至暗时刻，关键基础设施该如何防护？-安全客

【导语】以史为鉴，是一个很好的词汇。知过去，明未来。尤其刚刚过去的2020，它的跌宕起伏，加速着百年未有之变局的进程，也让我们深刻意识到：当现实与虚拟的交织再无法割裂来看时，发展与安全也走向孪生共进退的趋势。也因为此，从今天开始，我们将以系列专题形式，对过往进行研读梳理，以期为同行同仁们提供一些有用信息。

2020年12月，超级网络大国美国遭遇史上最严重的黑客攻击事件。据路透社报道，美国能源部、美国国家安全局等至少六大联邦机构遭遇黑客入侵。（更多攻击详情，请查阅《美国财政部、商务部等政府机构正遭受国家级APT供应链攻击》）

该事件在全球范围内引起了渲染大波。这其中，不止是因它涉及美国，更因它攻击对象聚焦在能源、核、电力等相关内容上。一旦关乎国家命脉的关键基础设施遭遇危机，任何一个国家都不敢轻易视之。

事发后几周内，美网络安全和基础设施安全局的多位高级官员，包括其前任董事克里斯托弗·克雷布斯（Christopher Krebs），或是被特朗普政府开除，或是主动提出了辞职。

然而，美国此次“惨遇滑铁卢”并非个例。伴随近年来，地缘政治和国际环境日趋复杂，全球网络攻击事件频发呈现出日益加剧的发展态势，金融、通信、交通、能源、工控、医疗、政务网站等关键信息基础设施早已成为网络攻击的焦点。

前所未有的“至暗”时刻

2015年6月21日，波兰航空公司的地面操作系统遭遇黑客袭击，致使系统瘫痪长达5小时，至少10个班次的航班被迫取消，1400多名乘客滞留华沙。

2015年12月3日，乌克兰伊万诺–弗兰科夫斯克地区的供电系统遭到黑客攻击，导致大规模停电事故，该地区约140万人口陷入黑暗中达数小时之久。

2016年2月，孟加拉国央行遭黑客攻击，1亿美金被黑客轻易窃取。

2017年5月，“勒索”病毒袭击全球150多个国家和地区，攻击了政府部门、公共邮政、通信等关键信息基础设施。

2018年2月，韩国平昌冬季奥运会开幕式当天遭遇黑客攻击，攻击造成网络中断，广播系统和奥运会官网均无法正常运作，许多观众无法打印开幕式门票，最终未能正常入场。

2019年3月，委内瑞拉国迎来史上至暗时刻，内包括首都加拉加斯在内的大部分地区停电超过24小时。

再回到刚过去的2020年，新冠疫情肆虐不仅未给网络攻击活动按下“暂停键”，反而是前所未有的“加速键”。

2月，美国一家天然气公司遭遇勒索病毒攻击，致使天然气管道被迫停止运营。

5月，英国电网重要管理机构Elexon遭到网络攻击，内部IT网络受到影响、关键通信功能丧失。

7月，伊朗最重要的核设施再次遭遇网络攻击，出现被严重破坏的局面。

10月，印度孟买也遭遇大范围断电，直接导致铁路、股票交易所、医疗设施以及其它大部分关键基础设施“瘫痪”。

上述一桩桩事件，已在向我们明示着：围绕关键基础设施的网络攻击活动，早已呈现出前所有未的肆意蔓延、越发猖狂态势；然而，在观事件这层“面”时，，我们也明显感受到“里”——其攻击也显现出了新的特点与趋势。

新特点、新趋势

幕后“黑手”愈发强大。

当攻击目标发生变化时，攻击手段与组织也会适当的与之相匹敌。关键信息基础设施涉国之命脉的重要地位。因此，威胁关键信息基础设施安全的幕后“黑手”早已不再是单打独斗的网络小黑客，而是装备精良、资源充足、战术复杂的国家级黑客组织。

尤其近年来，网络空间军事化加剧，各国网络作战部队纷纷部署到位，网络攻击能力正全方位融入传统战场，令这一趋势越发明显。

供应链攻击日益猖獗。

随着关键信息基础设施功能日益丰富，其涉及的相关信息系统和软件产品也越来越复杂，软件供应商多、供应链长。从软件开发环境、开发工具、开源社区、交付用户等软件供应过程中暴露给攻击者的攻击面也越来越多，相较于针对产品本身的漏洞进行网络攻击，供应链攻击变得更加容易且成本更低。

尤其近年来披露的网络安全事件中，供应链攻击呈不断上升的态势，上述美政府机构遭网络攻击事件，就证实了复杂的供应链是网络攻击的薄弱环节，该事件的持续发酵也必将吸引更多的黑客组织重视这种攻击方式。

