王超

摘 要：近年來，電信、能源、裝備制造等重點行業(yè)正逐步成為網(wǎng)絡(luò)攻擊的“重災區(qū)”， 烏克蘭、以色列電網(wǎng)攻擊事件、WannaCry 攻擊事件等凸顯了關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全脆弱性。論文首先介紹了關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全形勢，分析了發(fā)達國家加強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障的戰(zhàn)略舉措，重點研究了我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障工作存在的不足，并據(jù)此提出了相應的措施建議。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊；關(guān)鍵信息基礎(chǔ)設(shè)施；網(wǎng)絡(luò)安全

中圖分類號：TP309 文獻標識碼：A

Abstract： In recent years， telecommunications， energy， equipment manufacturing and other critical industries are gradually becoming the "disaster area" of network attacks， Ukraines and Israels electric power system encounter network attack， WannaCry attacks and other incidents highlight the vulnerability of critical information infrastructure cyber security. This paper firstly introduces the cyber security situation faced by the critical information infrastructure， analyzes the strategic measures that the developed countries take to strengthen the cyber security of the critical infrastructure， and focuses on the shortcomings of the cyber security of the critical information infrastructure in China， and puts forward corresponding measures and suggestions accordingly.

Key words： network attack； critical information infrastructure； cyber security

1 引言

“互聯(lián)網(wǎng)+”時代，關(guān)鍵信息基礎(chǔ)設(shè)施互聯(lián)互通的發(fā)展趨勢愈發(fā)明顯，在實現(xiàn)數(shù)據(jù)高效交互、信息資源共享的同時，也給針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊提供了可能。2015年12月23日，烏克蘭電力系統(tǒng)遭受網(wǎng)絡(luò)攻擊，導致烏克蘭西部地區(qū)140余萬家庭停電數(shù)小時。2017年5月12日，全球爆發(fā)WannaCry 攻擊事件，超過30萬臺電腦受到攻擊，波及包括英國、俄羅斯、中國、美國等在內(nèi)的150個國家，影響能源、電力、交通、醫(yī)療、教育等多個重點行業(yè)領(lǐng)域。習近平總書記多次強調(diào)，“金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點攻擊的目標。”這些關(guān)鍵信息基礎(chǔ)設(shè)施事關(guān)經(jīng)濟發(fā)展、社會穩(wěn)定和人民生命財產(chǎn)安全，一旦受到攻擊，可能導致交通中斷、金融紊亂、電力癱瘓等問題，具有很大的破壞性和殺傷力。因此，有必要深入分析我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障工作存在的不足，借鑒歐美發(fā)達國家的經(jīng)驗提出針對性的措施建議，為有關(guān)部門決策提供參考。

2 關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全形勢日益嚴峻

2.1 互聯(lián)互通趨勢明顯，網(wǎng)絡(luò)攻擊路徑不斷增多

當前，互聯(lián)網(wǎng)快速滲透到能源、交通、石化、裝備制造等領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施，原有相對封閉的系統(tǒng)運行環(huán)境逐漸被打破，IT技術(shù)和OT技術(shù)加速融合，實現(xiàn)了工業(yè)控制系統(tǒng)、資源管理系統(tǒng)、智能控制設(shè)備等關(guān)鍵信息基礎(chǔ)設(shè)施各層次、各環(huán)節(jié)系統(tǒng)和設(shè)備的互聯(lián)互通，不可避免地加劇了關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全風險。

一方面，管理網(wǎng)和生產(chǎn)控制網(wǎng)的雙向信息交互，使得生產(chǎn)控制權(quán)限不斷上移，工業(yè)控制系統(tǒng)、企業(yè)內(nèi)網(wǎng)和互聯(lián)網(wǎng)等都成為關(guān)鍵信息基礎(chǔ)設(shè)施的潛在攻擊發(fā)起點，大大增加了攻擊點、攻擊面和信任網(wǎng)絡(luò)邊界。

另一方面，互聯(lián)互通也為病毒、木馬等傳統(tǒng)網(wǎng)絡(luò)安全威脅向關(guān)鍵信息基礎(chǔ)設(shè)施加速滲透創(chuàng)造了條件，攻擊者甚至能夠利用現(xiàn)有IT技術(shù)產(chǎn)品的漏洞實現(xiàn)入侵攻擊。

