從委內瑞拉再次斷電看關鍵信息基礎設施網絡安全
2020年5月,委內瑞拉國家電網干線遭到攻擊,造成全國大面積停電,這是時隔10個月后委內瑞拉再次遭受攻擊而斷電。該國電力系統成為最新一輪“網絡攻擊”的目標,一方面是本國水電等關鍵信息基礎設施系統老舊,另一方面,黑客也在不斷挖掘電力系統安全漏洞,開發出更適用于攻擊電力系統的惡意軟件。無獨有偶,4月,伊朗利用美國服務器對以色列的供水命令和控制系統展開破壞,以色列安全內閣確認這是一次非常不尋常的網絡攻擊,直指以色列的關鍵信息基礎設施供水系統,這場基礎設施網絡攻擊背后是國與國的軍事對壘。
這一系列網絡安全事件給我們敲響了警鐘,必須提升國家關鍵基礎設施的網絡攻防能力。關鍵信息基礎設施正面臨國家間有組織、高強度網絡攻擊的現實威脅,關鍵信息基礎設施的網絡安全脆弱性日益凸顯。
當前,關鍵信息基礎設施的網絡安全再次提上日程,再次受到世人所關注,以美歐為代表的全球發達國家紛紛出臺網絡安全防護舉措,將關鍵信息基礎設施的網絡安全作為國家網絡安全的重要組成部分,建立自己國家的網絡安全防護體系,提升網絡安全防護水平。
一、關鍵信息基礎設施的網絡安全形勢嚴峻
信息化發展到今天,人類已進入"萬物互聯"時代,無處不在的計算和設備,串聯起了現代人的物理空間和網絡空間,也帶來了前所未有的安全挑戰,關鍵信息基礎設施的網絡安全形勢日益嚴峻。物聯網、工業互聯網、車聯網以及產業互聯網帶來巨大機會的同時,所有網絡虛擬空間的攻擊都可以轉化成物理世界的傷害。
1、關鍵信息基礎設施網絡安全事件連年攀升
根據綠盟科技2019年發布的2019年安全事件響應觀察報告中可以看出關鍵信息基礎設施的安全事件成為網絡安全的核心戰場,與2018年相比,2019年的安全事件整體趨勢變化較大。從月度上事件數量分布來看,2018年呈現平緩增長趨勢,2019年上半年整體安全事件增長迅速,并在6月達到全年峰值。從2020年上半年來看,從委內瑞拉電網攻擊、美天然氣管道商遭攻擊、歐洲能源巨頭遭受勒索軟件攻擊等等事件,網絡攻擊事件頻發,主要涉及電力、水利、能源、交通等關鍵信息基礎設施領域,網絡安全事件層出不窮。
2、關鍵信息基礎設施成為網絡安全核心戰場
當前,國與國之間的網絡對抗,正越來越多地轉向電力、水利、電信等關鍵民用基礎設施與國家工控系統。關鍵基礎設施已經成為核心戰場,網絡攻擊不再只是為了竊取情報,更可以對交通、能源、金融等基礎設施發起攻擊,達到比傳統作戰更強的破壞效果。關鍵信息基礎設施是網絡安全中的重中之重,隨著對其大規模的網絡攻擊出現,物聯網的接入也為設備安全開辟了新的安全漏洞,同時新的設備的出現與老舊傳統的網絡設備互聯,也為黑客組織攻擊的主要目標之一。
3、圍繞關鍵信息基礎設施的網絡攻防是非戰時期的主要對抗形式之一
從伊朗的核設施被“震網”病毒攻破、烏克蘭電廠被大規模襲擊、到委內瑞拉停電事件等等,這一系列事件都表明,關鍵基礎設施的安全問題已經打破網絡與物理世界的壁壘,構成了嚴重的現實威脅。
當前,美俄兩個主要大國均已具備很強的針對關鍵信息基礎設施的網絡攻擊能力,并在持續增強其攻擊能力。而與傳統的物理攻擊方式相比,網絡攻擊對攻防雙方來說更加充滿“變數”。關鍵信息基礎設施可以通過互聯網直接或間接地訪問,開放互聯趨勢使得網絡攻擊平面得到了極大的拓展,所以,相應的安全防御邊界也需要進一步擴展。無論是從攻擊效果、攻擊成本,還是攻擊隱蔽性乃至攻擊可控性看,針對關鍵信息基礎設施的網絡攻擊將有可能逐步取代傳統的軍事戰爭,成為各國政府的優先選擇手段。
