梅丽莎·海瑟薇，弗朗西斯卡·斯派德里

0 引言

国家人口13．11 亿人口增长率1.2%按市价计算的GDP(当前美元)2.095 万亿美元GDP增长率7.6%接入互联网的年份1986 年(进入),1995 年(公众接入)国家网络安全战略2013互联网域名.in互联网用户数(每100人)26固定宽带用户数(每100人)1.3

移动宽带用户数(每100人)5.5移动手机用户数(每100人)79

信息通信技术（ICT）发展和连通性排名

二十世纪70年代，印度电子部(DoE)开始与联合国开发计划署(UNDP)制定战略，将计算机带入印度——这一行动，对于印度社会的信息化和促进经济至关重要。1985年，国家科学技术中心的成立，负责建立了印度第一家互联网服务提供商(ISP)，教育研究网络(ERNET)--主要针对学术和研究机构的互联网平台。ERNET引入“in”扩展名并为印度学术机构提供第一次国际连接。当时接入互联网的三大主要倡议之一就是要连接印度的社会、学界和政府。最初为政府所有的印度计算机维修公司(CMC)在1977年转为公共有限公司，由此启动了印度第一个公共网络——INDONET网络，并于1986年开始运营。INDONET的目标是在国内创建互联基础设施和文化，并最先向公共和私营实体提供电子邮件、文件传输服务、应用程序和数据网络。最终，基于卫星网络的国家信息中心网络(NICNET)将中央政府与州政府和地方管理员连接起来，在人口普查、医疗服务、选举结、国家政策和其他政府服务方面启用双向信息共享。

1995年互联网开始普及到印度公众，由此中央政府将互联网作为支持经济增长、创造就业、更高效的政府运作和提高公共服务访问的催化剂。然而，今天印度的互联网普及率仍是亚太地区中最低的，只有26%的人口连接到互联网，远落后于中国和巴西等其他大型发展中国家。 印度有近十亿人还没有连接互联网，是世界上最大的离线人口国家。但是，2016年非官方统计数据表明，印度的互联网普及率正在提高。

政府继续推动数字化，向所有的印度人民提供电子政府服务。但是，由于离线人口规模，这些目标仍然难以实现。例如，2006年印度政府启动了国家电子政务计划(NeGP)，启动了31项以公众服务为中心的任务模式项目(MMPs)，包括养老金、缴纳所得税、银行和保险服务等。虽然许多项目在全国范围得到实施，但NeGP最终没有达到预期目标。在过去的十年里，印度持续推动发展这些倡议，在塑造未来的计划中先前的挫折和教训发挥了重要作用。其中，Aadhaar生物识别方案是一个较为成功的电子政务项目，这是世界上最大的国家身份证号码计划，由印度身份证主管部门(UIDAI)领导。这个生物工具是一个由12位数字唯一标识的文件，包含人口和其他生物特征数据的细节，能够向印度居民及时有效地提高福利和服务，现在超过80%的人口在使用这一工具。虽然这个计划允许更多的公民访问电子政务服务，但批评人士担心这个大型信息库可能被政府监管所滥用，或是受到犯罪分子的破坏，非法利用这些信息。

把印度变成一个“数字授权社会和知识经济”是当前政府的主要目标之一。总理纳伦德拉·莫迪在2015年的数字战略中提出 “数字印度”构想——这项全面经济计划以创造就业为优先任务，通过创新和健壮的通信互联基础设施来实现。由于意识到连通性支撑着经济增长，该计划提出提高电信服务的措施，包括加快宽带部署至少达到50%(目前约7%)，普及移动互联网的接入率，在印度农村地区增加30%(目前约为45%)。如果成功实施，该计划可以产生双重效应：(1)吸引外国直接投资，(2)增加高科技出口，进而产生额外9%的GDP增长率 (约1800亿美元)。此外，“数字印度”构想鼓励信通技术为医疗部门、知识管理和金融服务等产业创新提供解决方案。该计划有许多其它相关项目，如“印度制造”、“技能印度”、“创业印度”和“印度站起来”等，旨在进一步鼓励年轻一代和IT行业创新，开发创新的解决方案，促进印度第二大进口产品电子设备的国内生产。[1]印度的这个“数字革命”正是要充分实现信通技术的经济效益。“数字印度”的实施由电子和信息技术部(Ministry of Electronics and Information Technology ，MeitY) 协调，前身为电子和信息技术部门(Department of Electronics and Information Technology ，DeITY)。行动计划包括核心ICT基础设施的建立、拓展和现代化，明确提出特定的里程碑和目标，预计在2018年中完成。

上述这些计划继续将印度定位于ICT全球市场的领导者。2016年，印度ICT行业贡献了1430亿美元的收入，1080亿美元的出口，大约370万人的就业。电子商务是印度增长最快的市场，由于公司采用基于本地的电子商务、创新移动平台和在线支付解决方案，自2015年以来电子商务增长了20%(约170亿美元)。由此，一些印度IT服务公司，如Wipro和Infosys逐渐成为世界市场中的全球竞争者，而其他如Flipkart公司(网上购物)，Quikr(在线市场)和Nauki.com(招聘网站)正在成为国内电子商务快速发展空间中的主要参与者。

尽管印度的数字战略拥有产生更大数字红利的潜力，并且已经相当成功地吸引到ICT领域的外国直接投资，但政府尚未使网络安全与经济活动同等优先。网络安全对印度不是一个新问题，政府现在认识到网络安全还可将网络挑战转化为机遇，推动印度ICT的安全和韧性。在启动“数字印度”时，莫迪把网络风险比作“不流血战争的全球威胁”，宣称“印度要在应对全球网络威胁中扮演重要角色”，而且他的国家“可以提供创新和可靠的解决方案…确保整个世界生活在和平之中。”

