山石岩读 | 关键信息基础设施已成新战场，如何保卫国家网络安全？

背景起因

随着网络信息技术的飞速发展， 网络及与网络空间相连接的设施 在为人们提供便捷服务、信息查询、娱乐交流的同时，在金融、交通、水利、能源、医疗卫生等 重要行业和领域 同样拥有至关重要的地位。近年来，国家的各项关键基础设施 ——从石油管道到电网，从民航到水运网，从交通到金融/ 银行系统，都逐步引入 网络管理 和 监控系统** ，使得基础设施的性能水平大幅提高，为国民经济的发展起到了重要的支撑作用。

现代社会高度依赖于重要行业的 信息系统 或 工业控制系统 的信息管理、通信和控制功能，科技的进步也使得关键信息基础设施的运行和控制方面的 自动化程度逐步提高 ，近年来网络空间中关键基础设施的 关联性变得越来越复杂 ，对国家关键信息基础设施的 潜在威胁 也在急剧增加。由于网络空间的开放性和互联互通性，国家关键信息基础设施时刻面临来自不同层面的安全威胁，这其中既有黑客的 个人行为 ，也有犯罪团伙、 商业间谍、邪教组织、恐怖分子等 有组织行为 ，甚至还有 国家间对抗行为 。这些行为都会极大地影响国家关键信息基础设施的安全，一旦出现网络安全事件，轻则造成经济损失，影响人民群众的正常生活，重则造成人员伤亡、社会混乱，甚至削弱国防能力、严重威胁国家安全。

近年来， 美国、欧盟等西方发达国家早已认识到 保障重要行业国家关键信息基础设施网络安全的重要性 ，纷纷采取了一系列保障措施，筹建了专门机构，制定了战略规划和相关标准依据，开展了理论研究和模拟仿真的研究工作，实施了一系列的安全演习，提升了国家关键信息基础设施的安全保障能力。

安全风险

国家关键信息基础设施是由 信息系统 和 网络 所组成的，因此不可避免地要面临至少以下几方面的安全威胁和风险：

1.网络攻击目标已从传统的军事设施逐步向 民用关键信息基础设施 转变，金融、能源、交通、通信及政府机构等 关系国家安全 、 经济命脉 、 战争潜力 的国家关键信息基础设施首当其冲。

2.网络攻击手段已经在网络空间所连接和管控的各类关键信息基础设施上奏效。网络攻击的真实目的是对 国家关键信息基础设施造成长期的战略性破坏 ，2010年伊朗核电站遭受“震网”病毒攻击，标志着网络攻击已经完全具备对现实世界的“硬摧毁”能力，2012 年出现的间谍工具“火焰”病毒，同样可用于攻击关键信息基础设施。

3.恐怖主义 和 激进分子 等网络攻击者已成为关键信息基础设施的新威胁。对网络犯罪分子而言，攻击关键的基础设施，如医院、公共交通系统、警察部门、能源系统、电信以及其他公共配套设施等，所带来的社会后果都会进一步加强他们的犯罪动机。网络攻击手段一旦被恐怖分子获取，用来攻击国家关键信息基础设施，可引发灾难性后果，将对 国家安全 、 政权稳固 和 人民群众的生命财产安全 构成严重威胁。

4.在现实中，全球范围内针对国家关键信息基础设施的攻击事件已频频发生，以下列举近年来国内外一些影响力较大的关键信息基础设施安全事件：

（1）2015年，乌克兰 电力部门 遭受了恶意代码攻击，攻击者入侵了监控管理系统，在乌克兰部分地区造成数小时的 停电事故 ；

（2）2015年，法国最大的 全球性电视网 遭到重大网络攻击，造成电视转播信号中断数小时，电视台的网站和社交网络同时 被黑客控制 ，并出现了大量“圣战”标语、视频和图片；

（3）2015年，波兰 航空公司 的地面操作系统遭黑客攻击，致使出现长达5小时的 系统瘫痪 ，至少10个班次的 航班被迫取消 ，超过1400名旅客滞留在华沙弗雷德里克·肖邦机场；

（4）2016 年8月，美国安全公司FireEye发出警告： 敲诈者病毒 （勒索软件）已经开始瞄准美国和日本 医疗行业 。据FireEye研究员 Ronghwa Chong透露，敲诈者病毒正在向美国和日本的医院发动“大量”袭击事件。已经有越来越多的医疗卫生部门遭到携带Locky 病毒（敲诈者病毒的一个家族）网络钓鱼邮件攻击；

（5）2016年，mirai 僵尸网络在制造的最为知名的网络灾难事件就是10月21日晚间发生的 美国大面积断网 事件。在该事件中，Twitter、亚马逊、华尔街日报等 数百个重要网站无法访问 ，美国主要公共服务、社交平台、民众网络服务瘫痪；

