加強關鍵信息基礎設施網絡安全協同防護，健全網絡安全保障體系

李陽 畢鈺

金融、能源、電力、通信等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重。以網絡化、數字化、智能化為代表的新一代的信息技術在經濟社會領域的深化應用，政務、金融、能源、交通等重要行業的關鍵信息基礎設施面臨安全邊界打破、暴露面增多、漏洞防護薄弱等現實問題，數字世界和物理世界呈現交織融合與擴散蔓延的趨勢。面對日益復雜化的網絡安全形勢，要堅持系統觀念，加強整體評估、態勢感知、協同防護，提升工作實踐、風險管控、場景能力，持續健全關鍵信息基礎設施的網絡安全保障體系。

一、數字時代的關鍵信息基礎設施網絡安全

（一）關鍵信息基礎設施的概念與范疇

金融、能源、電力、通信等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重。關鍵信息基礎設施具有“業務不可中斷”“影響范圍廣”“風險級聯傳遞”等特點，因此關鍵信息基礎設施的安全防護需要持續圍繞以關鍵業務、威脅共享、風險管控等一體化的協同防護。2016年，我國發布《網絡安全法》。2021年9月實施的《關鍵信息基礎設施安全保護條例》等政策，進一步明確了關鍵信息基礎設施的保護范圍和相關要求。2022年10月，國家標準化管理委員會正式批準《信息安全技術 關鍵信息基礎設施安全保護要求》（GB/T 39204—2022），該標準規定了分析識別、安全防護、檢測評估、監測預警、主動防御和事件處置等六個環節的安全要求，為運營者和相關方提供了全生存周期的指導和參考。

（二）關鍵信息基礎設施安全防護的重要意義

1.關鍵信息基礎設施頻繁遭受攻擊

在數字時代，隨著關鍵信息基礎設施逐漸往網絡化、泛在化、平臺化的應用發展，作為承載經濟社會運行的重要支撐，其面臨的新型攻擊技術手段也層出不窮，網絡攻擊事件頻發，給數字時代的經濟社會發展帶來了嚴重危害。據《人民日報》報道，意大利信息安全協會發布的研究報告顯示，2021年全球網絡犯罪造成的相關損失超過6萬億美元，而2020年這一數字為1萬億美元。

2.關鍵信息基礎設施安全防護關系國計民生

當前關鍵信息基礎設施面臨的現實威脅往往是呈現數字空間與物理空間交織的狀態，從網絡攻擊到實體破壞、從軟件故障到系統宕機、從數據泄露到業務中斷等，網絡安全的防護容易陷入多重困境，影響經濟社會的健康發展甚至危害國家安全。

在電力領域，2010年伊朗核電站受到“震網”病毒攻擊，2015年烏克蘭電力部門遭受惡意代碼持續攻擊；2019年，委內瑞拉國家電網干線遭到網絡攻擊，導致全國大面積停電。在金融領域，2021年美國金融機構根據美國《銀行保密法》要求上報的勒索攻擊事件達1489起，總損失由2021年的4.16億美元驟升至12億美元，金融機構成為網絡攻擊的主要目標之一。在交通領域，2021年7月，南非國家運輸公司遭到網絡攻擊并擾亂港口集裝箱作業，運輸量占南非全國六成以上的德班港遇到嚴重阻塞問題。

二 國內關鍵信息基礎設施保護進展

世界主要國家高度重視關鍵信息基礎設施的網絡安全問題，美國、俄羅斯、日本等國相繼出臺《提升關鍵信息基礎設施網絡安全框架》《關鍵基礎設施信息安全措施行動計劃》《關鍵信息基礎設施安全法案》等相關文件，不斷加大對關鍵信息基礎設施的保護力度，我國也高度重視關鍵信息基礎設施的安全防護工作，持續加強體系建設。

（一）持續健全法律法規

為加強關鍵信息基礎設施安全保護，我國相繼出臺《網絡安全法》《數據安全法》《關鍵信息基礎設施安全保護條例》《個人信息保護法》等政策法規，形成了覆蓋關鍵信息基礎設施的范圍認定，以及數據、個人信息、責任等相關規則框架。2021年9月起實施的《關鍵信息基礎設施安全保護條例》建立了以網信部門、公安部門、關鍵信息基礎設施保護工作部門、關鍵信息基礎設施運營者為主體的責任體系。

（二）著力加強標準規范

2015年起，全國信息安全標準化技術委員會組織研究關鍵信息基礎設施安全標準體系，推動研制包括關鍵信息基礎設施安全保護要求在內的8項重點標準工作。2022年10月，首個關鍵信息基礎設施安全相關標準《信息安全技術 關鍵信息基礎設施安全保護要求》（GB/T 39204-2022）獲批，該標準以關鍵業務為核心的整體防控、以風險管理為導向的動態防護、以信息共享為基礎的協同聯防的關鍵信息基礎設施安全保護為基本原則。

