关键信息基础设施数字风险发展趋势是什么？

如果你对该问题感兴趣的话，推荐你看看《2023关键信息基础设施数字风险防护报告》这篇报告，下面是部分摘录的内容，具体请以原报告为准。

1.第三方数字风险成为关基风险管理的重点

2017 年，第三方供应链软件安全事件进入公众视野。尽管当时引 起了广泛关注，但受事件数量或其他因素的限制，并没有引起业 界足够的重视。直到 2020 年底，SolarWinds 事件波及了包括美 国关基设施行业中多家大型通信公司、美国陆军、美国联邦政府 及多个行政部门后，公众及业内人士才蓦然意识到关基设施的第 三方网络安全的重要性。

第三方数字风险之所以一石激起千层浪，除了恶劣及深远的攻击 影响，另一方面是由于攻击方式不同于传统的直接攻击，而是将 攻击矛头指向与攻击目标相关的其他主体。这样一来，攻击隐秘 性大幅提升，攻击范围也得以扩大。犯罪分子将目标瞄准到供应 链条中的上游厂家，出于合作关系的信任以及业务数据共享的必 然性，下游的采购方对上游厂商提供的安全产品有很高的深信度， 因此安全漏洞问题自然而然被层层传递至用户终端。无形中，良 好的商业合作被有心者利用，不知不觉成为了网络威胁的扩散渠 道。对于受害群体来说，风险的隐秘性无疑增加了风险探测的难度， 使本就如临深渊的安全防护体系雪上加霜。

早在 2018 年，特朗普政府为了确保联邦政府采用安全可靠的网络 系统，出台了《国家网络战略》，明确提出要求联邦政府进行第 三方风险管理的要求。同时，还强调供应商信息需要在政府各部 门之间建立共享机制及安全风险评估共享服务。后来，拜登政府 也发布了《美国供应链行政令》，提出对部分关键行业和领域进 行供应链审查的硬性要求。2022 年 5 月，为了将第三方安全防护 纳入关基设施主体内部的采购流程考虑因素，制定更合理的采购 方案，美国国家标准与技术研究院（NIST）更新了解决软件供应 链风险的网络安全指南，再次强调了第三方网络安全在风险防护 体系中举足轻重的地位。 近几年，我国在网络安全方面的意识觉醒催生了包括《中华人民 共和国网络安全法》、《网络安全审查办法》、《关键信息基础 设施安全保护条例》等政策法规，不仅从国家层面贯彻实施网络 强国战略，同时也向社会层面推广互联网风险防护的重要性。《关 键信息基础设施安全保护条例》明确说明要优先采购安全可信的网络产品和服务，并与提供者签订安全保密协议；针对可能影响国家安全的第三方供应商，应当按规定通过安 全审查。

如今，数字化改革不断加深着企业和民众对互联网的依赖，而大量犯罪分子正在利用企业迫切通过网络触达用 户的渴望，采取发起多种外部面攻击的方式，实施对企业、品牌、用户等目标的诈骗及侵权行为。近几年爆发 的一系列第三方供应商网络安全事件也为企业的数字风险管理体系提供了新的视角。由于供应链条上各成员组 织的强关联性，关基企业在进行数字风险防护时仅对自身风险进行探测已不能满足当前风险防护的需求，厂商 与采购方的风险协作管理逐渐崭露头角。拓宽的防护战线不仅为组织提供了在不同维度下供应商的风险评估排 名，企业也可根据自身需求及发展战略来挑选最优的合作厂商，以求品牌价值到最大的保护。

2.制造业成为黑客“新宠”

