2018年7月21日,主题为“新环境、新机遇、新挑战”的中国关键信息基础设施安全高峰论坛在内蒙古乌兰察布市举办。以下内容根据国家信息技术安全研究中心主任俞克群在论坛上的致辞整理而成:
尊敬的各位领导、各位同仁:
近年来,美欧国家高度重视网络演习在保护关键信息基础设施中的作用,从频繁的演习实践可以看出,网络演习在保护关键信息基础设施中可以发挥三大作用:一是塑造观念的作用,即利用演习提高全民尤其是职能部门和运营者保护关键信息基础设施的意识;二是评估“软机制”的作用,即可以利用演习检验评估已实施的或即将实施的相关政策、规定、制度的可执行性和可操作性;三是检测“硬实力”的作用,即可以利用演习检测相关防护措施、技术、系统和装备的有效性。
习主席多次就保护关键信息基础设施做出指示,强调“要采取有效措施,切实做好国家关键信息基础设施安全防护”“要落实关键信息基础设施防护责任”。网络演习正是落实习主席重要指示的强有力手段,这是因为网络演习拥有先天的实践性,每一场演习的设计都与威胁现状、防护需求等现实密切相关,这种现实强相关赋予了网络演习鲜明的动态性。透视这种动态性能观察出当前美欧国家在保护关键信息基础设施方面的基本构想,为我们做好相关工作提供借鉴。下面从四个方面谈谈我的看法:
一、从演习想定,看当前关键信息基础设施面临的主要网络威胁
先看几个演习想定案例。
(1)2017年美国“网络卫士”第七届演习想定设计:网络攻击引起水电站、航运港口、电力网等基础设施的系统中断,引发纽约证券交易所交易下跌。一连串试图访问受保护数据的钓鱼邮件攻击也在同时进行,这种攻击引发了高级官员间的信任问题。在马里兰州政府举办的外国首脑会议遭遇暴力示威游行,同时突然爆发了针对关键信息基础设施的区域性网络攻击。为了恢复秩序,州政府被迫宣布进入紧急状态。
(2)2018年北约“锁定盾牌”网络防御演习的想定:一个虚构的国家 Berylia遭到虚构黑客组织Crimsonia的网络攻击,该国的变电站、水净化系统、通信网络和无人机系统等受到影响。
(3)2017年举办的GridEx Iv电网演习想定:电网控制系统、关键发电和输电设施先后遭到网络和物理攻击导致北美电网发生故障。网络攻击手段包括水坑攻击、利用工业控制系统漏洞实施的远程攻击等,同时还伴有物理攻击,物理攻击手段包括用包裹炸弹破坏发电和输电设备。与此同时,敌对国家散布虚假新闻报道等。
从上述想定可以看出,美欧国家关注的关键信息基础设施面临网络威胁呈现出三大特点:一是网络攻击手段多样,如针对水电等民生设施的拒绝服务攻击、针对重要人员的钓鱼邮件攻击、针对工控系统漏洞的远程利用。二是关键信息基础设施面对的网络威胁常与物理攻击、社会动乱等复杂情形相伴相生。三是电力和供水等关系国济民生的基础设施是网络攻击的重点。可以说,当前关键信息基础设施面临的现实威胁往往是同步产生,线上线下相结合、虚拟空间和物理空间并发,使得关键信息基础设施的保护方同时陷入多重困境、应接不暇。因此,我们响应关键信息基础设施安全事件时,要综合考虑多种因素,综合施策。
二、从演习内容,看当前关键信息基础设施保护需要关注的重点
先介绍几类系列演习的重点内容。
(1)美国“网络卫士”系列防御演习主要是演练两阶段内容:第一阶段是演练政府支援私营部门保护关键信息基础设施,第二阶段是演练国防部支援联邦机构保护关键信息基础设施,演练重点始终围绕政府、企业、军队间应对网络攻击的协作能力展开。
(2)北美“电网安全”(GridEx)系列演习的重点是要评估、测试和检验各电力部门和政府机构在关键基础设施受到网络攻击和物理攻击后,造成大范围断电情况下的应急响应能力。
(3)美国国土安全部主办的“网络风暴”系列演习是为参演部门提供演练、评估和提高信息共享机制的平台,完善政府和私营机构间信息共享机制是演习的重点内容。
