2023中国关键信息基础设施数字安全风险防护报告.pdf
《2023中国关键信息基础设施数字安全风险防护报告.pdf》由会员分享,可在线阅读,更多相关《2023中国关键信息基础设施数字安全风险防护报告.pdf(45页珍藏版)》请在咨信网上搜索。
1、1您身边的数字风险防护专家 天际友盟2中国关键信息基础设施数字风险防护报告 REPORT关键信息基础设施(以下简称“关基”或“关基设施”)是网络安全治理的重点,是关乎国家安全的命门所在。习近平总书记在各大重要会议上多次强调,要加快构建关基设施安全保障体系,逐渐完善关键信息基础设施保护等法律法规。2022 年,天际友盟凭借在数字风险防护领域的丰富积累,整理并发布了国内首份关基领域数字风险防护报告。该报告对 2021 年度的中国关基数字风险态势进行了系统性梳理,提供了数字风险管理的方法思路以及制定决策所需要的态势数据。为了进一步帮助关基主体提高数字风险的保护意识,有效抵御外部攻击和威胁,天际友盟在
2、 2023 年初,结合国际背景对 2022 全年数字风险进行整理,发布了关键信息基础设施数字风险防护报告(2023),希望对相关企业及组织有借鉴意义。前言FOREWORD1您身边的数字风险防护专家 天际友盟摘要ABSTRACT数字资产风险总量 NO.1:网站现阶段人们的上网方式大多数还是依赖于网站,因此传统的网站类风险依旧是不法分子所青睐的攻击途径。数字风险行业 NO.1:互联网数字化改革深入各行各业,大量企业将传统线下服务搬运到线上,但同时,由于线上系统不完善、人为操作不当、内部员工泄露等诸多原因,导致互联网企业所面临的数字风险成倍增长。数字风险网络服务商 NO.1Microsoft数字风险
3、应用商店 NO.1历趣 2.91%数字风险国家和地区 NO.1美国 37.70%代码泄露平台 NO.1Github 86.42%数字风险域名服务商 NO.1GoDaddy数据泄露平台 NO.1百度文库 29.30%数字风险社交媒体平台 NO.1微博 29.30%数字风险总量 NO.1:侵权欺诈侵权欺诈风险以 97.41%的占比在各场景风险总量中“蝉联桂冠”。一定时期内,侵权欺诈仍将是不法分子作案的主要类型。2中国关键信息基础设施数字风险防护报告 REPORT数字风险的重点发展趋势政府部门成为网络攻击主要目标之一:越来越多的犯罪分子利用群众对政府部门的信任,传播钓鱼网站及 APP,骗取钱财;国际
4、局势的不稳定也将政府部门变成网络攻击的众矢之的。第三方网络风险加剧:攻击供应链上游环节成为黑客绕过关基企业传统网络安全防护实施入侵的方式之一。即使关基企业及组织自身安全防护固若金汤,但由于上游企业遭受攻击导致中下游企业及组织承担连带损失的现象已经成数字风险新趋势。制造业面临风险挑战:制造业面临的网络风险逐年增加。攻击者深知制造业拥有海量数据,且与国民经济关系紧密,商业价值巨大,因此将制造业主体作为主要攻击目标之一。金融网络安全风险持续增长:由于数字技术与金融行业融合加速,线上业务领域持续扩大,直接导致金融网络安全风险敞口加大,防护难度进一步提升。威胁情报逐步拓宽市场:全球网络空间冲突不绝,国家
5、级网络攻击频次不断增加,攻击复杂性持续上升,进一步加深了组织对威胁情报的需求。根据对国际市场的趋势分析和对国内市场的研究,斯元商业咨询预计 2023 年中国威胁情报订阅服务支出为 37 亿元,比 2022 年增长 23.5%。3您身边的数字风险防护专家 天际友盟目录TABLE OF CONTENTP5 关基数字风险的社会背景第一章P112022 年关基设施数字风险统计第二章P172022 年重大关基数字风险第三章P24数字风险案例第四章P39数字风险管理建议第五章P41关于天际友盟第六章4中国关键信息基础设施数字风险防护报告 REPORT“没有网络安全就没有国家安全,就没有经济社会稳定运行,广