2.2 組織化網(wǎng)絡(luò)攻擊日益猖獗，關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件連年攀升

近年來，以政治利益為導向、具有國家背景的黑客組織攻擊行為日益猖獗，攻擊目標也逐步轉(zhuǎn)向特定國家的關(guān)鍵信息基礎(chǔ)設(shè)施。據(jù)專家分析，美國和以色列情報部門是震網(wǎng)、Duqu等一系列針對關(guān)鍵信息基礎(chǔ)設(shè)施木馬病毒的幕后黑手，俄羅斯支持的黑客組織也被認為是蜻蜓病毒和烏克蘭電網(wǎng)受攻擊事件的始作俑者。據(jù)美國工業(yè)控制系統(tǒng)應急響應小組的統(tǒng)計數(shù)據(jù)顯示，工控安全漏洞數(shù)量逐年上升，2016年的漏洞數(shù)量為492個，接近2011年漏洞數(shù)量的3倍。2015年至少發(fā)生295起涉及關(guān)鍵信息基礎(chǔ)設(shè)施的安全事件，較2010年增長6倍以上，急劇增多的網(wǎng)絡(luò)攻擊，嚴重威脅關(guān)鍵信息基礎(chǔ)設(shè)施正常運轉(zhuǎn)。

2.3 關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)系國計民生，網(wǎng)絡(luò)攻擊后果影響巨大

電信、能源、裝備制造等關(guān)鍵信息基礎(chǔ)設(shè)施，事關(guān)經(jīng)濟發(fā)展、社會穩(wěn)定、人民生命財產(chǎn)安全乃至國家安全，一旦遭到網(wǎng)絡(luò)攻擊，可能造成重大人員傷亡、環(huán)境污染、停業(yè)停產(chǎn)等嚴重后果，具有很大的破壞性和殺傷力。

2010年，“震網(wǎng)”病毒導致伊朗上千臺離心機報廢；2012年，“火焰”病毒造成伊朗石油部、國家石油公司內(nèi)網(wǎng)及其關(guān)聯(lián)官方網(wǎng)站無法運行及部分用戶數(shù)據(jù)泄露；2015年底的烏克蘭電網(wǎng)攻擊事件導致烏克蘭西部地區(qū)140余萬家庭停電數(shù)小時；2016年1月，以色列電力局遭到重大網(wǎng)絡(luò)攻擊，導致電力系統(tǒng)部分計算機系統(tǒng)癱瘓。

2017年5月，全球爆發(fā)大規(guī)模勒索軟件 WannaCry 攻擊事件，超過30萬臺電腦受到攻擊，波及包括英國、俄羅斯、中國、美國等在內(nèi)的 150 個國家，涉及能源、電力、交通、醫(yī)療、教育等多個重點行業(yè)領(lǐng)域。2018年2月，韓國平昌冬季奧運會開幕式當天遭遇黑客攻擊，此次攻擊造成網(wǎng)絡(luò)中斷，廣播系統(tǒng)和奧運會官網(wǎng)均無法正常運作，許多觀眾無法打印開幕式門票，最終未能正常入場。以關(guān)鍵信息基礎(chǔ)設(shè)施為目標的網(wǎng)絡(luò)攻擊危害性、破壞性已經(jīng)顯現(xiàn)并日益加深。

3 發(fā)達國家對關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的重視程度不斷提升

3.1 完善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全相關(guān)戰(zhàn)略法規(guī)

歐美等發(fā)達國家將關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全作為國家網(wǎng)絡(luò)安全的重要組成部分，先后制定一系列相關(guān)的戰(zhàn)略、法律和政策。自2003年以來，美國陸續(xù)發(fā)布了《保護網(wǎng)絡(luò)空間的國家戰(zhàn)略》《關(guān)鍵基礎(chǔ)設(shè)施標識、優(yōu)先級和保護》《關(guān)于提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的行政命令》等，明確了開展關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障工作的部門分工、法律責任和重點領(lǐng)域。2016年2月，美國發(fā)布了《關(guān)于建立國家網(wǎng)絡(luò)安全促進委員會的決定》總統(tǒng)令，提出建立國家網(wǎng)絡(luò)安全促進委員會，增強企業(yè)及關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護和恢復能力。2018年5月，美國國土安全部發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略，旨在更好履行網(wǎng)絡(luò)安全使命，保護關(guān)鍵基礎(chǔ)設(shè)施免于遭受網(wǎng)絡(luò)攻擊。

