加强关键信息基础设施网络安全保障刻不容缓

2018-01-15王超

网络空间安全 2018年6期

王超

摘要：近年来，电信、能源、装备制造等重点行业正逐步成为网络攻击的“重灾区”，乌克兰、以色列电网攻击事件、WannaCry 攻击事件等凸显了关键信息基础设施的网络安全脆弱性。论文首先介绍了关键信息基础设施面临的网络安全形势，分析了发达国家加强关键基础设施网络安全保障的战略举措，重点研究了我国关键信息基础设施网络安全保障工作存在的不足，并据此提出了相应的措施建议。

关键词：网络攻击；关键信息基础设施；网络安全

中图分类号：TP309 文献标识码：A

Abstract： In recent years， telecommunications， energy， equipment manufacturing and other critical industries are gradually becoming the "disaster area" of network attacks， Ukraines and Israels electric power system encounter network attack， WannaCry attacks and other incidents highlight the vulnerability of critical information infrastructure cyber security. This paper firstly introduces the cyber security situation faced by the critical information infrastructure， analyzes the strategic measures that the developed countries take to strengthen the cyber security of the critical infrastructure， and focuses on the shortcomings of the cyber security of the critical information infrastructure in China， and puts forward corresponding measures and suggestions accordingly.

Key words： network attack； critical information infrastructure； cyber security

1 引言

“互联网+”时代，关键信息基础设施互联互通的发展趋势愈发明显，在实现数据高效交互、信息资源共享的同时，也给针对关键信息基础设施的网络攻击提供了可能。2015年12月23日，乌克兰电力系统遭受网络攻击，导致乌克兰西部地区140余万家庭停电数小时。2017年5月12日，全球爆发WannaCry 攻击事件，超过30万台电脑受到攻击，波及包括英国、俄罗斯、中国、美国等在内的150个国家，影响能源、电力、交通、医疗、教育等多个重点行业领域。习近平总书记多次强调，“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。”这些关键信息基础设施事关经济发展、社会稳定和人民生命财产安全，一旦受到攻击，可能导致交通中断、金融紊乱、电力瘫痪等问题，具有很大的破坏性和杀伤力。因此，有必要深入分析我国关键信息基础设施网络安全保障工作存在的不足，借鉴欧美发达国家的经验提出针对性的措施建议，为有关部门决策提供参考。

2 关键信息基础设施面临的网络安全形势日益严峻

2.1 互联互通趋势明显，网络攻击路径不断增多

当前，互联网快速渗透到能源、交通、石化、装备制造等领域关键信息基础设施，原有相对封闭的系统运行环境逐渐被打破，IT技术和OT技术加速融合，实现了工业控制系统、资源管理系统、智能控制设备等关键信息基础设施各层次、各环节系统和设备的互联互通，不可避免地加剧了关键信息基础设施的网络安全风险。

一方面，管理网和生产控制网的双向信息交互，使得生产控制权限不断上移，工业控制系统、企业内网和互联网等都成为关键信息基础设施的潜在攻击发起点，大大增加了攻擊点、攻击面和信任网络边界。

另一方面，互联互通也为病毒、木马等传统网络安全威胁向关键信息基础设施加速渗透创造了条件，攻击者甚至能够利用现有IT技术产品的漏洞实现入侵攻击。

2.2 组织化网络攻击日益猖獗，关键信息基础设施网络安全事件连年攀升

近年来，以政治利益为导向、具有国家背景的黑客组织攻击行为日益猖獗，攻击目标也逐步转向特定国家的关键信息基础设施。据专家分析，美国和以色列情报部门是震网、Duqu等一系列针对关键信息基础设施木马病毒的幕后黑手，俄罗斯支持的黑客组织也被认为是蜻蜓病毒和乌克兰电网受攻击事件的始作俑者。据美国工业控制系统应急响应小组的统计数据显示，工控安全漏洞数量逐年上升，2016年的漏洞数量为492个，接近2011年漏洞数量的3倍。2015年至少发生295起涉及关键信息基础设施的安全事件，较2010年增长6倍以上，急剧增多的网络攻击，严重威胁关键信息基础设施正常运转。

2.3 关键信息基础设施关系国计民生，网络攻击后果影响巨大

电信、能源、装备制造等关键信息基础设施，事关经济发展、社会稳定、人民生命财产安全乃至国家安全，一旦遭到网络攻击，可能造成重大人员伤亡、环境污染、停业停产等严重后果，具有很大的破坏性和杀伤力。

