2023关键信息基础设施数字风险防护报告

前言FOREWORD 关键信息基础设施（以下简称“关基”或“关基设施”）是网络安全治理的重点，是关乎国家安全的命门所在。习近平总书记在各大重要会议上多次强调，要加快构建关基设施安全保障体系，逐渐完善关键信息基础设施保护等法律法规。2022 年，天际友盟凭借在数字风险防护领域的丰富积累，整理并发布了国内首份关基领域《数字风险防护报告》。该报告对 2021 年度的中国关基数字风险态势进行了系统性梳理，提供了数字风险管理的方法思路以及制定决策所需要的态势数据。为了进一步帮助关基主体提高数字风险的保护意识，有效抵御外部攻击和威胁，天际友盟在 2023 年初，结合国际背景对 2022 全年数字风险进行整理，发布了《关键信息基础设施数字风险防护报告（2023）》，希望对相关企业及组织有借鉴意义。 数字风险总量 NO.1：侵权欺诈 侵权欺诈风险以 97.41% 的占比在各场景风险总量中“蝉联桂冠”。一定时期内，侵权欺诈仍将是不法分子作案的主要类型。 数字资产风险总量 NO.1：网站 现阶段人们的上网方式大多数还是依赖于网站，因此传统的网站类风险依旧是不法分子所青睐的攻击途径。 数字风险行业 NO.1：互联网 数字化改革深入各行各业，大量企业将传统线下服务搬运到线上，但同时，由于线上系统不完善、人为操作不当、内部员工泄露等诸多原因，导致互联网企业所面临的数字风险成倍增长。 数字风险网络服务商 NO.1Microsoft 数字风险域名服务商 NO.1GoDaddy 数字风险国家和地区 NO.1美国 37.70% 数字风险社交媒体平台 NO.1微博 29.30% 数字风险应用商店 NO.1历趣 2.91% 数据泄露平台 NO.1百度文库 29.30% 代码泄露平台 NO.1Github 86.42% 数字风险的重点发展趋势 政府部门成为网络攻击主要目标之一：越来越多的犯罪分子利用群众对政府部门的信任，传播钓鱼网站及 APP，骗取钱财；国际局势的不稳定也将政府部门变成网络攻击的众矢之的。 第三方网络风险加剧：攻击供应链上游环节成为黑客绕过关基企业传统网络安全防护实施入侵的方式之一。即使关基企业及组织自身安全防护固若金汤，但由于上游企业遭受攻击导致中下游企业及组织承担连带损失的现象已经成数字风险新趋势。 制造业面临风险挑战：制造业面临的网络风险逐年增加。攻击者深知制造业拥有海量数据，且与国民经济关系紧密，商业价值巨大，因此将制造业主体作为主要攻击目标之一。 金融网络安全风险持续增长：由于数字技术与金融行业融合加速，线上业务领域持续扩大，直接导致金融网络安全风险敞口加大，防护难度进一步提升。 威胁情报逐步拓宽市场：全球网络空间冲突不绝，国家级网络攻击频次不断增加，攻击复杂性持续上升，进一步加深了组织对威胁情报的需求。根据对国际市场的趋势分析和对国内市场的研究，斯元商业咨询预计 2023 年中国威胁情报订阅服务支出为 37 亿元，比 2022 年增长 23.5%。 目录TABLE OF CONTENT P112022 年关基设施数字风险统计第二章 P39数字风险管理建议第五章 01POINT 关基数字风险的社会背景 “没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。”2018 年 4 月，习近平同志此番讲话明确了数字时代背景下网络安全是我国国防系体系的战略基石。作为网络安全中重要的一环，保护关基设施对促进经济增长和维护社会稳定意义非凡。 近几年，实体经济与数字技术的加速融合使越来越多的关基行业攀上智能高峰，带动国民经济稳步提升，但其所面临的数字风险安全态势却日益严峻。国家之间的网络博弈，黑客组织的虎视眈眈，刺激着风险事件的规模和影响持续扩大，对社会稳定运行和民众生产生活产生了深远影响。卡巴斯基统计了该公司反网络钓鱼系统在 2022 年拦截的 507,851,735 次试图访问欺诈内容的行为。