（三）拓展人才合作培養

2016年，國家網絡安全人才與創新基地落戶武漢，武漢大學、華中科技大學成功入駐網安學院辦學，陸續開展100余項校企合作項目。2021年國家網安基地培訓中心正式投用，中央網信辦、國資委、中國網絡安全審查技術與認證中心等機構開展網安專項培訓班20余期。

（四）積極開展應急演練

自2016年起，公安部每年組織開展網絡安全攻防演練“護網行動”，旨在通過開展面向全國范圍的網絡攻防實戰活動，檢驗并提高我國企事業等單位的網絡安全防護水平和應急處置能力。面向重點行業關鍵信息基礎設施安全，各地也組織召開專項行動提升網絡安全防護能力。

三、關鍵信息基礎設施網絡安全面臨嚴峻挑戰

以網絡化、數字化、智能化為代表的新一代的信息技術在經濟社會領域的深化應用，政務、金融、能源、交通等重要行業的關鍵信息基礎設施面臨安全邊界打破、暴露面增多、漏洞防護薄弱等現實問題，從數字世界到物理世界的交織融合與擴散蔓延，關鍵信息基礎設施的網絡安全面臨嚴峻挑戰。

（一）網絡攻擊方式呈現持續時間長、影響范圍廣

當前關鍵信息基礎設施面臨的網絡攻擊，在時效性和影響方面的復雜度都大大增強。一方面，網絡攻擊的方式持續時間長，尤其是以APT攻擊為主，難以提前監測攻擊行為、確定攻擊目標等。例如：2016年10月，美國發生大規模互聯網癱瘓事件，呈現了多波次的DDOS網絡攻擊。2022年5月，俄羅斯最大銀行聯邦儲蓄銀行披露，其擊退了有史以來規模最大的DDoS攻擊，攻擊持續了24小時左右。

另一方面，以云計算、物聯網、人工智能等新一代信息技術的深化應用，關鍵信息基礎設施之間的網絡鏈接、數據聯通、業務協同性也大大增強，網絡攻擊造成的網絡中斷、網絡癱瘓等現象，可能波及整個全網系統。2017年5月，勒索病毒肆虐全球100多個國家，受影響的包括醫療網、教育網、鐵路網和政府網等關鍵信息基礎設施。2021年5月，美國最大的油氣管道商科洛尼爾（Colonial Pipeline）公司遭到網絡攻擊，其被迫關閉了美國東部沿海各州供油關鍵燃油網絡，對此美國交通部發布“區域緊急狀態聲明”，將臨時給予17個州和華盛頓特區的汽油、柴油、航空燃料和其他成品油的臨時運輸豁免，以便使有關燃料可以通過公路運輸。

（二）網絡威脅主體呈現黑客組織化、勒索頻度高

從網絡攻擊威脅的主體來看，呈現黑客的組織化形態，且勒索的頻度與額度也越來越高。一方面是網絡黑客從單兵作戰到團隊組織，從工具開發到產業鏈條，從社會效益到利益驅動，攻擊成本低、收益高，使得攻擊與防護之間的容易失去安全平衡。一些黑客組織受雇于國家或非法機構，對包括聯合國、政府機構部門以及跨國企業的網絡系統進行攻擊，嚴重威脅正常社會生產活動。從國外來看，2013年黑客入侵了30億個雅虎帳戶，是當時遭受的單一最大規模黑客攻擊。從國內來看，近年來北京、江蘇等地公安機關偵辦多起境外黑客組織對能源、軍工、金融等領域重點單位實施的網絡攻擊事件。

另一方面，勒索攻擊一般指是指網絡攻擊者通過對攻擊目標的數據加密方式，實現從利益驅動的勒索贖金到目標系統的數據破壞，再影響到關系國計民生的關鍵信息基礎設施。據報道，2017年WannaCry勒索攻擊在全球范圍內大規模爆發，至少150個國家、30萬名用戶受害，共計造成超過80億美元的損失。2020年4月，歐洲能源巨頭——葡萄牙跨國能源公司EDP遭攻擊，幕后黑客聲稱已經獲取了10TB的敏感文件，并索要1580個比特幣的贖金。2022年3月，東歐大型加油站服務商Rompetrol遭到勒索軟件團伙攻擊，黑客要求支付200萬美元作為贖金，否則將拒絕提供解碼器并且對外泄露其重要數據。

（三）網絡防護模式呈現信息融合低、協同力度弱

目前關鍵信息基礎設施網絡防護，存在融合低、協同弱的特點。一方面，隨著數據共享開放的逐步推進，網絡安全威脅的風險也隨之增大，如何加強威脅信息的共享整合、通報處置等協同性顯得尤為關鍵。目前仍存在信息融合的洼地、信息共享的壁壘、信息交換的孤島，對于如何把泛化的低密度網絡安全威脅信息轉化為定向的高價值網絡安全防護方案，成為亟待解決的問題。

