“学两会•话安全”

在2021年全国两会上，代表委员就网络安全提出了许多建议和建议，包括数据安全、个人新闻保护、网络安全基础设施、网络安全人才培养、网络安全学科快速发展、网络安全学科建设等 工业和信息化部部长肖亚庆在接受媒体采访时表示，要平衡快速发展与安全的关系，一只手牢牢抓住快速发展，一只手坚定不移地保证安全。 这样，安全是当前数字经济快速发展的重要保障，是不可缺少的基础设施。 特别是政协委员、安天创始人肖新光和360集团创始人周鸿祎都提出了建设新基础设施安全基础设施，聚焦于新基础设施安全防范能力建设的建议。 其宏观视野和创新思路，引起了工业互联网安全领域的强烈共鸣和热烈讨论。 作为电力领域多年的工业互联网安全公司，安帝科技深感重要新闻基础设施互联网安全保障的严峻性、多样性和复杂性。 地域之间、领域之间、不同的公司之间、it与ot之间、经费资源投入上、知识储备上、人才队伍上、甚至文化建设上有很大的差异，但这种现实的死角、短板或失衡是攻击者的绝佳机会。 围绕关键新闻基础设施的网络安全保障，以整体国家安全观和大安全为指导，结合公司战术的快速发展方向，安帝科技相继组织了多次学习讨论，形成了初步共识。 将两会精神和关基防护研讨会的认知和思考总结为风险分析和防护思考两部分，整理如下。

一、重要新闻基础设施的互联网安全风险呈恶化之势

国家新闻安全快速发展研究中心《年工业新闻安全态势报告》指出，随着工业网络、智能制造的快速发展，海量工业设备互联互通，工业新闻安全呈现风险威胁扩散化、攻击手段智能化等优势，工业行业网络攻击、工业设备、西 攻击工业公司ot域的apt组织的数量也在增加。 总的来看，我国重要新闻基础设施面临的互联网安全风险呈恶化之势，安全保护能力水平形势紧迫。

一是工业行业的恐吓攻击构成最大威胁

。 年，国家工业新闻安全快速发展研究中心共追查274起公开发布的工业新闻安全事件，其中威胁软件攻击占33.6%，涉及20多个国家的多个重要领域。 在新型冠状病毒大爆发全球大流行的背景下，新型冠状病毒大爆发相关内容作为钓鱼的魅力饵料经常发生在医疗卫生、政府、教育、制造等领域的网络攻击中。 物联网设备、智能网络设备已成为攻击的重要目标。

二是工业新闻安全漏洞数量持续增加

； 年，国家工业新闻安全漏洞库( cicsvd )收集整理了工业新闻安全漏洞2138个，比上个月上涨22.2%。 其中，通用型脆弱性为2045个，案件型脆弱性为93个，涉及335家制造商。 在收录的通用型脆弱性中，超危险脆弱性为379个，高危脆弱性为899个，高危以上脆弱性占62.5%。

三是专用于ics/ot的apt组织数量增加

； 美国知名工业互联网安全企业dragos月25日发布的工业控制系统互联网安全年度总结报告显示，该企业全年仍有11个威胁行为组织积极与产业组织进行比较活动。 另外，该企业发现了4个新的威胁行为组织，其动机明确了以ics/ot为目标。

四是攻击组织ttps相继发布新事物

； 比较ics，包括影响产业过程的勒索软件、允许新闻收集和过程新闻被盗的入侵、专门针对ics的勒索软件(如Ekans(Snake ) )的出现，产业公司的互联网风险急剧增加并加速 另外，由于ot环境的明显缺乏可视性，供应链的风险越来越大。 攻击对方一般会慢慢建立入侵基础设施和行动，之后的行动往往会因以前的工作而更加成功，具有破坏性。 像solarwinds这样史上最先进、最多、最复杂的供应链攻击，对工业控制系统的威胁还不知道。

