在最近召开的第三届中国互联网安全领袖峰会上，通过笔记本电脑的硬件接口，一身黑色行头的素有“世界头号黑客”的凯文·米特尼克向上万名观众展示了破解读取内存当中的密码是何等容易，即使电脑处于锁屏状态。他甚至还在短时间内做了一个隐藏了“WannaCry”勒索界面的假网站。

WannaCry是一种新型的网络病毒，中文译名为“想哭”。2017年5月，“想哭”曾在48小时内横扫了100多个国家/地区内的众多组织机构，最后有数十万台电脑受到感染。欧美情报机构称，“想哭”的毒性可能继续升级。

黑客还袭击了核电站和石油系统等关键信息基础设施。近年来，这已经发生在伊朗、美国、韩国和沙特等国家身上。

关键信息基础设施，通常是指一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施。

今天，战争不再只关乎部署坦克和大炮、战斗机、炸弹和士兵，新型的网络病毒开启了一个战争新时代。“对关键基础设施的网络攻击，其破坏效果甚至能超越传统意义上的战争。有核国家几乎不可能动用核武器，但是网络攻击在目前却接近于不受任何约束。”公安大学网络空间安全与法治协创中心教授刘为军对第一财经1℃记者说。

凯文·米特尼克表示，因为网络攻击而遭受巨大经济损失的企业或受害者的数量远远比新闻报道中多，而对付攻击最好的办法是主动找出漏洞、部署补丁，防患于未然。“网络安全应该成为一个主流的事情。”

现在战争已经升级，来自一种黑暗的力量

“现在出现了越来越多的智能城市、智能家电和智能汽车，但我认为更应该叫‘脆弱城市’、‘脆弱家电’和‘脆弱汽车’，因为所有的设备都是有可能被利用的。” 凯文·米特尼克说。

上世纪70年代，15岁的凯文·米特尼克单凭一台电脑和一部调制解调器，便闯入了北美空中防务指挥部的计算机系统主机；之后他轻松进出全球更多计算机系统，视五角大楼如无物，最终因为多次入侵事件，被美国联邦调查局（FBI）列为头号通缉犯。30岁时他登上《时代》周刊的封面，好莱坞几次把他搬上银幕，最新一部是2016年上映的《你瞧，网络世界的幻想》。如今的凯文·米特尼克已是耳顺之年，但还在进行着黑客活动，只不过由一名黑帽黑客变成了白帽黑客，加入打击黑帽黑客恶行的正义之军。

凯文·米特尼克所说并非耸人听闻。 2015年12月23日，乌克兰至少三个区域的电力系统遭到网络攻击，伊万诺-弗兰科夫斯克的部分变电站控制系统遭到破坏，造成大面积停电，电力中断3小时-6小时，约140万人受到影响。

杀毒软件提供商ESET公司后来证实，乌克兰电力系统感染的恶意软件名为BlackEnergy(黑暗力量)。该软件不仅能够关闭电力设施中的关键系统，还能让黑客远程控制目标系统。

这是有史以来世界上首例得到确认的电力设施攻击行动。尽管世界上大面积停电事件时有发生，但大多数是因为外力破坏或者电力设备故障造成。

“电力系统，特别是电网系统，一旦遭到网络攻击，那么整个社会都将遭到破坏。”国家能源局“十二五”电网规划专家组成员曾德文对1℃记者说。

仅就经济方面来说，2015年7月，剑桥大学风险研究中心与保险公司Lloyd发布的报告显示，每破坏50个向电网供电的发电机，会导致高达2430亿美元至1万亿美元的经济损失。

比电力系统遭到破坏更可怕的是核电站遭到攻击。美国政府的一份报告称，自2017年5月以来，黑客一直在渗透美国核电站和其他能源设备公司的计算机网络。《纽约时报》获得了这份美国国土安全部和联邦调查局的联合报告，该报告对此提出了紧急黄色预警，是威胁敏感度最高级别中的第二级。

根据报告，在美国伯灵顿附近运营核电站的沃尔夫河核运营公司是黑客渗透的目标公司之一。该公司人员称，他们的运营系统没有受到影响，因为公司网络和互联网及核电站运营网络是分开的。

