加強關鍵信息基礎設施網絡安全保障刻不容緩

王超

摘 要：近年來，電信、能源、裝備制造等重點行業正逐步成為網絡攻擊的“重災區”， 烏克蘭、以色列電網攻擊事件、WannaCry 攻擊事件等凸顯了關鍵信息基礎設施的網絡安全脆弱性。論文首先介紹了關鍵信息基礎設施面臨的網絡安全形勢，分析了發達國家加強關鍵基礎設施網絡安全保障的戰略舉措，重點研究了我國關鍵信息基礎設施網絡安全保障工作存在的不足，并據此提出了相應的措施建議。

關鍵詞：網絡攻擊；關鍵信息基礎設施；網絡安全

中圖分類號：TP309 文獻標識碼：A

Abstract： In recent years， telecommunications， energy， equipment manufacturing and other critical industries are gradually becoming the "disaster area" of network attacks， Ukraines and Israels electric power system encounter network attack， WannaCry attacks and other incidents highlight the vulnerability of critical information infrastructure cyber security. This paper firstly introduces the cyber security situation faced by the critical information infrastructure， analyzes the strategic measures that the developed countries take to strengthen the cyber security of the critical infrastructure， and focuses on the shortcomings of the cyber security of the critical information infrastructure in China， and puts forward corresponding measures and suggestions accordingly.

Key words： network attack； critical information infrastructure； cyber security

1 引言

“互聯網+”時代，關鍵信息基礎設施互聯互通的發展趨勢愈發明顯，在實現數據高效交互、信息資源共享的同時，也給針對關鍵信息基礎設施的網絡攻擊提供了可能。2015年12月23日，烏克蘭電力系統遭受網絡攻擊，導致烏克蘭西部地區140余萬家庭停電數小時。2017年5月12日，全球爆發WannaCry 攻擊事件，超過30萬臺電腦受到攻擊，波及包括英國、俄羅斯、中國、美國等在內的150個國家，影響能源、電力、交通、醫療、教育等多個重點行業領域。習近平總書記多次強調，“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標。”這些關鍵信息基礎設施事關經濟發展、社會穩定和人民生命財產安全，一旦受到攻擊，可能導致交通中斷、金融紊亂、電力癱瘓等問題，具有很大的破壞性和殺傷力。因此，有必要深入分析我國關鍵信息基礎設施網絡安全保障工作存在的不足，借鑒歐美發達國家的經驗提出針對性的措施建議，為有關部門決策提供參考。

2 關鍵信息基礎設施面臨的網絡安全形勢日益嚴峻

2.1 互聯互通趨勢明顯，網絡攻擊路徑不斷增多

當前，互聯網快速滲透到能源、交通、石化、裝備制造等領域關鍵信息基礎設施，原有相對封閉的系統運行環境逐漸被打破，IT技術和OT技術加速融合，實現了工業控制系統、資源管理系統、智能控制設備等關鍵信息基礎設施各層次、各環節系統和設備的互聯互通，不可避免地加劇了關鍵信息基礎設施的網絡安全風險。

一方面，管理網和生產控制網的雙向信息交互，使得生產控制權限不斷上移，工業控制系統、企業內網和互聯網等都成為關鍵信息基礎設施的潛在攻擊發起點，大大增加了攻擊點、攻擊面和信任網絡邊界。

另一方面，互聯互通也為病毒、木馬等傳統網絡安全威脅向關鍵信息基礎設施加速滲透創造了條件，攻擊者甚至能夠利用現有IT技術產品的漏洞實現入侵攻擊。

2.2 組織化網絡攻擊日益猖獗，關鍵信息基礎設施網絡安全事件連年攀升

近年來，以政治利益為導向、具有國家背景的黑客組織攻擊行為日益猖獗，攻擊目標也逐步轉向特定國家的關鍵信息基礎設施。據專家分析，美國和以色列情報部門是震網、Duqu等一系列針對關鍵信息基礎設施木馬病毒的幕后黑手，俄羅斯支持的黑客組織也被認為是蜻蜓病毒和烏克蘭電網受攻擊事件的始作俑者。據美國工業控制系統應急響應小組的統計數據顯示，工控安全漏洞數量逐年上升，2016年的漏洞數量為492個，接近2011年漏洞數量的3倍。2015年至少發生295起涉及關鍵信息基礎設施的安全事件，較2010年增長6倍以上，急劇增多的網絡攻擊，嚴重威脅關鍵信息基礎設施正常運轉。

