2020年5月,委内瑞拉国家电网干线遭到攻击,造成全国大面积停电,这是时隔10个月后委内瑞拉再次遭受攻击而断电。该国电力系统成为最新一轮“网络攻击”的目标,一方面是本国水电等关键信息基础设施系统老旧,另一方面,黑客也在不断挖掘电力系统安全漏洞,开发出更适用于攻击电力系统的恶意软件。无独有偶,4月,伊朗利用美国服务器对以色列的供水命令和控制系统展开破坏,以色列安全内阁确认这是一次非常不寻常的网络攻击,直指以色列的关键信息基础设施供水系统,这场基础设施网络攻击背后是国与国的军事对垒。

这一系列网络安全事件给我们敲响了警钟,必须提升国家关键基础设施的网络攻防能力。关键信息基础设施正面临国家间有组织、高强度网络攻击的现实威胁,关键信息基础设施的网络安全脆弱性日益凸显。

当前,关键信息基础设施的网络安全再次提上日程,再次受到世人所关注,以美欧为代表的全球发达国家纷纷出台网络安全防护举措,将关键信息基础设施的网络安全作为国家网络安全的重要组成部分,建立自己国家的网络安全防护体系,提升网络安全防护水平。

一、关键信息基础设施的网络安全形势严峻

信息化发展到今天,人类已进入"万物互联"时代,无处不在的计算和设备,串联起了现代人的物理空间和网络空间,也带来了前所未有的安全挑战,关键信息基础设施的网络安全形势日益严峻。物联网、工业互联网、车联网以及产业互联网带来巨大机会的同时,所有网络虚拟空间的攻击都可以转化成物理世界的伤害。

1、关键信息基础设施网络安全事件连年攀升

根据绿盟科技2019年发布的2019年安全事件响应观察报告中可以看出关键信息基础设施的安全事件成为网络安全的核心战场,与2018年相比,2019年的安全事件整体趋势变化较大。从月度上事件数量分布来看,2018年呈现平缓增长趋势,2019年上半年整体安全事件增长迅速,并在6月达到全年峰值。从2020年上半年来看,从委内瑞拉电网攻击、美天然气管道商遭攻击、欧洲能源巨头遭受勒索软件攻击等等事件,网络攻击事件频发,主要涉及电力、水利、能源、交通等关键信息基础设施领域,网络安全事件层出不穷。

2、关键信息基础设施成为网络安全核心战场

当前,国与国之间的网络对抗,正越来越多地转向电力、水利、电信等关键民用基础设施与国家工控系统。关键基础设施已经成为核心战场,网络攻击不再只是为了窃取情报,更可以对交通、能源、金融等基础设施发起攻击,达到比传统作战更强的破坏效果。关键信息基础设施是网络安全中的重中之重,随着对其大规模的网络攻击出现,物联网的接入也为设备安全开辟了新的安全漏洞,同时新的设备的出现与老旧传统的网络设备互联,也为黑客组织攻击的主要目标之一。

3、围绕关键信息基础设施的网络攻防是非战时期的主要对抗形式之一

从伊朗的核设施被“震网”病毒攻破、乌克兰电厂被大规模袭击、到委内瑞拉停电事件等等,这一系列事件都表明,关键基础设施的安全问题已经打破网络与物理世界的壁垒,构成了严重的现实威胁。

当前,美俄两个主要大国均已具备很强的针对关键信息基础设施的网络攻击能力,并在持续增强其攻击能力。而与传统的物理攻击方式相比,网络攻击对攻防双方来说更加充满“变数”。关键信息基础设施可以通过互联网直接或间接地访问,开放互联趋势使得网络攻击平面得到了极大的拓展,所以,相应的安全防御边界也需要进一步扩展。无论是从攻击效果、攻击成本,还是攻击隐蔽性乃至攻击可控性看,针对关键信息基础设施的网络攻击将有可能逐步取代传统的军事战争,成为各国政府的优先选择手段。

