【文末有惊喜】国家网络战发展趋势专家观点集锦

2022 年 5 月 27 日 CCF计算机安全专委会

5月23日，由第十届互联网安全大会（ISC 2022）联合“N世界”举办的万人元宇宙峰会开启序幕，由中国计算机学会计算机安全专业委员会主办，专委会技术工作组及360政企安全集团承办的“国家网络战发展趋势论坛”正式召开。圆桌论坛环节邀请到了公安部第一第三研究所原所长、中国计算机学会计算机安全专业委员会荣誉主任严明，公安部第三研究所所长助理、中国计算机学会计算机安全专业委员会副主任金波，360政企安全集团高级副总裁高瀚昭，复旦大学网络空间国际治理研究基地主任沈逸教授，中国联通研究院信息安全研究室主任陶冶五位嘉宾就四个话题展开深入交流。

Q1：网络战对关键基础设施会造成哪些影响？

我国《关键信息基础设施保护条例》已经实施，

建议相关单位应采取哪些措施来保障安全？

金波：我们看到在此次俄乌战争当中双方都针对对方的关键信息基础设施发动了网络战。有的是通过民间黑客组织发动的，也有政府网军进出行动的。比如说有攻击卫星网络的，有攻击核电厂能源的，特别是跟军事、文化、金融相关的部门都是网络战的攻击对象。对这些关键信息基础设施的攻击实现了从网络世界到物理世界的影响。从另一个角度来讲，也操纵了舆论来影响了战争的进程。

虽然我国的信息化进程比乌克兰、比俄罗斯都要进步，但在这个情况下我国的关键信息基础设施也会面临各种各样的攻击威胁，所以提升我国的关键信息基础设施安全防护迫在眉睫。

当然，我国非常重视关键信息基础设施的保护，特别是十八大以来，习总书记对于我国怎样做好关键信息基础设施保护提出了明确的要求，强调这些领域一旦出现问题的话就可能导致交通中断、金融紊乱、电力瘫痪等等各个方面的问题，具有很大的破坏性和杀伤性。

并且习总书记指示，要加快关键信息基础设施安全保障体系构建，我们可以看到从《网络安全法》开始就明确地提出了对于关键信息基础设施保护的要求。随后的国家网络空间的安全战略，国家“十四五”的规划纲要当中都明确地提出了关键信息基础设施保护的一些要求。那么在2021年的8月国务院正式公布了《关键信息基础设施保护条例》开启了关键信息基础设施保护的新纪元。

在说到关键信息基础设施保护的时候，我们首先要明确哪些是重要的关键信息基础设施，网安法里面对于关键信息基础设施的领域范围有明确的定义，它是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科工等重要行业和领域。我们都知道这些行业跟领域一旦遭到破坏丧失功能或者数据泄露，可能会严重危害到国家安全、国计民生、公共利益，这就是关键信息基础设施的范围。

并且我们国家的关基条例当中进一步确定了其认证的规则，这认证规则是由保护工作部门来牵头，根据行业领域的实际确定哪些属于关键信息基础设施，并且上报公安部门进行备案识别。

认证识别关键信息基础设施主要考虑几个因素：第一个网络设施、信息设施对于行业领域关键核心业务的重要程度；第二个如果它受到破坏可能带来的危险程度；另外可能产生的关联性影响。也就是说是从重要性、风险以及影响来决定它是不是关键信息基础设施。

公安部1960号文《贯彻落实网络安全等保制度和关保制度的指导意见》对于符合这些认定规则的信息系统、网络系统当中的技术网络、大型专网、核心业务系统、云平台大数据平台、物联网、工控系统、智能制造系统、新型互联网、新兴通讯设施纳入关键信息基础设施范畴并且对关键信息基础设施的清单实行动态调整机制，如果它发生变化要进行动态调整和持续改进，尤其发生在国际形势非常复杂的这种情况下。