数据表示受钓鱼攻击最猛烈的是快递服务用户，占所有攻击数量的 27.38%，其次分别是在线商店（15.56%）、支付系统（10.39%）和银行（10.39%） 1.1 关基数字风险来源 国家对抗 2022 年，乌俄战争的爆发不仅严重影响了全球经济的发展，同时也向世界证明了关基础设施网络安全防护工作的重要性。在战争过程中，双方均遭受了延绵不断的网络袭击，尤其是乌方自 2 月 24 日起关基设施不断经历规模化 DDos 等攻击手段，导致掉线比率超过 50%，3 月 7 日更恶化至 66%。此外，据某测绘平台发布的乌克兰掉线关基设施的行业分布数据显示，金融、政府、能源及电信等关基领域设施作为主要攻击目标，均出现经常性中断服务的局面，不仅对乌方造成难以估量的经济损失，同时在战时也产生极其消极的社会影响。 关基行业是经济社会运行的神经中枢，发挥着基础性、全局性、支撑性作用，因此保护好关基设施是各国网络安全的重中之重。在战争中，一旦关基设施受到重创，整个社会运营将陷入瘫痪。 政治黑客 “高手来源于民间”。当今社会，大量黑客组织拥有明确的政治倾向，即使并非雇佣于特定政府，但出于维护其利益的目的，自发性地发起针对对立国的网络攻击。2021 年 5 月 7 日，亲俄黑客组织“darkside”以美国殖民管道公司（Colonial Pipeline）为目标，发起了美国有史以来针对石油基础设施的最大规模网络袭击。攻击者窃取了该公司 100G 的内部数据，并要求了勒索赎金。此次攻击造成了输送管道关闭多日，以至夏洛特道格拉斯国际机场燃油短缺，且多架航班不得不更改航行路线和航行时间。此外，美国多地接连出现了汽油短缺的现象，造成了民众恐慌，疯抢抢购的局面，同时也刺激了油价一度飙升至每加仑 3 美元。 2023 年 2 月 25 日，乌俄战争爆发一周年，亲乌黑客组织 CH01 在社交媒体上发布消息称成功入侵了至少 32个俄罗斯网站，以作为对俄宣战的表示，以及坚决维护乌克兰的决心。入侵成功后，一条“燃烧”着的克里姆林宫视频被上传至沦陷网站，造成国家和政府形象严重受损。 商业攻击 排除政治因素，关基企业或机构在日常运营中面临的数字风险主要出于商业目的。大量不法分子深刻意识到关基设施行业主体在社会运营中起到的重要作用，一旦停摆，对国家和民众影响巨大，因此当关基企业身陷困境时，为了尽快恢复正常运行，存在向“恶势力”暂时妥协的现象。通常，犯罪者以入侵的方式，悄悄潜入目标组织，发送以假乱真的钓鱼邮件骗取员工私密信息和钱财；攻克内部系统窃取重要数据、文件进行勒索及对外售卖。但随着网络的普及，全球网民数量呈指数级增长，越来越多的不法分子将攻击目标由企业转向普通网民，向网民散播仿冒的欺诈网站、移动 APP 等。此等转变不仅绕开了组织部署的网络安全防护措施，降低了黑客技术门槛，还扩大了受害群体，损害消费者利益，使品牌方维护的正面形象在短时间内付之一炬。因此即使企业自身的安全系统固若金汤，但在面临外部的数字风险时，依然力不从心。 1.2 关基保护历程回顾 近几年，关键信息基础设施保护在全球范围内引起了众多国家政府和安全业务人士的足够重视，一系列法律法规条例等规范性文件和厂商的解决方案相继问世。但其实关基保护从概念雏形到国家标准的出台经历了几十余年漫长的演进，且不同国家根据自身环境的差异，对其的定义、保护措施、保护标准不尽相同。 美国 自互联网面世，美国在全球范围内一直出于领先地位，微软、亚马逊、脸书等科技巨头始终是其他国家创业者的学习典范。1996 年克林顿总统签署第 13010 号行政令《关键基础设施保护》，从此美国正式踏上了关基设施保护的征程。27 年以来，从树立目标、制定规划、实施构建、行业规范等角度逐步完善关基设施保护体系。2022 年 9 月 12 日，美国网络安全和基础设施安全局（CISA）发布《2023 至 2025 年战略规划》，强调了关基设施在网络安全中的重要地位，并提出未来三年的主要工作目标。 