2023关键信息基础设施数字风险防护报告

您身边的数字风险防护专家\天际友盟 1 双子座实验室 2 中国关键信息基础设施数字风险防护报告\REPORT 前言 FOREWORD 关键信息基础设施（以下简称“关基”或“关基设施”）是网络安全治理的重点，是关乎国家安全的命门所在。习近平总书记在各大重要会议上多次强调，要加快构建关基设施安全保障体系，逐渐完善关键信息基础设施保护等法律法规。2022年，天际友盟凭借在数字风险防护领域的丰富积累，整理并发布了国内首份关基领域《数字风险防护报告》。该报告对2021年度的中国关基数字风险态势进行了系统性梳理，提供了数字风险管理的方法思路以及制定决策所需要的态势数据。为了进一步帮助关基主体提高数字风险的保护意识，有效抵御外部攻击和威胁，天际友盟在2023年初，结合国际背景对2022全年数字风险进行整理，发布了《关键信息基础设施数字风险防护报告（2023）》，希望对相关企业及组织有借鉴意义。 摘要 ABSTRACT 数字风险总量NO.1：侵权欺诈 侵权欺诈风险以97.41%的占比在各场景风险总量中“蝉联桂冠”。一定时期内，侵权欺诈仍将是不法分子作案的主要类型。 数字资产风险总量NO.1：网站 现阶段人们的上网方式大多数还是依赖于网站，因此传统的网站类风险依旧是不法分子所青睐的攻击途径。 数字风险行业NO.1：互联网 数字化改革深入各行各业，大量企业将传统线下服务搬运到线上，但同时，由于线上系统不完善、人为操作不当、内部员工泄露等诸多原因，导致互联网企业所面临的数字风险成倍增长。 数字风险网络服务商NO.1Microsoft 数字风险国家和地区NO.1美国37.70% 数字风险应用商店NO.1历趣2.91% 代码泄露平台NO.1Github86.42% 数字风险域名服务商NO.1GoDaddy 数字风险社交媒体平台NO.1微博29.30% 数据泄露平台NO.1百度文库29.30% 数字风险的重点发展趋势 政府部门成为网络攻击主要目标之一：越来越多的犯罪分子利用群众对政府部门的信任，传播钓鱼网站及APP，骗取钱财；国际局势的不稳定也将政府部门变成网络攻击的众矢之的。 第三方网络风险加剧：攻击供应链上游环节成为黑客绕过关基企业传统网络安全防护实施入侵的方式之一。即使关基企业及组织自身安全防护固若金汤，但由于上游企业遭受攻击导致中下游企业及组织承担连带损失的现象已经成数字风险新趋势。 制造业面临风险挑战：制造业面临的网络风险逐年增加。攻击者深知制造业拥有海量数据，且与国民经济关系紧密，商业价值巨大，因此将制造业主体作为主要攻击目标之一。 金融网络安全风险持续增长：由于数字技术与金融行业融合加速，线上业务领域持续扩大，直接导致金融网络安全风险敞口加大，防护难度进一步提升。 威胁情报逐步拓宽市场：全球网络空间冲突不绝，国家级网络攻击频次不断增加，攻击复杂性持续上升，进一步加深了组织对威胁情报的需求。根据对国际市场的趋势分析和对国内市场的研究，斯元商业咨询预计2023年中国威胁情报订阅服务支出为37亿元，比2022年增长23.5%。 P5第关一基章数字风险的社会背景 P11 您身边的数字风险防护专家\天际友盟 目录 TABLEOFCONTENT 第20二2章2年关基设施数字风险统计 P17 P24 第20三2章2年重大关基数字风险 第数四字章风险案例 P41 P39 第关六于章天际友盟 第数五字章风险管理建议 3 0P1OINT 关社基会数背字景风险的 “没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。”2018年4月，习近平同志此番讲话明确了数字时代背景下网络安全是我国国防系体系的战略基石。作为网络安全中重要的一环，保护关基设施对促进经济增长和维护社会稳定意义非凡。 近几年，实体经济与数字技术的加速融合使越来越多的关基行业攀上智能高峰，带动国民经济稳步提升，但其所面临的数字风险安全态势却日益严峻。