“我们从未想到我们的关键基础设施控制系统会面临高级恶意软件威胁。”美国联邦能源监管委员会前主席威林霍夫在今年7月份称，近年来美国的关键基础设施系统安全有所改进，但仍容易受到高级黑客攻击。

韩国也遭到了类似的攻击，而且不止一次。据韩联社2014年报道，这一年，韩国两座核电站的内部文件再一次遭到泄露，之前泄露的文件包括核电站约1万名员工的个人信息、核电站程序运行说明、空调和冷却系统设计图、阀门设计图等。韩国官方认为，这是“一起非常严重的国家安全事件，原本不应该发生”。

伊朗则差一点就成为首个因为网络病毒入侵而导致核电站遭到打击的国家。位于伊朗首都德黑兰以南一百公里的布什尔核电站从2007年9月奠基动工之日起，就是由国防军参与保卫的机密地带。但在2010年7月的一天，核电站里正在工作的八千台离心机突然出现故障，电脑数据大面积丢失，其中的上千台被物理性损毁。伊朗后来发现，侵犯该核电站的是一种名为“震网”的新型网络病毒。

“‘震网’是一种复杂得令人难以置信的病毒。”PGP邮件加密软件开发者菲利普·齐默尔曼后来分析称，“在‘震网’之前，恶意软件做得都很简单，一至三个人就可以完成；而开发‘震网’需要一个庞大的团队，团队中的工程师具有多种不同的技能。”

更让人震惊的是，事过多年，这个确定存在的破坏者是谁、在哪里，至今无从确切知晓。人们只知道，这个瘫痪了一座核电站的数字武器是装在一个小巧的U盘中，通过不易被人觉察的方式溜进了核电站一名工程师的电脑中。

黑客还攻击了石油大国沙特的石油系统。2012年8月15日，5.5万多名沙特国家石油公司员工在家中休假。但就在这一天，黑客出其不意地侵入了这家石油日产量超过900万桶的公司计算机网络系统，导致供货管理、运输、和政府及公司签约等诸多活动只能靠纸笔来进行。病毒还抹去了该公司计算机系统中四分之三的数据，包括文件、电子数据表、电子邮件与档案等。

沙特国家石油公司是全球最大的石油生产公司和世界第六大石油炼制商，业务遍及沙特王国和全世界。该公司一位有关负责人后来接受一家电视台采访时说，“此次袭击的主要目的，是阻止公司向本地和国际市场提供石油和天然气。”

黑客青睐的领域还有金融系统。最近一起震惊世界的案例发生在孟加拉国。2016年年初，黑客盗走了孟加拉国央行1亿美金。该行后来仅追回了约2000万美元，剩下的则流入到菲律宾的赌场及博彩公司。

如果不是嫌疑人“手抖”拼错了地址，孟加拉国央行的损失可能高达10亿美元。因此引咎辞职的该行行长拉赫曼后来说，“所有的央行和银行都应该警惕网络袭击，这与恐怖袭击一样非常恶劣。”

卡巴斯基实验室创始人尤金·卡巴斯基就该事件评论说，可能还有更可怕的事情发生，因为有些黑客对金融系统进行攻击，其目的“不是用来挣钱”，而仅仅是为了“使其瘫痪”。

在中国，2013年6月22日，爱德华·斯诺登向媒体透露，美国国家安全局曾入侵中国电讯公司以获取手机短信信息，并持续攻击清华大学的主干网络以及电讯公司Pacnet香港总部的计算机，该公司拥有区域内最庞大的海底光纤电缆网络。

上述一系列事件，集中反映了网络攻击目标已逐渐从个人开始转移到公共事业领域。“现在战争已经升级。”美国网络与信息技术研发计划负责人乔治·斯特郎说。

网络安全需要立法推动

就上述一系列网络攻击事件，公安部第三研究所副研究员黄道丽向 1℃记者表示，这说明核电站、电力系统、石油系统等传统的物理基础设施与信息系统的融合程度在不断加深，全球范围内关键信息基础设施面临的安全形势十分严峻。在网络恐怖主义、网络盗窃、网络间谍、网络黑客、网络攻击（APT）和网络战争日益频繁的当下，关键信息基础设施的稳定运行不仅影响相关关键基础设施部门的安全，更会威胁网络空间安全、经济安全甚至国土安全。