相关部门、信息运营者到底应该采取哪些措施来保护关键信息基础设施的安全，我觉得有几个方面。

第一个方面，网络战很多时候打击的是信息系统、网络系统的可用性。对于关基的信息系统要建立起可用性和对于攻击、风险威胁的弹性应对能力。可以从三个方面来构建。

第一，要有针对这些威胁的威胁情报能力，能够判断攻击来自于哪些地方，例如来自一些重点的黑客组织，或者有政府背景、政府支持的网军，并对各个组织的战术战略要进行全面分析形成威胁情报能力。

第二，基于威胁情报能力根据网络具体的运行情况，要形成一种全面的态势感知能力。要知道风险、威胁在哪里，要实时掌握信息系统本身运作时的状况。

第三，应急响应的能力。这是一旦发生网络攻击如何保持业务系统的持续性，保障系统在受到攻击的情况下能够迅速恢复的能力；是怎么对这种攻击进行复原、定位，把威胁拦在外面保证业务的正常开展的能力。尤其对于有些关键信息基础设施设施，可能跟物理世界是密切相关的，强有力的应急响应能力才能让系统对物理世界的正常运作不会产生影响。

第二个方面，要保护好我国关键信息基础设施的数据安全。保障关基数据安全也是网络战当中的重中之重。攻击者拿到关基数据以后会利用其具有可用性，产生很多与数据相关联的攻击措施攻击战术。最近两年国家对数据安全非常非常的重视，2021年通过了《数据安全法》《个人信息保护法》并开始实施。落实网安法、等保、关基条例、数安法中关于数据安全的要求，从技术、管理、日常运营进程当中建立全面的关键信息基础设施的数据安全保障体系势在必行。

目前在公安部的支持下，由公安部第三研究所牵头，跟业内的相关科研机构企业共同组成了关键信息基础设施安全保护联盟。这个联盟将以关基单位为服务对象，以交流协作、行业自律、技术创新、产业发展作为联盟的发展目标，共同推进维护我们国家的关键信息基础设施的安全。

Q2：网络战未来会呈现怎样的发展趋势？

严明：刚才在我的这个发言当中也谈到了，俄乌冲突引发的网络安全思考。

我觉得，由于信息化已经发展到了现在这个阶段，在未来，无论是政治冲突、军事冲突和国与国的对抗当中，都面临着无时不在的舆论战、无所不为的网络战和无处不有的信息战。

在这样一个背景下，我们就必须做好应对这样网络战的充分准备。

首先是我们要不受制于人。像现在的俄罗斯，一旦在舆论领域被人“禁言”，以后他连发言的机会都很难了。像俄罗斯在目前的供应链情况，一旦断供，很多行业领域都将面临非常大的困难，当然他还可以找我们，那么将来如果我们遇到这种情况，我们找谁呢？我们只有靠自己。所以第一件事就是，一定要把我们自己的事情做好，不被人卡脖子，不受制于人。

第二，为了应对这样的冲突和战争需要有组织上的准备。

大家知道我国在2011年宣布成立网军，但是网军主要是以蓝军也就是守方为主，所以网军建设主要强调防卫。但是在战略和战术上都有一句话：“有的时候进攻是最好的防守。”而且具备进攻和反击的手段才可能威慑和抑制对你的无端攻击。那么从现在的情况来看，我觉得我们应该尽快做好应对这种网络冲突的组织准备。

其中首先，非常希望我们的网军能够尽快成军而且兼具攻防能力。

第二点，在目前情况下我们整个社会的网络安全执法、管理和防护靠的是公安网络警察，我们的网络警察经过这些年的建设已经具备了相当强的工作能力和执法能力，但是我们这支网警面向的确实不是网络战，而是国内的网络安全执法管理和保卫工作。那么我们的网警在网络战发生的时候，应该做什么，如何和网军配合起来，也是非常重要的事情。

从美国的经验来看，曾任美国网络司令部司令的基思.亚历山大，他曾经在一次国际会议上讲到，“政府必须充分的和网络安全企业合作，因为大量的人才、技术、资源在企业里面”，我们国家现在也是这样，网络安全的大量人才、资源、技术在企业里面，一旦国家受到网络战攻击的时候，应该做什么事，是否做好了准备呢？

