李阳 毕钰

金融、能源、电力、通信等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重。以网络化、数字化、智能化为代表的新一代的信息技术在经济社会领域的深化应用，政务、金融、能源、交通等重要行业的关键信息基础设施面临安全边界打破、暴露面增多、漏洞防护薄弱等现实问题，数字世界和物理世界呈现交织融合与扩散蔓延的趋势。面对日益复杂化的网络安全形势，要坚持系统观念，加强整体评估、态势感知、协同防护，提升工作实践、风险管控、场景能力，持续健全关键信息基础设施的网络安全保障体系。

一、数字时代的关键信息基础设施网络安全

（一）关键信息基础设施的概念与范畴

金融、能源、电力、通信等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重。关键信息基础设施具有“業务不可中断”“影响范围广”“风险级联传递”等特点，因此关键信息基础设施的安全防护需要持续围绕以关键业务、威胁共享、风险管控等一体化的协同防护。2016年，我国发布《网络安全法》。2021年9月实施的《关键信息基础设施安全保护条例》等政策，进一步明确了关键信息基础设施的保护范围和相关要求。2022年10月，国家标准化管理委员会正式批准《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204—2022），该标准规定了分析识别、安全防护、检测评估、监测预警、主动防御和事件处置等六个环节的安全要求，为运营者和相关方提供了全生存周期的指导和参考。

（二）关键信息基础设施安全防护的重要意义

1.关键信息基础设施频繁遭受攻击

在数字时代，随着关键信息基础设施逐渐往网络化、泛在化、平台化的应用发展，作为承载经济社会运行的重要支撑，其面临的新型攻击技术手段也层出不穷，网络攻击事件频发，给数字时代的经济社会发展带来了严重危害。据《人民日报》报道，意大利信息安全协会发布的研究报告显示，2021年全球网络犯罪造成的相关损失超过6万亿美元，而2020年这一数字为1万亿美元。

2.关键信息基础设施安全防护关系国计民生

当前关键信息基础设施面临的现实威胁往往是呈现数字空间与物理空间交织的状态，从网络攻击到实体破坏、从软件故障到系统宕机、从数据泄露到业务中断等，网络安全的防护容易陷入多重困境，影响经济社会的健康发展甚至危害国家安全。

在电力领域，2010年伊朗核电站受到“震网”病毒攻击，2015年乌克兰电力部门遭受恶意代码持续攻击；2019年，委内瑞拉国家电网干线遭到网络攻击，导致全国大面积停电。在金融领域，2021年美国金融机构根据美国《银行保密法》要求上报的勒索攻击事件达1489起，总损失由2021年的4.16亿美元骤升至12亿美元，金融机构成为网络攻击的主要目标之一。在交通领域，2021年7月，南非国家运输公司遭到网络攻击并扰乱港口集装箱作业，运输量占南非全国六成以上的德班港遇到严重阻塞问题。

二 国内关键信息基础设施保护进展

世界主要国家高度重视关键信息基础设施的网络安全问题，美国、俄罗斯、日本等国相继出台《提升关键信息基础设施网络安全框架》《关键基础设施信息安全措施行动计划》《关键信息基础设施安全法案》等相关文件，不断加大对关键信息基础设施的保护力度，我国也高度重视关键信息基础设施的安全防护工作，持续加强体系建设。

（一）持续健全法律法规

为加强关键信息基础设施安全保护，我国相继出台《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》等政策法规，形成了覆盖关键信息基础设施的范围认定，以及数据、个人信息、责任等相关规则框架。2021年9月起实施的《关键信息基础设施安全保护条例》建立了以网信部门、公安部门、关键信息基础设施保护工作部门、关键信息基础设施运营者为主体的责任体系。

（二）着力加强标准规范

2015年起，全国信息安全标准化技术委员会组织研究关键信息基础设施安全标准体系，推动研制包括关键信息基础设施安全保护要求在内的8项重点标准工作。2022年10月，首个关键信息基础设施安全相关标准《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）获批，该标准以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护为基本原则。

（三）拓展人才合作培养

2016年，国家网络安全人才与创新基地落户武汉，武汉大学、华中科技大学成功入驻网安学院办学，陆续开展100余项校企合作项目。2021年国家网安基地培训中心正式投用，中央网信办、国资委、中国网络安全审查技术与认证中心等机构开展网安专项培训班20余期。

