近期，针对金融、能源、交通等关键信息基础设施（CII）的网络攻击事件频发。据国家互联网应急中心（CNCERT）数据，仅2024年第三季度，国内CII领域就监测到超过1200起高危漏洞利用事件，其中不乏针对工控系统（ICS）和SCADA系统的定向渗透。这些攻击往往并非直接摧毁数据，而是通过长期潜伏、窃取凭证、篡改控制逻辑来制造“温水煮青蛙”式的威胁。这背后，是传统合规驱动的“纸面安全”与动态变化的高级持续性威胁（APT）之间日益尖锐的矛盾。

问题的根源在于，许多组织将安全投入集中于边界防御，却忽视了资产底数不清、供应链风险失控、以及内部运维流程的脆弱性。例如，某省级电力调度中心在安全自查中发现，其核心数据库中竟有17%的“幽灵资产”——即已退役但未注销的虚拟服务器，这些节点成了攻击者横向移动的跳板。这种“隐性暴露面”的扩张，使得传统的漏洞扫描和渗透测试难以覆盖全貌。因此，网络安全风险评估必须从“资产清单检查”升级为“业务韧性评估”，重点在于识别关键业务流的单点故障依赖。

风险评估标准与实施框架

当前，国内CII风险评估主要依据《关键信息基础设施安全保护条例》及GB/T 39204-2020《信息安全技术 关键信息基础设施安全保护要求》。但在实际落地中，我们发现一个核心痛点：标准偏重“管理合规”，而缺乏对“技术验证”的量化指引。例如，标准要求“定期进行风险评估”，但并未明确风险等级与业务中断容忍度的映射关系。我们的工程团队在服务某大型港口时，采用了一种改进的“三维评估模型”：资产重要性（A）、威胁可能性（T）、业务影响（I），将风险值公式化为 R = A × T × I / 安全控制有效性（C）。通过这一模型，我们成功将港口集装箱调度系统的潜在停机风险从“高”降至“中”，避免了因单一PLC漏洞导致全港瘫痪的灾难性后果。

实施要点的技术细节

在具体执行中，需关注三个关键环节：

• 资产深度测绘：不仅扫描IP和端口，还要通过协议解析（如Modbus、IEC 104）发现工控网络中的“隐式资产”——例如未配置SNMP的RTU设备。我们曾利用流量镜像分析，在某水务集团发现3个被遗忘的老旧PLC，其固件版本仍停留在2016年，存在已知的远程代码执行漏洞（CVE-2018-10732）。
• 威胁建模的实战化：采用MITRE ATT&CK框架对攻击路径进行推演。比如，针对某政务云平台，我们模拟了“通过钓鱼邮件获取办公网权限→利用VPN隧道跳板进入生产网→窃取数据库凭证”的全链路，发现其日志审计存在6小时延迟，这恰好是攻击者留存关键证据的“黄金窗口”。
• 风险处置的闭环验证：修复后必须通过攻击模拟（如原子红队测试）来验证补丁是否引入新的配置冲突。在一次电力行业评估中，安全团队修复了IEC 61850协议漏洞，却导致间隔层设备的通信超时参数发生偏移，最终通过回归测试才避免了一次误跳闸事故。

从合规驱动到能力驱动的转变

对比来看，传统“合规型”风险评估往往止步于文档评审和问卷访谈，而“能力型”评估则要求安全团队具备跨域知识——既懂IT层的Web应用安全，也要理解OT层的物理过程耦合。例如，某化工企业曾通过第三方网络安全服务进行合规评估，报告显示“无高风险”，但后续发生的勒索攻击却从OA系统的0day漏洞切入，最终加密了DCS系统的历史数据库。事后复盘发现，评估团队在资产清单中遗漏了车间层的无线传感器网关。这种教训说明，网络安全风险评估不能脱离实际业务场景和物理环境。

对此，我的建议是：将风险评估嵌入到系统的全生命周期中。首先，在项目立项阶段就引入“安全架构评审”，避免后期推倒重来。其次，每个季度至少执行一次轻量级的“威胁狩猎”，重点关注异常流量模式（如工控网络中非标准的OPC UA通信频率）。最后，建立与监管机构、同行业者的威胁情报共享机制——例如，参与CNCERT的行业通报平台，获取针对特定工业协议（如S7comm）的漏洞信息。只有将静态的评估报告转化为动态的防御能力，CII的安全防线才能真正从“纸面”落到实处。