2021年全國兩會上，代表委員就網絡安全提出了很多提案與建議，聚焦數據安全、個人信息保護、網絡安全基礎設施、網絡安全人才培養、網絡安全學科發展、物聯網安全、關鍵信息基礎設施保護等領域，引發熱議。工信部長肖亞慶在接受媒體采訪時稱，要平衡好發展和安全的關系，一手堅定不移地抓發展，一手堅定不移保證安全。可見，安全是當前數字經濟發展的重要保障，是不可或缺的基礎設施。特別是政協委員、安天創始人肖新光及360集團創始人周鴻祎都提出了建設新基建的安全基礎設施，聚焦構建新基建安全防能力的建議。其宏觀視野和創新思路，引發了工業網絡安全行業的強烈共鳴和熱烈討論。作為耕耘電力行業多年的工業網絡安全企業，安帝科技深切感受到關鍵信息基礎設施網絡安全保障的嚴峻性和復雜性，地區之間、行業之間、不同企業之間、IT與OT之間，在經費資源投入上、知識儲備上、人才隊伍上甚至文化建設上，都存在極大的差異，而這種現實的盲區、短板或不平衡正是攻擊者的絕佳機會。圍繞關鍵信息基礎設施的網絡安全保障，以總體國家安全觀和“大安全”為指引，結合企業戰略發展方向，安帝科技先后組織多次學習討論，形成了初步共識。現將兩會精神和關基防護專題討論的認識和思考總結為風險剖析及防護思考兩部分，梳理如下。

一、關鍵信息基礎設施網絡安全風險呈惡化之勢

據國家工業信息安全發展研究中心《2020年工業信息安全態勢報告》顯示，隨著工業互聯網、智能制造加速發展，海量工業設備泛在互聯，工業信息安全呈現風險威脅擴散化、攻擊手段智能化等特點，針對工業領域的網絡攻擊事件、工業設備、系統的安全漏洞數量逐年遞增。專門攻擊工業企業OT域的APT組織數量也在增加。綜合來看，我國關鍵信息基礎設施面臨的網絡安全風險呈惡化之勢，安全防護能力水平形勢緊迫。

一是工業領域的勒索攻擊成為頭號威脅。2020年，國家工業信息安全發展研究中心共跟蹤公開發布的工業信息安全事件 274件，其中勒索軟件攻擊共 92件，占比 33.6%，涉及 20余個國家的多個重點行業。在新冠疫情全球大流行的背景下，新冠疫情相關內容作為釣魚誘餌對醫療衛生、政府、教育、制造等行業的網絡攻擊高發。物聯網設備、智能聯網設備成為攻擊的重要目標。

二是工業信息安全漏洞數量持續走高；2020 年，國家工業信息安全漏洞庫（CICSVD）共收集整理工業信息安全漏洞 2138 個，環比上升 22.2%。其中，通用型漏洞 2045 個，事件型漏洞 93 個，涉及 335 家廠商。在收錄的通用型漏洞中，超危漏洞 379 個，高危漏洞 899 個，高危及以上漏洞占比 62.5%。

三是專門攻擊ICS/OT的APT組織數量增加；美國知名工業網絡安全公司Dragos在2月25日發布的工業控制系統網絡安全年度2020總結報告顯示，在整個2020年，該公司在之前確定的11個威脅行為組織仍然積極地針對工業組織開展活動。此外，該公司又發現了4個新的威脅行為組織，其動機是確定是瞄準了ICS/OT。

四是攻擊組織TTPs不斷推陳出新；工業企業的網絡風險急劇增長和加速，首當其沖的是影響工業流程的勒索軟件、使信息收集和過程信息盜竊成為可能的入侵，以及來自針對ICS的攻擊對手的新活動，像EKANS（SNAKE）這類專門針對ICS的勒索軟件出現。另外，由于OT環境可見性的嚴重缺失，供應鏈的風險愈發嚴峻。攻擊對手通常會慢慢地建立入侵基礎設施和行動，之后的行動往往由于之前的工作而更加成功和具有破壞性。類似SolarWinds這類史上最先進、最復雜的供應鏈攻擊，對工業控制系統的威脅尚未可知。