（四）积极开展应急演练

自2016年起，公安部每年组织开展网络安全攻防演练“护网行动”，旨在通过开展面向全国范围的网络攻防实战活动，检验并提高我国企事业等单位的网络安全防护水平和应急处置能力。面向重点行业关键信息基础设施安全，各地也组织召开专项行动提升网络安全防护能力。

三、关键信息基础设施网络安全面临严峻挑战

以网络化、数字化、智能化为代表的新一代的信息技术在经济社会领域的深化应用，政务、金融、能源、交通等重要行业的关键信息基础设施面临安全边界打破、暴露面增多、漏洞防护薄弱等现实问题，从数字世界到物理世界的交织融合与扩散蔓延，关键信息基础设施的网络安全面临严峻挑战。

（一）网络攻击方式呈现持续时间长、影响范围广

当前关键信息基础设施面临的网络攻击，在时效性和影响方面的复杂度都大大增强。一方面，网络攻击的方式持续时间长，尤其是以APT攻击为主，难以提前监测攻击行为、确定攻击目标等。例如：2016年10月，美国发生大规模互联网瘫痪事件，呈现了多波次的DDOS网络攻击。2022年5月，俄罗斯最大银行联邦储蓄银行披露，其击退了有史以来规模最大的DDoS攻击，攻击持续了24小时左右。

另一方面，以云计算、物联网、人工智能等新一代信息技术的深化应用，关键信息基础设施之间的网络链接、数据联通、业务协同性也大大增强，网络攻击造成的网络中断、网络瘫痪等现象，可能波及整个全网系统。2017年5月，勒索病毒肆虐全球100多个国家，受影响的包括医疗网、教育网、铁路网和政府网等关键信息基础设施。2021年5月，美国最大的油气管道商科洛尼尔（Colonial Pipeline）公司遭到网络攻击，其被迫关闭了美国东部沿海各州供油关键燃油网络，对此美国交通部发布“区域紧急状态声明”，将临时给予17个州和华盛顿特区的汽油、柴油、航空燃料和其他成品油的临时运输豁免，以便使有关燃料可以通过公路运输。

（二）网络威胁主体呈现黑客组织化、勒索频度高

从网络攻击威胁的主体来看，呈现黑客的组织化形态，且勒索的频度与额度也越来越高。一方面是网络黑客从单兵作战到团队组织，从工具开发到产业链条，从社会效益到利益驱动，攻击成本低、收益高，使得攻击与防护之间的容易失去安全平衡。一些黑客組织受雇于国家或非法机构，对包括联合国、政府机构部门以及跨国企业的网络系统进行攻击，严重威胁正常社会生产活动。从国外来看，2013年黑客入侵了30亿个雅虎帐户，是当时遭受的单一最大规模黑客攻击。从国内来看，近年来北京、江苏等地公安机关侦办多起境外黑客组织对能源、军工、金融等领域重点单位实施的网络攻击事件。

另一方面，勒索攻击一般指是指网络攻击者通过对攻击目标的数据加密方式，实现从利益驱动的勒索赎金到目标系统的数据破坏，再影响到关系国计民生的关键信息基础设施。据报道，2017年WannaCry勒索攻击在全球范围内大规模爆发，至少150个国家、30万名用户受害，共计造成超过80亿美元的损失。2020年4月，欧洲能源巨头——葡萄牙跨国能源公司EDP遭攻击，幕后黑客声称已经获取了10TB的敏感文件，并索要1580个比特币的赎金。2022年3月，东欧大型加油站服务商Rompetrol遭到勒索软件团伙攻击，黑客要求支付200万美元作为赎金，否则将拒绝提供解码器并且对外泄露其重要数据。

（三）网络防护模式呈现信息融合低、协同力度弱

目前关键信息基础设施网络防护，存在融合低、协同弱的特点。一方面，随着数据共享开放的逐步推进，网络安全威胁的风险也随之增大，如何加强威胁信息的共享整合、通报处置等协同性显得尤为关键。目前仍存在信息融合的洼地、信息共享的壁垒、信息交换的孤岛，对于如何把泛化的低密度网络安全威胁信息转化为定向的高价值网络安全防护方案，成为亟待解决的问题。

另一方面，在关键信息基础设施的相关产业链上，尤其是部分核心软硬件的信创产品供给不足，以及开源框架、计算平台等的系统漏洞，使得网络安全协同防护的能力较弱。2017年5月，肆虐全球的勒索病毒利用Windows系统漏洞进行破坏。2021年12月，Apache开源组件被曝出严重漏洞，有攻击者利用该漏洞攻击比利时国防部计算机网络。2022年4月，Spring开源应用开发框架也被爆出了一个高危漏洞，再次凸显开源框架的应用安全性问题。