随着工业互联网的兴起，工业大数据已经成为制造业企业的核心资产，这其中隐藏的商业价值不言而喻。大量 犯罪分子也敏锐地嗅到了“商机”，对制造业发起规模性攻击。2022 年，天际友盟监测到包括汽车、食品加工、 电子、重工业、化学、板材等各制造子行业的风险，占风险总量的 1.82%，数量仅次于政府风险，位列第三。 上述现象并非仅发生在中国。近几年，不少网络企业发现制造业面临的网络风险逐渐增多，逐步成为网络犯罪 分子、勒索软件和国家黑客的攻击目标。据 IBM 在 2020 年发布的威胁情报报告来看，2020 年第一季度，勒索 软件攻击对所有行业的攻击占比增加了 25％，但针对制造业的攻击增加了 156％。Verizon 发布的《2020 数据 泄露调查报告》确认了 922 起针对制造企业的网络攻击，其中 381 起导致了敏感数据泄露。这足以引起业界人 士对制造业网络安全防护的重视。 工业互联网不断普及使得大量物理机器与网络传感器和软件进行集成，越来越多的对象相互连接、通信和交互， 网络犯罪分子控制的端点数量激增，攻击方式愈发多样化，自动控制系统越来越容易受到网络攻击，特别是那 些涉及国家基础支持设施的工业控制系统。此外，人为因素也不容忽视，如软件操作不当、设备配置错误、版 本老旧、设置密码等级过低、过度索取权限等。

3.针对政府的网络攻击加剧

随着互联网技术不断成熟，我国数字政府建设已进入快车道。2022 年 6 月，国务院印发《关于加强数字政府 建设的指导意见》，就主动顺应经济社会数字化转型趋势，全面开创数字政府建设新局面作出部署。然而在政 府数字化改革如火如荼时，因权威属性，包括人力资源、税务、海关、卫生、公检法等大量政府部门成为网络 犯罪者攻击的对象。大量不法分子制作仿冒网站或 APP，盗用政府网站名称和 logo，对网民进行钓鱼欺诈活动， 或宣传色情、赌博信息，或转链非法网站等，以此谋求不义之财。2018 年，工业和信息化部宣发了《关于纵 深推进防范打击通讯信息诈骗工作的通知》。《通知》强调了加强钓鱼网站和恶意程序整治的重要性，致力于切实降低网络诈骗威胁风险，加强对仿冒政府等钓鱼网站和涉嫌诈骗类恶意程 序的监测分析和信息共享，及时依法处置钓鱼网站和诈骗类恶意程序，及时提 醒诈骗类钓鱼网站和恶意程序风险情况。

除了钓鱼欺诈，数据泄露也是困扰着政府部门常见的数字风险之一。政府部门 通常拥有触及持续更新的海量数据，同时涉及到个人隐私，乃至国家安全。 2021 年，滴滴美股上市将数据安全问题引入大众视野，引起国家的高度重视 和全网热议。此外，关基企业与国家组织机构部门关系紧密，某些敏感文件在 上传下达的过程中，存在着外泄的可能。 虽然数字政府能够带来极大的便利，但其所面临的数字风险也引发了广泛的关 注和担忧。如何充分发挥政府职能优势，携手各方，捍卫中国网络安全成为其 发展战略及承担社会责任的重中之重。

4.威胁情报蕴含巨大市场

2013 年威胁情报在 Gartner 的研究报告中首次出现，之后逐渐走入人们的视 线。近几年，随着网络威胁手段不断更新，各国政府持续加大对网络安全防 护和数据保护的监管力度，与国民经济相关紧密的关基行业与国央企纷纷响 应国家政策，积极构建防护和检测系统，将不速之客拒之门外。在这过程中， 威胁情报从理论转化为实践，逐渐发展为防御体系的利器，在网络安全领域 中发挥了重要的作用。 另一方面，全球网络空间冲突不绝，国家级网络攻击频次不断增加，攻击复 杂性持续上升，进一步加深了组织对威胁情报的需求。根据对国际市场的趋 势分析和对国内市场的研究，斯元商业咨询预计 2023 年中国威胁情报订阅服 务支出为 37 亿元，比 2022 年增长 23.5%。