二、各国关键信息基础设施网络安全防护举措

近几年来,美欧等国较早意识到保护关键信息基础设施网络安全的重要性,采取颁布一系列法律法规,组建网络安全管理职能机构、开展网络安全演习等举措,将保护关键信息基础设施提升到战略高度。

1、美国

截至目前,美国关键信息基础设施的网络安全防护经历了四个阶段(见图一)。

阶段

内容

克林顿政府时期

围绕关键基础设施范围界定、机构设置、职能授权、政府与私营企业的合作、信息共享机制方面,逐步形成了相对完善和成熟的关键基础设施保护体系;

小布什政府时期

组建国土安全部,实施多项具体的技术研发计划和项目,开发信息系统保护关键基础设施;

奥巴马政府时期

更加注重基础设施的“网络安全”;

特朗普政府时期

建立优先保护、风险管理、信息共享相结合的关键信息基础设施保护新思路。

表一   美国不同时期关键信息基础设施的网络安全防护重点

法律法规方面,因时制宜,逐步实现领域相关法律法规的全面化和层次化。自2003年以来,美国陆续发布了《保护网络空间的国家战略》、《关键基础设施标识、优先级和保护》、《关于提高关键基础设施网络安全的行政命令》等,明确了开展关键基础设施网络安全保障工作的部门分工、法律责任和重点领域。2016年2月,美国发布了《关于建立国家网络安全促进委员会的决定》总统令,提出建立国家网络安全促进委员会,增强企业及关键基础设施的网络安全防护和恢复能力。2018年5月,美国国土安全部发布网络安全战略,旨在更好履行网络安全使命,保护关键基础设施免于遭受网络攻击。2019年12月,美国参议院提出了一项新法案,将赋予国土安全局的网络安全和基础设施安全部门检测、识别和接收关键基础设施用户信息的权利,以在遭遇网络攻击之前向其维护者发出警告,并提供漏洞信息与维护工具。2020年2月,美国总统特朗普签署了题为“通过负责任地使用定位、导航与授时服务以增强国家弹性”的行政令。该行政令在“目的”部分强调了GPS系统对美国国家关键基础设施安全运作的重要性。

组织机构建设方面,保护机构及其职能划分明确,机构设置呈现体系化。建立了以国土安全部为主导、基础设施特定领域机构具体负责和配合本领域关键信息基础设施保护工作,形成了各部门之间职能分工明确、相互协调的关键信息基础设施保护组织体系。

2002年美国依据《国土安全法》成立国土安全部,负责协调政府的关键基础设施保护工作,同时在不同的关键基础设施部门内还设置有对应的联邦机构负责具体实施这一部门的关键基础设施保护工作。美国国土安全部下设两个办公室,基础设施保护办公室、网络安全和通信办公室并分别设有中心,以加强部门间协调。2014年国土安全部在基础设施保护办公室原有职能的基础上,单独组建了网络基础设施分析办公室,具体负责落实综合分析和标识关键基础设施的要求。2018年8月,美国国土安全部宣布建立国家风险管理中心,来促进跨部门的信息共享和协作响应,以应对重要基础设施遭受的网络威胁。美国国土安全部是政府主导的联合防御新战略的基础,为了更好地共享及响应网络威胁。国家风险管理中心组织16个关键基础设施保护部门对国家重要数字资产进行登记,并开展风险识别行动,确定风险等级,掌握风险态势。

网络安全演习方面,加强国家级安全演习的统筹规划。美国主要以能源、信息、制造业等关键信息基础设施为核心展开攻防对抗。美国每两年举行一次“网络风暴”演习,根据美国计算机应急响应小组的高持续性威胁活动警报显示,美国能源、信息科技、交通、金融、制造业等关键信息基础设施近年来不断遭受针对性攻击,因此演习将这些低安全性、高价值资产的关键信息基础设施作为核心目标,通过攻防对战提高网络安全实战能力,除了巩固自身安全防线,也强化了对关键信息基础设施的攻击能力。美国于2018年举办了第六次“网络风暴”演习,与先前的演习不同,第六次演习目标不仅是加强安全应急协同能力,还将重点放在应急响应能力的评估上。在面对瞬息万变的安全态势和复杂多样的威胁攻击时,安全信息的深度共享和分析利用对保障关键信息基础设施至关重要。通过演习评估信息共享的效力和网络事件响应计划的能力,可改善应急处置方案的不足,切实强化安全实力。

