《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡(jiǎn)稱《條例》）從保護(hù)對(duì)象、職責(zé)劃分到相對(duì)具體的工作方法都提出了明確的要求,。面對(duì)復(fù)雜多變的網(wǎng)絡(luò)安全環(huán)境,，《條例》的發(fā)布對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的高級(jí)威脅對(duì)抗,，有著非常積極的影響。

　　一,、APT 攻擊日益加劇

　　網(wǎng)絡(luò)空間是物理空間的延續(xù),，而關(guān)鍵信息基礎(chǔ)設(shè)施是物理空間的核心載體，關(guān)基系統(tǒng)的可用性,、完整性,、保密性對(duì)國(guó)家安全至關(guān)重要,。當(dāng)前，境外具有國(guó)家背景的高級(jí)威脅行為體（APT 組織）高度活躍,，持續(xù)針對(duì)我國(guó)開展網(wǎng)絡(luò)攻擊,，主要目標(biāo)就是包括金融、通信,、交通,、能源、政務(wù)網(wǎng)絡(luò)在內(nèi)的關(guān)鍵信息基礎(chǔ)設(shè)施,。這些高級(jí)威脅行為體持續(xù)侵入控制我方重要系統(tǒng),，竊取敏感信息，甚至在某些時(shí)刻進(jìn)行破壞行為,。

　　近年來(lái),，全球多個(gè)國(guó)家的關(guān)鍵信息基礎(chǔ)設(shè)施都遭遇了嚴(yán)重的網(wǎng)絡(luò)攻擊事件，如英國(guó)電網(wǎng)重要管理機(jī)構(gòu) Elexon 遭到網(wǎng)絡(luò)攻擊,，內(nèi)部 IT 網(wǎng)絡(luò)受到影響,、關(guān)鍵通信功能喪失；印度孟買遭遇大范圍斷電,，導(dǎo)致鐵路,、股票交易所,、醫(yī)療設(shè)施以及其他大部分關(guān)鍵基礎(chǔ)設(shè)施“癱瘓”,；2021 年，美國(guó)最大的燃油管道運(yùn)營(yíng)商,、全球最大的肉類加工企業(yè)均因黑客攻擊在相當(dāng)一段時(shí)間內(nèi)運(yùn)作凍結(jié),。這都給我國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作敲響警鐘。

　　二,、《條例》多措并舉做好高級(jí)威脅對(duì)抗

　　境外高級(jí)威脅行為體的攻擊目標(biāo)覆蓋了連接互聯(lián)網(wǎng)的各類設(shè)備乃至整個(gè)網(wǎng)絡(luò)空間,，總體上形成從單機(jī)到網(wǎng)絡(luò)、從硬件到軟件,、從外網(wǎng)到內(nèi)網(wǎng)的全網(wǎng)覆蓋,，并且攻擊技術(shù)先進(jìn)、手法復(fù)雜,，廣泛運(yùn)用人工智能,、大數(shù)據(jù)等先進(jìn)技術(shù)，同時(shí)采取漏洞攻擊,、誘騙攻擊,、“中間人”攻擊等多種技術(shù)方式和手法，防護(hù)十分困難,。對(duì)此,，《條例》在第四章提出了相當(dāng)具體的要求。

　　建立網(wǎng)絡(luò)安全信息共享機(jī)制?！稐l例》第二十三條指出：國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門建立網(wǎng)絡(luò)安全信息共享機(jī)制,，及時(shí)匯總、研判,、共享,、發(fā)布網(wǎng)絡(luò)安全威脅、漏洞,、事件等信息,，促進(jìn)有關(guān)部門、保護(hù)工作部門,、運(yùn)營(yíng)者以及網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享,。

　　威脅情報(bào)已經(jīng)被證明是發(fā)現(xiàn)威脅活動(dòng)并觸發(fā)應(yīng)急響應(yīng)的核心手段之一，對(duì)威脅戰(zhàn)略情報(bào),、作戰(zhàn)層面的習(xí)慣模型以及戰(zhàn)術(shù)層面的數(shù)據(jù)進(jìn)行有效共享,，對(duì)于提升整體防護(hù)水平非常關(guān)鍵。所以,，應(yīng)大力推進(jìn)主管部門,、大型企業(yè)、互聯(lián)網(wǎng)企業(yè),、信息安全企業(yè),、科研院所、專家團(tuán)隊(duì)之間的情報(bào)共享,，進(jìn)而協(xié)同聯(lián)動(dòng),。國(guó)內(nèi)網(wǎng)絡(luò)安全相關(guān)主管部門也一直在完善相關(guān)標(biāo)準(zhǔn)，搭建平臺(tái),，推動(dòng)各相關(guān)方的威脅情報(bào)共享,，但信息共享的深度和廣度還有很大的發(fā)展空間。

