学两会•话安全|加速提升关键信息基础设施网络安全防护水平势在必行

2021年全国两会上，代表委员就网络安全提出了很多提案与建议，聚焦数据安全、个人信息保护、网络安全基础设施、网络安全人才培养、网络安全学科发展、物联网安全、关键信息基础设施保护等领域，引发热议。工信部长肖亚庆在接受媒体采访时称，要平衡好发展和安全的关系，一手坚定不移地抓发展，一手坚定不移保证安全。可见，安全是当前数字经济发展的重要保障，是不可或缺的基础设施。特别是政协委员、安天创始人肖新光及360集团创始人周鸿祎都提出了建设新基建的安全基础设施，聚焦构建新基建安全防能力的建议。其宏观视野和创新思路，引发了工业网络安全行业的强烈共鸣和热烈讨论。作为耕耘电力行业多年的工业网络安全企业，安帝科技深切感受到关键信息基础设施网络安全保障的严峻性和复杂性，地区之间、行业之间、不同企业之间、IT与OT之间，在经费资源投入上、知识储备上、人才队伍上甚至文化建设上，都存在极大的差异，而这种现实的盲区、短板或不平衡正是攻击者的绝佳机会。围绕关键信息基础设施的网络安全保障，以总体国家安全观和“大安全”为指引，结合企业战略发展方向，安帝科技先后组织多次学习讨论，形成了初步共识。现将两会精神和关基防护专题讨论的认识和思考总结为风险剖析及防护思考两部分，梳理如下。

一、关键信息基础设施网络安全风险呈恶化之势

据国家工业信息安全发展研究中心《2020年工业信息安全态势报告》显示，随着工业互联网、智能制造加速发展，海量工业设备泛在互联，工业信息安全呈现风险威胁扩散化、攻击手段智能化等特点，针对工业领域的网络攻击事件、工业设备、系统的安全漏洞数量逐年递增。专门攻击工业企业OT域的APT组织数量也在增加。综合来看，我国关键信息基础设施面临的网络安全风险呈恶化之势，安全防护能力水平形势紧迫。

一是工业领域的勒索攻击成为头号威胁。2020年，国家工业信息安全发展研究中心共跟踪公开发布的工业信息安全事件 274件，其中勒索软件攻击共 92件，占比 33.6%，涉及 20余个国家的多个重点行业。在新冠疫情全球大流行的背景下，新冠疫情相关内容作为钓鱼诱饵对医疗卫生、政府、教育、制造等行业的网络攻击高发。物联网设备、智能联网设备成为攻击的重要目标。

二是工业信息安全漏洞数量持续走高；2020 年，国家工业信息安全漏洞库（CICSVD）共收集整理工业信息安全漏洞 2138 个，环比上升 22.2%。其中，通用型漏洞 2045 个，事件型漏洞 93 个，涉及 335 家厂商。在收录的通用型漏洞中，超危漏洞 379 个，高危漏洞 899 个，高危及以上漏洞占比 62.5%。

三是专门攻击ICS/OT的APT组织数量增加；美国知名工业网络安全公司Dragos在2月25日发布的工业控制系统网络安全年度2020总结报告显示，在整个2020年，该公司在之前确定的11个威胁行为组织仍然积极地针对工业组织开展活动。此外，该公司又发现了4个新的威胁行为组织，其动机是确定是瞄准了ICS/OT。

四是攻击组织TTPs不断推陈出新；工业企业的网络风险急剧增长和加速，首当其冲的是影响工业流程的勒索软件、使信息收集和过程信息盗窃成为可能的入侵，以及来自针对ICS的攻击对手的新活动，像EKANS（SNAKE）这类专门针对ICS的勒索软件出现。另外，由于OT环境可见性的严重缺失，供应链的风险愈发严峻。攻击对手通常会慢慢地建立入侵基础设施和行动，之后的行动往往由于之前的工作而更加成功和具有破坏性。类似SolarWinds这类史上最先进、最复杂的供应链攻击，对工业控制系统的威胁尚未可知。