二、各國關鍵信息基礎設施網絡安全防護舉措
近幾年來,美歐等國較早意識到保護關鍵信息基礎設施網絡安全的重要性,采取頒布一系列法律法規,組建網絡安全管理職能機構、開展網絡安全演習等舉措,將保護關鍵信息基礎設施提升到戰略高度。
1、美國
截至目前,美國關鍵信息基礎設施的網絡安全防護經歷了四個階段(見圖一)。
圖一 美國不同時期關鍵信息基礎設施的網絡安全防護重點
法律法規方面,因時制宜,逐步實現領域相關法律法規的全面化和層次化。自2003年以來,美國陸續發布了《保護網絡空間的國家戰略》、《關鍵基礎設施標識、優先級和保護》、《關于提高關鍵基礎設施網絡安全的行政命令》等,明確了開展關鍵基礎設施網絡安全保障工作的部門分工、法律責任和重點領域。2016年2月,美國發布了《關于建立國家網絡安全促進委員會的決定》總統令,提出建立國家網絡安全促進委員會,增強企業及關鍵基礎設施的網絡安全防護和恢復能力。2018年5月,美國國土安全部發布網絡安全戰略,旨在更好履行網絡安全使命,保護關鍵基礎設施免于遭受網絡攻擊。2019年12月,美國參議院提出了一項新法案,將賦予國土安全局的網絡安全和基礎設施安全部門檢測、識別和接收關鍵基礎設施用戶信息的權利,以在遭遇網絡攻擊之前向其維護者發出警告,并提供漏洞信息與維護工具。2020年2月,美國總統特朗普簽署了題為“通過負責任地使用定位、導航與授時服務以增強國家彈性”的行政令。該行政令在“目的”部分強調了GPS系統對美國國家關鍵基礎設施安全運作的重要性。
組織機構建設方面,保護機構及其職能劃分明確,機構設置呈現體系化。建立了以國土安全部為主導、基礎設施特定領域機構具體負責和配合本領域關鍵信息基礎設施保護工作,形成了各部門之間職能分工明確、相互協調的關鍵信息基礎設施保護組織體系。
2002年美國依據《國土安全法》成立國土安全部,負責協調政府的關鍵基礎設施保護工作,同時在不同的關鍵基礎設施部門內還設置有對應的聯邦機構負責具體實施這一部門的關鍵基礎設施保護工作。美國國土安全部下設兩個辦公室,基礎設施保護辦公室、網絡安全和通信辦公室并分別設有中心,以加強部門間協調。2014年國土安全部在基礎設施保護辦公室原有職能的基礎上,單獨組建了網絡基礎設施分析辦公室,具體負責落實綜合分析和標識關鍵基礎設施的要求。2018年8月,美國國土安全部宣布建立國家風險管理中心,來促進跨部門的信息共享和協作響應,以應對重要基礎設施遭受的網絡威脅。美國國土安全部是政府主導的聯合防御新戰略的基礎,為了更好地共享及響應網絡威脅。國家風險管理中心組織16個關鍵基礎設施保護部門對國家重要數字資產進行登記,并開展風險識別行動,確定風險等級,掌握風險態勢。
網絡安全演習方面,加強國家級安全演習的統籌規劃。美國主要以能源、信息、制造業等關鍵信息基礎設施為核心展開攻防對抗。美國每兩年舉行一次“網絡風暴”演習,根據美國計算機應急響應小組的高持續性威脅活動警報顯示,美國能源、信息科技、交通、金融、制造業等關鍵信息基礎設施近年來不斷遭受針對性攻擊,因此演習將這些低安全性、高價值資產的關鍵信息基礎設施作為核心目標,通過攻防對戰提高網絡安全實戰能力,除了鞏固自身安全防線,也強化了對關鍵信息基礎設施的攻擊能力。美國于2018年舉辦了第六次“網絡風暴”演習,與先前的演習不同,第六次演習目標不僅是加強安全應急協同能力,還將重點放在應急響應能力的評估上。在面對瞬息萬變的安全態勢和復雜多樣的威脅攻擊時,安全信息的深度共享和分析利用對保障關鍵信息基礎設施至關重要。通過演習評估信息共享的效力和網絡事件響應計劃的能力,可改善應急處置方案的不足,切實強化安全實力。