虽然国家统计数据并不容易获得，但印度连续高居两项国家排名，一是在网络攻击起源国排名中名列第三，仅次于美国和中国；二是在网络犯罪和恶意软件的攻击目标排名中位居首位。对黑客而言，像印度这样的国家是一个很有吸引力的目标。因为他们经历了ICT应用、电子商务活动、网上银行和金融交易的快速增长，但连通性的提高并没有伴随更高的安全意识。[2]印度最高法院委托的一项研究表明，2013年由恶意软件、身份盗窃和网络钓鱼等网络犯罪造成的损失超过40亿美元。2015年，印度国家安全顾问多瓦尔（Ajit Kumar Doval）将网络安全列为印度面临的主要国内安全挑战之一。

尽管印度提出加强网络安全的相关举措，包括最早从2008年的《信息技术(IT)法案》，最近专门成立国家网络安全协调中心(National Cyber Security Coordination Centre ，NCCC)到“数字印度”承诺努力建设安全的网络空间，印度的基础设施保障和韧性、法律和监管措施、以及更广泛的经济改革都还没有跟上莫迪总理数字革命的设想。而这些又因印度缺乏一个专业的网络安全劳动力和在线离线人口在数字、教育、收入、性别上的持久差异而被放大。此外，印度的2013年“国家网络安全政策”缺乏一个实施计划，政府目前大多数政策可以说是“零打碎敲”。[3]批评人士还指出，最近一系列网络间谍攻击表明印度缺乏一个具有弹性的网络和一个协调的安全响应机制。最后，高层的国家安全官员注意到在授权保护印度关键信息基础设施的各机构之间缺少一个综合的途径。[4]总之，在国家级网络风险防范方面，印度仍有很大差距。

印度面临着许多挑战，在前进路上很难将网络安全确定为优先事项。事实上，印度的主要目标是保护法律、秩序和安全。过去和持续的挑战一直主导着国家安全议程，包括当前感知到的与分离主义、宗派主义、恐怖主义和军事有关的威胁。改善国家的网络安全态势需要投入足够的资源，以及提升其对未来印度国家和经济安全的重要性。

网络就绪度指数2.0(CRI2.0)评估了印度应对网络安全风险的准备水平。这种分析为印度提供一个可行的蓝图，以便更好地理解其对互联网基础设施的依赖性及脆弱性，评估其是否拥有足够的责任和成熟度，来弥合当前网络安全态势和支撑数字未来的国家网络能力之间的差距。

对国家网络安全相关努力和能力的全面评估主要基于网络就绪度指数2.0中的七个基本要素，包括国家战略、事件响应、电子犯罪和执法、信息共享、研发投资、外交和贸易，防御和危机应对。

1 国家战略

2010年，印度政府的国家安全委员会，国家安全顾问委员会(NSAB)和其他高层办公室遭到一系列引人注目的计算机入侵事件。通过应对这些事件，政府创建了网络防御和准备部际工作组，由印度的技术情报机构——国家技术研究组织(NTRO)主持相关工作。这也是印度在网络防御方面最早采取的多利益相关方措施。

网络防御和准备部际工作组帮助制定印度的网络政策和未来组织。2013年，电子和信息技术部门(the Department of Electronics and Information Technology, DeITY)升格为电子和信息技术部(Ministry of Electronics and Information Technology，MeitY)，并在2016年发布第一份“国家网络安全政策”。该网络安全战略指出，互联网普及已经成为支持印度经济增长和社会发展、提升就业机会、提高生活水平的催化剂。并强调印度政府在推动ICT应用所发挥的作用，包括公共服务(如：政府-公民的服务、公民身份和公共分配系统)、医疗(如：远程医疗、远程咨询和移动服务)、教育(如：在线学习和虚拟教室)、金融服务(如：移动银行和支付网关)等领域。文件总结了ICT普及率的提高带给印度的好处，但也警告不安全网络空间存在的固有风险有能力“减损国家资源”和“破坏公众对国家及其基础设施的信心”。

该文件清楚表达了印度的前景目标是“为公民、企业和政府建立一个安全有弹性的网络”。确保网络空间弹性和信任的目标还包括：加强监管框架确保安全的网络安全生态系统；加强和创建国家和行业水平获取网络威胁信息的24 x7机制；建立24 x7国家关键信息基础设施保护中心(NCIIPC)；到2018创建拥有5万人的网络安全劳动力。文件提出了15个其它目标和相关行动领域，比如创建安全的网络安全生态系统；开发确保安全的框架；鼓励开放标准；促进关键信息基础设施的保护和弹性；创建网络安全意识。在许多方面，文件显得雄心勃勃，因为它提出了明确的目标和行动项目，但没有提供实施计划或者实现这些目标的行动指南。

该战略呼吁成立中央国家机构，负责协调印度所有与网络安全相关的事项。然而，尽管成立国家安全委员会秘书处(National Security Council Secretariat ，NSCS)作为中央网络安全协调机构，负责协调网络安全和互联网治理，但是在电信部门内，通信和信息技术部是负责国家级网络安全政策实施的机构。

2015年印度设立并配备了国家网络安全协调员职位。利用机构的知识优势，该职位由前MeitY的印度计算机应急小组(CERT)前主管担任。协调员定位在总理办公室，也是新成立的国家网络协调中心(National Cyber Coordination Center ，NCCC)主任，隶属于MeitY之下。NCCC的任务是协调公共和私营部门，包括情报机构、执法、互联网服务提供商和行业，共同缓解网络威胁的影响，促进网络威胁情报共享并评估可能流入网络的恶意信息。财政部已经为其运行拨款1.3亿美元，但NCCC仍然处于能力建设和人员组建当中，从技术的角度来看，目前还不清楚它将如何开展所指定的活动和任务。[5]