二、关键信息基础设施网络安全风险的主要特点

2020年7月公安部发布了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》，进一步明确了加强等级保护和关键信息基础设施安全保护的基本原则、工作目标和具体措施。在保护工作的具体推动过程中，因关键信息基础设施行业，特别是能源、电力、交通、制造等领域，因其自身特性而面临不小的挑战。除了识别定级、主体责任、监管制度等体制机制性挑战外，还面临OT侧的历史原因和新兴技术应用、数字空间的安全风险与实体空间安全风险交织、叠加的复杂挑战。

一是存量风险与增量风险叠加；一方面，新基建背景下，5G、大数据、云计算、人工智能等大量新技术，推动远程医疗、智慧城市、工业互联网、物联网等领域大量创新应用，全新安全挑战扑面而来。另一方面，能源、电力、交通、制造等行业存在大量的老旧系统、设备，使用传统ICS系统的专用协议，计算资源受限、可靠性要求高、使用寿命较长，设计之初就缺乏通信保护、数据加密等安全考量，导致在连接泛在、环境开放、应用复杂性激增时，暴露出大量安全风险。消解存量风险、防范增量风险，在关键信息基础设施保护中同样突出。

二是传统风险与网络风险交织；2020年针对工业网络的攻击事件几乎占据网络安全新闻的头条。航空、能源、电力、制造等众多企业在勒索攻击面前纷纷沦陷，以色列水务攻击、伊朗港口攻击等工业安全事件再次突显网络攻击的背后地缘政治的争夺。美国佛罗里达州小镇Oldsmar供水系统的网络攻击让美国的监管机构和情报机构惊出一身冷汗。当前新冠疫情对全球政治、经济、文化、社会等领域产生了深刻影响，工业网络正在成为地缘政治争斗的主战场，地缘政治竞合加剧，网络安全形势愈加复杂，传统地缘政治风险、社会风险与网络安全风险交织辉映互相渗透。

三是IT风险与OT风险互为影响；IT、OT、CT、云和第三方系统之间日益增强的连接性为攻击者提供了更多进入关键系统的方式。抵御这些新漏洞至关重要，也充满了挑战，这导致探测、调查和补救网络安全威胁和事件变得更加困难。传统上由IT网络进行突破，形成据点，进而攻陷OT网络的案例已不新鲜，未来由OT网络进行突破而攻陷IT网络的情况也会大概率发生。特别是数字化、网络化、智能化加速发展，企业纷纷采用标准化的通用IT技术、统一的工业协议和开放的应用界面，工业控制网络的隔离边界恐被打破，让OT安全防护面临新的考验。

三、加速提升关键信息基础设施网络安全防护水平的思考

在不确定性和风险挑战剧增的“新常态”下，关键信息基础设施相关的运营方、监管方、安全能力供给方如何转“危”为“机”？需要各方认真思考，系统谋划。

1、加快出台《关键信息基础设施安全保护条例》及相关标准

目前我国在关键信息基础设施的网络安全保护标准方面相比发达国家比较滞后，相关识别、保护、控制、评估的标准如《关键信息基础设施边界确定方法》、《关键信息基础设施安全保障指标体系》、《关键信息基础设施安全防护能力评价方法》、《关键信息基础设施网络安全保护基本要求》、《关键信息基础设施安全控制措施》、《关键信息基础设施安全检查评估指南》、《关键信息基础设施网络安全框架》尚未正式发布。《关键信息基础设施保护条例》拟对关键信息基础设施的范围、运营者安全保护、产品和服务安全、监测预警、应急处置和检测评估以及法律责任等进行明确，但仍未发布。在关基保护的实践中，仅以网络安全法和等级保护2.0还不足以形成细粒度落实和切实有力的抓手。