网络攻击的破坏力难以估量。

随着云计算、物联网、5G、大数据、人工智能等新一代信息技术的飞速发展和普遍应用，“一切皆可编程、万物均要互联、大数据驱动业务、软件定义世界”的时代已悄然到来，整个世界的基础都架构在软件之上，电力、交通、能源、金融等关键基础设施皆与数字化挂钩，虚拟空间与物理世界的边界逐渐消弭，一旦遭遇网络攻击，必将引发“蝴蝶效应”式灾难后果，从个人隐私到企业资产，甚至国家安全皆会面临“一失尽失”的危局。

当攻击组织越发强大，攻击路径越发之多，攻击手段越发隐秘，关乎着国计民生的关键基础设施遭遇攻击所带来的危害性、破坏性越发深刻，甚至不可控。加强关键信息基础设施网络安全保障，瞬间刻不容缓。而关于这一点，一些重点国家早已布局。

观他国，以知己

早在多年年，欧美、英国、日本、加拿大等国家就对关键基础设施网络安全防护上，从战略法规、保障机制、技术支撑、实战应急演练等多维度做了一系列准备。

纳入国家安全的战略与政策

2003年以来，美国陆续发布了《保护网络空间的国家战略》《关键基础设施标识、优先级和保护》《关于提高关键基础设施网络安全的行政命令》等，明确了开展关键基础设施网络安全保障工作的部门分工、法律责任和重点领域。

2016年2月，美国发布了《关于建立国家网络安全促进委员会的决定》总统令，提出建立国家网络安全促进委员会，增强企业及关键基础设施的网络安全防护和恢复能力。

2018年5月，美国国土安全部发布网络安全战略，旨在更好履行网络安全使命，保护关键基础设施免于遭受网络攻击。

2007年和2013年，欧盟先后发布了《欧洲关键基础设施保护战略》和《工业控制系统网络安全白皮书》，指导欧盟各国加强针对关键基础设施网络安全的部门协作、能力建设和应急响应。

2016年11月，英国发布《国家网络安全战略》，提出投入约19亿英镑，提升网络防御技术水平，加强网络空间建设，并将加强关键国家基础设施的网络安全作为战略重要内容。2018年5月，欧盟网络与信息系统（NIS）指令正式生效，该指令侧重于保障欧盟国家电力、交通以及医疗卫生等领域关键基础设施的安全性，其力图通过加强网络防御能力以提升此类服务的安全性与弹性。

设立综合性保障机构

2009年，在“控制系统安全计划”的统一部署下，美国关键基础设施、工控系统信息安全责任部门国土安全部成立了国家网络安全与通信综合中心，并于同年11月正式成立了工业控制系统网络应急响应小组，旨在通过工控安全检查评估、事件响应、漏洞通报、风险消减等工作来保障美国关键基础设施安全，逐步形成了较为完备的关键基础设施网络安全保障工作机制。

2011年，日本经济产业省成立了工控安全专门工作组，在信息技术促进局和日本计算机应急处理协调中心的领导下，承担进口工控系统产品评估、产品认证、技术能力建设等工作，强化日本关键基础设施网络安全保障能力。

2017年2月，英国成立国家网络安全中心，旨在降低英国的网络安全风险，有效应对网络事件并减少损失，了解网络安全环境、共享信息并解决系统漏洞，增强英国网络安全能力，并在重要国家网络安全问题上提供指导。

强化技术保障能力

美国依托其能源部下属爱达荷、橡树岭等国家实验室建设了多个工控系统测试床，实施了关键信息基础设施测试靶场专项计划，开展了漏洞挖掘、安全防护、系统安全测评等一系列研究工作，有力支撑了美国关键基础设施网络安全信息共享、应急响应、风险评估等保障工作。

英国国家网络安全中心通过实施系统漏洞扫描、DNS过滤服务等重点项目，增强电子邮件的安全性、完善软件生态系统、降低网络安全风险，加强国家关键基础设施的网络安全保障能力。

加拿大核实验室（CNL）设立国家网络安全创新中心，显著扩大 CNL 的网络安全研究能力，重点关注关键基础设施中的网络安全漏洞，推动提升工控系统完整性和安全性。

日本组建控制系统安全中心（CSSC）建设了石油化工、智能制造等9个工控安全模拟仿真平台，并针對关键信息基础设施网络攻防技术开展深入研究。

开展实战应急演练

自2006年以来，美国多次举行“网络风暴”演习，重点强调关键基础设施的抵抗能力、重视复合事件中公共和私营部门的协作以及加强与北约盟国及伙伴国的合作。

自2012年起，美国每年举办“网盾演习”，以运输行业等关键基础设施遭遇网络攻击为场景，训练美国陆军国民警卫队、空军国民警卫队和陆军预备役部队的网络战士以及美国执法、情报和信息技术机构文职人员的网络应急响应能力。