二、重要新闻基础设施互联网安全风险的首要优势

年7月，公安部发布了《贯彻互联网安全等级保护制度和重大新闻基础设施安全保护制度指导意见》，进一步确定了加强等级保护和重大新闻基础设施安全保护的基本、事业目标和具体措施。 在保护事业的具体推进过程中，重要的新闻基础设施领域，特别是能源、电力、交通、制造等行业，由于其特点面临着不小的挑战。 除了识别分级、主体责任、监管制度等体制结构性挑战外，ot方面的历史原因和新兴技术的应用、数字空之间的安全风险和实体空之间的安全风险相互交织，面临着重叠而复杂的挑战，

第一是库存风险和增量风险重叠

； 另一方面，在新基础设施背景下，5g、大数据、云计算、人工智能等大量新技术推动了远程医疗、智能城市、产业网络、物联网等行业的大量创新应用，新的安全挑战迫在眉睫 另一方面，在能源、电力、交通、制造等领域存在着许多古老的系统、设备，如果采用以前流传的ics系统专用协议，则计算资源有限，可靠性要求高，采用寿命长，从设计伊始就通信保护、数据加密 消除库存风险，防范增量风险，在重要的新闻基础设施保护中也同样明显。

二是以前流传的风险和互联网风险交织在一起

； 年比工业互联网的攻击占据了互联网安全信息的首位。 (() ) ) ) 0、能源、电力、制造等多家公司在恐吓攻击前相继沦陷，以色列水务攻击、港口攻击等产业安全问题再次凸显出网络攻击背后的地缘政治争夺。 佛罗里达州小镇oldsmar供水系统的网络攻击让美国监管机构和情报机构不寒而栗。 当前，新型冠状病毒大爆发严重影响着世界政治、经济、文化、社会等行业，工业互联网正在成为地缘政治之争的主战场，地缘政治竞争加剧，互联网安全形势日趋复杂，由来已久的地缘政治风险、社会风险

三是it风险和ot风险相互影响

； 由于it、ot、ct、云和第三方系统之间的连接性越来越好，攻击者提供了访问越来越重要的系统的方法。 防止这些新的漏洞很重要，而且充满挑战，因此检测、调查和补救互联网安全威胁和问题变得更加困难。 以前it互联网被突破形成据点，ot互联网沦陷的例子并不新鲜，将来ot互联网被突破it互联网沦陷的情况也大致发生。 特别是数字化、互联网化、智能化发展迅速，企业相继使用标准化的通用it技术、统一的产业协议、开放的应用接口，工业控制互联网的隔离边界被打破，ot安全新

三、加快提高重要新闻基础设施网络安全防护水平的思考

在不确定性和风险挑战激增的新常态下，关键新闻基础设施相关运营方、监管方、安全能力供给方如何走出危机？ 需要各方认真思考，有系统地规划。

1、加快制定《重要新闻基础设施安全保护条例》及相关标准

目前，我国在重要新闻基础设施网络安全保护标准方面落后于发达国家，《重要新闻基础设施边界明确办法》、《重要新闻基础设施安全保障指标体系》、《重要新闻基础设施安全防护能力评价办法》、《重要新闻基础设施安全防护能力评价办法》 有《重要新闻基础设施安全保护对策》、《重要新闻基础设施安全检查判断指南》等相关识别、保护、控制、判断标准的《重要新闻基础设施保护条例》，包括重要新闻基础设施的范围、运营者的安全保护。 在关基保护实践中，仅靠网络安全法和等级保护2.0不足以形成细粒度的落实和切实有力的线索。

2、夯实基础安全基础

目前，在离基互联网安全最重要的问题中，操作系统陈旧、明文密码横行、远程访问松散、互联网隔离不足、难以进行反av自动更新，这是、 这是internet安全幻灯片规模模型中基础架构安全的副本，也是反复强调需要持续安全监控以可视化资产、威胁和风险的原因。 在工业领域，资产可视化、配置可靠、漏洞管理、补丁可用，是工业互联网新闻系统可管理的基础，也是工业互联网可防御的坚实基础。 正如疫情防控所需的良好卫生习性一样，互联网运营也需要持续的网络卫生。