国家之间的网络博弈，黑客组织的虎视眈眈，刺激着风险事件的规模和影响持续扩大，对社会稳定运行和民众生产生活产生了深远影响。卡巴斯基统计了该公司反网络钓鱼系统在2022年拦截的507,851,735次试图访问欺诈内容的行为。数据表示受钓鱼攻击最猛烈的是快递服务用户，占所有攻击数量的27.38%，其次分别是在线商店（15.56%）、支付系统 （10.39%）和银行（10.39%） 图1：2022年按行业划分的网络钓鱼者所针对的组织分布情况 1.1关基数字风险来源 国家对抗 2022年，乌俄战争的爆发不仅严重影响了全球经济的发展，同时也向世界证明了关基础设施网络安全防护工作的重要性。在战争过程中，双方均遭受了延绵不断的网络袭击，尤其是乌方自2月24日起关基设施不断经历规模化DDos等攻击手段，导致掉线比率超过50%，3月7日更恶化至 66%。此外，据某测绘平台发布的乌克兰掉线关基设施的行业分布数据显示，金融、政府、能源及电信等关基领域设施作为主要攻击目标，均出现经常性中断服务的局面，不仅对乌方造成难以估量的经济损失，同时在战时也产生极其消极的社会影响。 时间风险类型目标影响 1月13日-14日DDoS约70个乌克兰政府网站，军事、金融等部门造成乌克兰众多关键基础设施和 重要网络系统瘫痪 1月17日 勒索软件WhisperGate 乌克兰的政府、非营利组织和信息技术实体数据擦除破坏 重要网络系统瘫痪 2月15日DDoS乌克兰重要军事、政府、教育、金融等部门造成乌克兰众多关键基础设施和 2月23日 恶意软件HermeticWiper 乌克兰数百台重要计算机，包括金融及政府承包商 数据擦除破坏 2月24日 未披露 乌克兰政府 切断互联网 2月24日 DDoS 俄罗斯RT电视台 系统瘫痪 2月25日 未披露 俄罗斯多个政府网站、今日俄罗斯RT电视台 门户网站关闭 2月27日 未披露 车臣政府官方网站 系统瘫痪 2月28日 黑客入侵 俄罗斯SberBANK的数据库 数据泄露 2月28日 黑客入侵 俄罗斯海关系统 系统瘫痪 2月28日 未披露 俄罗斯中央银行 邮件列表被攻陷 3月4日未披露 俄罗斯空间研究所（IKI）网站、俄罗斯联邦航空局（Roscosmos） IKI系统破坏、Roscosmos数据泄露 画面 3月7日黑客入侵多个俄罗斯流媒体平台不间断的播放来自乌克兰的战争 表1：初期乌俄网络战盘点数据来源：https://www.freebuf.com/articles/neopoints/324800.html 关基行业是经济社会运行的神经中枢，发挥着基础性、全局性、支撑性作用，因此保护好关基设施是各国网络安全的重中之重。在战争中，一旦关基设施受到重创，整个社会运营将陷入瘫痪。 政治黑客 “高手来源于民间”。当今社会，大量黑客组织拥有明确的政治倾向，即使并非雇佣于特定政府，但出于维护其利益的目的，自发性地发起针对对立国的网络攻击。2021年5月7日，亲俄黑客组织“darkside”以美国殖民管道公司（ColonialPipeline）为目标，发起了美国有史以来针对石油基础设施的最大规模网络袭击。攻击者窃取了该公司100G的内部数据，并要求了勒索赎金。此次攻击造成了输送管道关闭多日，以至夏洛特道格拉斯国际机场燃油短缺，且多架航班不得不更改航行路线和航行时间。此外，美国多地接连出现了汽油短缺的现象，造成了民众恐慌，疯抢抢购的局面，同时也刺激了油价一度飙升至每加仑3美元。 2023年2月25日，乌俄战争爆发一周年，亲乌黑客组织CH01在社交媒体上发布消息称成功入侵了至少32个俄罗斯网站，以作为对俄宣战的表示，以及坚决维护乌克兰的决心。入侵成功后，一条“燃烧”着的克里姆林宫视频被上传至沦陷网站，造成国家和政府形象严重受损。 图2：黑客组织发布的消息 商排除业政治攻因击素，关基企业或机构在日常运营中面临的数字风险主要出于商业目的。