环顾全球，网络空间安全形势日益紧张，关基设施保护迫在眉睫，我国在相关领域制定的立法、规范等文件可参考美国的丰富经验，再结合中国基本国情，逐步完善关基设施保护体系。 中国 如今，铁路、民航、公路等交通运输系统结合网络技术支持，奔腾不息，为人民群众出行带来便利，也为经济社会运行输运物资；电力、石油等能源系统，日夜工作，为经济社会运行输送“血液”；通信、互联网平台等公共通信和信息服务系统，时时互联，承载了大量的国家重要数据和个人信息。经过几十年的发展和沉淀，在大力推广数字化转型的今天，保护关基设施成为国家安全的重点。 上世纪 90 年代，互联网初步发展，病毒、木马等攻击事件接连发展。随着受害群体的不断扩大，恶劣影响进一步加深，国家逐步重视并采取一系列规范措施。21 世纪，各行各业信息化改革如火如荼，网络逐步实业融合，尤其是电信、金融、交通、工业、政务等于国家安全、国计民生、公共利益密切相关的重要网络设施及信息系统。与此同时，黑客“与时俱进”，逐步将攻击目标转向核心产业的企业和组织。党的十八大以来，习总书记深刻意识到关基设施保护在国家安全中的重要地位，多次在不同重大会议上强调要落实以风险管理为基础的网络安全治理策略。虽然关基保护在我国已得到充分重视，但相比欧美等互联网发展较早的国家，我国目前还正处于摸索阶段。2017 年 6 月 1 日，《网络安全法》正式实施，标志着我国关基设施网络防御体系迈向新的高度。《网络安全法》对关基保护提出了更高的要求，但仍未对关基的范畴做出明确的定义。随后经过不断探索，《关键信息基础设施安全保护条例》问世且于 2021 年 9 月 1 日起正式生效。《条例》首次对关基设施范围做出了明确说明，标志着国家对关基设施保护工作的制度设计已经完成，保护体系进入新阶段。随后，国家市场监管总局批准发布了《关键信息基础设施安全保护要求》（ GB/T 39204-2022）（简称《关基保护要求》）国家标准文件，并于 2023 年 5 月 1 日实施。该标准是我国关键信息基础设施安全保护的总纲性标准，对关基设施安全保护提出了更高的要求。 关基设施是涉及国家安全和国民经济命脉的主要行业。如何落实国家政策，捍卫中国网络安全成为关基行业发展战略的重中之重。 不同国家对关基设施范围设定不同 目前，不同国家的数字化程度和发展战略规划不尽相同，因此关基设施的概念和行业范围在全球范围内并无统一标准，各国政府“量体裁衣”，制定相应的关基设施保护规范。 据石山网科汇总的数据可得知，单就各国定义的行业数量来看，美国是最多的，达 16 类；中国紧追其后，达 13 类；之后为德国、日本、俄罗斯，分别为 9 类，8 类，7 类。美国作为互联网最发达的国家，最早出台关基设施保护相关法律与文件，覆盖行业最广泛。我国虽然在关基设施保护领域发展时间较晚，但监管力度相对较强。据石山网科汇总的数据可得知，单就各国定义的行业数量来看，美国是最多的，达 16 类；中国紧追其后，达 13 类；之后为德国、日本、俄罗斯，分别为 9 类，8 类，7 类。美国作为互联网最发达的国家，最早出台关基设施保护相关法律与文件，覆盖行业最广泛。我国虽然在关基设施保护领域发展时间较晚，但监管力度相对较强。 1.3 关基设施数字风险发展趋势 第三方数字风险成为关基风险管理的重点 2017 年，第三方供应链软件安全事件进入公众视野。尽管当时引起了广泛关注，但受事件数量或其他因素的限制，并没有引起业界足够的重视。直到 2020 年底，SolarWinds 事件波及了包括美国关基设施行业中多家大型通信公司、美国陆军、美国联邦政府及多个行政部门后，公众及业内人士才蓦然意识到关基设施的第三方网络安全的重要性。 第三方数字风险之所以一石激起千层浪，除了恶劣及深远的攻击影响，另一方面是由于攻击方式不同于传统的直接攻击，而是将攻击矛头指向与攻击目标相关的其他主体。这样一来，攻击隐秘性大幅提升，攻击范围也得以扩大。犯罪分子将目标瞄准到供