3、威胁信息能力

无论是战术层面、战略层面还是运营层面的威胁信息，都在互联网安全保护中起到指导、影响、制约决定的任用。 网络安全事件发生前的预警、事件中的协同响应、事后的取证跟踪，都依赖于网络威胁信息平台的支持。 要基于建设国家级、地区级、领域级、公司级网络威胁信息平台的能力，把握整体国家安全观的战术指导，把共享、高效利用威胁信息作为优先建设重点，以期在关键时刻有所帮助。 加强对敌、敌情的研究，利用nsa/css威胁框架、mitre的[email protected]威胁框架等较为成熟的互联网威胁建模方法，充分了解敌方的ttps，掌握相应的缓解措施，

4、加强供应

solarwinds供应链攻击事件再次敲响警钟，高能力的攻击组织拥有充足的资源、高超的能力、足够的耐心攻占目标。 这也不是单纯的技术问题或单纯的网络安全问题，而是系统性的国家安全问题。 ict供应链已与产品供应链和服务供应链，以及物流、新闻流和资金流一体化。 向关的所有方/运营方提供任何产品、服务的供应商，自然会成为供应链的重要一环，必然会成为威胁行为体的攻击目标，这是毋庸置疑的。 各类安全厂商在参与相关基础防御体系的构建过程中，会成为相关基础运营方供应链的重要环节，而不会成为供应链的弱点和攻击的入口。

五、完整的应急反应系统

互联网的安全应对能力能否有效应对新常态下的许多复杂局面？ 应急响应小组可能无法消除互联网安全问题带来的所有负面影响，但是否可以控制安全问题以免出现危机？ 危机带来的声誉、企业品牌、运营、客户与供应商的关系风险持续增加，相关法律和财务风险也很困难。 任何组织的互联网安全危机管理生命周期都强调万全规划、协调应对、有效恢复，但这仍然是多部门、多能力、多优势的关联公司的业务，更需要全球视野和全球管理。 例如，协同应对需要组织在治理、战术、技术、业务运营、风险和合规、纠正和改善方面充分协调、共同推进。 此次中国政府的新型冠状病毒疫情防控措施，也为应对网络安全危机提供了有益的借鉴和指导。

6、深入推进实战攻防演习

重要的新闻基础设施实战化、体系化、常态化的安全防护已经成为共识。 基于网络攻防不宣而战、平战不分的优势，在构建防御体系和安全运营的过程中必须多次进行对抗思考。 基础防御系统的比较有效性最终必须通过高能力攻击组织的能力来验证。 在这种攻击发生之前，能否感知到早期警戒，以及在发生之后能否承受，都需要通过实战的理念、做法、手段来事先验证。 为此，目前仍在继续巩固近年来实战化攻防演习的成果，真正验证防护能力，验证应急响应机制，深入推进实战实效的达成，敢于暴露真正的问题，处理真正深层次的问题，做到不一致，图表清晰乃至安全厂商的

7、培育网络安全文化

的要素，人性的弱点是互联网安全最大的挑战和不明确性。 网络攻防本质上是攻防两端人力的竞争。 大多数安全的事情都是人为因素造成的。 网络安全文化是人们对网络安全的认识、信仰、态度、规范和价值观以及这些知识在与新闻技术的相互作用中的表现方式。 网络安全文化是组织文化的重要组成部分。 相关领域是推进网络安全防御系统(技术、管理、控制)的过程，相关监管者、安全能力提供者、客户端是组织网络安全文化的参与者、推广者、建设者。 真正让网络安全意识，网络卫生习性心外化。

本文：《“学两会•话安全”》