二、關鍵信息基礎設施網絡安全風險的主要特點

2020年7月公安部發布了《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》，進一步明確了加強等級保護和關鍵信息基礎設施安全保護的基本原則、工作目標和具體措施。在保護工作的具體推動過程中，因關鍵信息基礎設施行業，特別是能源、電力、交通、制造等領域，因其自身特性而面臨不小的挑戰。除了識別定級、主體責任、監管制度等體制機制性挑戰外，還面臨OT側的歷史原因和新興技術應用、數字空間的安全風險與實體空間安全風險交織、疊加的復雜挑戰。

一是存量風險與增量風險疊加；一方面，新基建背景下，5G、大數據、云計算、人工智能等大量新技術，推動遠程醫療、智慧城市、工業互聯網、物聯網等領域大量創新應用，全新安全挑戰撲面而來。另一方面，能源、電力、交通、制造等行業存在大量的老舊系統、設備，使用傳統ICS系統的專用協議，計算資源受限、可靠性要求高、使用壽命較長，設計之初就缺乏通信保護、數據加密等安全考量，導致在連接泛在、環境開放、應用復雜性激增時，暴露出大量安全風險。消解存量風險、防范增量風險，在關鍵信息基礎設施保護中同樣突出。

二是傳統風險與網絡風險交織；2020年針對工業網絡的攻擊事件幾乎占據網絡安全新聞的頭條。航空、能源、電力、制造等眾多企業在勒索攻擊面前紛紛淪陷，以色列水務攻擊、伊朗港口攻擊等工業安全事件再次突顯網絡攻擊的背后地緣政治的爭奪。美國佛羅里達州小鎮Oldsmar供水系統的網絡攻擊讓美國的監管機構和情報機構驚出一身冷汗。當前新冠疫情對全球政治、經濟、文化、社會等領域產生了深刻影響，工業網絡正在成為地緣政治爭斗的主戰場，地緣政治競合加劇，網絡安全形勢愈加復雜，傳統地緣政治風險、社會風險與網絡安全風險交織輝映互相滲透。

三是IT風險與OT風險互為影響；IT、OT、CT、云和第三方系統之間日益增強的連接性為攻擊者提供了更多進入關鍵系統的方式。抵御這些新漏洞至關重要，也充滿了挑戰，這導致探測、調查和補救網絡安全威脅和事件變得更加困難。傳統上由IT網絡進行突破，形成據點，進而攻陷OT網絡的案例已不新鮮，未來由OT網絡進行突破而攻陷IT網絡的情況也會大概率發生。特別是數字化、網絡化、智能化加速發展，企業紛紛采用標準化的通用IT技術、統一的工業協議和開放的應用界面，工業控制網絡的隔離邊界恐被打破，讓OT安全防護面臨新的考驗。

三、加速提升關鍵信息基礎設施網絡安全防護水平的思考

在不確定性和風險挑戰劇增的“新常態”下，關鍵信息基礎設施相關的運營方、監管方、安全能力供給方如何轉“危”為“機”？需要各方認真思考，系統謀劃。

1、加快出臺《關鍵信息基礎設施安全保護條例》及相關標準

目前我國在關鍵信息基礎設施的網絡安全保護標準方面相比發達國家比較滯后，相關識別、保護、控制、評估的標準如《關鍵信息基礎設施邊界確定方法》、《關鍵信息基礎設施安全保障指標體系》、《關鍵信息基礎設施安全防護能力評價方法》、《關鍵信息基礎設施網絡安全保護基本要求》、《關鍵信息基礎設施安全控制措施》、《關鍵信息基礎設施安全檢查評估指南》、《關鍵信息基礎設施網絡安全框架》尚未正式發布。《關鍵信息基礎設施保護條例》擬對關鍵信息基礎設施的范圍、運營者安全保護、產品和服務安全、監測預警、應急處置和檢測評估以及法律責任等進行明確，但仍未發布。在關基保護的實踐中，僅以網絡安全法和等級保護2.0還不足以形成細粒度落實和切實有力的抓手。