2010年，“震网”病毒导致伊朗上千台离心机报废；2012年，“火焰”病毒造成伊朗石油部、国家石油公司内网及其关联官方网站无法运行及部分用户数据泄露；2015年底的乌克兰电网攻击事件导致乌克兰西部地区140余万家庭停电数小时；2016年1月，以色列电力局遭到重大网络攻击，导致电力系统部分计算机系统瘫痪。

2017年5月，全球爆发大规模勒索软件 WannaCry 攻击事件，超过30万台电脑受到攻击，波及包括英国、俄罗斯、中国、美国等在内的 150 个国家，涉及能源、电力、交通、医疗、教育等多个重点行业领域。2018年2月，韩国平昌冬季奥运会开幕式当天遭遇黑客攻击，此次攻击造成网络中断，广播系统和奥运会官网均无法正常运作，许多观众无法打印开幕式门票，最终未能正常入场。以关键信息基础设施为目标的网络攻击危害性、破坏性已经显现并日益加深。

3 发达国家对关键基础设施网络安全的重视程度不断提升

3.1 完善关键基础设施网络安全相关战略法规

欧美等发达国家将关键基础设施网络安全作为国家网络安全的重要组成部分，先后制定一系列相关的战略、法律和政策。自2003年以来，美国陆续发布了《保护网络空间的国家战略》《关键基础设施标识、优先级和保护》《关于提高关键基础设施网络安全的行政命令》等，明确了开展关键基础设施网络安全保障工作的部门分工、法律责任和重点领域。2016年2月，美国发布了《关于建立国家网络安全促进委员会的决定》总统令，提出建立国家网络安全促进委员会，增强企业及关键基础设施的网络安全防护和恢复能力。2018年5月，美国国土安全部发布网络安全战略，旨在更好履行网络安全使命，保护关键基础设施免于遭受网络攻击。

欧盟于2007年和2013年先后发布了《欧洲关键基础设施保护战略》和《工业控制系统网络安全白皮书》，指导欧盟各国加强针对关键基础设施网络安全的部门协作、能力建设和应急响应。2016年11月，英国发布《国家网络安全战略》，提出投入约19亿英镑，提升网络防御技术水平，加强网络空间建设，并将加强关键国家基础设施的网络安全作为战略重要内容。2018年5月，欧盟网络与信息系统（NIS）指令正式生效，该指令侧重于保障欧盟国家电力、交通以及医疗卫生等领域关键基础设施的安全性，其力图通过加强网络防御能力以提升此类服务的安全性与弹性。

3.2 加强关键基础设施网络安全保障机构建设

欧美等发达国家在保障关键基础设施网络安全方面设立了综合性保障机构。2009年，在“控制系统安全计划”的统一部署下，美国关键基础设施、工控系统信息安全责任部门国土安全部成立了国家网络安全与通信综合中心，并于同年11月正式成立了工业控制系统网络应急响应小组，旨在通过工控安全检查评估、事件响应、漏洞通报、风险消减等工作来保障美国关键基础设施安全，逐步形成了较为完备的关键基础设施网络安全保障工作机制。

2011年，日本经济产业省成立了工控安全专门工作组，在信息技术促进局和日本计算机应急处理协调中心的领导下，承担进口工控系统产品评估、产品认证、技术能力建设等工作，强化日本关键基础设施网络安全保障能力。

2017年2月，英国成立国家网络安全中心，旨在降低英国的网络安全风险，有效应对网络事件并减少损失，了解网络安全环境、共享信息并解决系统漏洞，增强英国网络安全能力，并在重要国家网络安全问题上提供指导。

3.3 强化关键基础设施网络安全技术保障能力

欧美等发达国家通过组建多个国家级网络安全研究机构，推动提升风险发现、分析、防范等关键基础设施网络安全技术保障能力。美国依托其能源部下属爱达荷、橡树岭等国家实验室建设了多个工控系统测试床，实施了关键信息基础设施测试靶场专项计划，开展了漏洞挖掘、安全防护、系统安全测评等一系列研究工作，有力支撑了美国关键基础设施网络安全信息共享、应急响应、风险评估等保障工作。