此外，美国政府还组织开展“网络卫士”系列演习，以提高军队和联邦机构在战役和战术层面的配合能力，更好保护美国国家网络基础设施，预防、减轻这些基础设施面临的网络攻击并迅速从攻击中恢复。

自2010年开始，欧洲每隔两年举行一次“网络欧洲”系列演习，模拟互联网基础设施等关键基础设施遭入侵、全国断网等一系列网络攻击场景，以此演练欧洲国家网络防御和应对黑客攻击的能力。

回归我国，启示与建议

网观了这么多国际他国局势，回归到到我国上，形势也不容乐观。

据国家计算机网络应急技术处理协调中心报告，2020年仅上半年，我国大量关键信息基础设施及其联网控制系统的网络资产信息被境外嗅探，日均超过2万次；我国大型工业云平台持续遭受来自境外的网络攻击，平均攻击次数114次/日，同比上升27%。

面对如此严峻的网络安全形势，如何保障我国关键信息基础设施安全，变得愈发紧迫，也是我们做此专题的意义。

我们梳理了以下几方面：

一．不断完善关键信息基础设施保护制度体系。

纵观上述内容，树立正确的网络安全观，建全方位、全天候、全过程、全覆盖的体系化整体保障能力已成为确保关键信息基础设施网络安全的必然趋势。而这需要多方的努力：

国家层面：加强顶层设计。尽快制定出台关键信息基础设施保护相关法律法规，明确相关主体法律责任；

企业层面：网络安全企业在提供服务时，应秉持“建设+运维”两手都要抓的思维，提供网络安全保障最关键的安全运维环节服务，全面提供网络安全运维服务保障的业务模式；

行业层面：加强合作，建立面向整体保障的网络安全产业联盟，通过产业联盟，聚集产业优势资源和力量，博采众长，以武器装备协同攻关模式持续提升技术、产品与服务水平；

个人层面：由于人是网络攻击中最重要却最容易被忽略的关键因素。间谍、内鬼、误操作、人员安全意识淡薄等往往成为“黑客”突破最后一道防线的工具。所以，每个相关的个体也都应强化自身安全意识与防护能力，以法律法规和管理制度为约束，杜绝非法操作。

二．构建安全可信的供应链和物流链。

关键信息基础设施的建设、运维等全生命周期，均涉及到硬件的供应与配送、软件的开发、采购及更新。要保障关键信息基础设施的安全，软硬件的供应链和物流链显得格外重要。

因此，应加强安全审查，构建供应商、物流商白名单制度；此外，还应加强对相关软硬件产品的安全测试，通过测试的软硬件产品才能在关键信息基础设施中安装使用。

三．强化网络安全技术的自主创新。

要实现整体安全，必须加强技术升级换代，聚焦核心技术突破，在基础性技术、前沿性技术、颠覆性技术投入研发方面花大力气，尽早实现关键信息基础设施网络安全装备自主创新。

可以借助民间网安力量，推进军民融合，协同攻关，尤其在突破网络安全态势感知，预警监测的核心关键技术上，应尽早尽全面地积累网络安全态势数据和情报，达到安全威胁早发现、早预防、早处置、早加固，防患于未然，全面提高网络安全防御的主动性。

四．构建关键信息基础设施大安全生态。

关键信息基础设施涉及到复杂的功能和应用场景，传统零散、局部、补丁式的安全防护模式已无法有效应对层出不穷的安全漏洞、安全边界模糊的网络环境，以及攻击者日益高级的攻击方式。

所以，应充分运用云计算、大数据、人工智能、物联网等新一代信息技术，联合政府机构、核心基础设施单位、配套企业共建“安全大脑”，实现网络安全威胁的动态感知、预警分析、智能处置，实现从被动防御到主动防御的转变，逐步建成关键信息基础设施大安全生态。

五．加强关键信息基础设施安全演练。

网络安全演练是检验、锻炼和提高关键信息基础设施防护能力的重要手段。所以，在最后我们建议关键信息基础设施管理运营单位将开展常态化网络安全演练纳入管理制度和考核指标中。针对关键信息基础设施防护，引入现实社会因素，设置训练题目和训练流程，尽可能真实地模拟现实复杂情况，在演练中发现问题解决问题，不断提高网络安全防护水平。