2、欧盟

在法律法规方面,与时俱进并连续出台多项政策加强关键信息基础设施保护。欧盟于2007年和2013年先后发布了《欧洲关键基础设施保护战略》和《工业控制系统网络安全白皮书》,指导欧盟各国加强针对关键基础设施网络安全的部门协作、能力建设和应急响应。2015年7月10日,德国议会通过《德国网络安全法》,其重点是加强对关键信息基础设施的保护力度,明确了“关键基础设施”运营者的责任、扩大网络监管权、确定网络安全报告制度和增设电信运营商的义务。该法明确凡是涉及水资源、能源、通信、医疗、交通、金融、保险等与德国民众日常生活紧密相关的行业或企业均属于关键基础设施的保护范围。2016年8月,欧盟颁布的《网络与信息安全指令》正式生效,要求欧盟成员国在2018年5月9日之前,将《指令》落实到国家法律中。这是欧盟出台的第一个关于网络与信息安全的指导性法规,主要针对“基础服务运营商”和“数字服务供应商”,旨在加强地区关键基础设施的保护。2018年5月,欧盟网络与信息系统(NIS)指令正式生效,该指令侧重于保障欧盟国家电力、交通以及医疗卫生等领域关键基础设施的安全性,其力图通过加强网络防御能力以提升此类服务的安全性与弹性。2020年2月,奥地利、保加利亚、丹麦和罗马尼亚四国于2月28日加入欧盟量子通信基础设施计划(QCI),将与其它欧盟成员国在未来10年共同研发和部署欧盟量子通信基础设施。2020年2月,欧盟委员会公布了《塑造欧洲数字未来》的数字化战略,并同时发表了欧盟数据战略及人工智能白皮书,旨在通过加大数字化领域投资提升欧盟数字经济竞争力。

组织机构建设方面,按照国家之间、国家与企业等不同的层面进行组织机构的设立。在欧盟层面,设立关键基础设施联络小组,以推动欧洲关键基础设施保护计划总体方面和各部门具体行动的开展。2017年10月,欧盟与北约联手建立的欧洲应对混合威胁卓越中心在赫尔辛基开始运行。该中心旨在监测和评估应对混合威胁的弱点,优化政策,提高应对混合威胁意识。在国家与企业层面,2007年2月,英国国家基础设施保护中心(简称CPNI)正式成立,它是一家为英国企业和组织的基础设施提供安全咨询保护的英国政府部门,由前英国国家基础设施安全协调中心和英国国家安全咨询中心合并而来。其职责是减少英国基础设施被恐怖主义破坏和其他威胁,保护英国基本服务安全(通信,应急服务,能源,金融,食品,政府,医疗,交通和水务)。

网络安全演习方面,加强合作,提升应急协调能力。欧盟2014年的“网络欧洲”安全演习参演单位共有300多家,包括来自29个国家的政府机构、网络安全企业和关键信息基础设施运营者等。各参演单位除了合作应对复杂的网络攻击、不断优化应急处置和威胁情报共享流程以外,还加强了国际间应对突发事件的应急协同能力,提高了面对跨领域及跨境威胁事件时国与国之间交涉的运维与处置能力。2019年4月,北约举办了代号为“锁盾”的网络安全实战演习,组织了来自法国、芬兰等23个国家的网络部队和大型企业的1200名网络安全专家参与,演习旨在强化各国在军事领域和民用领域的网络安全合作,提升网络安全事件应对和应急协同能力。