欧洲建立网络安全中心，提供针对真实工控系统进行安全攻防、态势感知、安全评估等工作。例如，英国国家网络安全中心通过实施系统漏洞扫描、DNS过滤服务等重点项目，增强电子邮件的安全性、完善软件生态系统、降低网络安全风险，加强国家关键基础设施的网络安全保障能力。

加拿大核实验室（CNL）设立国家网络安全创新中心，显著扩大 CNL 的网络安全研究能力，重点关注关键基础设施中的网络安全漏洞，推动提升工控系统完整性和安全性。

日本组建控制系统安全中心（CSSC）建设了石油化工、智能制造等9个工控安全模拟仿真平台，并针對关键信息基础设施网络攻防技术开展深入研究。

3.4 健全关键基础设施网络安全标准体系

欧美发达国家不断加强关键基础设施网络安全标准体系建设，为落实国家网络安全政策、提升企业安全防护水平提供基础和依据。围绕落实关键基础设施网络安全政策，美国制定了工控安全标准参考框架，引导企业建立安全防护策略和实施规范。围绕推动企业加强工控安全管理、强化产品安全等，美国NIST发布了《工业控制系统信息安全指南》（SP800-82）和《提升关键基础设施网络安全的框架》等，引导企业做好网络安全风险评估，加强供应链中的网络安全管理，完善漏洞披露流程等，为企业加强关键基础设施网络安全提供参考。德、英等国也制定了工控安全管理、评估等一系列标准，以保障关键基础设施安全。

3.5 开展关键基础设施网络安全应急演练

欧美等发达国家和地区举办了多次网络安全应急演练，旨在提升关键基础设施遭遇网络攻击后的应急响应能力。自2006年至2018年，美国共举行了6次“网络风暴”演习，重点强调关键基础设施的抵抗能力、重视复合事件中公共和私营部门的协作以及加强与北约盟国及伙伴国的合作。自2012年起，美国每年举办“网盾演习”，以运输行业等关键基础设施遭遇网络攻击为场景，训练美国陆军国民警卫队、空军国民警卫队和陆军预备役部队的网络战士以及美国执法、情报和信息技术机构文职人员的网络应急响应能力。美国政府还组织开展“网络卫士”系列演习，以提高军队和联邦机构在战役和战术层面的配合能力，更好保护美国国家网络基础设施，预防、减轻这些基础设施面临的网络攻击并迅速从攻击中恢复。

自2010年开始，欧洲每隔两年举行一次“网络欧洲”系列演习，模拟互联网基础设施等关键基础设施遭入侵、全国断网等一系列网络攻击场景，以此演练欧洲国家网络防御和应对黑客攻击的能力。

4 我国关键信息基础设施网络安全保障体系亟待完善

4.1 顶层设计尚需完善

尽管我国出台了《网络安全法》，对关键信息基础设施保护制度进行了规范，初步界定了关键信息基础设施的范围和网络运营者的责任义务。但是，作为《网络安全法》重要配套法规之一的《关键信息基础设施安全保护条例》尚未出台，国家关键信息基础设施定义及清单尚不明确，关键信息基础设施网络安全防护指南等指导性文件缺失，关键信息基础设施安全保障的配套标准严重不足，运营单位开展安全防护缺乏依据和规范，难以有效应对关键信息基础设施面临的网络安全挑战。

4.2 监管机制亟待健全

一是我国关键信息基础设施网络安全监管依据不足，缺少开展网络安全检查和网络安全信息报送通告的标准规范。

二是我国关键信息基础设施网络安全检查评估长效机制尚未建立，缺少对关键信息基础设施及其控制系统的定期检查和有效整改，大量关键信息基础设施的网络安全隐患长期存在。

三是我国关键信息基础设施网络安全风险信息共享机制尚不健全，石化、装备制造等重点行业的信息报送通告渠道还未建立，导致漏洞、预警等安全风险信息难以及时报送，风险消减信息难以及时共享。

4.3 安全保障能力不足

一方面，我国安全技术能力严重落后。网络安全威胁监测、漏洞分析、芯片级硬件安全分析、源代码安全检测、协议分析等技术能力严重不足，难以及时发现针对关键信息基础设施的网络攻击，应急处置、协同联动能力也较为欠缺。据《从应对“心脏出血”漏洞看各国攻防能力》报告显示，我国在漏洞修复和危机应急反应能力方面，全球排名仅102位。