2、歐盟
在法律法規方面,與時俱進并連續出臺多項政策加強關鍵信息基礎設施保護。歐盟于2007年和2013年先后發布了《歐洲關鍵基礎設施保護戰略》和《工業控制系統網絡安全白皮書》,指導歐盟各國加強針對關鍵基礎設施網絡安全的部門協作、能力建設和應急響應。2015年7月10日,德國議會通過《德國網絡安全法》,其重點是加強對關鍵信息基礎設施的保護力度,明確了“關鍵基礎設施”運營者的責任、擴大網絡監管權、確定網絡安全報告制度和增設電信運營商的義務。該法明確凡是涉及水資源、能源、通信、醫療、交通、金融、保險等與德國民眾日常生活緊密相關的行業或企業均屬于關鍵基礎設施的保護范圍。2016年8月,歐盟頒布的《網絡與信息安全指令》正式生效,要求歐盟成員國在2018年5月9日之前,將《指令》落實到國家法律中。這是歐盟出臺的第一個關于網絡與信息安全的指導性法規,主要針對“基礎服務運營商”和“數字服務供應商”,旨在加強地區關鍵基礎設施的保護。2018年5月,歐盟網絡與信息系統(NIS)指令正式生效,該指令側重于保障歐盟國家電力、交通以及醫療衛生等領域關鍵基礎設施的安全性,其力圖通過加強網絡防御能力以提升此類服務的安全性與彈性。2020年2月,奧地利、保加利亞、丹麥和羅馬尼亞四國于2月28日加入歐盟量子通信基礎設施計劃(QCI),將與其它歐盟成員國在未來10年共同研發和部署歐盟量子通信基礎設施。2020年2月,歐盟委員會公布了《塑造歐洲數字未來》的數字化戰略,并同時發表了歐盟數據戰略及人工智能白皮書,旨在通過加大數字化領域投資提升歐盟數字經濟競爭力。
組織機構建設方面,按照國家之間、國家與企業等不同的層面進行組織機構的設立。在歐盟層面,設立關鍵基礎設施聯絡小組,以推動歐洲關鍵基礎設施保護計劃總體方面和各部門具體行動的開展。2017年10月,歐盟與北約聯手建立的歐洲應對混合威脅卓越中心在赫爾辛基開始運行。該中心旨在監測和評估應對混合威脅的弱點,優化政策,提高應對混合威脅意識。在國家與企業層面,2007年2月,英國國家基礎設施保護中心(簡稱CPNI)正式成立,它是一家為英國企業和組織的基礎設施提供安全咨詢保護的英國政府部門,由前英國國家基礎設施安全協調中心和英國國家安全咨詢中心合并而來。其職責是減少英國基礎設施被恐怖主義破壞和其他威脅,保護英國基本服務安全(通信,應急服務,能源,金融,食品,政府,醫療,交通和水務)。
網絡安全演習方面,加強合作,提升應急協調能力。歐盟2014年的“網絡歐洲”安全演習參演單位共有300多家,包括來自29個國家的政府機構、網絡安全企業和關鍵信息基礎設施運營者等。各參演單位除了合作應對復雜的網絡攻擊、不斷優化應急處置和威脅情報共享流程以外,還加強了國際間應對突發事件的應急協同能力,提高了面對跨領域及跨境威脅事件時國與國之間交涉的運維與處置能力。2019年4月,北約舉辦了代號為“鎖盾”的網絡安全實戰演習,組織了來自法國、芬蘭等23個國家的網絡部隊和大型企業的1200名網絡安全專家參與,演習旨在強化各國在軍事領域和民用領域的網絡安全合作,提升網絡安全事件應對和應急協同能力。
三、關鍵信息基礎設施面臨的網絡安全威脅