2.3 關鍵信息基礎設施關系國計民生，網絡攻擊后果影響巨大

電信、能源、裝備制造等關鍵信息基礎設施，事關經濟發展、社會穩定、人民生命財產安全乃至國家安全，一旦遭到網絡攻擊，可能造成重大人員傷亡、環境污染、停業停產等嚴重后果，具有很大的破壞性和殺傷力。

2010年，“震網”病毒導致伊朗上千臺離心機報廢；2012年，“火焰”病毒造成伊朗石油部、國家石油公司內網及其關聯官方網站無法運行及部分用戶數據泄露；2015年底的烏克蘭電網攻擊事件導致烏克蘭西部地區140余萬家庭停電數小時；2016年1月，以色列電力局遭到重大網絡攻擊，導致電力系統部分計算機系統癱瘓。

2017年5月，全球爆發大規模勒索軟件 WannaCry 攻擊事件，超過30萬臺電腦受到攻擊，波及包括英國、俄羅斯、中國、美國等在內的 150 個國家，涉及能源、電力、交通、醫療、教育等多個重點行業領域。2018年2月，韓國平昌冬季奧運會開幕式當天遭遇黑客攻擊，此次攻擊造成網絡中斷，廣播系統和奧運會官網均無法正常運作，許多觀眾無法打印開幕式門票，最終未能正常入場。以關鍵信息基礎設施為目標的網絡攻擊危害性、破壞性已經顯現并日益加深。

3 發達國家對關鍵基礎設施網絡安全的重視程度不斷提升

3.1 完善關鍵基礎設施網絡安全相關戰略法規

歐美等發達國家將關鍵基礎設施網絡安全作為國家網絡安全的重要組成部分，先后制定一系列相關的戰略、法律和政策。自2003年以來，美國陸續發布了《保護網絡空間的國家戰略》《關鍵基礎設施標識、優先級和保護》《關于提高關鍵基礎設施網絡安全的行政命令》等，明確了開展關鍵基礎設施網絡安全保障工作的部門分工、法律責任和重點領域。2016年2月，美國發布了《關于建立國家網絡安全促進委員會的決定》總統令，提出建立國家網絡安全促進委員會，增強企業及關鍵基礎設施的網絡安全防護和恢復能力。2018年5月，美國國土安全部發布網絡安全戰略，旨在更好履行網絡安全使命，保護關鍵基礎設施免于遭受網絡攻擊。

歐盟于2007年和2013年先后發布了《歐洲關鍵基礎設施保護戰略》和《工業控制系統網絡安全白皮書》，指導歐盟各國加強針對關鍵基礎設施網絡安全的部門協作、能力建設和應急響應。2016年11月，英國發布《國家網絡安全戰略》，提出投入約19億英鎊，提升網絡防御技術水平，加強網絡空間建設，并將加強關鍵國家基礎設施的網絡安全作為戰略重要內容。2018年5月，歐盟網絡與信息系統（NIS）指令正式生效，該指令側重于保障歐盟國家電力、交通以及醫療衛生等領域關鍵基礎設施的安全性，其力圖通過加強網絡防御能力以提升此類服務的安全性與彈性。

3.2 加強關鍵基礎設施網絡安全保障機構建設

歐美等發達國家在保障關鍵基礎設施網絡安全方面設立了綜合性保障機構。2009年，在“控制系統安全計劃”的統一部署下，美國關鍵基礎設施、工控系統信息安全責任部門國土安全部成立了國家網絡安全與通信綜合中心，并于同年11月正式成立了工業控制系統網絡應急響應小組，旨在通過工控安全檢查評估、事件響應、漏洞通報、風險消減等工作來保障美國關鍵基礎設施安全，逐步形成了較為完備的關鍵基礎設施網絡安全保障工作機制。