歐盟于2007年和2013年先后發(fā)布了《歐洲關(guān)鍵基礎(chǔ)設(shè)施保護戰(zhàn)略》和《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全白皮書》，指導歐盟各國加強針對關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的部門協(xié)作、能力建設(shè)和應急響應。2016年11月，英國發(fā)布《國家網(wǎng)絡(luò)安全戰(zhàn)略》，提出投入約19億英鎊，提升網(wǎng)絡(luò)防御技術(shù)水平，加強網(wǎng)絡(luò)空間建設(shè)，并將加強關(guān)鍵國家基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全作為戰(zhàn)略重要內(nèi)容。2018年5月，歐盟網(wǎng)絡(luò)與信息系統(tǒng)（NIS）指令正式生效，該指令側(cè)重于保障歐盟國家電力、交通以及醫(yī)療衛(wèi)生等領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施的安全性，其力圖通過加強網(wǎng)絡(luò)防御能力以提升此類服務的安全性與彈性。

3.2 加強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障機構(gòu)建設(shè)

歐美等發(fā)達國家在保障關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全方面設(shè)立了綜合性保障機構(gòu)。2009年，在“控制系統(tǒng)安全計劃”的統(tǒng)一部署下，美國關(guān)鍵基礎(chǔ)設(shè)施、工控系統(tǒng)信息安全責任部門國土安全部成立了國家網(wǎng)絡(luò)安全與通信綜合中心，并于同年11月正式成立了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應急響應小組，旨在通過工控安全檢查評估、事件響應、漏洞通報、風險消減等工作來保障美國關(guān)鍵基礎(chǔ)設(shè)施安全，逐步形成了較為完備的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障工作機制。

2011年，日本經(jīng)濟產(chǎn)業(yè)省成立了工控安全專門工作組，在信息技術(shù)促進局和日本計算機應急處理協(xié)調(diào)中心的領(lǐng)導下，承擔進口工控系統(tǒng)產(chǎn)品評估、產(chǎn)品認證、技術(shù)能力建設(shè)等工作，強化日本關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障能力。

2017年2月，英國成立國家網(wǎng)絡(luò)安全中心，旨在降低英國的網(wǎng)絡(luò)安全風險，有效應對網(wǎng)絡(luò)事件并減少損失，了解網(wǎng)絡(luò)安全環(huán)境、共享信息并解決系統(tǒng)漏洞，增強英國網(wǎng)絡(luò)安全能力，并在重要國家網(wǎng)絡(luò)安全問題上提供指導。

3.3 強化關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全技術(shù)保障能力

歐美等發(fā)達國家通過組建多個國家級網(wǎng)絡(luò)安全研究機構(gòu)，推動提升風險發(fā)現(xiàn)、分析、防范等關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全技術(shù)保障能力。美國依托其能源部下屬愛達荷、橡樹嶺等國家實驗室建設(shè)了多個工控系統(tǒng)測試床，實施了關(guān)鍵信息基礎(chǔ)設(shè)施測試靶場專項計劃，開展了漏洞挖掘、安全防護、系統(tǒng)安全測評等一系列研究工作，有力支撐了美國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全信息共享、應急響應、風險評估等保障工作。

歐洲建立網(wǎng)絡(luò)安全中心，提供針對真實工控系統(tǒng)進行安全攻防、態(tài)勢感知、安全評估等工作。例如，英國國家網(wǎng)絡(luò)安全中心通過實施系統(tǒng)漏洞掃描、DNS過濾服務等重點項目，增強電子郵件的安全性、完善軟件生態(tài)系統(tǒng)、降低網(wǎng)絡(luò)安全風險，加強國家關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全保障能力。

加拿大核實驗室（CNL）設(shè)立國家網(wǎng)絡(luò)安全創(chuàng)新中心，顯著擴大 CNL 的網(wǎng)絡(luò)安全研究能力，重點關(guān)注關(guān)鍵基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)安全漏洞，推動提升工控系統(tǒng)完整性和安全性。