　　建立關(guān)鍵信息基礎(chǔ)設(shè)施預(yù)警制度,?！稐l例》第二十四條指出：保護(hù)工作部門應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警制度,，及時(shí)掌握本行業(yè),、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行狀況、安全態(tài)勢(shì),，預(yù)警通報(bào)網(wǎng)絡(luò)安全威脅和隱患,，指導(dǎo)做好安全防范工作。

　　高級(jí)威脅攻擊往往經(jīng)過長(zhǎng)期的準(zhǔn)備與策劃,，攻擊者通常在目標(biāo)網(wǎng)絡(luò)中潛伏幾個(gè)月甚至幾年,。為此,，相關(guān)部門應(yīng)為態(tài)勢(shì)感知做好制度保障，明確通報(bào)響應(yīng)機(jī)制,，責(zé)任到人,，落實(shí)技術(shù)手段，積極實(shí)施全天候高級(jí)威脅攻擊監(jiān)控,，實(shí)現(xiàn)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)安全事件實(shí)時(shí)監(jiān)測(cè),、及時(shí)通報(bào)預(yù)警、即時(shí)指揮調(diào)度進(jìn)行處置,。

　　協(xié)助和指導(dǎo)運(yùn)營(yíng)者做好網(wǎng)絡(luò)安全事件應(yīng)急演練,。《條例》第二十五條指出：保護(hù)工作部門應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的要求,，建立健全本行業(yè),、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，定期組織應(yīng)急演練,。

　　高級(jí)攻擊具有危害大,、難以防御的特點(diǎn)，一旦關(guān)鍵信息基礎(chǔ)設(shè)施被入侵,，很可能會(huì)危害國(guó)家安全和社會(huì)穩(wěn)定,，及時(shí)的應(yīng)急響應(yīng)對(duì)于降低網(wǎng)絡(luò)攻擊的危害就顯得極為重要。

　　安全事件發(fā)生后的應(yīng)急響應(yīng)工作大致分為 6 個(gè)階段：準(zhǔn)備,、監(jiān)測(cè),、遏制、根除,、恢復(fù),、總結(jié)復(fù)盤，對(duì)每個(gè)階段不僅要有預(yù)案,，更重要的是驗(yàn)證預(yù)案有效性、發(fā)現(xiàn)問題并持續(xù)優(yōu)化,。一個(gè)優(yōu)秀的方案應(yīng)從積極防御的立足點(diǎn)出發(fā),，事前通過主動(dòng)地多方演練發(fā)現(xiàn)安全隱患，對(duì)過程進(jìn)行深入復(fù)盤,，不僅可以找到自己的薄弱點(diǎn),，同時(shí)也為應(yīng)急預(yù)案的制訂提供關(guān)鍵素材。

　　指導(dǎo)運(yùn)營(yíng)者完善常態(tài)化執(zhí)行安全措施,?！稐l例》第二十六條指出：保護(hù)工作部門應(yīng)當(dāng)定期組織開展本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查檢測(cè),，指導(dǎo)監(jiān)督運(yùn)營(yíng)者及時(shí)整改安全隱患,、完善安全措施,。

　　由于高級(jí)威脅攻擊手法隱秘且多變，一旦入侵運(yùn)營(yíng)者很難及時(shí)發(fā)現(xiàn),，而且新安全漏洞和攻擊手法層出不窮,，網(wǎng)絡(luò)攻防是一個(gè)永遠(yuǎn)止境的過程，因此,，保護(hù)工作部門應(yīng)定期開關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)的網(wǎng)絡(luò)安全檢查工作,。并針對(duì)發(fā)現(xiàn)的問題組織專家組制定合理的解決方案，指導(dǎo)并監(jiān)督運(yùn)營(yíng)者及時(shí)整改完善,。

　　國(guó)家有關(guān)部門提供技術(shù)支持和協(xié)調(diào),。《條例》第二十九條指出,，在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作中,，國(guó)家網(wǎng)信部門和國(guó)務(wù)院電信主管部門、國(guó)務(wù)院公安部門等應(yīng)當(dāng)根據(jù)保護(hù)工作部門的需要,，及時(shí)提供技術(shù)支持和協(xié)助,。