结合国家经济发展远景和国家安全需求，印度更新了国家网络安全战略。虽然印度政府尚未对外公布该战略，但阐述了网络安全的九项核心原则：(1)促进和平与稳定；(2)多利益相关方的方法；(3) 支持投资联合国政府专家组(UN GGE)；(4)能力建设和研发；(5)计算机应急小组之间的技术合作和标准制定；(6)促进经济增长；(7)执法人员之间的合作；(8)支持网上自由；(9)数据和隐私保护。

此外，印度政府已认识到信息通信技术的运用带来的益处和威胁。2013年的“国家网络安全政策”和2015年“数字印度”都积极阐述了作为印度经济增长的主要推动力，互联网连接和信息通信技术发展的重要性。但是，“数字印度”旨在提高在公民服务中ICT的渗透和应用，而国家网络安全战略则完全专注于确保印度信息基础设施和建设网络安全意识。因此，直到数字印度和网络安全战略达成协调一致，印度才可能实现支撑其数字未来所需的经济承诺和国家安全保障。

2 事件响应

2008年IT修正案(70A条款)提出设立 “国家节点代理”的政府机构，用于关键信息基础设施保护，修正案第（70B条款）将这个角色分配给印度计算机应急小组(CERT-In)，负责“保护印度网络空间。”

然而直到2014年，当印度的工业控制系统到处发现有恶意软件，当时的DeITY (现在的电子和信息技术部，MeitY)正式宣布成立国家关键信息基础设施保护中心(NCIIPC) 作为负责关键行业的专职机构，隶属于国家技术研究组织(NTRO)。政府将关键信息基础设施定义为“一些设施、系统或功能，其能力受到破坏或者中断会损害一国的国家安全、治理、经济和社会福祉。” 能源、交通、银行和金融、电信、制造、国防、执法、电子政务和水资源等12个行业处于NCIIPC的管理范围。

这种整合公私部门的政府组织授权是值得关注的——它提供了进一步信息共享和协作的机会。国家关键信息基础设施保护中心(NCIIPC)的主要职责包括：确定下级的关键行业；签发网络安全警告和建议的日报和月报；执行恶意软件分析和网络取证；跟踪恶意软件和僵尸网络；提高网络安全意识和培训；24 x7小时运行的帮助平台。为帮助关键信息基础设施提供商更好地应对网络事件，在其确定的关键行业范围内，国家关键信息基础设施保护中心(NCIIPC)在每个组织或部门都设有“节点官员”或计算机信息安全官(CISO)，作为NCIIPC的主要联络点。

印度CERT成立于2004年，如今作为国家中央机构负责网络事件响应、跨部门协调、并采取积极措施降低联邦政府和州政府、行业和学界的网络风险。印度CERT也是服务于公共部门和关键信息基础设施的咨询机构，并努力为所有企业开发网络安全标准。

2008年修正案和2014年IT规则赋予印度CERT更广泛的目标，包括收集、分析和通报网络事件信息；预测和发布网络安全事件警报；提供处理网络安全事件的应急措施；协调网络事件反应活动；发布与信息安全实践、程序、预防、响应和事件报告相关的行动指南、警告、脆弱性笔记和白皮书；网络安全相关的其他功能。

随后，印度CERT发布框架文件，记录并跟踪其达成2008年IT修正案所述目标的进展情况，每个目标都配套有相关的成功行动和措施。自框架文件发布以来，印度CERT更新了网络危机管理计划(CCMP)，以应对网络攻击和网络恐怖主义，以及影响国家重要资产、危及公共安全和国家安全的其他网络相关事件。此外，印度CERT正在进行关键基础设施安全审计；举办行业、国家和国际级别的网络安全演习；签订与其他国家和行业CERT合作的正式协议。印度CERT也利用媒体广告来提高公民意识和提供额外的网络意识培训。

此外，印度CERT建立了安全警报系统，在其网站上发布潜在网络威胁和漏洞的每日“警告”和“脆弱性笔记”，分发给印度CERT服务名单上的订阅用户。印度CERT还发布年度报告，包括僵尸网络跟踪培训工作组的小结和关于网络相关事件的统计。最后，为应对不断增加的网络欺诈事件和数字交易的潜在不安全性，印度财政部长Arun Jaitley最近宣布成立专门的印度金融业CERT(CERT-Fin)，以加强印度金融体系的安全性和韧性。[6]

在2015 - 2016财年，印度政府分配约1360万美元给以下三项活动：印度CERT、网络上诉法庭和网络安全研发(R&D)。

3 电子犯罪和执法

由于认识到网络犯罪的严重性和影响，印度政府通过和更新了一些规定，以便更好应对网络犯罪和信息技术基础设施的安全漏洞。2000年的IT法案——尔后在2008年修订，为印度政府提供了解决一系列网络安全相关挑战的广泛的法律框架，包括：“惩罚篡改计算机源文件”(第65条款)；“惩罚通过通信服务发出进攻信息等”(第66A条款)；“惩罚以电子形式出版或传播淫秽材料”(第67条款)；和在其它网络犯罪中，“为了网络安全，授权通过任何计算机资源，监控和收集流量数据或信息的权力”(第69 B条款)。

2008年法案的修正案后，印度最高法院讨论了防止“攻击性材料”传播的合法性。2015年最高法院推翻了第66条款，认为其违宪，指出法律已被各州警察广泛滥用来逮捕在网上就社会政治问题和政治领导发表批评的无辜人士。[7]