日本組建控制系統(tǒng)安全中心（CSSC）建設(shè)了石油化工、智能制造等9個工控安全模擬仿真平臺，并針對關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻防技術(shù)開展深入研究。

3.4 健全關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全標準體系

歐美發(fā)達國家不斷加強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全標準體系建設(shè)，為落實國家網(wǎng)絡(luò)安全政策、提升企業(yè)安全防護水平提供基礎(chǔ)和依據(jù)。圍繞落實關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全政策，美國制定了工控安全標準參考框架，引導企業(yè)建立安全防護策略和實施規(guī)范。圍繞推動企業(yè)加強工控安全管理、強化產(chǎn)品安全等，美國NIST發(fā)布了《工業(yè)控制系統(tǒng)信息安全指南》（SP800-82）和《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》等，引導企業(yè)做好網(wǎng)絡(luò)安全風險評估，加強供應鏈中的網(wǎng)絡(luò)安全管理，完善漏洞披露流程等，為企業(yè)加強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全提供參考。德、英等國也制定了工控安全管理、評估等一系列標準，以保障關(guān)鍵基礎(chǔ)設(shè)施安全。

3.5 開展關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應急演練

歐美等發(fā)達國家和地區(qū)舉辦了多次網(wǎng)絡(luò)安全應急演練，旨在提升關(guān)鍵基礎(chǔ)設(shè)施遭遇網(wǎng)絡(luò)攻擊后的應急響應能力。自2006年至2018年，美國共舉行了6次“網(wǎng)絡(luò)風暴”演習，重點強調(diào)關(guān)鍵基礎(chǔ)設(shè)施的抵抗能力、重視復合事件中公共和私營部門的協(xié)作以及加強與北約盟國及伙伴國的合作。自2012年起，美國每年舉辦“網(wǎng)盾演習”，以運輸行業(yè)等關(guān)鍵基礎(chǔ)設(shè)施遭遇網(wǎng)絡(luò)攻擊為場景，訓練美國陸軍國民警衛(wèi)隊、空軍國民警衛(wèi)隊和陸軍預備役部隊的網(wǎng)絡(luò)戰(zhàn)士以及美國執(zhí)法、情報和信息技術(shù)機構(gòu)文職人員的網(wǎng)絡(luò)應急響應能力。美國政府還組織開展“網(wǎng)絡(luò)衛(wèi)士”系列演習，以提高軍隊和聯(lián)邦機構(gòu)在戰(zhàn)役和戰(zhàn)術(shù)層面的配合能力，更好保護美國國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施，預防、減輕這些基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)攻擊并迅速從攻擊中恢復。

自2010年開始，歐洲每隔兩年舉行一次“網(wǎng)絡(luò)歐洲”系列演習，模擬互聯(lián)網(wǎng)基礎(chǔ)設(shè)施等關(guān)鍵基礎(chǔ)設(shè)施遭入侵、全國斷網(wǎng)等一系列網(wǎng)絡(luò)攻擊場景，以此演練歐洲國家網(wǎng)絡(luò)防御和應對黑客攻擊的能力。

4 我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障體系亟待完善

4.1 頂層設(shè)計尚需完善

盡管我國出臺了《網(wǎng)絡(luò)安全法》，對關(guān)鍵信息基礎(chǔ)設(shè)施保護制度進行了規(guī)范，初步界定了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍和網(wǎng)絡(luò)運營者的責任義務。但是，作為《網(wǎng)絡(luò)安全法》重要配套法規(guī)之一的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》尚未出臺，國家關(guān)鍵信息基礎(chǔ)設(shè)施定義及清單尚不明確，關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護指南等指導性文件缺失，關(guān)鍵信息基礎(chǔ)設(shè)施安全保障的配套標準嚴重不足，運營單位開展安全防護缺乏依據(jù)和規(guī)范，難以有效應對關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全挑戰(zhàn)。

4.2 監(jiān)管機制亟待健全

一是我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)管依據(jù)不足，缺少開展網(wǎng)絡(luò)安全檢查和網(wǎng)絡(luò)安全信息報送通告的標準規(guī)范。

二是我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查評估長效機制尚未建立，缺少對關(guān)鍵信息基礎(chǔ)設(shè)施及其控制系統(tǒng)的定期檢查和有效整改，大量關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全隱患長期存在。