2、夯实基础安全根基

目前关基网络安全防护存在的主要问题中，操作系统老旧、明文口令横行、远程访问宽松、网络隔离不足、反AV自动更新不力，均属于网络安全滑动标尺模型中基础结构安全的内容，也是其反复强调需要持续的安全监控以使资产、威胁、风险可见的原因。在工业领域，资产可见、配置可靠、漏洞可管、补丁可用，是工业网络信息系统可管理的基础，也成为工业网络可防御的坚实基础。正如疫情防控所需要的良好卫生习惯，网络运营也需要持续的网络卫生。

3、建强威胁情报能力

无论是战略级、战术级或运营级威胁情报，其在网络安全防护中都起到指导、影响、制约决策的任用。网络安全事件发生前的预警、事中的协同响应、事后的取证溯源，无不依赖网络威胁情报平台的支撑。在建强国家级、区域级、行业级、企业级网络威胁情报平台的能力基础上，应把握总体国家安全观的战略指引，把威胁情报共享、高效利用作为优先建设重点，以期在关键时刻顶用、管用。加强对敌手、敌情的研究，利用相对成熟的网络威胁建模方法，如NSA/CSS威胁框架、MITRE的ATT@CK威胁框架，充分理解敌手的TTPs，掌握相应缓解措施，了解敌手、敬畏敌手，方可打败敌手。

4、加强供应链安全保障

SolarWinds供应链攻击事件再次敲响警钟，高能力的攻击组织有充足的资源、高级的能力和足够的耐心攻陷其瞄准的目标。这也不是一个纯粹的技术问题或单纯的网络安全问题，是系统性的国家安全问题。ICT供应链已经与产品供应链与服务供应链，甚至与物流、信息流和资金流融为一体。毫无疑问，为关基所有方/运营方提供任何产品、服务的供应商，都天然成为其供应链的关键环节，也必然成为威胁行为体的攻击目标。各类安全厂商在参与构建关基防御体系中，亦然成为关基运营方的供应链中重要的一环，确保其不能成为供应链的薄弱点或攻击入口点。

5、完善应急响应体系

网络安全事件响应能力能否有效应对新常态下的复杂局面？应急响应团队可能无法消除网络安全事件带来的所有负面影响，那能否抑制安全事件不要上升到“危机”的程度。危机造成的声誉、品牌、运营、客户和供应商关系风险持续增加，相关法律和财务风险也在所难勉。尽管任何组织的网络安全危机管理生命周期都强调完备的预案、协同的响应和高效的恢复，但这仍然是一项涉及多个部门、多种能力、多个利益相关方的工作，更加需要全局的视野和全域的管理。比如协同响应需要组织在治理、战略、技术、商业运作、风险和合规以及纠正与改进方面充分协调、共同推进。此次我国政府应对新冠病毒疫情的举措，也对网络安全危机的响应提供了有益的借鉴和指导。

6、深入推进实战攻防演练

关键信息基础设施需要实战化、体系化、常态化的安全防护业已成为共识。基于网络攻防对抗不宣而战、无平战之分的特点，在构建防御体系和安全运营过程中必须坚持持续对抗思维。关基防御体系的有效性最终要靠高能力攻击组织的能力来检验。而在这种攻击发生之前，能否感知预警，发生之后能否抗得住过得去，都需要用我们持续以实战的理念、方法和手段来先行检验。鉴于此，当前仍要持续巩固近年来实战化攻防演练的成果，真正来检验防护能力，检验应急响应机制，深入推进实战、实效的达成，敢于暴露真问题，真正解决深层次问题，谨防走过场、图过关、甚至成为安全厂商的秀场和背书！

7、培育网络安全文化

人的因素、人性的弱点是网络安全最大的挑战和不确定性。网络攻防对抗，本质上是攻防两端人力的较量。大多数安全事件都是人为因素造成的。网络安全文化是人们对网络安全的认识、信仰、态度、规范和价值观，以及这些知识在与信息技术交互中的表现方式。网络安全文化是组织文化的重要组成部分。关基行业在推动网络安全防御体系（技术、管理、控制）的过程中，相关监管方、安全能力供给方、用户方都是组织网络安全文化的参与者、推动者、建设者。真正使网络安全意识、网络卫生习惯内化于心外化于行。