工业和信息化部电子一所安全专家唐旺在2015年表示，关键信息基础设施的保护是各国网络安全战略的重中之重，而中国在关键基础设施保护方面还存在较大差距。他说，一是关键基础设施信息不明。美国从上世纪90年代开始至今，关键基础设施已形成名录和数据库，非常完善，但中国国内关键基础设施清单底数依然不清楚；二是，一段时间里，国家关键基础设施保护工作缺少顶层设计、政策支撑和法律依据；三是国家网络安全保障工作缺少统筹和协调统一行动。

资料显示，美国早在2001年的《爱国者法案》和2003年的《国家网络安全战略》中就列出了事关国家安全和经济安全的18个关键信息基础设施领域。对关键信息基础设施的保护将使国防、经济、国家信息与通信系统部门以及国内外政策部门等受益。而到了2017年，美国总统特朗普签署了一份行政令，加强联邦网络和关键基础设施的网络安全防范。

即便如此，美国国土安全部还是认为，对关键基础设施的网络攻击是美国“必须面对的最严重的国家安全挑战之一”。和美国一样，欧洲网络和信息安全局也为欧盟成员国的关键信息基础设施保护提供顶层设计和战略指导。

“当前，我国关键信息基础设施面临的安全形势严峻，关键信息基础设施安全保障工作亟待加强。”黄道丽对 1℃记者说，“电信、能源、交通、金融、政务等关键信息基础设施支撑着相关行业或领域的重要业务，已经成为网络攻击的重点对象。目前我国关键信息基础设施安全保障整体水平还不高，难以有效抵御有组织大强度的网络攻击。关键信息基础设施建设中安全系统建设相对滞后，尤其在监测预警、应急响应、处置恢复能力方面存在许多薄弱环节。”

此外，黄道丽说，自主可控目前还不能完全覆盖国内关键信息基础设施建设和运行管理的要求，关键信息基础设施的部分设备和部件短期内难以摆脱依赖进口的局面。与此同时，关键信息基础设施集中承载着越来越多的敏感数据，这些数据事关国家安全和社会稳定，逐步成为网络黑客和间谍机构的重要攻击目标。

这已经引起了中国的高度重视。2016年11月7日，《网络安全法》正式通过，并自2017年6月1日起施行。这是中国第一部全面规范网络空间安全管理方面问题的基础性法律。

根据《网络安全法》，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

在7月21日召开的2017第二届中国信息安全服务年会上，公安部网络安全保卫局网络与信息安全通报处处长盘冠员表示，关键信息基础设施的安全关乎国计民生、公共利益和国家安全，《网络安全法》给关键信息基础设施的安全保护构建了一个系统的保障体系。

“《网络安全法》为我国有效应对网络安全威胁和风险、全方位保障网络安全提供了上位法依据。相关部门紧锣密鼓制定或已出台配套行政法规、规章、规范性文件和标准等，对网安法进行细化补充，使之更具有操作性。总体来说，法律的生命力在于实施。”黄道丽说。

她表示，《网络安全法》施行后，网络安全领域立法呈现的滞后性有所缓解，但立法的执行与有效性尚待检验。比如最近的各地网安法执法第一案和网安法配套制度征求意见的各方反馈，就体现出法律与社会的相互作用，一方面社会慢慢会形成网络空间的某些规则共识，一方面法律也在适应社会现状。

对此，刘为军也表示，《网络安全法》的许多规定仍然较为笼统，有些重要的网络安全问题未做规定，有待今后以各种立法形式加以细化和修正，增强操作性，并使其能够满足网络社会不断发展演变的需要。

“要做到魔高一尺、道高一丈 ”

“伊朗等国遭受攻击，既充分说明各国（包括网络强国）的关键基础设施比我们想象得更脆弱，也说明由国家或者非国家行为体发起的网络战并不只存在于口号或纸面上。”刘为军对1℃记者说，“网络安全特别是关键基础设施安全已经成为国家安全极为重要的组成部分，需要各国找准方向，加大投入，在没有止境的网络攻防中占据优势地位。”

