全国政协委员、安天集团创始人、首席技术架构师肖新光

一、背景

我国重要信息系统和关键信息基础设施的网络安全防护水平通过多年合规拉动，结合近几年实战化攻防演练，已经有很大提升。但网络空间对抗已经事实上成为大国博弈与地缘安全竞合最为复杂和常态化的样式之一，相关系统的安全防护要求，不能仅仅立足于防范一般性、常态化风险，还要放在复杂严峻的国际形势下，放在可能出现的“黑天鹅”、“灰犀牛”事件，和有可能出现的高烈度对抗背景下看待。

因此，网络安全防护工作需要进一步强化网络空间的敌情意识，把握“客观的敌情想定是做好网络安全防御工作的前提”这一基础规律，科学认知关键信息基础设施面临的威胁与对抗的演进态势，充分了解预判威胁行为体，特别是高级网空威胁行为体，展开想定推演工作，支撑构建可对抗高级威胁的网络安全防御体系。

二、问题

面对威胁对抗烈度提升和常态化有三个挑战：

一是网络安全规划工作尚未将“敌情想定”构建作为必须性和前置性环节。当前关键信息基础设施的运营单位在网络安全规划阶段，主要从保障本单位业务需求出发，以合规点覆盖为主线，并辅助一定程度的实战化攻防演练，缺乏把业务场景和资产价值、数据价值放到国际形势和地缘安全大背景下的进行敌情想定分析。如不能将“敌情想定”构建作为必须性和前置性环节，就难以做到以科学规划统领关键信息基础设施网络安全建设，也就无从构建起有效的防御体系。

二是实战化检验缺少与推演的有效结合。面向关键信息基础设施的实战化攻防演练工作，已经有了较好的实践，成为推进网络安全防护的必备环节。但也存在实施成本较高、难以常态化的问题。同时，针对性模拟威胁行为体，特别是充分模拟超高能力威胁行为体活动有一定困难，且基于现网环境开展，难以设定极端化情况和后果，以及产生的关联影响，无法达成全面检验防御能力的目标。

三是欠缺支撑想定与推演的工具和平台。现有靶场平台更偏重基础实战攻防，难以支撑综合背景和想定导入。现有兵棋、沙盘系统对网络空间安全的支撑力不足。导致目前的想定推演工作总体上偏纸面化，缺乏对想定背景的整体设定能力以及面向攻击行为体、攻击技战术以及信息资产的形式化建模，欠缺相关辅助想定推演的配套工具和平台。

三、建议

针对以上问题，提出如下建议：

一是将“敌情想定”构建工作作为网络安全规划建设的必须环节。建议主管部门统筹引导，将构建敌情想定作为网络安全规划的重要前置条件。推动重点行业、重点领域、关键信息基础设施、地缘安全敏感地区，根据本领域、本地区、本单位的特点，开展敌情想定分析工作。梳理对应信息系统的业务和数据价值与国家安全、社会治理安全、公民个人安全等层面的关系，以及与总体国家安全的关联影响，叠加到地缘安全风险的场景背景下，分析可能发起攻击的威胁行为体，基于威胁行为体的能力、作业风格等信息，完成想定构建。并形成阶段性更新机制，以及重大关联安全风险和事件背景下的紧急触发机制。

二是推动实战化攻防演练和推演机制的有机结合。建议负责关键信息基础设施安全保护工作部门制定本行业、本领域基于敌情想定的网络安全事件推演方案，并定期组织实战演练，对推演进行验证、更新和完善。以提升应对极端化场景、突发网络安全事件下的战术执行能力和战略决策能力。

三是设立专项支持网络安全想定推演支撑能力建设。建议相关部门对网络空间安全想定推演工作领域所需基础理论、实用工具、工程系统和人才培养等方面进行方向牵引和专项支持。尽快推动形成支撑相关工作的方法论、工具集和人才队伍。