上述系列演习虽然每年度会有具体调整,但核心内容始终不变。当前美欧国家在关键信息基础设施保护上关注的重点集中在三大要素上:一是机构间的协同,二是对安全事件的应急响应,三是威胁信息的实时共享。没有任何一个职能机构、企业或组织机构可以单独对抗网络威胁,我们应考虑建立政府主导的、多方力量参与的、全社会型的防御模式,特别是要建立威胁情报共享机制,通过实践不断健全应急响应体系。
三、从参演人员或团队,看当前参与关键信息基础设施防护的力量构成
(1)2018年的北约“锁定盾牌”演习中安排了真实的媒体和法律专家参与,西门子公司、爱立信公司和爱沙尼亚系统公司等基础设施供应商也参与了演习。
(2)在2017年美军举办的“网络旗帜”演习中,英国、澳大利亚、新西兰、加拿大等“五只眼”国家都有代表参加。
(3)2017年的电网GridEx IV演中,除了公私电力部门、政府机构以外,水利、金融、通信等其他关键基础设施部门也首次参与了该演习。
可以看出,当前关键信息基础设施保护力量涵盖的范围已经大大拓展:从技术人员拓展增加了法律、媒体等综合人才提供相应支援;从政府、行业、企业等机构拓展到跨行业信息基础设施相关部门;从国内相关部门拓展到跨国盟友,很大程度上说明关键信息基础设施面临的网络威胁及其附带效应十分复杂,迫切需要集智思考、创新机制。
四、从演习形式,看当前关键信息基础设施演习的组织模式
(1)2017年的电网GridEx IV演习采用了去中心化理念,分为两个环节——分布式演练以及桌面推演。在分布式演练阶段,演习控制中心设在弗吉尼亚州,其他参演机构人员在各自办公室、发电站、控制中心等地远程参与演习。
(2)美国民警卫队“网络盾牌2016”演习第一周的演习内容是课程培训,内容包括入侵检测、数据安全和威胁分析等技术;第二周的演习内容为模拟演练,参演人员分为红蓝两队进行网络攻防对抗。
(3)从2016年起,美国防部和各军种与专业漏洞平台公司HackerOne合作,先后开展“入侵五角大楼”“入侵陆军”“入侵空军”“入侵舰船”等漏洞悬赏竟赛,利用招募审核的黑客入侵并发现美国防部面向公众网络的漏洞,活动由HackerOne负责运作和管理。
(4)美军2017年度“网络旗帜”演习设置负责演习评估的“白队”,至少5人,其中1人派驻在控制室中控制演习进程,1人跟随“红队”,至少3人跟随“蓝队",观察其行动并将结果录入数据库。
可以看出,美欧国家开展关键信息基础设施保护演练时,在演练组织方面有以下特点:一是往往是多种形式组合使用,如,“基础培训+攻防对抗”、“技术演练+桌面推演”等;二是不断创新演练模式,探索使用悬赏竞赛方式调动各界参与的积极性;三是注重演习过程中的“伴随式”全面评估。网络演习是检验关键信息基础设施非常有效的可操作的手段,美欧国家上述演习组织模式可资借鉴。
此外,近年来,美欧国家在相关演习中使用了越来越逼真的环境、越来越智能化的演习系统。举两个例子:
(1)2018年北约“锁定盾牌”演习在搭建靶场时全部使用专业基础设施提供商的产品,包括了芬兰 Goodmanll系统公司和爱沙尼亚Threod系统公司等供应商提供的变电站、通信网络、水净化系统等模拟系统。
(2)电网GridEx Iv演习引入多类模拟工具和系统,通过部署SimulationDeck系统,模拟Facebook、Twitter、 Youtube等社交媒体以及传统新闻媒体实时发布电网遭攻击的相关报道,引导舆论走向设立了E-ISAC镜像网站,用于共享安全事件报告和信息,促进参演机构协同应对攻击事件。上述演习呈现出三个特点:一是借助服务商成熟的基础设施平台,提高演习真实度;二是注重塑造逼真的训练模拟环境;三是注重智能化在演习中的运用。这些都是我们在组织演习中可以借鉴学习的地方。
以上,从演习想定、内容、人员或团队、形式四方面要素,浅谈对美欧关键信息基础设施保护的一些思考,供大家借鉴和参考。
声明:本文来自关键信息基础设施技术创新联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。