2021关键信息基础设施安全保护研究报告

网络空间已经成为继陆、海、空、天之后的第五大主权领域空间，全球主要国家和地区将关键信息基础设施和重要信息系统安全防护，作为国家网络安全战略的核心内容，我国关键信息基础设施面临的安全形势日趋严峻，亟待建立专门制度，明确各方责任，加快提升关键信息基础设施安全保护能力。习近平总书记指示：“没有网络安全就没有国家安全”、“安全是发展的前提”，并在“4.19”讲话中明确要求“加快构建关键信息基础设施安全保障体系”；《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确建立健全关键信息基础设施安全保障体系，提升网络安全保障和维护国家主权能力；国务院745号令《国家关键信息基础设施安全保护条例》，加快构建网络空间保障体系。

全球各国陆续发生多起电力系统受到漏洞攻击或加密勒索攻击的恶性事件，引发城市大范围停电，严重影响了当地经济社会正常运转。面对当前全球严峻的网络安全形势，为保障国家社会的持续稳定，各国政策逐渐聚焦于国家关键信息基础设施安全保障，发布了一系列的法律法规，战略和实施计划，将提高关键信息基础设施的安全性和可靠性作为一项长期政策。其中美国最早认识到关键信息基础设施存在网络安全问题，早在20世纪就开展了相关键信息基础设施安全保护护工作，随后欧盟、德国、日本、俄罗斯等国家紧随其后，纷纷确立以关键信息基础设施保护为重点的国家网络安全保障体系。

关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。关键信息基础设施是国家安全、国计民生和公共利益的核心支撑，国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治危害关键信息基础设施安全的违法犯罪活动。关键信息基础设施安全保护应立足应对大规模网络攻击威胁，坚持总体国家安全观，实施国家安全战略，维护和塑造国家安全。以《中华人民共和国网络安全法》为纲领，严格遵守关键信息基础设施安全保护要求、部门分工以及主体责任的总体安排。切实落实关键信息基础设施安全保护工作，要在网络安全等级保护制度的基础上，实行重点保护；落实《网络安全审查办法》，确保关键信息基础设施供应链安全，维护国家安全；采取可信计算、人工智能、大数据分析、密码等新技术，加强技术保护和管理措施，建立网络安全综合防御体系，更加突出“安全可控、积极防护、动态防护、整体防护、纵深防护、精准防护与联防联控”建设方针，建立国家、保护工作部门、运营单位三级安全监测预警、信息共享、协同指挥、联防联控和协同处置机制，落实各行业、领域的关键信息基础设施安全防护的工作部署。

加强安全保卫、保护和保障措施，在保卫方面，针对危害关键信息基础设施的违法犯罪活动，依法开展侦查打击，保卫关键信息基础设施安全；在保护方面，关键信息基础设施在满足网络安全等级保护基本要求、安全基线要求、合法合规要求的基础上，采取先进技术和重要保护措施加强保护；在保障方面，加强发改、财政、教育、科技及编制等部门，对关键信息基础设施安全保护从工程建设、经费、人才培养、机构编制、科研等方面建立保障体系。

面临的挑战

1.1 国际政治博弈使得网络空间动荡不安

国际战略、政治博弈导致网络空间动荡不安，关键信息基础设施成为重点攻击对象。2021年5月7日，黑客攻击了美国最大的成品油管道运营商Colonial Pipeline，迫使其一度关闭整个能源供应网络，极大影响了美国东海岸燃油等能源供应，美国政府宣布进入国家紧急状态。最终Colonial Pipeline支付了将近500万美元的赎金以恢复被攻击的系统。本次攻击成为美国能源系统有史以来遭遇的最严重网络袭击，也是全球范围内影响巨大的关键被入侵事件之一。关键信息基础设施是国家重要的战略资源，关系国家安全、国计民生和公共利益，具有基础性、支撑性、全局性作用，保护关键信息基础设施安全是国家网络安全工作的重中之重。