此外，根据2000年法案(第84条款)印度政府采用了“国家加密政策”。2015年印度政府公布了由前DeITY（电子和信息技术部门）专家小组制定的政策草案。草案强调在网络安全、网络犯罪和合法拦截之间存在一些技术和制度上的重叠。文件中关于针对所有公民使用加密服务的一些解释引发广泛批评，例如WhatsApp需要储存90天纯文本格式的加密通信，否则将面临潜在的执法行动。而且，政策还指出电子商务网站有义务保持用户自交易之日起90天的纯文本数据和加密文本数据。批评结果是印度政府在政策发布后一天就删除了，并声明文件“只是草案，而不是政府观点。”然而，推动创建“国家加密政策”草案的一些安全关切也推动印度建立中央监控系统(CMS)，进行“合法拦截和监视通信以解决…国家安全方面的担忧。”但是，许多执法官员还不完全了解在2008年信息技术法案下的裁决权力，成功的网络犯罪调查和起诉仍缺乏搜查、抓捕、取证数字证据的标准程序。[8]

为帮助提高能力和理解科学、技术、政策和法律的交叉问题，印度政府建立了一系列培训中心。例如，位于班加罗尔的印度大学国家法学院的网络法律和审查的先期研究、发展和训练中心，致力于法律术语和技术术语的互译，向司法官员、检察官、调查机构、网络安全人员、技术人员和其它人员提供培训和教育。在DeITY(现在的MeitY，电子和信息技术部)的资金支持下，该中心提供独特的实习培训组件。此外，政府通过公私伙伴关系——印度数据安全委员会(DSCI)和国家软件服务公司协会(NASSCOM)，在孟买、班加罗尔、浦那和加尔各答建立了网络实验室。实验室主要用于执法官员和行业伙伴的用网络安全和取证培训。到目前为止，已有4万9千人接受了DSCI网络实验室“跨印度计划”的训练。此外，在MeitY（电子和信息技术部）的最初支持下，印度大学法律学院建立网络法律中心和网络取证实验室，对网络执法机构进行网络法律和网络取证方面的定期培训。

民政部(MHA)也提倡提高应对网络犯罪和网络不安全感的国家能力。民政部门发布咨询报告，建议州政府建立应对网络犯罪所需的技术能力，包括对网络犯罪进行检测、注册、调查和起诉的专业人员培训。因此，在印度每个州的警察现代化计划框架下，民政部门正在筹建网络犯罪警察局(CCPS)和网络犯罪调查和取证培训设施(CCIFTC)，并已经在喀拉拉邦、阿萨姆邦、米佐拉姆邦、那加兰邦、阿鲁纳恰尔邦、特里普拉邦、梅加拉亚邦、曼尼普尔邦、查谟和克什米尔建立了网络取证培训和调查实验室。政府还在海德拉巴的国家警察学院(NPA)建立了用于网络犯罪调查的先进设施，帮助训练负责打击网络犯罪的警察。

印度中央调查局(CBI)——调查违反法律的中央领导机构，从两种不同角度评估网络犯罪：一是计算机犯罪的方法，另一种是计算机犯罪的目标。由此，中央调查局成立了各种不同部门帮助打击网络犯罪。中央调查局有网络犯罪研发部门，网络犯罪调查部门和网络取证实验室(包括数码影像中心)和网络监控中心。中央调查局也有一个单独的经济犯罪部，领导调查与银行和金融服务相关的网络犯罪。中央调查局的网络犯罪调查部门成立于2001年，拥有一个核心人员团队，经常与美国联邦调查局(FBI)、国际刑警组织和其他国家的警察部队对接。

2016年，政府投资约 6400万美元建立印度网络犯罪协调中心(IC4)， 隶属于民政部的“网络控制中心”，负责监视“儿童色情和网上恶意破坏。”[9]2016年12月印度政府开始建立清理僵尸网络和恶意软件的分析中心(Cyber Swachhta Kendra)，该中心属于印度CERT的一部分。僵尸网络中心与互联网服务提供商一起检测僵尸网络，提醒设备受感染的软件用户，并指导他们按照印度CERT网站推荐的流程删除恶意软件，清楚感染。该项目是“数字印度”的一部分，启动资金约1600万美元。

由于意识到网络安全的重要性，并将其作为数字包容和电子政务的重要前提，各州政府发起了应对网络犯罪和数据盗窃的相关项目。例如，马哈拉施特拉邦政府已启动预算约1.5亿美元的“网络马哈拉施特拉邦”项目，[10]其他州如Andhra Pradesh和Telangana紧随其后。

在国际层面，印度政府与其他国家和国际组织开展合作，以减少网络犯罪。印度已经与不同国家签署了39项多边司法互助条约(MLATs)，通常包括在签署国家间的网络犯罪信息交换，以便更快的事件反应和起诉罪犯。民政部的国际安全第二部门是处理境外犯罪信息请求的中央机构，包括网络犯罪。中央调查局最近成立了一个7成员机构，确保响应多边司法互助的所有请求。

尽管如此，印度没有签署欧洲委员会的网络犯罪公约(俗称布达佩斯公约)。拒绝布达佩斯公约的原因是公约第32 b条款允许成员国访问或接收另一个成员国存储的计算机数据，发出请求的成员国应该获得合法和自愿的同意。印度认为这是对一个国家主权的侵犯。尽管印度尚未成为上海合作组织(SCO)“确保国际信息安全领域合作协议”的正式成员，但为了全面加入上海合作组织，印度政府官员2016年与上合组织元首理事会国家签署了“谅解备忘录义务”。印度的成员国资格可能会在2017年6月阿斯塔纳的上合组织成员国领导人峰会中被接受。作为其加入上合组织的一部分，印度将必须接受上合组织成员国在过去15年里已经通过的所有文件，也将包括“确保国际信息安全领域合作协议。”[11]