2011年，日本經濟產業省成立了工控安全專門工作組，在信息技術促進局和日本計算機應急處理協調中心的領導下，承擔進口工控系統產品評估、產品認證、技術能力建設等工作，強化日本關鍵基礎設施網絡安全保障能力。

2017年2月，英國成立國家網絡安全中心，旨在降低英國的網絡安全風險，有效應對網絡事件并減少損失，了解網絡安全環境、共享信息并解決系統漏洞，增強英國網絡安全能力，并在重要國家網絡安全問題上提供指導。

3.3 強化關鍵基礎設施網絡安全技術保障能力

歐美等發達國家通過組建多個國家級網絡安全研究機構，推動提升風險發現、分析、防范等關鍵基礎設施網絡安全技術保障能力。美國依托其能源部下屬愛達荷、橡樹嶺等國家實驗室建設了多個工控系統測試床，實施了關鍵信息基礎設施測試靶場專項計劃，開展了漏洞挖掘、安全防護、系統安全測評等一系列研究工作，有力支撐了美國關鍵基礎設施網絡安全信息共享、應急響應、風險評估等保障工作。

歐洲建立網絡安全中心，提供針對真實工控系統進行安全攻防、態勢感知、安全評估等工作。例如，英國國家網絡安全中心通過實施系統漏洞掃描、DNS過濾服務等重點項目，增強電子郵件的安全性、完善軟件生態系統、降低網絡安全風險，加強國家關鍵基礎設施的網絡安全保障能力。

加拿大核實驗室（CNL）設立國家網絡安全創新中心，顯著擴大 CNL 的網絡安全研究能力，重點關注關鍵基礎設施中的網絡安全漏洞，推動提升工控系統完整性和安全性。

日本組建控制系統安全中心（CSSC）建設了石油化工、智能制造等9個工控安全模擬仿真平臺，并針對關鍵信息基礎設施網絡攻防技術開展深入研究。

3.4 健全關鍵基礎設施網絡安全標準體系

歐美發達國家不斷加強關鍵基礎設施網絡安全標準體系建設，為落實國家網絡安全政策、提升企業安全防護水平提供基礎和依據。圍繞落實關鍵基礎設施網絡安全政策，美國制定了工控安全標準參考框架，引導企業建立安全防護策略和實施規范。圍繞推動企業加強工控安全管理、強化產品安全等，美國NIST發布了《工業控制系統信息安全指南》（SP800-82）和《提升關鍵基礎設施網絡安全的框架》等，引導企業做好網絡安全風險評估，加強供應鏈中的網絡安全管理，完善漏洞披露流程等，為企業加強關鍵基礎設施網絡安全提供參考。德、英等國也制定了工控安全管理、評估等一系列標準，以保障關鍵基礎設施安全。

3.5 開展關鍵基礎設施網絡安全應急演練

歐美等發達國家和地區舉辦了多次網絡安全應急演練，旨在提升關鍵基礎設施遭遇網絡攻擊后的應急響應能力。自2006年至2018年，美國共舉行了6次“網絡風暴”演習，重點強調關鍵基礎設施的抵抗能力、重視復合事件中公共和私營部門的協作以及加強與北約盟國及伙伴國的合作。自2012年起，美國每年舉辦“網盾演習”，以運輸行業等關鍵基礎設施遭遇網絡攻擊為場景，訓練美國陸軍國民警衛隊、空軍國民警衛隊和陸軍預備役部隊的網絡戰士以及美國執法、情報和信息技術機構文職人員的網絡應急響應能力。美國政府還組織開展“網絡衛士”系列演習，以提高軍隊和聯邦機構在戰役和戰術層面的配合能力，更好保護美國國家網絡基礎設施，預防、減輕這些基礎設施面臨的網絡攻擊并迅速從攻擊中恢復。

自2010年開始，歐洲每隔兩年舉行一次“網絡歐洲”系列演習，模擬互聯網基礎設施等關鍵基礎設施遭入侵、全國斷網等一系列網絡攻擊場景，以此演練歐洲國家網絡防御和應對黑客攻擊的能力。

