关键国家基础设施（CNI）是一个国家最重要的资产之一，确保关键国家基础设施安全对决策者来说是一项艰巨挑战。近年来，针对国家关键基础设施的网络威胁越来越多，主要分为两类，一是勒索软件，二是对恶意软件的预先部署。

勒索软件主要来自非国家行为体。据统计，2021年，受勒索软件攻击的前10个国家中，有7个位于北美洲或欧洲，如美国、法国、意大利、德国、西班牙等。其中，美国是受攻击最严重的国家，仅在2021年就发生了1946起勒索事件。例如，2021年5月，总部位于佐治亚州的科洛尼尔管道公司受到勒索软件攻击，导致其运营停止数日，引起油价上涨和加油站挤兑。另外，德国也于2022年1月发生了针对能源和物流集团Marquard&Bahls的网络攻击事件。

对恶意软件的预先部署是指在网络攻击实际发生之前访问国家关键基础设施，并在其中安放恶意软件。例如，PipeDream是一种专为攻击工业控制系统的新型恶意软件，攻击者可以通过它对工业控制可编程逻辑控制器造成中断或破坏。

世界主要国家和地区相继通过出台法律或相关举措，确保国家关键基础设施网络安全。

随着《网络弹性法案》的通过，欧盟网络安全局被定位为负责建立和维护网络安全认证框架的主要机构。根据《网络与信息安全指令》（NIS II）规定，特定关键实体必须使用经认证的信息和通信技术产品。此外，欧盟国家关键基础设施运营商需要在24小时内报告重大事件，并在72小时内对事件进行初步评估。如果关键实体违反规定，主管当局有权对该实体的首席执行官进行临时解职或处以罚款。虽然欧盟各国议会、部委、中央银行、执法部门和司法部门均不受这一指令的约束，但最新法规规定，欧盟机构及其海外代表团必须对其资产及面临的威胁进行强制性网络风险评估，并遵守最低网络安全标准。

美国在很大程度上依赖于向私人实体发布自愿措施来保护国家关键基础设施，而不是依赖于强制性法规和义务。2017年，时任总统特朗普签署行政令《增强联邦政府与关键基础设施网络安全》，加强关键基础设施网络安全保护。该行政令明确了风险评估报告的基本要求，重点关注信息通信系统、电力系统网络安全能力的评估。2018年，美国国家标准与技术研究院发布最新版《关键基础设施网络安全改进框架》，提出了自我风险评估、供应链安全、认证授权、漏洞管理等方面要求，为关键基础设施提供了更细化的指导。

在报告重大基础设施事故方面，尤其是在信息技术等领域，美国的规范也比欧盟宽松。根据规定，国家关键基础设施的所有者和运营商必须在72小时内上报网络事故，针对勒索事件要在24小时内报告是否支付赎金的情况。

尽管美国的监管环境相当宽松，但与欧盟相比，美国更倾向使用强制手段打击犯罪分子。在上文提及的科洛尼尔管道公司案例中，该公司为尽快恢复被攻击的系统，不得不向黑客支付了440万美元赎金。对此，美国司法部数字勒索特别工作组采取快速行动，一个月内便追回了大部分赎金。

美国对联邦网络的要求更为严格。2021年，美国总统拜登发布《关于加强国家网络安全的行政令》，旨在采用大胆举措提升美国政府网络安全现代化、软件供应链安全、事件检测和响应以及对威胁的整体抵御能力。该行政令承认美国需要彻底改变其处理网络安全和保护国家基础设施的方式，对网络事件的预防、检测、评估和补救是国家和经济安全的首要任务和必要条件，也是拜登政府网络安全政策的核心所在。同时明确指出联邦政府必须以身作则，所有联邦信息系统应达到或超过该命令规定和发布的网络安全标准和要求。

美国和欧盟监管机构目前将注意力主要集中在提升大型基础设施运营商的能力上。但国家关键基础设施的概念正在不断演变，例如美国国土安全部于2017年宣布，将美国选举基础设施划入国家关键基础设施的范畴。随着智能设备在各行各业和公民群体中的大规模扩散，国家关键基础设施概念的范围在未来几十年内还会进一步扩大。

一个很好的例子是，欧洲和美国的家庭普遍安装了智能温度计，这些装置有助于调节家庭温度以节约能源。但康奈尔大学一项研究表明，完全善意的协调恒温器行为已经对电网造成了压力，而恶意行为更将加剧这种压力。简言之，物联网设备的兴起给国家关键基础设施运营商带来了新的问题，也给政策制定者带来了挑战。确保分散在家庭中的设备安全对于国家安全至关重要。

更重要的是，确保部署在国家关键基础设施内的物联网设备的安全。据统计，每秒平均有127台新的物联网设备接入互联网，它们经常接收并传输未加密的数据。由于物联网设备使用寿命长，供应商没有动力在其生命周期内打补丁。在医疗保健行业，物联网风险尤其明显。例如，2019年，美国国土安全部网络应急响应小组的研究人员发现美国通用电气医疗集团存在安全漏洞，该漏洞允许攻击者发送远程命令，干扰设备的正常运转，对医疗系统带来风险隐患。

欧盟目前已通过《网络弹性法案》，旨在应对物联网安全问题，并为供应商和制造商制定新的网络安全规则。美国则通过了《2020年物联网网络安全改进法案》，规定美国国家标准与技术研究院以及行政管理和预算局负责监管联邦网络中物联网设备网络安全问题。在这方面，美国法律也比欧盟宽松，因为其措施仅限于联邦政府控制或拥有的物联网设备。法律要求联邦政府购买的设备必须符合国家标准与技术研究院设定的标准。如果不符合标准，则不应授予合同。美国立法者认为，更广泛地监管私营部门可能会削弱创新能力，认为政府层面使用的高标准将逐渐渗透到消费市场。相比之下，欧盟的法案适用于更广泛的市场。

报告认为，未来需要进一步探讨大规模复杂物联网系统（如智能城市）带来的网络安全挑战。扰乱一个城市的网络攻击很容易影响到邻近城市，因此城市之间必须密切合作。但美国、德国等联邦国家的城市往往不受联邦层面决策的直接影响。城市可以自由选择供应商，即使其可能引发相当严重的网络安全风险。此外，研究人员还需要关注特定的私营部门实体（如保险业等）如何应对国家支持的网络运营，以及这些实体给决策者带来了哪些挑战。例如，劳埃德保险集团最近宣布，私人实体不应承保国家支持的灾难性网络攻击，即使这些攻击会影响国家的基础设施。私营部门制定的这些新标准提出了新的挑战，例如什么是国家支持的网络攻击？在什么时候，国家会成为最终的再保险人？

编译：中国科学技术信息研究所  郑思聪

审校：中国科学技术信息研究所  张丽娟

来源：《科技参考》2022年第69期