4 信息共享

如前所述的2008年IT修正案 (第70 b条款)，印度CERT被指定为紧急事件反应的国家机构，包括网络事件的收集、评估和信息共享。印度CERT负责24 x7小时共享关于网络攻击、漏洞、解决方案和网络危机管理的相关信息。此外，国家关键信息基础设施保护中心（NCIIPC）负责与关键基础设施机构及其关键部门共享恶意软件的分析和其它信息。

尽管印度没有国家信息共享政策，但2013年的“国家网络安全政策” 将信息共享作为一个关键战略领域，强调信息共享和合作的重要性。国家网络安全战略强调三个主要行动领域：(1)发展与其他国家在网络安全领域的双边和多边关系；(2)增强与安全机构、CERTs、军队、执法和司法系统的国家和全球合作； (3)建立关于网络安全技术和操作的产业对话机制，包括关键信息基础设施在内，促进系统恢复和弹性方面的努力。

此外，2013战略指出创建国家级信息共享机制的重要性，及时交换威胁信息。前国家网络安全战略发布两年后，印度政府留出约1.24亿美元在五年内创建国家级机制，旨在构建现实和潜在网络威胁的态势情景，促进信息共享。

尽管数量有限，但印度政府和行业之间的信息共享已有实例。2010年印度中央调查局（CBI）与国家软件服务公司协会（NASSCOM）、印度数据安全委员会（DSCI）签订了谅解备忘录(MoU)，促进执法部门和行业之间在新兴技术、安全标准和最佳实践的信息共享。虽然这是一个重要倡议，但是在2012年，印度数据安全委员会（DSCI）和印度政府共同发布报告，指出强调公私信息交换是不够的，要建立“参与私营部门的网络安全的联合工作组”。文件提出了建立公私伙伴关系的路线图，倡导建立相关制度和机制，促进公私部门之间的融合和协调。文件还概括指出，私营部门希望在不同领域建立信息共享和分析中心(ISACs)，在操作级别上与行业的CERT实现合作。

随后，2014年印度储备银行(Reserve Bank of India)的银行技术开发和研究所，仿照美国金融业的工业安全咨询委员会(FS-ISAC)，成立了印度银行风险和威胁分析中心(IB-CART)。该中心的主要目标包括：发布和促进成员间相关的、可操作的威胁信息共享，以确保公众对银行业的持续信心；援助行业资源，以帮助整个行业的网络态势感知和提前预警；进行研究和情报收集，向成员发布现实威胁或威胁演变的提醒。迄今为止，银行风险和威胁分析中心(IB-CART)在印度已吸引90多家机构，至少60家国有、私有和外资银行。尽管其他私有的、实时的网络安全威胁情报网在金融服务业使用更为广泛，但银行风险和威胁分析中心(IB-CART)总有一天会成为工业安全咨询委员会的未来模型，例如电力和石油行业。

5 研发投资

印度2013年国家网络安全战略(“国家网络安全政策”)概述了印度致力于网络安全研发，以实现短期、中期、长期的经济和政策目标。战略提出研发的行动领域列表，包括值得信赖的系统开发(如整个系统生命周期的测试、部署和维护)；用研发促进定制的、高收益的、本土解决方案，以应对未来出口的网络安全挑战；促进学术界和产业界对尖端技术与安全研究的联合研发。

由于应用到国家安全，MeitY（电子和信息技术部）进一步认识到本土网络安全研发的重要性。面对发达国家先进的产品和系统的出口限制，自主研发可以使印度开发量身定制的解决方案和产品。政府的科学技术路线图倡导自主研发，并以此作为手段来保护其ICT供应链不受操纵。此外，印度对进口产品表示了关切，因为它相信这些产品带来隐藏的安全威胁。”

MeitY（电子和信息技术部）也注意到私营部门在短期研发中发挥的重要作用——导致可用的商业产品。尽管印度已成为世界上计算机和信息服务第二大出口国，在电子商务方面正在取得重大进步，但是私营企业仍然面临着挑战。例如，在经商创业舒适度、施工许可证、执行合同和纳税方面，世界银行给印度的排名比较低。此外，不稳定的电力和宽带服务的质量问题在过去也是一个障碍，特别是对网络安全领域研发而言。这些约束继续影响当地的企业家和跨国公司在印度开展业务的兴趣，但是总理莫迪承诺将解决这些问题。例如，“数字印度”的公私合作关系推出名为“eBiz”的用户友好网站，为用户提供更容易的创业能力。 此外，2013年国家软件服务公司协会（NASSCOM）发起了1万项创业项目(创业仓库)。这个倡议仿照“启动智利”，旨在创建初创公司创始人一起工作的微生态系统，分享最佳实践。创业仓库建在加尔各答，得到西孟加拉邦政府(部门)和印度小型工业银行大约3500万美元的启动资金。创业仓库由国家软件服务公司协会（NASSCOM）构思设计，现在已得到全球超过35公司的支持，包括Google、科塔克银行、日立、IBM、英特尔、微软、索尼、惠普。至少八个其他州政府跟随加尔各答新建和孵化创业中心。他们意识到这个活动的经济潜力和重要性，能够让全球接触到印度企业家，从而也让印度连接到全球市场。