4 我國關鍵信息基礎設施網絡安全保障體系亟待完善

4.1 頂層設計尚需完善

盡管我國出臺了《網絡安全法》，對關鍵信息基礎設施保護制度進行了規范，初步界定了關鍵信息基礎設施的范圍和網絡運營者的責任義務。但是，作為《網絡安全法》重要配套法規之一的《關鍵信息基礎設施安全保護條例》尚未出臺，國家關鍵信息基礎設施定義及清單尚不明確，關鍵信息基礎設施網絡安全防護指南等指導性文件缺失，關鍵信息基礎設施安全保障的配套標準嚴重不足，運營單位開展安全防護缺乏依據和規范，難以有效應對關鍵信息基礎設施面臨的網絡安全挑戰。

4.2 監管機制亟待健全

一是我國關鍵信息基礎設施網絡安全監管依據不足，缺少開展網絡安全檢查和網絡安全信息報送通告的標準規范。

二是我國關鍵信息基礎設施網絡安全檢查評估長效機制尚未建立，缺少對關鍵信息基礎設施及其控制系統的定期檢查和有效整改，大量關鍵信息基礎設施的網絡安全隱患長期存在。

三是我國關鍵信息基礎設施網絡安全風險信息共享機制尚不健全，石化、裝備制造等重點行業的信息報送通告渠道還未建立，導致漏洞、預警等安全風險信息難以及時報送，風險消減信息難以及時共享。

4.3 安全保障能力不足

一方面，我國安全技術能力嚴重落后。網絡安全威脅監測、漏洞分析、芯片級硬件安全分析、源代碼安全檢測、協議分析等技術能力嚴重不足，難以及時發現針對關鍵信息基礎設施的網絡攻擊，應急處置、協同聯動能力也較為欠缺。據《從應對“心臟出血”漏洞看各國攻防能力》報告顯示，我國在漏洞修復和危機應急反應能力方面，全球排名僅102位。

另一方面，我國網絡安全攻防演練機制尚不完善，攻防演練以規則流程的紙面演練為主，沒有接近實戰的對抗演練，也缺乏跨企業、跨行業的國家級演練。

4.4 運營單位安全管理缺位

一方面，運營單位網絡安全管理制度尚不完善，缺乏針對關鍵信息基礎設施供應商的管控標準，生產制造、物流交付、售后服務等管理制度難以有效落實。

另一方面，運營單位網絡安全防護意識淡薄。大量傳統工業企業對網絡安全的理解和認識相對落后，第三方運維缺乏安全監管、內部移動介質無序使用、信息通信的第三方不安全接入等情況普遍存在。運營單位管理人員存在僥幸心理，對網絡安全風險、事件的瞞報、漏報情況也時有發生。

5 加強我國關鍵信息基礎設施網絡安全保障勢在必行

5.1 加強關鍵信息基礎設施網絡安全頂層設計

一方面，盡快制定發布《關鍵信息基礎設施安全保護條例》，對國家關鍵信息基礎設施清單及其安全防護的措施、目標和機制等予以明確。

另一方面，進一步完善《網絡產品和服務安全審查辦法》，以云服務網絡安全審查試點為突破口，推動能源、裝備制造等重要行業網絡安全審查制度的出臺和落實，對我國關鍵信息基礎設施使用的產品和服務的安全性、可控性及產品供應商實施網絡安全審查，形成長效機制。同時，應積極推動行業網絡安全審查制度配套標準的研制和發布，為監管部門和企業提供依據和規范。

5.2 建立健全關鍵信息基礎設施網絡安全監管機制

一是健全關鍵信息基礎設施網絡安全檢查評估機制。根據中央網信辦關于網絡安全檢查的統一部署，面向有色、鋼鐵、裝備制造等重點行業開展網絡安全檢查和風險評估，指導并監督地方開展安全自查，組織專業隊伍對重點系統開展安全抽查，分析研判重大風險隱患，督促落實整改，逐步健全自查與重點抽查相結合、以查促改的網絡安全檢查評估機制。

