習近平總書記指出，“網(wǎng)絡(luò)安全的本質(zhì)在對抗，對抗的本質(zhì)在攻防兩端能力較量”。網(wǎng)絡(luò)戰(zhàn)不是我們想不想打的問題，而是必須有效應對的問題。為有效應對敵對勢力的網(wǎng)絡(luò)戰(zhàn)威脅，保衛(wèi)國家安全，公安部近年來組織全國公安機關(guān)開展了多次攻防演習。通過演習，發(fā)現(xiàn)了關(guān)鍵信息基礎(chǔ)設(shè)施存在的十大突出風險隱患：

一、互聯(lián)網(wǎng)暴露點過多，非法外聯(lián)問題突出;

二、老舊漏洞不修補、弱口令等低級問題仍然存在;

三、內(nèi)網(wǎng)缺乏分區(qū)分域隔離，重要數(shù)據(jù)保護措施不到位;

四、“神經(jīng)中樞”類系統(tǒng)防護薄弱，系統(tǒng)和網(wǎng)絡(luò)訪問控制機制不健全;

五、供應鏈成為防護薄弱點，也成為黑客攻擊的橋梁;

六、重要信息、敏感信息在互聯(lián)網(wǎng)上泄露的問題嚴重;

七、基層單位網(wǎng)絡(luò)防守薄弱，可導致“一點突破，全網(wǎng)淪陷”的嚴重后果;

八、由于網(wǎng)絡(luò)廣泛互連，重點單位難以抵御跨網(wǎng)攻擊威脅;

九、數(shù)據(jù)全生命周期防護不到位，是網(wǎng)絡(luò)安全的最大短板;

十、網(wǎng)絡(luò)安全綜合防御體系尚未建立完善。

風險隱患具體分析如下：

問題一：大數(shù)據(jù)、云平臺、物聯(lián)網(wǎng)等安全防護薄弱，成為重點攻擊目標

當前，數(shù)據(jù)集中共享、業(yè)務云化融合、萬物互聯(lián)互通已經(jīng)成為發(fā)展趨勢，也成為黑客關(guān)注的焦點，相關(guān)系統(tǒng)被攻擊破壞的事件層出不窮。部分重點單位對大數(shù)據(jù)、云平臺、物聯(lián)網(wǎng)安全的重視程度不夠，對其存在的安全風險認識不清，管理措施薄弱，技術(shù)防護措施不到位，成為重大風險隱患。許多單位的業(yè)務數(shù)據(jù)在多個部門之間傳遞、應用，數(shù)據(jù)在存儲、交換、應用過程中防范措施不落實，成為攻擊者的重點目標。

問題二：互聯(lián)網(wǎng)上的暴露點過多，成為攻擊者的首選攻擊入口

隨著重要行業(yè)部門的正面防護能力不斷提升，攻擊者越來越多地使用迂回攻擊的手段，通過攻擊防護薄弱的下屬單位避免正面對抗，往往能取得突出效果。部分重點單位總部防護措施完善，但對全行業(yè)網(wǎng)絡(luò)安全缺乏統(tǒng)籌管理，致使全行業(yè)網(wǎng)絡(luò)暴露面過寬，基層單位防護措施不到位，漏洞大量存在，成為攻擊者迂回攻擊的突破口。

問題三：內(nèi)網(wǎng)防護不健全，缺乏縱深防御

一些重要行業(yè)單位重邊界防護、輕內(nèi)部防御，缺乏分區(qū)分域隔離和域內(nèi)防護措施，導致防護措施成為“馬其諾防線”，被輕易繞過。

問題四：核心系統(tǒng)和設(shè)備安全加固手段缺失，缺少精細防護措施，極易被攻擊者攻破。

“神經(jīng)中樞”類系統(tǒng)缺乏重點加固，攻擊者可直搗網(wǎng)絡(luò)核心。一些重點單位對域控系統(tǒng)、殺毒管理后臺、堡壘機、身份認證系統(tǒng)等“神經(jīng)中樞”重視不夠，沒有采取有效的精細化防護措施，可造成“一點被控，全網(wǎng)被控”的嚴重后果。

問題五：敏感信息泄露嚴重，成為網(wǎng)絡(luò)攻擊的“情報源”

一些重點單位的大量建設(shè)運維方案、網(wǎng)絡(luò)拓撲、賬號密碼、系統(tǒng)原始代碼等敏感信息被第三方上傳到共享網(wǎng)站上。攻擊者在境外代碼共享平臺 GitHub及百度網(wǎng)盤等平臺上獲取一些單位的系統(tǒng)源代碼，通過源代碼篩查，挖掘并利用零日漏洞，攻破內(nèi)網(wǎng)，即可獲取重要數(shù)據(jù)資源。敵對勢力一旦竊取以上信息，就可以分析掌握我重要部門的發(fā)展動向，直擊我關(guān)鍵要害。