另一方面，在關鍵信息基礎設施的相關產業鏈上，尤其是部分核心軟硬件的信創產品供給不足，以及開源框架、計算平臺等的系統漏洞，使得網絡安全協同防護的能力較弱。2017年5月，肆虐全球的勒索病毒利用Windows系統漏洞進行破壞。2021年12月，Apache開源組件被曝出嚴重漏洞，有攻擊者利用該漏洞攻擊比利時國防部計算機網絡。2022年4月，Spring開源應用開發框架也被爆出了一個高危漏洞，再次凸顯開源框架的應用安全性問題。

四、加強關鍵信息基礎設施協同防護的有關建議

關鍵信息基礎設施作為經濟社會運行的神經中樞，是網絡安全防護的重中之重。面對日益復雜化的網絡安全形勢，要堅持系統觀念，加強整體評估、態勢感知、協同防護，持續健全關鍵信息基礎設施的網絡安全保障體系。

（一）加強整體評估，提升工作實踐

1.落實合規基線

積極落實《網絡安全法》《數據安全法》《關鍵信息基礎設施安全保護條例》等對關鍵信息基礎設施的合規基線要求，明確關鍵信息基礎設施的組織管理、技術運營、責任保障等相關制度，圍繞關鍵信息基礎設施的指導監督與安全保護的主線，全面落實工作合規的基線要求。

2.健全標準體系

建立健全關鍵信息基礎設施的標準規范，以《關鍵信息基礎設施安全保護要求》為牽引，落實以關鍵業務為核心的整體防控、以風險管理為導向的動態防護、以信息共享為基礎的協同聯防的工作原則，積極拓展檢查評估、保障指標、供應鏈要求、安全控制、防護評價、邊界確定、應急框架等系列標準的推進，指導相關單位共同構建關鍵信息基礎設施安全保障體系。

3.動態評估機制

強化對關鍵信息基礎設施安全風險的動態評估機制，實時摸清家底、掌握風險狀態。一方面，要健全定期巡檢和不定期巡查相結合的動態評估機制，全面掌握關鍵信息基礎設施中的數字資產，及時排查風險隱患；另一方面，要與國家部門的工作進行有效銜接，推進指標的階段更新與評估的試點示范，為指導監督和安全保護工作提供有力支撐。

（二）加強態勢感知，提升風險管控

1.態勢感知平臺

持續推進關鍵信息基礎設施網絡安全風險的態勢感知平臺建設，建立面向政府部門、關鍵行業、重點領域等感知系統，以“安全大腦”“駕駛艙”等為樞紐推進態勢感知的掛圖作戰體系，尤其重點圍繞大規模網絡攻擊、滲透控制、失竊密等開展有關部門的橫縱協同。

2.情報共享平臺

搭建“多源異構、融合聯動”的網絡威脅情報共享平臺，一方面，要以云計算、物聯網、區塊鏈為代表的新一代信息技術為驅動，將關鍵行業、重點領域、頭部企業的漏洞庫、威脅庫等進行資源關聯，持續拓展共享平臺的資源底座，實現國家級、行業級、區域級威脅情報的有序對接。另一方面，要針對關鍵信息基礎設施的指導監督部門、安全保護部門、運營部門，健全共享交換、預警通報機制，加強信息整合和分析挖掘，提升主動防御能力。

3.實時處置預案

根據國家網絡安全事件分級管理的要求，堅持“寧可備而不用、不可用而不備”的原則，圍繞關鍵信息基礎設施網絡安全的應急處置體系建設，制定本地區、本行業的工作機制和應急預案，結合場景場景持續對應急預案進行評估和改進。

（三）加強協同防護，提升場景能力

1.協同聯動機制

建立健全指導監督部門、安全保護部門、運營部門等的協同聯動工作機制。一方面，持續健全管理機構、運營機構、評估機構、責任體系等的聯動，強化聯防聯控的協同工作機制。另一方面，持續推進關鍵信息基礎設施網絡安全規劃、建設、運營的協同性，實現全局監測與統一處置的協同聯動，支撐協同防護體系。

2.立足平戰結合

開展關鍵信息基礎設施的實戰演練，堅持問題導向，將現場檢查和滲透測試結合，在網絡攻防的實戰演練中發現重大隱患、評估重大風險、修復安全漏洞。切實以攻防演練為契機，將日常的夯實安全機制、推動攻防轉變、強化應急響應、提升防護能力等進行常態化協同，支撐戰時的安全保障能力。

3.夯實產品供給

持續強化網絡安全產品和服務的安全審查，圍繞關鍵信息基礎設施的供應鏈安全體系管理，依托部門檢測認證、行業準入門檻、目錄清單審查等制度，加強風險排查和管控。持續推進芯片、操作系統、計算框架等網絡安全的信創供應鏈建設，逐步推動網絡安全信創產品從相關領域試點應用，向國家金融、電力、電信、石油、交通等民生行業加速下沉應用，提升安全可控的產品供給。

本研究受國家社科基金重大項目“國家關鍵信息基礎設施系統安全協同防護體系研究”（19ZDA127）、國家社科基金一般項目“大規模社交網絡中正負影響力競爭傳播的量化計算及引導管控研究”（19BXW107）的資助。