最后，从这次俄乌突来看网络战不是很遥远，网络战近在眼前。因为俄乌冲突已经告诉我们，在军事行动的前面、中间和后面都伴随着信息战、网络战和舆论战，都和信息化息息相关。我们的国家、政府、各层的网络安全从业者都要有思考，有准备保护自己的同时做好还击的准备工作。

高瀚昭：我觉得大趋势上，一方面是军民融合。我们已经看到安全企业、互联网企业在这次冲突中发挥了重要作用。另一方面是平战融合，并不是在常规战争开始以后才有网络战，而是在平时都已经有大量的网络渗透、提前布局的工作。最后，我相信各个国家都会在网络战领域投入更多的资源，包括人才的储备、漏洞的储备、国家级安全基础设施的储备。

沈逸：我觉得网络战在未来发展趋势已经很明显了，它会在三个方向上延伸。

第一，从作战领域的指向来看，它会从可见可及的软件和硬件转向于更加具有深层次影响的人的认知。就是说在网络环境下依托信息技术对人、特定群体或者是不特定群体的认知，通过传播进行塑造和影响，可能会成为一种大的发展趋势。围绕认知领域的这样一种战斗行动成为网络战一个新的核心焦点。

第二，国家关键基础设施的防护能力和体系建设的战略意义将日趋突出。很明显对于这些维系着一个社会正常运行的关键基础设施来说，国家必须具备充分的防护能力才能够打赢这样一场网络防御战。

第三，任何国家，尤其是需要坚定捍卫自身核心国家利益和安全的国家来说，必须形成相应的网络空间的攻击能力。这种攻击能力不是说真的要去使用，就像有了核武器可以进行有效的威慑一样，必须具备这种进行网络空间战略威慑的一种能力，才能确保任何潜在的对手不敢承受你的反击所可能导致的严重后果，而不敢实施这种大规模的网络攻击。

所以网络空间交战行动会在作战领域、体系建设和能力发展偏好三个方向呈现新的发展趋势，这可以看成是俄罗斯和乌克兰冲突所带来的深远影响之一。

Q3：这种国家间的网络战给我国的网络安全

防护带来哪些启示？

陶冶：我结合中国联通在运营商领域的经验提两点相关的建议。

第一点是加强联防联控。各行业包括运营商、政府、电力等等行业，建议加强联防联控，全面整合安全产业链的能力，做好关键信息基础设施以及国家的基础网络防护。我们建议各个关键领域加强网络安全的建设，尤其是涉及能源、电信、军事等直接关系到国家稳定的重点领域。一方面是相关的政府部门、牵头部门，建议引导构建网络安全的产业链，可以以链长制或者策源地等等方式，由产业链的核心企业统筹联合产业链中的基础电信运营商、互联网厂商、安全厂商、科研院所等等，还有一些关键的生产行业等各个单位和各个环节，打造功能完备的大网安全防护能力，协同构建网络安全常态化的应急防护保障体系。

另外一个方面就是面向各个重点行业部门领域，由产业链牵头推动安全技术能力的落地赋能。行业监管部门将网络安全防护能力的检测纳入到考核行列，落实相关的安全责任到企业、到个人，从威胁风险的预防监测和处置，到问责等一系列流程逐步完善管理机制和技术体系。

这是第一点建议，就是建议各行业加强联防联控，整合产业链能力，做好我国的关键信息基础设施和基础网络的防护。

第二点建议就是持续大力培养技能和创新力兼顾的综合型网络安全人才。

网络空间战争归根结底还是人才的战争，建议一方面大力加强网络空间作战人才的队伍建设，在行业层面开展网络安全专项人才的培养基地。培养实战型、技术型的人才，定期举办网络安全的展会活动，以及竞赛等等的赛事活动。促进行业内技术人才的充分交流，以科学家、领军人才为标杆，引导安全队伍的持续发展和壮大。

在企业的层面，加强在职人员的网络安全攻防技术培训，建立有效的特殊人才的激励制度。

目前中国联通内部也在研究针对特殊人才的激励制度，包括录取制度，在高校层面积极开展网络安全的学科体系建设，提升教育环境，从基础教育出发培养理论基础牢、创新能力强、研发能力过硬的专业人才。另外就是全面提高行业从业人员的安全意识，坚持“网络安全为人民，网络安全靠人民”的理念。定期开展相关的安全培训活动，增加各行业一线人员的风险防范意识，做到关口前移。

