的能力有限，部分城市收集到的重点机构网站数量未能达到上述要求，因而未列入本次报告分析的目标城市）的 19000 余个企业网站和 8000 余个政府网站作为城市的企业网络安全指数和政府网络安全指数分析的监测对象 。 （三） 指数 计算 原理 关于指数的详细计算过程，参见“附录 1 大数据城市网络安全指数算法说明”。此处仅对一些关键问题进行基本方法说明、 本次报告采用了的业界常用的指数方法对数据进行归一化处理。对于指数计算过程中的每一个细分的威胁项目，按照下面公式计算安全指数。其中， x表示该城市在这一威胁项目中受害程度，而 则表示全国各城市在这一威胁项目中的平均受害程度，i表示城市编号， j表示单个威胁项类型的编号 。 , = (,/) 而在将多个细分威胁项目的指数，综合计算为个人、企业或政府的单项网络安全指数时，在不考虑后面将要介绍的 GDP因子的情况下，采 用如下算法（暂未考虑后面所说的 GDP 因 子） ： Yi = 1(1,)=1其中， gj表示权重， gj=1， n为该分项指数所包含的细分威胁项的类型个数。 而将个人、企业或政府的网络安全指数合并计算为综合网络安全指数时，也同样使用指数计算的方法，但计算过程稍有变化，