另一方面，我国网络安全攻防演练机制尚不完善，攻防演练以规则流程的纸面演练为主，没有接近实战的对抗演练，也缺乏跨企业、跨行业的国家级演练。

4.4 运营單位安全管理缺位

一方面，运营单位网络安全管理制度尚不完善，缺乏针对关键信息基础设施供应商的管控标准，生产制造、物流交付、售后服务等管理制度难以有效落实。

另一方面，运营单位网络安全防护意识淡薄。大量传统工业企业对网络安全的理解和认识相对落后，第三方运维缺乏安全监管、内部移动介质无序使用、信息通信的第三方不安全接入等情况普遍存在。运营单位管理人员存在侥幸心理，对网络安全风险、事件的瞒报、漏报情况也时有发生。

5 加强我国关键信息基础设施网络安全保障势在必行

5.1 加强关键信息基础设施网络安全顶层设计

一方面，尽快制定发布《关键信息基础设施安全保护条例》，对国家关键信息基础设施清单及其安全防护的措施、目标和机制等予以明确。

另一方面，进一步完善《网络产品和服务安全审查办法》，以云服务网络安全审查试点为突破口，推动能源、装备制造等重要行业网络安全审查制度的出台和落实，对我国关键信息基础设施使用的产品和服务的安全性、可控性及产品供应商实施网络安全审查，形成长效机制。同时，应积极推动行业网络安全审查制度配套标准的研制和发布，为监管部门和企业提供依据和规范。

5.2 建立健全关键信息基础设施网络安全监管机制

一是健全关键信息基础设施网络安全检查评估机制。根据中央网信办关于网络安全检查的统一部署，面向有色、钢铁、装备制造等重点行业开展网络安全检查和风险评估，指导并监督地方开展安全自查，组织专业队伍对重点系统开展安全抽查，分析研判重大风险隐患，督促落实整改，逐步健全自查与重点抽查相结合、以查促改的网络安全检查评估机制。

二是建立关键信息基础设施网络安全风险信息共享机制，以网络安全风险“可发现”“能共享”为切入点，重点支持行业主管部门建设国家级的工业信息安全信息报送平台、在线安全监测平台，构建工业信息安全风险漏洞库和预警信息库，加快形成集安全漏洞采集、风险隐患验证、风险预警发布、安全信息通报为一体的网络安全风险信息共享机制。

5.3 提高关键信息基础设施网络安全保障能力

一方面，要结合重点行业的典型关键信息基础设施控制系统的体系架构特征，建设关键共性技术仿真测试平台，有针对性地开展网络态势感知、漏洞挖掘、芯片级硬件安全分析、协议分析、源代码安全检测等核心技术研发工作，重点攻克针对工业控制系统的渗透测试、漏洞扫描等关键技术，为工业等重要行业的网络安全审查和检查提供支撑。

另一方面，要建立常态化的网络安全攻防演练机制，完善攻防演练基本预案，通过实战演练进一步提升关键信息基础设施应对网络攻击的威胁监测、预警防护、应急处置、协同联动能力。

5.4 推动提升关键信息基础设施运营单位网络安全管理水平

一是组织制定网络安全防护指南，为运营单位增强关键信息基础设施网络安全防护能力提供指导和规范。

二是督促运营单位设立供应链管控标准。制定生产制造、物流交付、售后服务等管理制度，加强对供应链网络的安全管控，防止篡改、伪造产品相关数据。

三是加强运营单位内部管理，制定并严格落实工业设备特别是移动、存储设备的安全使用要求，规范员工操作流程，及时修补主机系统的安全漏洞。

四是依托有关支撑单位面向关键信息基础设施运营单位开展网络安全教育培训，逐步提升单位员工的网络安全意识。

6 结束语

本文首先介绍了关键信息基础设施面临的网络安全形势，分析了发达国家加强关键信息基础设施网络安全保障的战略举措，重点研究了我国关键信息基础设施网络安全保障工作存在的不足，最后提出了加强关键信息基础设施网络安全保障工作的措施建议。

参考文献

[1] NIST Manufacturing Engineering （2008）.NIST Programs of the Manufacturing Engineering Laboratory，March 2008.

[2] Galloway B， Hancke G P. Introduction to Industrial Control Networks[J]. IEEE Communications Surveys & Tutorials， 2013， 15（2）：860-880.

[3] 王孝良，崔保红，李思其.关于工控系统信息安全的思考与建议[J].信息网络安全， 2012（8）：36-37.