（6）2016年11月， 德国电信 发布的数据显示：德国境内使用的TR-069/TR-064家用路由器数量约为 2000万台，其中约有 90万台路由器因 mirai 的扫描活动和死机 ，无法上网，约占所有受影响设备的 4%-5%；

（7）2016年12月，环球银行金融电信协会(SWIFT协会)向世界各地的银行警告称，自2016年2月 黑客盗走孟加拉国中央银行的8100万美元存款 以来，多起 瞄准全球银行转账系统 的黑客攻击已经成功盗走多笔资金。SWIFT表示，如今黑客的手段已变得更加成熟，各家银行需对此提高警惕。这些攻击和新的黑客策略凸显出，SWIFT的消息网络正面临着持续的威胁，这一网络每天处理的资金量高达数万亿美元；

（8）2017年， Wannacry 勒索病毒 在全球范围内爆发，150多个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业。我国部分 石油石化企业 遭攻击，大量生产系统的工业主机无法正常采集和读取现场数据，超过2万座加油站断网；

（9）2017年1月开始，土耳其伊斯坦布尔和土耳其其他地区一直在停电。土耳其能源部长表示：最近在土耳其的断电是由于 地下电力线路 的破坏和源自美国的网络攻击造成的；

（10）2019年3月，有消息显示，我国部分政府部门和医院等 公立机构遭遇到国外黑客攻击 。此次攻击中，黑客组织利用勒索病毒对上述机构展开邮件攻击。境外不明黑客组织对我国部分政府部门开展勒索病毒邮件攻击。这些邮件的标题是“你必须在3月11日下午3点向警察局报到!”，这些邮件的发件者名为“Min,GapRyong”(部分部门反映还有其他的假冒发件人约70多个)，另外这些邮件中无一例外都附有名为“03-11-19.rar”的压缩文件，而不明真相者一旦打开这些附件将会中招；

（11）2019年3月7日晚， 委内瑞拉首都 加拉加斯等数个城市灯火骤熄，陷入一片漆黑，停电波及全国23个州中的21州，多个地区 供水和通信网络中断 。委媒体报道称，停电的直接原因是该国最大的古里水电站遭到蓄意破坏，这座水电站供应委内瑞拉80%的电力……

（12）2019年3月22日，美国 亚特兰大市政府 遭遇持续性重大 勒索软件攻击 ，办公计算机系统和门户网站纷纷宕机，严重影响政府职能行使。之后大量企业内部和面向客户的应用程序无法使用，其中就包括一些用于支付账单或访问政府信息的应用程序。据报道，该市收到了一笔每个部门价值6800美元的比特币的赎金要求，也就是说，解锁整个系统的费用为5.1万美元；

（13）2019年9月，新闻社IANS报道称， 印度最大的核电站 Kudankulam核电站的 两个反应堆之一已中止运行 ，而一名Twitter用户将该停止与来自朝鲜的 DTrack网络攻击 关联在一起。10月30日，印度核电公司(NPCIL)证实，Kudankulam核电站今年9月曾遭到网络攻击。根据一份声明，NPCIL于2019年9月4日接到印度计算机应急响应小组的通知。NPCIL说，原子能部门(DAE)的专家立即对此事件进行了调查；

（14）2019年12月17日， 加拿大最大的医疗检 测机构 LifeLabs宣布，其后台数据库近期遭遇黑客入侵和勒索， 1500万名客户的个人信息被盗取 。并承认已向黑客支付赎金，以赎回被窃取的数据和资料。据悉，受影响的客户主要分布在安大略省和不列颠哥伦比亚省。

重要意义

综上所述，金融、能源、通信、交通等 重点行业和领域的关键信息基础设施 是经济社会运行的 神经中枢 ，一旦遭到破坏、丧失功能或者数据泄露，可能严重 危害国家安全、国计民生和公共利益 。当前，我国关键信息基础设施面临的网络安全形势严峻复杂， 网络安全防控能力仍较为薄弱 ，难以有效应对各类不同规模和强度的网络攻击。

网络空间已成为维护国家利益和安全的新领域，而关键信息基础设施也已成为网络攻击首当其冲的重点对象，为应对这种形势的挑战，我国陆续出台了 《网络安全法》、《国家网络空间安全战略》 等法规或文件，提出了 建立关键信息基础设施安全保护制度。 2017年7月，国家网信部门会同有关部门发布了 《关键信息基础设施安全保护条例》 （征求意见稿），条例 明确了关键信息基础设施的具体范围，并提出了进一步的安全保护要求。 基于对《网络安全法》、《关键信息基础设施安全保护条例》等相关法律法规要求的细化落实，结合目前已经开展的关键信息基础设施网络安全保护工作，全国信息安全标准化委员会组织开展了 关键信息基础设施安全系列标准的制定。