除了培养有利的商业环境，印度还计划通过能力建设、技能发展和培训，到2018年建立一个拥有50万熟练工人的更专业的网络安全劳动力。特别是MeitY发起了一项广泛的信息安全教育和意识(ISEA)项目，旨在满足该国的人力资源需求、政府人员训练、提高网络安全意识和创建国家信息安全课程资源库。它还设立专项拨款管理框架，征集各ICT领域研发的建议，诸如加密和密码分析、网络和系统安全、安全架构、脆弱性和保障、监控、监视和取证。

此外，印度很多大学都提供各种各样的网络安全相关课程和学位课程。著名的印度理工学院(IITs)提供本科、研究生和博士学位培养项目，学生可以专注于网络安全和与网络相关问题的研究。许多大学设有网络安全的本科和硕士学位课程，如孟买的印度理工学院的、班加罗尔的M.S. Ramaiah理工学院(MSRIT)和SJES管理研究学院、加尔各答的Jadavpur大学和新德里的K.K.莫迪国际学院。最近，坎普尔的印度理工学院成为最大的学生网络安全挑战赛的一部分，该竞赛测试学生的信息安全知识，包括从硬件到软件，从渗透测试到保护、数字取证和政府政策。[12]虽然新一代学生可以用到学术编程，但离开大学的学生却不一定准备了行业所需的必要技能。[13]

因此，行业正在努力建设网络能力。例如，2015年国家软件服务公司协会（NASSCOM）发起“NASSCOM网络安全工作组”，旨在使印度成为网络安全的研究、训练和产品中心，预计到2025年创造350亿美元的市场。印度数据安全委员会（DSCI）还打算训练至少一百万网络安全专业人士，建立1000个成功的网络安全相关公司。印度发展数字化社会和知识经济的愿望需要对网络安全基础研究、应用研究，更广泛的大学计划等方面保持健壮的投资，以此缩小人才可用性和劳动力需求之间的差距。

6 外交和贸易

印度外交部(MEA)将网络安全作为一级外交政策因素之一，这些年印度一直积极从事与网络安全相关的外交贸易和商务谈判。外交部的政策规划联合秘书担任网络问题主任,负责与第三国的谈判协定。外交部设有电子政务和互联网技术部(EG&IT)，完全致力于网络安全，配备4名永久代表。外交部还设有一个全球网络问题部门，负责追踪国际事务对国内政策的影响，并且代表印度在国外的网络安全利益。

在塑造网络空间国际准则的国际舞台上，印度一直非常活跃。印度国家安全顾问多瓦尔，称网络空间为“全球公域”，在外交或冲突中需要新的方法和新的规范。为进一步推动网络外交议程，印度参与了各种国际论坛的多边讨论，包括国际安全与信息通信技术的联合国政府专家(UN GGE)，加强合作的联合国委员会科学技术工作小组，联合国毒品和犯罪办公室可扩展政府间网络犯罪工作组。印度政府一直认为“网络安全是全球安全的首要议题”，并且强调印度应对网络威胁的承诺。

此外，印度一直参加与许多国家的高层双边和多边网络对话，包括澳大利亚、加拿大、中国、德国、法国、日本、肯尼亚、俄罗斯、韩国、美国、英国和阿拉伯联合酋长国。虽然印度在网络安全和互联网治理的关键问题上采用了不同方法，但印度有时看上去似乎是支持一派的立场也支持另一派立场。例如，2016年4月印度、俄罗斯和中国的三边外交会谈后发布的声明似乎表明印度支持多边网络治理问题。另一方面，2016年9月印度和美国之间签署的“美印网络关系框架”协议指出，两国致力于互联网治理的多利益相关方模式。该协议承诺两国就网络威胁和其他共同关心的问题进行信息交流；促进两国在合作执法和网络犯罪问题上的双边合作；协调网络能力建设的努力；支持一个开放、互联、安全、可靠的网络空间；鼓励网络空间负责任的国家行为。

虽然印度工商部门没有将ICT和网络安全问题列为对外贸易政策的一个顶级要素， 但是印度正在推进其数字议程，并在许多其他经济论坛和贸易谈判中关注到网络安全问题。例如，印度是金砖四国峰会的活跃成员国。在2015年第七届金砖国家峰会上，巴西、俄罗斯、印度、中国和南非的领导人解决共同关心的问题，优先加强和扩大金砖国家内部合作。该组织强调，体现《联合国宪章》的国际法原则的重要性，特别是政治独立、领土完整、国家和主权平等、不干涉别国内部事务以及对人权和基本自由的尊重。对于潜在的故意滥用ICT技术威胁国际和平与安全，印度表示深切关注。2016年，在印度果阿举办的第八届金砖国家峰会上，印度呼吁公共和私人部门投资基础设施，特别是连接性的投资，以确保可持续的长期增长。领导人强调了他们经济伙伴关系的重要性，主张在基础设施方面建立融资桥梁，确定新开发银行(NDB)的任务——该多边开发银行，由印度在2012年第四次金砖国家峰会上提出，2015年正式成立，旨在金砖国家、新兴经济体和发展中国家推进可持续发展项目。印度代表被任命为第一任银行行长，并且印度将举办下届新开发银行理事会年会和2017年第一届金砖国家贸易会。

印度还认识到地区全面经济伙伴关系(RCEP) 对其未来的战略重要性。目前处于最后几轮谈判的地区全面经济伙伴关系，是一个亚太地区的自由贸易协定，包括东盟地区10个经济体(文莱、柬埔寨、印度尼西亚、老挝、马来西亚、缅甸、菲律宾、新加坡、泰国和越南)和六个自由贸易伙伴国(澳大利亚、中国、印度、日本、新西兰和韩国)。参与地区全面经济伙伴关系的 16个国家占全球国内生产总值(GDP)的近30%，出口超过世界上四分之一。在2016年11月的部长会议上，印度说服其他国家将商品、服务和投资等不同部分进行打包谈判。[14]如果印度成功，地区全面经济伙伴关系将成为世界上最大的区域性贸易集团。其目标是降低贸易壁垒、促进经济技术合作、保护知识产权、鼓励竞争、促进争端解决、改善出口商品和服务的市场准入。地区全面经济伙伴关系也给印度提供了平台，影响其在亚太地区的战略和经济地位，实现其“东向政策”。尽管谈判没有最后完成，但贸易措施包括数据保护措施、知识产权、版权例外的限制规则和出于国家安全目的的数据主权要求等要素。