二是建立關鍵信息基礎設施網絡安全風險信息共享機制，以網絡安全風險“可發現”“能共享”為切入點，重點支持行業主管部門建設國家級的工業信息安全信息報送平臺、在線安全監測平臺，構建工業信息安全風險漏洞庫和預警信息庫，加快形成集安全漏洞采集、風險隱患驗證、風險預警發布、安全信息通報為一體的網絡安全風險信息共享機制。

5.3 提高關鍵信息基礎設施網絡安全保障能力

一方面，要結合重點行業的典型關鍵信息基礎設施控制系統的體系架構特征，建設關鍵共性技術仿真測試平臺，有針對性地開展網絡態勢感知、漏洞挖掘、芯片級硬件安全分析、協議分析、源代碼安全檢測等核心技術研發工作，重點攻克針對工業控制系統的滲透測試、漏洞掃描等關鍵技術，為工業等重要行業的網絡安全審查和檢查提供支撐。

另一方面，要建立常態化的網絡安全攻防演練機制，完善攻防演練基本預案，通過實戰演練進一步提升關鍵信息基礎設施應對網絡攻擊的威脅監測、預警防護、應急處置、協同聯動能力。

5.4 推動提升關鍵信息基礎設施運營單位網絡安全管理水平

一是組織制定網絡安全防護指南，為運營單位增強關鍵信息基礎設施網絡安全防護能力提供指導和規范。

二是督促運營單位設立供應鏈管控標準。制定生產制造、物流交付、售后服務等管理制度，加強對供應鏈網絡的安全管控，防止篡改、偽造產品相關數據。

三是加強運營單位內部管理，制定并嚴格落實工業設備特別是移動、存儲設備的安全使用要求，規范員工操作流程，及時修補主機系統的安全漏洞。

四是依托有關支撐單位面向關鍵信息基礎設施運營單位開展網絡安全教育培訓，逐步提升單位員工的網絡安全意識。

6 結束語

本文首先介紹了關鍵信息基礎設施面臨的網絡安全形勢，分析了發達國家加強關鍵信息基礎設施網絡安全保障的戰略舉措，重點研究了我國關鍵信息基礎設施網絡安全保障工作存在的不足，最后提出了加強關鍵信息基礎設施網絡安全保障工作的措施建議。

參考文獻

[1] NIST Manufacturing Engineering （2008）.NIST Programs of the Manufacturing Engineering Laboratory，March 2008.

[2] Galloway B， Hancke G P. Introduction to Industrial Control Networks[J]. IEEE Communications Surveys & Tutorials， 2013， 15（2）：860-880.

[3] 王孝良，崔保紅，李思其.關于工控系統信息安全的思考與建議[J].信息網絡安全， 2012（8）：36-37.

[4] 趙艷玲.淺談美國《提升關鍵基礎設施網絡安全框架》[J].信息安全與通信保密， 2015（5）：16-21.

[5] 張彥超，豐詩朵，趙爽，等.關鍵信息基礎設施安全保護研究[J].現代電信科技， 2015（5）：7-10.

[6] 蘇曉娟，鐘建強，毛鈞慶.美國加強關鍵基礎設施保障的主要舉措探析[J].信息安全與通信保密， 2014（5）：63-69.

[7] 馮燕春.加快構建國家關鍵信息基礎設施安全保障體系[J].中國信息安全， 2016（11）：40-46.

[8] 閆曉麗.關鍵信息基礎設施安全保護應把握幾個要點[J].中國信息安全， 2017（8）：39-40.

[9] 吳沈括.關鍵信息基礎設施安全保護的中國方案[J].中國信息安全， 2017（7）.

[10] 丁道勤.國外關鍵信息基礎設施安全法律保護研究[J].社會治理法治前沿年刊， 2016.

[11] 左曉棟.國外關鍵信息基礎設施安全監管概述[J].中國信息安全， 2016（11）：52-53.

[12] 劉權.發達國家加強工控安全保障的戰略舉措及對我國的啟示[EB/OL]. http：//tcca.crypto.cn/thread.aspx？ID=2902. 2016-12-22.

[13] 2018年能源行業工業控制系統網絡安全態勢報告[EB/OL]. https：//www.ics-cert.org.cn/portal/page/121/3862170dea824bcebeb515a7154ecd13.html. 2018-06-25.