在当前复杂、动荡的全球国际关系下，大国间网络空间的复杂博弈已经发展到新的阶段，网络空间安全形势越发复杂，网络空间安全已经成为除经济、政治、价值观、军事以外的国家之间的第五种常规博弈领域。国际政治博弈使得网络空间动荡不安，网络攻击无论是从攻击对象、攻击类型还是攻击目的来看，都比以往更加全面、综合和多样化。动荡的国际关系使得归因政治因素的网络威胁必然影响到政府、能源、金融、医疗等等国计民生相关的各行各业关键信息基础设施，而这也成为保护关键信息基础设施所面临的巨大挑战。

1.2 高危漏洞层出不穷

高危漏洞是关键信息基础设施的重要突破口，高危漏洞一旦被利用，造成的后果十分严重。2017年5月12日，“永恒之蓝”肆虐全球，迅速感染全球百余个国家和地区，直接威胁各领域内网、隔离网络中的主机和数据安全，给全球网络空间安全带来严重威胁，尤其对关键信息基础设施。“永恒之蓝”是典型的利用漏洞入侵重要设施的网络安全事件，通过利用Windows操作系统的SMB协议漏洞来获取系统的最高权限，以此来控制被入侵的计算机。“永恒之蓝”对我国教育、能源等多个重要行业的关键信息基础设施造成了不同程度的影响，包括北京、上海、杭州、重庆、成都和南京等多地部分加油站业务系统受到影响。

从当前总体趋势来看，漏洞数量持续增长，漏洞影响面逐步扩大，超高危漏洞比率大幅增加，威胁形势十分严峻，对关键信息基础设施的带来巨大的威胁。此外，从众多已暴露的安全事件溯源情况来看，除了漏洞问题之外，日常运维管理过程中的配置不当问题、安全管理问题同样是严重的安全隐患。系统脆弱性问题，尤其是高危漏洞的问题，将继续严重影响关键信息基础设施的安全稳定运行，成为保护关键信息基础设施必须面对的安全挑战。

1.3 安全威胁多样化，难以防范

从全球范围来看，当前主流的攻击手段包括钓鱼、勒索软件、供应链攻击、漏洞利用、社会工程学等等，攻击方式多样化，使得关键信息基础设施保护越发难以应对。而与此同时，政治背景下有组织的APT攻击已成为争夺地球话语权的主流战争形态。

通常情况下，攻击者很难直接攻击政府部门、大型金融机构等拥有强大网络安全体系的机构，但供应链为其提供了一种间接攻击途径。SolarWinds公司被攻击是近年来最受关注的供应链攻击事件之一。攻击者将SolarWinds公司的商业软件更新程序木马化，以污染供应链的方式入侵了北美、欧洲等地区的政府、科技、电信等重要领域的组织和机构，最终实现了窃取信息的目的。当前全球范围内的供应链攻击已十分严重，但供应链攻击通常极难检测和抵御。

1.4 自主可控程度不足

关键信息基础设施的自主可控，重点落在可控。自主、国产化是实现可控的手段。要实现关键信息基础设施的可控，主要应该从两方面着手。一是应坚持自主研发之路，对于相关应用，特别是核心应用，一定要具备自主研发的能力，充分把握自身的应用和所使用的产品，从根本上避免“后门”等安全隐患。二是积极推进国产自主可控技术的研发与推广，信息系统需要构建在大量的、复杂的基础设施和基础软件之上，缺乏合适的软硬件平台，整体的自主可控便没有落脚之地。

从长远来看，中国自主可控国产化的路径既是历史的必然，把握科技革命和产业变革的难得机遇期，加快自主可控信息技术、产品的创新与应用，尤其是在高端芯片、传感器、通用处理器、关键基础软件等领域，解决我国核心技术受制于人的问题，确保产业链、供应链、创新链安全。此外，将国产软硬件全面应用于网络安全领域、共建国产自主新生态，以供应链安全为根基推进信创产业发展是唯一的、必然的选择，也是进一步夯实网络安全基础能力的关键。