2、夯實基礎安全根基

目前關基網絡安全防護存在的主要問題中，操作系統老舊、明文口令橫行、遠程訪問寬松、網絡隔離不足、反AV自動更新不力，均屬于網絡安全滑動標尺模型中基礎結構安全的內容，也是其反復強調需要持續的安全監控以使資產、威脅、風險可見的原因。在工業領域，資產可見、配置可靠、漏洞可管、補丁可用，是工業網絡信息系統可管理的基礎，也成為工業網絡可防御的堅實基礎。正如疫情防控所需要的良好衛生習慣，網絡運營也需要持續的網絡衛生。

3、建強威脅情報能力

無論是戰略級、戰術級或運營級威脅情報，其在網絡安全防護中都起到指導、影響、制約決策的任用。網絡安全事件發生前的預警、事中的協同響應、事后的取證溯源，無不依賴網絡威脅情報平臺的支撐。在建強國家級、區域級、行業級、企業級網絡威脅情報平臺的能力基礎上，應把握總體國家安全觀的戰略指引，把威脅情報共享、高效利用作為優先建設重點，以期在關鍵時刻頂用、管用。加強對敵手、敵情的研究，利用相對成熟的網絡威脅建模方法，如NSA/CSS威脅框架、MITRE的ATT@CK威脅框架，充分理解敵手的TTPs，掌握相應緩解措施，了解敵手、敬畏敵手，方可打敗敵手。

4、加強供應鏈安全保障

SolarWinds供應鏈攻擊事件再次敲響警鐘，高能力的攻擊組織有充足的資源、高級的能力和足夠的耐心攻陷其瞄準的目標。這也不是一個純粹的技術問題或單純的網絡安全問題，是系統性的國家安全問題。ICT供應鏈已經與產品供應鏈與服務供應鏈，甚至與物流、信息流和資金流融為一體。毫無疑問，為關基所有方/運營方提供任何產品、服務的供應商，都天然成為其供應鏈的關鍵環節，也必然成為威脅行為體的攻擊目標。各類安全廠商在參與構建關基防御體系中，亦然成為關基運營方的供應鏈中重要的一環，確保其不能成為供應鏈的薄弱點或攻擊入口點。

5、完善應急響應體系

網絡安全事件響應能力能否有效應對新常態下的復雜局面？應急響應團隊可能無法消除網絡安全事件帶來的所有負面影響，那能否抑制安全事件不要上升到“危機”的程度。危機造成的聲譽、品牌、運營、客戶和供應商關系風險持續增加，相關法律和財務風險也在所難勉。盡管任何組織的網絡安全危機管理生命周期都強調完備的預案、協同的響應和高效的恢復，但這仍然是一項涉及多個部門、多種能力、多個利益相關方的工作，更加需要全局的視野和全域的管理。比如協同響應需要組織在治理、戰略、技術、商業運作、風險和合規以及糾正與改進方面充分協調、共同推進。此次我國政府應對新冠病毒疫情的舉措，也對網絡安全危機的響應提供了有益的借鑒和指導。

6、深入推進實戰攻防演練

關鍵信息基礎設施需要實戰化、體系化、常態化的安全防護業已成為共識。基于網絡攻防對抗不宣而戰、無平戰之分的特點，在構建防御體系和安全運營過程中必須堅持持續對抗思維。關基防御體系的有效性最終要靠高能力攻擊組織的能力來檢驗。而在這種攻擊發生之前，能否感知預警，發生之后能否抗得住過得去，都需要用我們持續以實戰的理念、方法和手段來先行檢驗。鑒于此，當前仍要持續鞏固近年來實戰化攻防演練的成果，真正來檢驗防護能力，檢驗應急響應機制，深入推進實戰、實效的達成，敢于暴露真問題，真正解決深層次問題，謹防走過場、圖過關、甚至成為安全廠商的秀場和背書！

7、培育網絡安全文化

人的因素、人性的弱點是網絡安全最大的挑戰和不確定性。網絡攻防對抗，本質上是攻防兩端人力的較量。大多數安全事件都是人為因素造成的。網絡安全文化是人們對網絡安全的認識、信仰、態度、規范和價值觀，以及這些知識在與信息技術交互中的表現方式。網絡安全文化是組織文化的重要組成部分。關基行業在推動網絡安全防御體系（技術、管理、控制）的過程中，相關監管方、安全能力供給方、用戶方都是組織網絡安全文化的參與者、推動者、建設者。真正使網絡安全意識、網絡衛生習慣內化于心外化于行。