6、大人民群众利益也难以得到保障。”2018 年 4 月,习近平同志此番讲话明确了数字时代背景下网络安全是我国国防系体系的战略基石。作为网络安全中重要的一环,保护关基设施对促进经济增长和维护社会稳定意义非凡。近几年,实体经济与数字技术的加速融合使越来越多的关基行业攀上智能高峰,带动国民经济稳步提升,但其所面临的数字风险安全态势却日益严峻。国家之间的网络博弈,黑客组织的虎视眈眈,刺激着风险事件的规模和影响持续扩大,对社会稳定运行和民众生产生活产生了深远影响。卡巴斯基统计了该公司反网络钓鱼系统在 2022 年拦截的 507,851,735 次试图访问欺诈内容的行为。数据表示受钓鱼攻击最猛烈的是快递服务
7、用户,占所有攻击数量的 27.38%,其次分别是在线商店(15.56%)、支付系统(10.39%)和银行(10.39%)关基数字风险的社会背景01POINT图 1:2022 年按行业划分的网络钓鱼者所针对的组织分布情况1.1 关基数字风险来源国家对抗2022 年,乌俄战争的爆发不仅严重影响了全球经济的发展,同时也向世界证明了关基础设施网络安全防护工作的重要性。在战争过程中,双方均遭受了延绵不断的网络袭击,尤其是乌方自 2 月 24 日起关基设施不断经历规模化 DDos 等攻击手段,导致掉线比率超过 50%,3 月 7 日更恶化至5您身边的数字风险防护专家 天际友盟政治黑客66%。此外,据某测绘
8、平台发布的乌克兰掉线关基设施的行业分布数据显示,金融、政府、能源及电信等关基领域设施作为主要攻击目标,均出现经常性中断服务的局面,不仅对乌方造成难以估量的经济损失,同时在战时也产生极其消极的社会影响。时间风险类型目标影响1 月 13 日-14 日DDoS约 70 个乌克兰政府网站,军事、金融等部门造成乌克兰众多关键基础设施和重要网络系统瘫痪1 月 17 日勒索软件WhisperGate乌克兰的政府、非营利组织和信息技术实体数据擦除破坏2 月 15 日DDoS乌克兰重要军事、政府、教育、金融等部门造成乌克兰众多关键基础设施和重要网络系统瘫痪2 月 23 日恶意软件HermeticWiper乌克兰
9、数百台重要计算机,包括金融及政府承包商数据擦除破坏2 月 24 日未披露乌克兰政府切断互联网2 月 24 日DDoS俄罗斯 RT 电视台系统瘫痪2 月 25 日未披露俄罗斯多个政府网站、今日俄罗斯 RT 电视台门户网站关闭2 月 27 日未披露车臣政府官方网站系统瘫痪2 月 28 日黑客入侵俄罗斯 SberBANK 的数据库数据泄露2 月 28 日黑客入侵俄罗斯海关系统系统瘫痪2 月 28 日未披露俄罗斯中央银行邮件列表被攻陷3 月 4 日未披露俄罗斯空间研究所(IKI)网站、俄罗斯联邦航空局(Roscosmos)IKI 系统破坏、Roscosmos 数据泄露3 月 7 日黑客入侵多个俄罗斯流
10、媒体平台不间断的播放来自乌克兰的战争画面表 1:初期乌俄网络战盘点 数据来源:https:/ 年 5 月 7 日,亲俄黑客组织“darkside”以美国殖民管道公司(Colonial Pipeline)为目标,发起了美国有史以来针对石油基础设施的最大规模网络袭击。攻击者窃取了该公司 100G 的内部数据,并要求了勒索赎金。此次攻击造成了输送管道关闭多日,以至夏洛特道格拉斯国际机场燃油短缺,且多架航班不得不更改航行路线和航行时间。此外,美国多地接连出现了汽油短缺的现象,造成了民众恐慌,疯抢抢购的局面,同时也刺激了油价一度飙升至每加仑 3 美元。6中国关键信息基础设施数字风险防护报告 REPORT