尽管印度政府认为网络安全是其外交政策的一个顶级要素，但是外交部持续人手不足，很难解决外交和贸易中广泛的网络问题。鉴于网络安全政策的重要性，该问题可能对印度日益凸显。

7 防御与危机应对

印度政府有四家网络安全机构负责国家网络防御：总理办公室、内政部、电子信息技术部和国防部。国家技术研究组织(NTRO)——仿照美国国家安全局的模式——在总理办公室的行政控制下专门负责技术研究和情报收集。该组织成立于2004年，对卫星和陆上互联网通信进行战略监测。该组织是印度技术资产的首要储备，包括侦察卫星、无人机系统和侦察飞机，负责向政府其他机构提供关于内部和外部安全问题的技术情报。[15]此外，国家密码学研究和开发研究所(NICRD)负责向国家技术研究组织(NTRO)报告工作。NICRD成立于2007年，主要设计和开发用于国家安全的加密产品。该研究所也是亚洲第一家试图建立服务于国家安全的网络安全和信息安全专家库。国家技术研究组织(NTRO)还向非盈利组织——印度联盟小组提供资金资助，该小组由印度领先的信息安全专家和研究人员组成，经常提出网络相关问题方面的政策建议。

内政部(MHS)负责印度内部安全，在它的行政控制下有一系列组织授权执行网络防御任务。情报局(IB)是首要的情报机构负责国内安全。尽管在情报局可以公开的信息有限，但是内政部2015年同意情报局创建“网络安全架构”，或者说是一支侧翼，独立于国家技术研究组织开展工作。这支侧翼计划编制500人打击“伊斯兰国”(ISIS)等恐怖组织的网上极端主义行为。[16]

此外，新成立的国家网络协调中心(NCCC)将协调情报、执法和防御部门间近实时的态势感知和对网络安全事件的快速响应。该协调中心（NCCC）将在一个集中位置对主要互联网服务提供商不同网关路由器的互联网流量数据进行收集、整合和扫描分析，以便提供主动的网络威胁检测和国家层面的防御。然而，正如前面提到的，目前还不清楚NCCC将如何把网络安全威胁情报分享给公共和私人实体，分享到什么程度，从而减轻威胁。

在国防部(MoD)内部，在武装部队之外，主要有两个机构执行网络安全相关任务。国防情报局(DIA)将三军情报——陆军、空军和海军——整合为军方可操作的信息。国防情报局下设国防信息战处，负责处理与信息战的所有要素，包括心理作战、网络战、计算机网络安全和电磁频谱作战。此外，国防研究与开发组织(DRDO)主要负责国家安全所有相关领域的研发、测试和评估，包括网络安全。除了基础设施，国防研究与开发组织(DRDO)还参与设计、开发、生产最先进的传感器、武器系统和军事平台。在一个项目中，国防研究与开发组织(DRDO)建设了两个靶场用于测试电子武器系统。

虽然在军队没有单个的国家级组织负责国家的网络防御，但每个军种都在各自的军事条令中包含有网络防御——有时甚至是进攻。2004年“印度陆军条令”是公开发表的最新条令，定义了七种不同形式的信息战；然而，它并没有明确指出陆军需要具备这种作战能力。2009“印度海上条令”也提供了信息战的高级定义，包括电子战和欺骗。然而与陆军条令不同的是，海军条令把电子战确定为印度海军的关键任务，跟港口防御、水雷战和其他更传统的海军职责平齐。最后，除了网络战，2012空军条令还定义了防御性和进攻性信息作战。印度空军(IAF)概括了其受到的关键网络威胁，包括基础设施的攻击，复杂的恶意软件，和其他基于硬件和软件的威胁。最后，印度空军承认网络空间带来多重挑战，也带来潜在的作战效益，印度空军需要为未来建立一个“明确的路线图”。

除了官方条令之外，每个军种都在努力为未来冲突情景增强网络能力。2005年印度陆军建立了网络安全企业，以确保师级的网络安全并进行安全审计。陆军还在通信工程军事学院建立了网络安全实验室，并在其情报团内设立两个部队，以应对针对陆军网络和人员的外国网络间谍活动。在位于viskahapatnam的东部司令部遭受网络攻击后，印度海军成立了独立的网络战士部队——首个军种建立这样的结构。此外，据报道，印度政府2014年批准了“加强印度网络空间网络安全框架”，但目前还没有对外公开。该框架包括防务部门组建网络作战中心(COCs)，由此每个军种都建立了临时网络作战中心。[17]印度联合参谋总部(The Indian Headquarters Integrated Defense Staff)也负责所有三军的信息安全和相关网络项目。尽管为发展网络能力作出了这些努力，但武装部队几乎没有采取行动以合作途径发展网络安全和作战能力。

在经历了一系列针对海军东部司令部和国防研究与发展组织(DRDO)的网络破坏之后，印度陆海空三军参谋长提交了一份草案，建议在国防部建立三军联合网络战司令部。虽然提案草案于2013年提交，但国防部仍未决定是否建立专门的网络司令部。