四、加强关键信息基础设施协同防护的有关建议

关键信息基础设施作为经济社会运行的神经中枢，是网络安全防护的重中之重。面对日益复杂化的网络安全形势，要坚持系统观念，加强整体评估、态势感知、协同防护，持续健全关键信息基础设施的网络安全保障体系。

（一）加强整体评估，提升工作实践

1.落实合规基线

积极落实《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等对关键信息基础设施的合规基线要求，明确关键信息基础设施的组织管理、技术运营、责任保障等相关制度，围绕关键信息基础设施的指导监督与安全保护的主线，全面落实工作合规的基线要求。

2.健全标准体系

建立健全关键信息基础设施的标准规范，以《关键信息基础设施安全保护要求》为牵引，落实以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的工作原则，积极拓展检查评估、保障指标、供应链要求、安全控制、防护评价、边界确定、应急框架等系列标准的推进，指导相关单位共同构建关键信息基础设施安全保障体系。

3.动态评估机制

强化对关键信息基础设施安全风险的动态评估机制，实时摸清家底、掌握风险状态。一方面，要健全定期巡检和不定期巡查相结合的动态评估机制，全面掌握关键信息基础设施中的数字资产，及时排查风险隐患；另一方面，要与国家部门的工作进行有效衔接，推进指标的阶段更新与评估的试点示范，为指导监督和安全保护工作提供有力支撑。

（二）加强态势感知，提升风险管控

1.态势感知平台

持续推进关键信息基础设施网络安全风险的态势感知平台建设，建立面向政府部门、关键行业、重点领域等感知系统，以“安全大脑”“驾驶舱”等为枢纽推进态势感知的挂图作战体系，尤其重点围绕大规模网络攻击、渗透控制、失窃密等开展有关部门的横纵协同。

2.情报共享平台

搭建“多源异构、融合联动”的网络威胁情报共享平台，一方面，要以云计算、物联网、区块链为代表的新一代信息技术为驱动，将关键行业、重点领域、头部企业的漏洞库、威胁库等进行资源关联，持续拓展共享平台的资源底座，实现国家级、行业级、区域级威胁情报的有序对接。另一方面，要针对关键信息基础设施的指导监督部门、安全保护部门、运营部门，健全共享交换、预警通报机制，加强信息整合和分析挖掘，提升主动防御能力。

3.实时处置预案

根据国家网络安全事件分级管理的要求，坚持“宁可备而不用、不可用而不备”的原则，围绕关键信息基础设施网络安全的应急处置体系建设，制定本地区、本行业的工作机制和应急预案，结合场景场景持续对应急预案进行评估和改进。

（三）加强协同防护，提升场景能力

1.协同联动机制

建立健全指导监督部门、安全保护部门、运营部门等的协同联动工作机制。一方面，持续健全管理机构、运营机构、评估机构、责任体系等的联动，强化联防联控的协同工作机制。另一方面，持续推进关键信息基础设施网络安全规划、建设、运营的协同性，实现全局监测与统一处置的协同联动，支撑协同防护体系。

2.立足平战结合

开展关键信息基础设施的实战演练，坚持问题导向，将现场检查和渗透测试结合，在网络攻防的实战演练中发现重大隐患、评估重大风险、修复安全漏洞。切实以攻防演练为契机，将日常的夯实安全机制、推动攻防转变、强化应急响应、提升防护能力等进行常态化协同，支撑战时的安全保障能力。

3.夯实产品供给

持续强化网络安全产品和服务的安全审查，围绕关键信息基础设施的供应链安全体系管理，依托部门检测认证、行业准入门槛、目录清单审查等制度，加强风险排查和管控。持续推进芯片、操作系统、计算框架等网络安全的信创供应链建设，逐步推动网络安全信创产品从相关领域试点应用，向国家金融、电力、电信、石油、交通等民生行业加速下沉应用，提升安全可控的产品供给。

本研究受国家社科基金重大项目“国家关键信息基础设施系统安全协同防护体系研究”（19ZDA127）、国家社科基金一般项目“大规模社交网络中正负影响力竞争传播的量化计算及引导管控研究”（19BXW107）的资助。