11、排除政治因素,关基企业或机构在日常运营中面临的数字风险主要出于商业目的。大量不法分子深刻意识到关基设施行业主体在社会运营中起到的重要作用,一旦停摆,对国家和民众影响巨大,因此当关基企业身陷困境时,为了尽快恢复正常运行,存在向“恶势力”暂时妥协的现象。通常,犯罪者以入侵的方式,悄悄潜入目标组织,发送以假乱真的钓鱼邮件骗取员工私密信息和钱财;攻克内部系统窃取重要数据、文件进行勒索及对外售卖。但随着网络的普及,全球网民数量呈指数级增长,越来越多的不法分子将攻击目标由企业转向普通网民,向网民散播仿冒的欺诈网站、移动APP等。此等转变不仅绕开了组织部署的网络安全防护措施,降低了黑客技术门槛,还扩大了受害
12、群体,损害消费者利益,使品牌方维护的正面形象在短时间内付之一炬。因此即使企业自身的安全系统固若金汤,但在面临外部的数字风险时,依然力不从心。商业攻击1.2 关基保护历程回顾近几年,关键信息基础设施保护在全球范围内引起了众多国家政府和安全业务人士的足够重视,一系列法律法规条例等规范性文件和厂商的解决方案相继问世。但其实关基保护从概念雏形到国家标准的出台经历了几十余年漫长的演进,且不同国家根据自身环境的差异,对其的定义、保护措施、保护标准不尽相同。自互联网面世,美国在全球范围内一直出于领先地位,微软、亚马逊、脸书等科技巨头始终是其他国家创业者的学习典范。1996 年克林顿总统签署第 13010 号
13、行政令关键基础设施保护,从此美国正式踏上了关基设施保护的征程。27 年以来,从树立目标、制定规划、实施构建、行业规范等角度逐步完善关基设施保护体系。2022 年 9 月 12 日,美国网络安全和基础设施安全局(CISA)发布2023 至 2025 年战略规划,强调了关基设施在网络安全中的重要地位,并提出未来三年的主要工作目标。美国2023 年 2 月 25 日,乌俄战争爆发一周年,亲乌黑客组织 CH01 在社交媒体上发布消息称成功入侵了至少 32个俄罗斯网站,以作为对俄宣战的表示,以及坚决维护乌克兰的决心。入侵成功后,一条“燃烧”着的克里姆林宫视频被上传至沦陷网站,造成国家和政府形象严重受损。
14、图 2:黑客组织发布的消息7您身边的数字风险防护专家 天际友盟年份类型名称内容199613010 号行政令关键基础设施保护组建了“关键基础设施保护委员会”,专门对关基设施安全的薄弱环节及威胁进行探索研究。1997报告美国基础设施保护提出了适合美国国情的关键基础设施保护建议199863 号总统令关键基础设施保护建设关键基础设施保护组织架构200113231 号行政令信息时代的关键基础设施保护进一步确定关键基础设施保护目标20037 号总统令关键基础设施识别、优先排序和保护国防工业设施、农业食品、国家纪念物等被列入到关键基础设施保护范围2006系列报告国家基础设施保护计划搭建国家关基设施的管理实施
15、框架201321 号总统令关键基础设施安全和弹性取代 2003 年发布的 7 号总统令;确定 16 个行业纳入美国关基设施保护范围201313636 号行政令增强关键基础设施网络安全推进网络安全信息共享,制定网络安全框架2015立法网络安全法从立法层面加强了网络安全保护2016网络安全国家行动计划增强关基设施的安全性和抗打击能力2017行政令增强联邦政府与关键基础设施网络安全明确风险评估报告的基本要求,重点关注信息通信系统、电力系统2018关键基础设施网络安全改进框架提出了自我风险评估、供应链安全、认证授权、漏洞管理等方面框架要求2018系列法案与报告提供关基设施保护的建议指导和强制要求201