8 CRI2.0 基准线

根据CRI2.0评估，印度仍处于向着网络弹性和网络准备发展的早期阶段，在七个CRI基本要素中，目前只有一个处于部分操作中。

分析结果反映了印度当前不断变化的格局。印度持续制定并更新其经济（数字）议程、国家网络安全战略、政策及各项举措，寻求国家经济愿景与安全重点工作之间的平衡。国家概况的变化反映出国家在各个方面发生的变化，有利于监测、跟踪并评估印度社会所取得的显著进步。

CRI 2.0利用全面、可比较、基于经验制定的方法论，帮助国家领导人在网络化、竞争激烈、冲突丛生的世界中做出规划，打造安全、有活力的数字世界。如需了解更多CRI 2.0的相关信息，请参阅：http∶//www.potomacinstitute.org/academic-centers/cyber-readiness-index。

[1]Digital India∶ PM Modi Says India Can Play a Big Role in Cyber Security Globally[EB/OL].(2015-07-02).NDTV.http∶//www.ndtv.com/india-news/digital-india-pm-modi-says-india-can-playa-big-role-in-cyber-security-globally-777319.

[2]Venkatesh Ganesh.India Lagging in Cyber Security Awareness[EB/OL].(2016-08-29).The Hindu BusinessLine. http∶//m.thehindubusinessline.com/info-tech/india-lagging-in-cyber-securityawareness/article9046626.ece.

[3]Dilip Kumar Mekala.The government needs to be more serious about India’s cyber security[EB/OL].(2015-07-29).forceindia .http∶//forceindia.net/MuchtoWorryAbout.aspx.

[4]SD Pradhan.Cyber security∶ Need for an overall national cyber strategy[EB/OL].(2016-01-18).The Times of India. http∶//blogs.timesofindia.indiatimes.com/ChanakyaCode/cyber-securityneed-for-an-overall-national-cyber-strategy/.

[5]Geetha Nandikotkur.India Opens Cyber Coordination Centre[EB/OL].(2015-04-13). bankinfosecurity.asia.http∶//www.bankinfosecurity.asia/india-opens-cybercoordination-centre-a-8100.

[6]PTI.Cashless push∶ Computer Emergency Response Team to check cyber frauds[EB/OL].(2017-02-01).The New Indian Express. http∶//www.newindianexpress.com/business/unionbudget-2017/2017/feb/01/cashless-pushcomputer-emergency-response-team-to-checkcyber-frauds-1565845.html.

[7]Amit Choudhary,Dhananjay Mahapatra.Supreme Court strikes down Section 66A of IT Act which allows arrests for objectionable content online[EB/OL].(2015-03-24).The Times of India. http∶//timesofindia.indiatimes.com/india/Supreme-Court-strikes-down-Section-66A-of-IT-Actwhich-allowed-arrests-for-objectionablecontent-online/articleshow/46672244.cms.

[8]Arunabh Saikia.Why most cybercrimes in India don’t end in conviction[EB/OL].(2016-07-29).Live Mint.http∶//www.livemint.com/Home-Page/6Tzx7n4mD1vpyQCOfATbxO/Why-mostcyber-crimes-in-India-dont-end-in-conviction.html.

[9]Press Trust of India.New cyber-control hub to check pornography, online trolls[EB/OL].(2016-07-18).The Times of India. http∶//timesofindia.indiatimes.com/india/New-cyber-controlhub-to-check-pornography-online-trolls/articleshow/53269223.cms .

[10]Priyanka Pugaokar.MahaGovt Invests 1000 Cr In ‘Cyber Maharashtra’ Project [EB/OL].(2016-08-28).ChannelTimes.com.http∶//www.channeltimes.com/story/maha-govt-invests-1000-cr-in-cyber-maharashtra-project/.

[11]PTI.India likely to join Shanghai Cooperation Organisation within a year[EB/OL].(2016-06-14).The Indian Express. http∶//indianexpress.com/article/india/india-news-india/india-likely-tojoin-shanghai-cooperation-organisation-withina-year-2852341/.

[12]Virendra Singh Rawat.IIT Kanpur to host global cyber security challenge[EB/OL].(2016-08-08).Business Standard. http∶//www.business-standard.com/article/current-affairs/iit-kanpur-to-host-global-cyber-securitychallenge-116080801015_1.html.

[13]Venkatesh Ganesh.India lagging in cyber security awareness[EB/OL].(2016-08-29).The Hindu BusinessLine. http∶//m.thehindubusinessline.com/info-tech/india-lagging-in-cyber-securityawareness/article9046626.ece.

[14]Kirtika Suneja.RCEP countries agree to Indian demand on services, investment negotiation[EB/OL].(2016-11-08).The Economic Times.http∶//economictimes.indiatimes.com/news/economy/foreign-trade/rcep-countriesagree-to-indian-demand-on-servicesinvestment-negotia-tions/articleshow/55305824.cms?utm_source=contentofinterest&utm_medium=text&utm_campaign=cppst .

[15]RS BediVrC.NTRO∶ India’s Technical Intelligence Agency[EB/OL].(2016-05-23).Indian Defence Review. http∶//www.indiandefencereview.com/spotlights/ntro-indiastechnical-intelligence-agency/.

[16]Vijaita Singh.MHA nod for cyber security wing under the IB[EB/OL].(2015-06-18).The Indian Express. http∶//indianexpress.com/article/india/india-others/mha-nod-for-cyber-securitywing-under-ib/.

[17]Security Risks.Security Issues with South Asia∶Cyber Security Threats Enhanced[EB/OL].(2014-12-03).Security Risks Monitor.http∶//www.security-risks.com/security-issues-southasia/iw-cyber-security/cyber-security-threats-enhanced-3936.html.