在核心技术方面，伊朗上述核电站遭受攻击便是一个典型的例子。在今年举行的中国(国际)核电仪控大会上，谈及伊朗核电站遭到网络病毒攻击时，著名核反应堆专家、中国工程院院士叶奇蓁分析称，伊朗的计算机控制系统从国外引进，“后门钥匙”还掌握在别人手中。

中国正在努力实现弯道超车。以核电为例，叶奇蓁说，如今，中国在核电方面，主设备、泵阀大部分实现了国产化，还剩下一些个别项目，国家正在组织力量进行攻关。现在的国产化的重点已转移到核电仪控技术。无论是核测技术还是核电DCS系统，都有一些优秀产品通过了考核验证。

DCS系统被喻为核电站的眼睛、耳朵和神经中枢，控制着核电站近300个系统、近万个设备的运行和各类工况处理过程，对于保证核电站安全、可靠、稳定运行发挥着至关重要的作用。

国内某核电集团一位资深的DCS系统研发工程师向第一财经1℃记者介绍说，DCS系统质量标准严、研发投入大、鉴定要求高，长期以来只有少数发达国家掌握该技术，中国过去一直依赖进口，不仅在技术和价格上没有发言权，在核电项目进度、信息安全方面也受制于人。“只有属于我们研发的技术，信息才会更加安全。”

据叶奇蓁介绍，近年来，中国在DCS系统、核测仪器仪表等方面推出了一批国产化产品，并应用在国内的核电站。

官方资料显示，目前，中核集团、中广核、国家电投等三大核电巨头一直致力于DCS系统的自主化和国产化的研发，并获得了重大突破，技术和产品步入了国际先进水平行列。比如，2016年，国家电投研发的DCS平台NuPAC，通过中国国家核安全局和美国核管理委员会许可。这也是全球首个通过中美政府核安全监管机构行政许可的核电站反应堆保护系统平台。

国家电投旗下国核自仪系统工程有限公司董事长记曹永振介绍说，在此之前，全球只有西屋公司、原西门子现阿海法公司、英维斯三家产品获得了美国核管会的认证，但他们都是基于CPU技术，而作为全球第四家拿到认证的产品，国家电投是唯一一家采用国际原子能署推荐的可编程门阵列(FPGA)技术的新产品。

曹永振表示，近年来，网络信息安全备受关注，高可靠性的FPGA技术受到国际原子能机构的推崇，是最新的一代反应堆保护系统优选技术方案。该技术不依赖于软件运行，实现了软件硬件化，能够有效抵御网络攻击，系统架构采用独特的模块化、通用性设计，其本质安全特性为核电站运行提供了最高的安全屏障。

“FPGA技术，可以实现软件硬件化，能杜绝木马植入。另外，它是通过点对点通信，白名单机制，有效抵御网络攻击。”一位参与NuPAC研发的工程师对1℃记者说。

根据1℃记者了解，中国三大核电集团自主研发的新一代DCS系统将陆续投入使用，未来将全面替代进口设备。但叶奇蓁指出，国产化不是终点，因为核电仪控技术是不断进步的。特别是随着近年来数字化、信息化技术高速发展，可以说是每五年或十年，相关技术就会更新换代。

而在电网系统方面，已经出台的《电力发展“十三五”规划》特别指出，要优化区域主网架，加强省间联络。进一步调整完善区域电网，提升各电压等级电网的协调性，加强区域内省间电网互济能力，提高电网运行效率，确保电力系统安全稳定运行和电力的可靠供应。“电网结构只有做到清晰，才能确保电网运行安全可控。”曾德文对1℃记者说。

“网络安全是一项综合工程，除了在核心技术上奋起直追外，提升安全意识、落实安全责任、培养网安人才等，缺一不可。”刘为军表示。

乌克兰电力系统遭受攻击事件“原本不应该发生”。就此事件，中国最大的电网公司国家电网旗下的《国家电网报》后来总结道：事件发生前，国际安全机构曾对乌克兰电力机构发布预警信息，但未引起重视。