16、9立法改善州、地方网络安全法案有助于州和地方政府获得更充分的网络安全资源2020强制命令实施漏洞披露政策要求所有的联邦机构必须在 180 天内完成安全联系接口对接、漏洞提交、漏洞披露等工作2021立法美国网络安全和基础设施安全局网络演习法案提出了对关键基础设施开展网络安全应急响应、攻防演习、定期测试和评估的工作要求2021国家安全备忘录:改进关键基础设施控制系统网络安全制定跨部门关基设施控制系统网络安全基准,推动跨部门合作2021保护 5G 云基础设施安全指南提出 5G 云基础设施的“防止和检测横向移动”、“安全隔离网络资源”、“数据保护”以及“基础设施的完整性保护”安全要求2022基础设施韧
17、性计划框架对州、地方和地区提出明确行动要求,建立统一的网络安全实践基本规则20222022 年关键基础设施网络事件报告法案提出对应急事件上报的硬性要求20222023 至 2025 年战略规划提出未来三年的关基设施保护目标表 2:美国 1996 年至 2022 年部分关基设施保护相关的法律、法规、行政令、报告等文件8中国关键信息基础设施数字风险防护报告 REPORT中国环顾全球,网络空间安全形势日益紧张,关基设施保护迫在眉睫,我国在相关领域制定的立法、规范等文件可参考美国的丰富经验,再结合中国基本国情,逐步完善关基设施保护体系。如今,铁路、民航、公路等交通运输系统结合网络技术支持,奔腾不息,为
18、人民群众出行带来便利,也为经济社会运行输运物资;电力、石油等能源系统,日夜工作,为经济社会运行输送“血液”;通信、互联网平台等公共通信和信息服务系统,时时互联,承载了大量的国家重要数据和个人信息。经过几十年的发展和沉淀,在大力推广数字化转型的今天,保护关基设施成为国家安全的重点。上世纪 90 年代,互联网初步发展,病毒、木马等攻击事件接连发展。随着受害群体的不断扩大,恶劣影响进一步加深,国家逐步重视并采取一系列规范措施。21 世纪,各行各业信息化改革如火如荼,网络逐步实业融合,尤其是电信、金融、交通、工业、政务等于国家安全、国计民生、公共利益密切相关的重要网络设施及信息系统。与此同时,黑客“与
19、时俱进”,逐步将攻击目标转向核心产业的企业和组织。党的十八大以来,习总书记深刻意识到关基设施保护在国家安全中的重要地位,多次在不同重大会议上强调要落实以风险管理为基础的网络安全治理策略。虽然关基保护在我国已得到充分重视,但相比欧美等互联网发展较早的国家,我国目前还正处于摸索阶段。2017 年 6 月 1 日,网络安全法正式实施,标志着我国关基设施网络防御体系迈向新的高度。网络安全法对关基保护提出了更高的要求,但仍未对关基的范畴做出明确的定义。随后经过不断探索,关键信息基础设施安全保护条例问世且于 2021 年 9 月 1 日起正式生效。条例首次对关基设施范围做出了明确说明,标志着国家对关基设施
20、保护工作的制度设计已经完成,保护体系进入新阶段。随后,国家市场监管总局批准发布了关键信息基础设施安全保护要求(GB/T 39204-2022)(简称关基保护要求)国家标准文件,并于 2023 年 5 月 1 日实施。该标准是我国关键信息基础设施安全保护的总纲性标准,对关基设施安全保护提出了更高的要求。关基设施是涉及国家安全和国民经济命脉的主要行业。如何落实国家政策,捍卫中国网络安全成为关基行业发展战略的重中之重。不同国家对关基设施范围设定不同目前,不同国家的数字化程度和发展战略规划不尽相同,因此关基设施的概念和行业范围在全球范围内并无统一标准,各国政府“量体裁衣”,制定相应的关基设施保护规范。