三是我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風險信息共享機制尚不健全，石化、裝備制造等重點行業(yè)的信息報送通告渠道還未建立，導致漏洞、預警等安全風險信息難以及時報送，風險消減信息難以及時共享。

4.3 安全保障能力不足

一方面，我國安全技術(shù)能力嚴重落后。網(wǎng)絡(luò)安全威脅監(jiān)測、漏洞分析、芯片級硬件安全分析、源代碼安全檢測、協(xié)議分析等技術(shù)能力嚴重不足，難以及時發(fā)現(xiàn)針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊，應急處置、協(xié)同聯(lián)動能力也較為欠缺。據(jù)《從應對“心臟出血”漏洞看各國攻防能力》報告顯示，我國在漏洞修復和危機應急反應能力方面，全球排名僅102位。

另一方面，我國網(wǎng)絡(luò)安全攻防演練機制尚不完善，攻防演練以規(guī)則流程的紙面演練為主，沒有接近實戰(zhàn)的對抗演練，也缺乏跨企業(yè)、跨行業(yè)的國家級演練。

4.4 運營單位安全管理缺位

一方面，運營單位網(wǎng)絡(luò)安全管理制度尚不完善，缺乏針對關(guān)鍵信息基礎(chǔ)設(shè)施供應商的管控標準，生產(chǎn)制造、物流交付、售后服務等管理制度難以有效落實。

另一方面，運營單位網(wǎng)絡(luò)安全防護意識淡薄。大量傳統(tǒng)工業(yè)企業(yè)對網(wǎng)絡(luò)安全的理解和認識相對落后，第三方運維缺乏安全監(jiān)管、內(nèi)部移動介質(zhì)無序使用、信息通信的第三方不安全接入等情況普遍存在。運營單位管理人員存在僥幸心理，對網(wǎng)絡(luò)安全風險、事件的瞞報、漏報情況也時有發(fā)生。

5 加強我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障勢在必行

5.1 加強關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全頂層設(shè)計

一方面，盡快制定發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》，對國家關(guān)鍵信息基礎(chǔ)設(shè)施清單及其安全防護的措施、目標和機制等予以明確。

另一方面，進一步完善《網(wǎng)絡(luò)產(chǎn)品和服務安全審查辦法》，以云服務網(wǎng)絡(luò)安全審查試點為突破口，推動能源、裝備制造等重要行業(yè)網(wǎng)絡(luò)安全審查制度的出臺和落實，對我國關(guān)鍵信息基礎(chǔ)設(shè)施使用的產(chǎn)品和服務的安全性、可控性及產(chǎn)品供應商實施網(wǎng)絡(luò)安全審查，形成長效機制。同時，應積極推動行業(yè)網(wǎng)絡(luò)安全審查制度配套標準的研制和發(fā)布，為監(jiān)管部門和企業(yè)提供依據(jù)和規(guī)范。

5.2 建立健全關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)管機制

一是健全關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查評估機制。根據(jù)中央網(wǎng)信辦關(guān)于網(wǎng)絡(luò)安全檢查的統(tǒng)一部署，面向有色、鋼鐵、裝備制造等重點行業(yè)開展網(wǎng)絡(luò)安全檢查和風險評估，指導并監(jiān)督地方開展安全自查，組織專業(yè)隊伍對重點系統(tǒng)開展安全抽查，分析研判重大風險隱患，督促落實整改，逐步健全自查與重點抽查相結(jié)合、以查促改的網(wǎng)絡(luò)安全檢查評估機制。

二是建立關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風險信息共享機制，以網(wǎng)絡(luò)安全風險“可發(fā)現(xiàn)”“能共享”為切入點，重點支持行業(yè)主管部門建設(shè)國家級的工業(yè)信息安全信息報送平臺、在線安全監(jiān)測平臺，構(gòu)建工業(yè)信息安全風險漏洞庫和預警信息庫，加快形成集安全漏洞采集、風險隱患驗證、風險預警發(fā)布、安全信息通報為一體的網(wǎng)絡(luò)安全風險信息共享機制。