由于現代社會對關鍵設施的依賴,關鍵信息基礎設施網絡攻擊所導致的連鎖反應將是災難性的。當今世界,一個國家可以繞過海陸空防御力量,從網絡空間癱瘓別國關鍵基礎設施,這種網絡戰形式給世界各國敲響了警鐘。當前,全球網絡攻擊事件將更加頻發,全球網絡對抗態勢將進一步升級,關鍵信息基礎設施的網絡安全保障體系仍不完善。
1、關鍵信息基礎設施的混合威脅與日俱增
縱觀以色列與伊朗的博弈之戰,從軍事到網絡再到軍事,我們發現,網絡戰早已與軍事實戰交相融合,在這場新型戰場上,不止物理空間與網絡空間被打破,軍事戰場與網絡戰場相互配合,實現完美打擊。更可怕的是,以電力、能源等為代表的關鍵基礎設施首當其沖,成為重點攻擊對象。一場場基于關鍵基礎設施的大規模網絡入侵正逐漸走入大眾視野,而攻擊威脅背后,是越來越多的國家入局。這種入侵,針對的目標是國家、金融、能源、交通等關鍵信息基礎設施,效果遠遠超過傳統戰爭,可能會造成災難性的后果。
同時,關鍵基礎設施對信息技術的依賴程度不斷加深,由于網絡的互聯性與交互性,各國關鍵基礎設施面臨的安全威脅與日俱增。網絡信息領域、政治經濟領域、特殊秘密行動等非對稱技術手段工具與現代關鍵基礎設施的脆弱性一起構成了新的威脅。
2、針對關鍵信息基礎設施的網絡攻擊手段與方式不斷演進
受大國背景下國際現實政治在網絡空間的投射影響,網絡空間對抗逐步呈現戰爭化趨勢,美國已宣布具備綜合性網絡戰能力。國家級重點行業、領域的信息系統及關鍵信息基礎設施已成為跨國網絡攻擊主要目標。
網絡攻擊手段、攻擊模式不斷升級。一方面,攻擊方式由通用攻擊轉向專門定向攻擊。攻擊方法越來越隱蔽,較難提前預警和快速響應。另一方面,攻擊模式由普通網絡犯罪向組織化攻擊的黑色產業鏈轉變。團隊作案活動頻繁,嚴重損害國家安全和經濟利益。
3、以惡意攻擊為代表的潛在威脅不斷涌現
近年來,美國不斷研發網絡新型武器,建立了數字武器庫,并將俄羅斯、中國、伊朗和朝鮮列為網絡重點偵察目標,部分數字武器直接針對重要機構或關鍵信息基礎設施。美軍方組建了133支網絡部隊,其中40支為進攻性網絡部隊,包括13支“國家任務部隊”及8支“國家支援部隊”,這些部隊除擔負保護美國重要基礎設施外,還協助海外部隊策劃并執行網絡攻擊等項任務。
從烏克蘭電力系統遭受攻擊到美國核電站遭受網絡攻擊,從委內瑞拉斷電到以色列水利基礎設施受到襲擊等等,不難看出,惡意攻擊已深度滲透至各個國家電信、金融、石油、交管等關鍵網絡基礎設施,導致經濟命脈部分信息實況被外方掌握,系統運行受到控制,甚至存在被境內外敵對勢力破壞的潛在威脅。
四、幾點建議
美國和歐盟較早意識到保護關鍵基礎設施安全的重要性,將保護關鍵基礎設施提升到戰略高度,逐步形成了一整套相對完善和較為成熟的關鍵基礎設施保障體系。我們要以新思路推進關鍵信息基礎設施保護工作,著眼網絡空間競爭博弈和萬物互聯的時代背景,加快推動理念創新和工作創新。
在國家層面,要組織實施網絡安全重大工程,加強對關鍵信息基礎設施監測預警和互聯網域名的安全保障,建立信息共享機制,推動技術產業發展,制定出臺相應標準,利用國家的力量和資源對關鍵信息基礎設施實施重點保護,構建網絡安全屏障;
在行業層面,充分發揮行業主管部門的監督作用,健全關鍵信息基礎設施的保障工作的體系,指導有關單位落實政策和法律法規要求;
在運營單位層面,要突出運營單位的主體責任,強化網絡安全防護措施,保障關鍵信息基礎設施穩定運行。