21、据石山网科汇总的数据可得知,单就各国定义的行业数量来看,美国是最多的,达16类;中国紧追其后,达13类;之后为德国、日本、俄罗斯,分别为 9 类,8 类,7 类。美国作为互联网最发达的国家,最早出台关基设施保护相关法律与文件,覆盖行业最广泛。我国虽然在关基设施保护领域发展时间较晚,但监管力度相对较强。据石山网科汇总的数据可得知,单就各国定义的行业数量来看,美国是最多的,达16类;中国紧追其后,达13类;之后为德国、日本、俄罗斯,分别为 9 类,8 类,7 类。美国作为互联网最发达的国家,最早出台关基设施保护相关法律与文件,覆盖行业最广泛。我国虽然在关基设施保护领域发展时间较晚,但监管力度相对较
22、强。9您身边的数字风险防护专家 天际友盟基础设施行业中国美国德国俄罗斯日本政府部门 通信交通能源金融水利医疗卫生公共事业/服务工业制造科技/科研食品和农业应急响应国防教育社会保障重要互联网应用化学工业商业设施信息技术核设施司法传媒与文化物流表 3:石山网科汇总的部分国家关基行业10中国关键信息基础设施数字风险防护报告 REPORT1.3 关基设施数字风险发展趋势第三方数字风险成为关基风险管理的重点2017 年,第三方供应链软件安全事件进入公众视野。尽管当时引起了广泛关注,但受事件数量或其他因素的限制,并没有引起业界足够的重视。直到 2020 年底,SolarWinds 事件波及了包括美国关基设
23、施行业中多家大型通信公司、美国陆军、美国联邦政府及多个行政部门后,公众及业内人士才蓦然意识到关基设施的第三方网络安全的重要性。第三方数字风险之所以一石激起千层浪,除了恶劣及深远的攻击影响,另一方面是由于攻击方式不同于传统的直接攻击,而是将攻击矛头指向与攻击目标相关的其他主体。这样一来,攻击隐秘性大幅提升,攻击范围也得以扩大。犯罪分子将目标瞄准到供应链条中的上游厂家,出于合作关系的信任以及业务数据共享的必然性,下游的采购方对上游厂商提供的安全产品有很高的深信度,因此安全漏洞问题自然而然被层层传递至用户终端。无形中,良好的商业合作被有心者利用,不知不觉成为了网络威胁的扩散渠道。对于受害群体来说,风
24、险的隐秘性无疑增加了风险探测的难度,使本就如临深渊的安全防护体系雪上加霜。早在 2018 年,特朗普政府为了确保联邦政府采用安全可靠的网络系统,出台了国家网络战略,明确提出要求联邦政府进行第三方风险管理的要求。同时,还强调供应商信息需要在政府各部门之间建立共享机制及安全风险评估共享服务。后来,拜登政府也发布了美国供应链行政令,提出对部分关键行业和领域进行供应链审查的硬性要求。2022 年 5 月,为了将第三方安全防护纳入关基设施主体内部的采购流程考虑因素,制定更合理的采购方案,美国国家标准与技术研究院(NIST)更新了解决软件供应链风险的网络安全指南,再次强调了第三方网络安全在风险防护体系中举
25、足轻重的地位。近几年,我国在网络安全方面的意识觉醒催生了包括中华人民共和国网络安全法、网络安全审查办法、关键信息基础设施安全保护条例等政策法规,不仅从国家层面贯彻实施网络强国战略,同时也向社会层面推广互联网风险防护的重要性。关键信息基础设施安全保护条例明确说明要优先采购安全可信的制造业成为黑客“新宠”网络产品和服务,并与提供者签订安全保密协议;针对可能影响国家安全的第三方供应商,应当按规定通过安全审查。如今,数字化改革不断加深着企业和民众对互联网的依赖,而大量犯罪分子正在利用企业迫切通过网络触达用户的渴望,采取发起多种外部面攻击的方式,实施对企业、品牌、用户等目标的诈骗及侵权行为。近几年爆发的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2023 中国 关键 信息 基础设施 数字 安全 风险 防护 报告
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。