5.3 提高關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障能力

一方面，要結(jié)合重點行業(yè)的典型關(guān)鍵信息基礎(chǔ)設(shè)施控制系統(tǒng)的體系架構(gòu)特征，建設(shè)關(guān)鍵共性技術(shù)仿真測試平臺，有針對性地開展網(wǎng)絡(luò)態(tài)勢感知、漏洞挖掘、芯片級硬件安全分析、協(xié)議分析、源代碼安全檢測等核心技術(shù)研發(fā)工作，重點攻克針對工業(yè)控制系統(tǒng)的滲透測試、漏洞掃描等關(guān)鍵技術(shù)，為工業(yè)等重要行業(yè)的網(wǎng)絡(luò)安全審查和檢查提供支撐。

另一方面，要建立常態(tài)化的網(wǎng)絡(luò)安全攻防演練機制，完善攻防演練基本預案，通過實戰(zhàn)演練進一步提升關(guān)鍵信息基礎(chǔ)設(shè)施應對網(wǎng)絡(luò)攻擊的威脅監(jiān)測、預警防護、應急處置、協(xié)同聯(lián)動能力。

5.4 推動提升關(guān)鍵信息基礎(chǔ)設(shè)施運營單位網(wǎng)絡(luò)安全管理水平

一是組織制定網(wǎng)絡(luò)安全防護指南，為運營單位增強關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護能力提供指導和規(guī)范。

二是督促運營單位設(shè)立供應鏈管控標準。制定生產(chǎn)制造、物流交付、售后服務等管理制度，加強對供應鏈網(wǎng)絡(luò)的安全管控，防止篡改、偽造產(chǎn)品相關(guān)數(shù)據(jù)。

三是加強運營單位內(nèi)部管理，制定并嚴格落實工業(yè)設(shè)備特別是移動、存儲設(shè)備的安全使用要求，規(guī)范員工操作流程，及時修補主機系統(tǒng)的安全漏洞。

四是依托有關(guān)支撐單位面向關(guān)鍵信息基礎(chǔ)設(shè)施運營單位開展網(wǎng)絡(luò)安全教育培訓，逐步提升單位員工的網(wǎng)絡(luò)安全意識。

6 結(jié)束語

本文首先介紹了關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全形勢，分析了發(fā)達國家加強關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障的戰(zhàn)略舉措，重點研究了我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障工作存在的不足，最后提出了加強關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障工作的措施建議。

參考文獻

[1] NIST Manufacturing Engineering （2008）.NIST Programs of the Manufacturing Engineering Laboratory，March 2008.

[2] Galloway B， Hancke G P. Introduction to Industrial Control Networks[J]. IEEE Communications Surveys & Tutorials， 2013， 15（2）：860-880.

[3] 王孝良，崔保紅，李思其.關(guān)于工控系統(tǒng)信息安全的思考與建議[J].信息網(wǎng)絡(luò)安全， 2012（8）：36-37.

[4] 趙艷玲.淺談美國《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》[J].信息安全與通信保密， 2015（5）：16-21.

[5] 張彥超，豐詩朵，趙爽，等.關(guān)鍵信息基礎(chǔ)設(shè)施安全保護研究[J].現(xiàn)代電信科技， 2015（5）：7-10.

[6] 蘇曉娟，鐘建強，毛鈞慶.美國加強關(guān)鍵基礎(chǔ)設(shè)施保障的主要舉措探析[J].信息安全與通信保密， 2014（5）：63-69.

[7] 馮燕春.加快構(gòu)建國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系[J].中國信息安全， 2016（11）：40-46.

[8] 閆曉麗.關(guān)鍵信息基礎(chǔ)設(shè)施安全保護應把握幾個要點[J].中國信息安全， 2017（8）：39-40.

[9] 吳沈括.關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的中國方案[J].中國信息安全， 2017（7）.

[10] 丁道勤.國外關(guān)鍵信息基礎(chǔ)設(shè)施安全法律保護研究[J].社會治理法治前沿年刊， 2016.

[11] 左曉棟.國外關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)管概述[J].中國信息安全， 2016（11）：52-53.

[12] 劉權(quán).發(fā)達國家加強工控安全保障的戰(zhàn)略舉措及對我國的啟示[EB/OL]. http：//tcca.crypto.cn/thread.aspx？ID=2902. 2016-12-22.

[13] 2018年能源行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢報告[EB/OL]. https：//www.ics-cert.org.cn/portal/page/121/3862170dea824bcebeb515a7154ecd13.html. 2018-06-25.