沈逸：从启示上来说我觉得大概可以有这样三点。

第一，在网络安全防护能力体系建设过程当中需要有一个良好的制度环境保障。

我们国家有网络安全信息化委员会领导统设全局，通过网信系统、工信部、公安部等共同去捍卫我们国家网络安全。在面对这种国家间的网络战威胁和挑战的时候，我们这种防护能力需要呈现进一步的系统化和体系化，实现全覆盖无死角、无漏洞、无遗漏，从而能够满足这种国家间高水平的网络攻防。

第二，网络安全防护能力建设要有一个大的目标和方向。

这种攻防不是一般意义上的单体、单线、单个目标的，网络战是一种群体性而且是不太可能由单一部门去解决的问题，它迫切需要构建国家总体领导下的全面能力体系，而这个能力体系要打破一般意义上的所谓民用和军用的分别。美国、俄罗斯等等他们组建的网络战部队是直接介入到这样一种攻防当中去的。

第三，网络战需要进行有效的国际合作。跟志同道合、具备共同利益的国家进行能力和资源的合作。

当然在条件允许的情况下，还是要更多地在这种合作的过程中强化以联合国为代表的国际多边组织和各种各样的技术社群的联系，用符合网络内生规律的方式去提升、完善、应对网络战这样的威胁和挑战的各种要求。

Q4：面对复杂的国际局势和网络战的阴影，

我国应该从哪些方面入手提升网络安全对抗能力？

高瀚昭：针对网络安全对抗能力建设，首先应该提升网络安全对抗环境的了解。就像作战需要地图一样。其次是更好地掌握和分析网络对抗的实时数据，构建安全大脑，才能及时看见威胁，开展反制。第三是建设安全基础设施，保证各种安全对抗工具体系化并且互联互通。第四是加强安全人才的培养，才能用好数据和工具。最后是网络攻防技术能力的沉淀，一方面依赖于网络安全知识体系的建立，一方面依赖于持续的攻防演练来不断积累和沉淀新的技术能力。

陶冶：我主要提一点建议，还是要持续加强攻防和对抗的能力，去增强新型安全威胁的识别和管控手段。

因为从前面各个专家的分享来看，本次俄乌战争也是涉及了很多新型的DDoS攻击的方式，常规的一些泛宏的攻击可能已经不是国家级网络战中的主流攻击形式了。一些新型的反射攻击，比较难识别、比较难治理的一些攻击，包括新型数据擦除软件、新型恶意软件的植入、针对供应链的攻击，以及这次网络空间战之前针对美国燃油管道的供应链攻击等等，这些勒索软件。其实这几年出现了大量的新型攻击，包括0Day漏洞。而且这些新型攻击、威胁都造成了非常严重的影响，这就是因为我们对新型攻击应对能力和预防能力是不足的。网络安全的本质实际还是在于攻防两方或者红蓝两方的对抗。

第一方面是建议大力推进国家级的安全靶场建设。

因为安全靶场实际是可以对我们国家重要的网络资源、IT资源、相关行业资源、关键信息基础设施进行实时仿真。对这些基础设施做持续的攻防演练是一个非常好的形式。

然后基于靶场去挖掘一些针对各个行业的新型威胁、新型漏洞、新型攻击，去研究相关的应对措施，提升防御能力。近年来我国积极研究包括拟态防御等在内的新型安全防御技术，相关的部门引导各企业及科研院所去积极参与。国家级的网络靶场建设，将面向5G核心网、工业互联网等建设具有不同行业特征的差异化实际场景，以及建设虚实结合的靶标系统。定期开展常态化的攻防演练活动，在摸清系统漏洞和安全隐患的同时，达到对未知攻击的防御能力提升，并且可能必要时需要参考俄罗斯的断网行动，进行一些关键网络基础设施的断网演练，促进产学研一体化的发展建设，完善新型的安全技术研究平台，鼓励高校实验室研究和企业业务落地的场景相融合，共同推动安全技术的创新研发和应用，共同应对新型安全威胁对我国网络安全的影响。