大量不法分子深刻意识到关 基设施行业主体在社会运营中起到的重要作用，一旦停摆，对国家和民众影响巨大，因此当关基企业身陷困境时，为了尽快恢复正常运行，存在向“恶势力”暂时妥协的现象。通常，犯罪者以入侵的方式，悄悄潜入目标组织，发送以假乱真的钓鱼邮件骗取员工私密信息和钱财；攻克内部系统窃取重要数据、文件进行勒索及对外售卖。但随着网络的普及，全球网民数量呈指数级增长，越来越多的不法分子将攻击目标由企业转向普通网民，向网民散播仿冒的欺诈网站、移动APP等。此等转变不仅绕开了组织部署的网络安全防护措施，降低了黑客技术门槛，还扩大了受害群体，损害消费者利益，使品牌方维护的正面形象在短时间内付之一炬。因此即使企业自身的安全系统固若金汤，但在面临外部的数字风险时，依然力不从心。 1.2关基保护历程回顾 美国 近几年，关键信息基础设施保护在全球范围内引起了众多国家政府和安全业务人士的足够重视，一系列法律法规条例等规范性文件和厂商的解决方案相继问世。但其实关基保护从概念雏形到国家标准的出台经历了几十余年漫长的演进，且不同国家根据自身环境的差异，对其的定义、保护措施、保护标准不尽相同。 自互联网面世，美国在全球范围内一直出于领先地位，微软、亚马逊、脸书等科技巨头始终是其他国家创业者的学习典范。1996年克林顿总统签署第13010号行政令《关键基础设施保护》，从此美国正式踏上了关基设施保护的征程。27年以来，从树立目标、制定规划、实施构建、行业规范等角度逐步完善关基设施保护体系。2022年9月12日，美国网络安全和基础设施安全局（CISA）发布《2023至2025年战略规划》，强调了关基设施在网络安全中的重要地位，并提出未来三年的主要工作目标。 年份 类型 名称内容 1996 13010号行政令 《关键基础设施保护》组建了“关键基础设施保护委员会”，专门对关基设施安全的薄弱环节及威胁进行探索研究。 1997 报告 《美国基础设施保护》提出了适合美国国情的关键基础设施保护建议 1998 63号总统令 《关键基础设施保护》建设关键基础设施保护组织架构 2001 13231号行政令 《信息时代的关键基础设施保护》进一步确定关键基础设施保护目标 2003 7号总统令 《关键基础设施识别、优先排序和保护》国防工业设施、农业食品、国家纪念物等被列 入到关键基础设施保护范围 2006 系列报告 《国家基础设施保护计划》搭建国家关基设施的管理实施框架 2013 21号总统令 《关键基础设施安全和弹性》取代2003年发布的7号总统令；确定16个行业纳入美国关基设施保护范围 2013 13636号行政令 《增强关键基础设施网络安全》推进网络安全信息共享，制定网络安全框架 2015 立法 《网络安全法》从立法层面加强了网络安全保护 2016 《网络安全国家行动计划》增强关基设施的安全性和抗打击能力 2017 行政令 《增强联邦政府与关键基础设施网络安全》明确风险评估报告的基本要求，重点关注信息 通信系统、电力系统 2018 《关键基础设施网络安全改进框架》提出了自我风险评估、供应链安全、认证授权、 漏洞管理等方面框架要求 2018 系列法案与报告提供关基设施保护的建议指导和强制要求 2019 立法 《改善州、地方网络安全法案》有助于州和地方政府获得更充分的网络安全资 源 2020 强制命令 《实施漏洞披露政策》要求所有的联邦机构必须在180天内完成安全联系接口对接、漏洞提交、漏洞披露等工作 法案》 2021立法《美国网络安全和基础设施安全局网络演习 2021 《国家安全备忘录：改进关键基础设施控制系统网络安全》 提出了对关键基础设施开展网络安全应急响应、攻防演习、定期测试和评估的工作要求 制定跨部门关基设施控制系统网络安全基准，推动跨部门合作 一的网络安全实践基本规则 2021《保护5G云基础设施安全指南》 提出5G云基础设施的“防止和检测横向移动”、“安全隔离网络资源”、“数据保护”以及“基础设施的完整性保护”安全要求 2022《基