三、关键信息基础设施面临的网络安全威胁

由于现代社会对关键设施的依赖,关键信息基础设施网络攻击所导致的连锁反应将是灾难性的。当今世界,一个国家可以绕过海陆空防御力量,从网络空间瘫痪别国关键基础设施,这种网络战形式给世界各国敲响了警钟。当前,全球网络攻击事件将更加频发,全球网络对抗态势将进一步升级,关键信息基础设施的网络安全保障体系仍不完善。

1、关键信息基础设施的混合威胁与日俱增

纵观以色列与伊朗的博弈之战,从军事到网络再到军事,我们发现,网络战早已与军事实战交相融合,在这场新型战场上,不止物理空间与网络空间被打破,军事战场与网络战场相互配合,实现完美打击。更可怕的是,以电力、能源等为代表的关键基础设施首当其冲,成为重点攻击对象。一场场基于关键基础设施的大规模网络入侵正逐渐走入大众视野,而攻击威胁背后,是越来越多的国家入局。这种入侵,针对的目标是国家、金融、能源、交通等关键信息基础设施,效果远远超过传统战争,可能会造成灾难性的后果。

同时,关键基础设施对信息技术的依赖程度不断加深,由于网络的互联性与交互性,各国关键基础设施面临的安全威胁与日俱增。网络信息领域、政治经济领域、特殊秘密行动等非对称技术手段工具与现代关键基础设施的脆弱性一起构成了新的威胁。

2、针对关键信息基础设施的网络攻击手段与方式不断演进

受大国背景下国际现实政治在网络空间的投射影响,网络空间对抗逐步呈现战争化趋势,美国已宣布具备综合性网络战能力。国家级重点行业、领域的信息系统及关键信息基础设施已成为跨国网络攻击主要目标。

网络攻击手段、攻击模式不断升级。一方面,攻击方式由通用攻击转向专门定向攻击。攻击方法越来越隐蔽,较难提前预警和快速响应。另一方面,攻击模式由普通网络犯罪向组织化攻击的黑色产业链转变。团队作案活动频繁,严重损害国家安全和经济利益。

3、以恶意攻击为代表的潜在威胁不断涌现

近年来,美国不断研发网络新型武器,建立了数字武器库,并将俄罗斯、中国、伊朗和朝鲜列为网络重点侦察目标,部分数字武器直接针对重要机构或关键信息基础设施。美军方组建了133支网络部队,其中40支为进攻性网络部队,包括13支“国家任务部队”及8支“国家支援部队”,这些部队除担负保护美国重要基础设施外,还协助海外部队策划并执行网络攻击等项任务。

从乌克兰电力系统遭受攻击到美国核电站遭受网络攻击,从委内瑞拉断电到以色列水利基础设施受到袭击等等,不难看出,恶意攻击已深度渗透至各个国家电信、金融、石油、交管等关键网络基础设施,导致经济命脉部分信息实况被外方掌握,系统运行受到控制,甚至存在被境内外敌对势力破坏的潜在威胁。

四、几点建议

美国和欧盟较早意识到保护关键基础设施安全的重要性,将保护关键基础设施提升到战略高度,逐步形成了一整套相对完善和较为成熟的关键基础设施保障体系。我们要以新思路推进关键信息基础设施保护工作,着眼网络空间竞争博弈和万物互联的时代背景,加快推动理念创新和工作创新。

在国家层面,要组织实施网络安全重大工程,加强对关键信息基础设施监测预警和互联网域名的安全保障,建立信息共享机制,推动技术产业发展,制定出台相应标准,利用国家的力量和资源对关键信息基础设施实施重点保护,构建网络安全屏障;

在行业层面,充分发挥行业主管部门的监督作用,健全关键信息基础设施的保障工作的体系,指导有关单位落实政策和法律法规要求;

在运营单位层面,要突出运营单位的主体责任,强化网络安全防护措施,保障关键信息基础设施稳定运行。