安全防护思想

党中央、国务院高度重视关键信息基础设施安全保护工作。关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重。中国正处于关键信息基础设施保护的关键阶段，深入研究全球关键基础设施战略及管理体制，逐步形成基于“责任制” 的共同保护是现阶段关键信息基础设施安全保护任务的工作路径

建设关键信息基础设施系统安全协同防护的顶层设计方案，首先要有基于全局的、协同的整体理论构建，其次要建立指标和测评的体系方法补充生命周期节点，形成覆盖全生命周期的国家关键信息基础设施安全闭环，最后要建立实战化安全检验机制，通过实网攻防完成最佳实践的指导。最终完成从理论到框架到实践，从面到线到点，从顶层设计层面提炼关键信息基础设施系统安全协同防护对策，构建以防护能力为导向的关键信息基础设施系统安全协同防护体系，切实加强关键信息基础设施的系统安全防御能力和供应链安全保障能力

建立网络安全检查与申报制度。依据国家网信办等12部委联合发布《网络安全审查办法》，“运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查”。建立网络安全检查与申报制度，对采购的核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对网络安全有重要影响的网络产品和服务，依法申报网络安全审查；对网络安全设备和服务的资质认证进行评估。网络安全设备和服务采购过程中应当选择经过安全认证或安全检测的产品或服务，在采购流程中设置前置合规评估环节，以避免采购未进行安全认证、安全检测或安全审查的网络产品和服务。

思考与建议

出台针对关键信息基础设施的网络等级保护测评管理办法，明确测评部门及职责，实现与网络安全等级保护制度的有效衔接。编制国家监管部门、保护工作部门、运营单位之间的网络安全职责管理办法，明确关键信息基础设施的网络安全职责划分，强化网络安全应急处置、信息共享及协同工作机制，明确分清主次责任；编制关键信息基础设施网络安全监督检查规范，切实落实安全责任，明确安全监管范围和职责划分。编制关键信息基础设多保护工作部门间的协同安全监管管理办法，明确责任边界、信息共享和协同作战机制；编制安全监管、安全防护和网络产品服务采购的安全规范制度，加强实战化安全运营指南的编制；编制关键信息基础设施网络安全防护要求和安全防护能力提升计划；编制关键信息基础设施重要数据保护管理办法，编制关键信息基础设施网络安全监督检查要求、信息上报管理办法、安全隐患整改指南等。出台《关键信息基础设施网络安全防护要求及安全防护能力提升计划》、《关键信息基础设施重要数据保护管理办法》、《关键信息基础设施网络等级保护测评管理办法》、《网络安全职责管理办法》、《关键信息基础设施网络安全监督检查规范》、《关键信息基础设多保护工作部门协同监管管理办法》、《网络产品和服务安全审查办法》、《网络产品和服务安全审查实施细则》、《关键信息基础设施安全保护实施细则》、《网络产品和服务采购预判指南》、《行业主管单位协同联动管理办法》等规范。

加强关键信息基础设施安全标准规范研究，建立覆盖网络安全监管标准、安全防护标准、产品和服务采购标准、安全运营规范及部门间协同处置规范等，落实标准交叉引用机制的规范化；定期督查标准的执行和应用，规范网络安全标准要求落实到位；健全标准规范执行监督、考核机制，落实考核指标，定期开展安全标准执行评估工作，全面提升标准落地执行水平。

编制网络安全人才发展计划，制定专业人员的培训发展计划和考核制度，建立网络安全人员评价模型和评价指标体系，落实网络安全人员评价、考核、激励制度；编制关键信息基础设施岗位人员风险防控规范，编制关键岗位人员安全审查管理办法，编制关键信息基础设施网络安全关键岗位专业技术人员持证上岗制度。

本报告由杭州安恒信息技术股份有限公司牵头，深信服科技股份有限公司、北京天融信网络安全技术有限公司、绿盟科技集团股份有限公司、厦门市美亚柏科信息股份有限公司联合编制