問題六：老舊資產(chǎn)、測試系統(tǒng)清理不及時，成為攻擊的重要跳板

部分單位網(wǎng)絡(luò)資產(chǎn)邊界不清、責任不明，老舊資產(chǎn)、測試系統(tǒng)未及時清理下線，缺乏安全防護措施，被攻擊利用而無法察覺。

問題七：遠程辦公和移動應用防護能力不強，成為攻擊的新渠道

許多重要行業(yè)部門和政府單位為便于業(yè)務開展，在內(nèi)外網(wǎng)之間部署了大量VPN通道。攻擊者可通過信息搜集、資產(chǎn)測繪發(fā)現(xiàn)專網(wǎng)的VPN通道，并通過暴力破解、零日漏洞利用等手段，通過VPN進入單位內(nèi)網(wǎng);利用目錄訪問、弱口令、任意文件上傳等組合攻擊方式，獲得重要業(yè)務系統(tǒng)控制權(quán)。一旦系統(tǒng)被攻擊者關(guān)?；蚯蹇諗?shù)據(jù)，就會造成業(yè)務癱瘓，嚴重影響經(jīng)濟秩序和經(jīng)濟安全。同時，移動App作為信息發(fā)布的重要渠道，其安全性未得到廣泛關(guān)注，極易被逆向、監(jiān)聽。

問題八：供應鏈安全管控不力，成為迂回攻擊的重要通道

長期以來，一些重點單位的網(wǎng)絡(luò)安全防護工作停留在單點防護、被動防護上，忽視了網(wǎng)絡(luò)安全的整體性、關(guān)聯(lián)性，使供應鏈攻擊成為屢試不爽的攻擊手段。大量提供產(chǎn)品供應、安全服務、域名服務的供應商未落實安全責任和安全措施，在產(chǎn)品供應、安全服務、域名服務等供應鏈安全方面問題突出;重要行業(yè)部門對供應商的管理措施缺失，導致供應鏈成為攻擊的跳板。

問題九：安全責任不落實、漏洞不修補、弱口令等低級問題長期存在

網(wǎng)絡(luò)安全工作，技術(shù)和管理要并重。由于一些單位管理不到位、整改不及時，很多漏洞風險被反復利用，給攻擊者帶來可乘之機。盡管大部分部委、央企的弱口令、老舊漏洞問題明顯改進，但地市級以下等基層單位安全意識薄弱，安全責任落實差，漏洞修補不及時、弱口令、口令復用等問題仍普遍存在。同時，基層單位對網(wǎng)絡(luò)安全重視不夠，防護措施不到位，成為網(wǎng)絡(luò)攻擊的突破口。

問題十：安全意識差，操作不規(guī)范，極易遭受社會工程學攻擊

除以信息系統(tǒng)為目標外，針對“重點人”的社會工程學攻擊手段危害極大，郵件釣魚、身份偽裝、信息套取等方法層出不窮。一些重點單位網(wǎng)絡(luò)安全管理措施不到位，系統(tǒng)管理員安全意識淡薄，成為黑客的圍獵目標，被長期跟蹤、重點盯控而毫無察覺，導致“關(guān)鍵人”丟掉了“關(guān)鍵系統(tǒng)”控制權(quán)。

另外，黑客組織和不法分子采取多種方式，利用多種手段、工具、技術(shù)等進行網(wǎng)絡(luò)攻擊：

一是將互聯(lián)網(wǎng)上的暴露點作為首選攻擊入口，從互聯(lián)網(wǎng)側(cè)實施攻擊；

二是利用老舊漏洞、弱口令、網(wǎng)上泄露的敏感信息等實施攻擊；

三是采取旁站攻擊、物理設(shè)備攻擊、跨網(wǎng)攻擊、郵箱系統(tǒng)攻擊、集權(quán)類設(shè)備攻擊等手段，實施入侵攻擊控制；

四是采取零日攻擊、供應鏈攻擊、免殺和加密隧道等隱性攻擊、釣魚攻擊、水坑攻擊，以及目標單位周邊WiFi攻擊、安全產(chǎn)品和IoT設(shè)備漏洞利用攻擊、核武器級漏洞利用攻擊、域名污染攻擊等新型攻擊手段，實施網(wǎng)絡(luò)攻擊、入侵控制、竊密等違法犯罪活動，給我國網(wǎng)絡(luò)安全帶來嚴重威脅和挑戰(zhàn)。

轉(zhuǎn)載自《<關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例><數(shù)據(jù)安全法>和網(wǎng)絡(luò)安全等級保護制度 解讀與實施》一書。

來源：關(guān)鍵信息基礎(chǔ)設(shè)施安全保護聯(lián)盟籌