　　對(duì)于高級(jí)威脅的檢測(cè)、分析和取證往往需要多維度的數(shù)據(jù)和技術(shù)能力支持,，任何一方都無(wú)法僅通過自有的數(shù)據(jù),、專家團(tuán)隊(duì)和軟硬件能力對(duì)威脅的全貌進(jìn)行高精度的畫像，所以需要國(guó)家網(wǎng)信部門,、公安部門動(dòng)用行政資源進(jìn)行協(xié)調(diào),，從各包括政府機(jī)構(gòu)、網(wǎng)絡(luò)運(yùn)營(yíng)商及各類擁有大數(shù)據(jù)的公司在內(nèi)的組織獲取數(shù)據(jù),，整合民間安全廠商在內(nèi)的技術(shù)能力,，實(shí)現(xiàn)對(duì)威脅的全面分析與遏制。

　　加強(qiáng)軍民融合,?！稐l例》第三十八條指出：國(guó)家加強(qiáng)網(wǎng)絡(luò)安全軍民融合，軍地協(xié)同保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全,。

　　軍民融合是國(guó)家發(fā)展國(guó)防科技工業(yè)的重要策略,，軍隊(duì)是保障國(guó)家安全的基石，長(zhǎng)期以來(lái)積累了大量的技術(shù),，執(zhí)行能力強(qiáng),，一直都是關(guān)基設(shè)施防護(hù)的核心力量之一。民間安全廠商的日常攻防對(duì)抗的涉及面廣,，機(jī)制靈活并有相當(dāng)?shù)慕?jīng)驗(yàn)和數(shù)據(jù)技術(shù)儲(chǔ)備,。軍民融合，可以實(shí)現(xiàn)強(qiáng)強(qiáng)聯(lián)合,，在高級(jí)威脅對(duì)抗領(lǐng)域?qū)崿F(xiàn)一加一大于二的效果,。

　　三,、基于威脅情報(bào)建設(shè)高級(jí)威脅對(duì)抗體系

　　根據(jù)奇安信威脅情報(bào)中心的統(tǒng)計(jì)，2020 年針對(duì)我國(guó)重點(diǎn)單位的 APT 攻擊頻率明顯上升,。其中,，我國(guó)政府、醫(yī)療以及國(guó)防機(jī)構(gòu)是國(guó)外 APT 組織竊密攻擊的重要目標(biāo),。面對(duì)上述嚴(yán)峻情況,，各單位（企業(yè)）的威脅情報(bào)中心可以在以下幾方面發(fā)揮更大的作用。

　　首先,，積極響應(yīng)投入威脅情報(bào)共享,。支持國(guó)家建立威脅情報(bào)共享平臺(tái)，利用現(xiàn)有威脅情報(bào)檢測(cè)平臺(tái),，與政府機(jī)構(gòu),、核心基礎(chǔ)設(shè)施單位、友商部門積極配合,，充分運(yùn)用云計(jì)算,、大數(shù)據(jù)、人工智能,、物聯(lián)網(wǎng)等新一代信息技術(shù),，加強(qiáng)威脅情報(bào)共享，為網(wǎng)絡(luò)安全威脅動(dòng)態(tài)感知,、預(yù)警分析,、智能處置提供支持，實(shí)現(xiàn)從被動(dòng)防御到主動(dòng)防御的轉(zhuǎn)變,，逐步建成關(guān)鍵信息基礎(chǔ)設(shè)施大安全生態(tài),。

　　例如，2020 年奇安信推出了“TI INSIDE” 計(jì)劃,，將奇安信積累的威脅情報(bào)能力以軟件開發(fā)工具包（SDK）的方式向生態(tài)合作伙伴和客戶開放,，推動(dòng)威脅情報(bào)共享，降低威脅情報(bào)應(yīng)用的門檻,。

　　其次,，提升 APT 監(jiān)測(cè)能力。積極參與國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施全網(wǎng),、全流量的流量實(shí)時(shí)監(jiān)控，做好全網(wǎng),、全主機(jī)的系統(tǒng)監(jiān)控,。加強(qiáng)對(duì)高隱匿性攻擊行動(dòng)的發(fā)現(xiàn)能力，完善自身和協(xié)助有關(guān)部門建立多維數(shù)據(jù)采集能力,，為安全事件檢測(cè),、事件捕獵,、調(diào)查分析，并發(fā)現(xiàn),、定位,、溯源安全事件創(chuàng)造條件。

　　最后,，加強(qiáng) APT 分析能力,。建設(shè)威脅分析團(tuán)隊(duì)，針對(duì)全網(wǎng) APT 威脅情報(bào)系統(tǒng)并結(jié)合現(xiàn)有經(jīng)驗(yàn),，全面地分析攻擊者的攻擊意圖,、技術(shù)與過程，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的誘捕,、溯源,、干擾和阻斷等多方面防御。