Pansin note

切换主题

全球关键信息基础设施安全战略博弈与“新质战斗力”构建深度研究报告

字数
6649 字
阅读时间
27 分钟

1. 宏观背景:地缘政治裂变下的关键信息基础设施安全

在当前全球政治经济格局深刻调整的背景下,关键信息基础设施(Critical Information Infrastructure, CII)已超越了传统的网络安全范畴,成为大国博弈的核心高地。中美贸易争端与科技脱钩的阴云笼罩全球,数字世界的“碎片化”与“割裂化”趋势日益显著。随着人工智能(AI)技术的爆发式增长,网络空间的攻防对抗正经历着从“数字化”向“智能化”的代际跃迁。

1.1 全球碎片化与地缘冲突的数字投射

全球化红利的消退使得基于互信的国际供应链体系逐渐瓦解。以美国为首的西方国家通过“小院高墙”(Small Yard, High Fence)策略,试图在关键技术领域对华实施封锁,而关键信息基础设施则是这一战略的防御底座。从俄乌冲突中的网络混合战,到针对能源、金融、通信等命脉行业的国家级APT攻击,CII的安全已直接关系到国家主权与政权安全。

在此背景下,各国纷纷将CII保护提升至国家最高战略层面,通过立法、行政令及标准制定,构建排他性的安全生态。这种趋势不仅体现在防御技术的升级,更体现在对供应链的严格审查与对数据流动的管控上。

1.2 “AI+”时代的非对称对抗新常态

人工智能技术的引入,彻底改变了网络攻防的成本曲线。攻击者利用生成式AI(Generative AI)实现了攻击的自动化、智能化与规模化,使得传统的基于规则和特征的防御体系面临失效风险。深度伪造(Deepfake)、自动化漏洞挖掘、AI驱动的自适应恶意代码等新型威胁,使得CII的防御者面临着前所未有的“不对称”压力。

本报告将以中国网络安全专家的视角,深入剖析美、欧、日等主要经济体的CII保护战略,并结合最新发布的《关键信息基础设施安全保护支撑能力白皮书——以新质战斗力引领“AI+”时代网络安全》(以下简称“白皮书”),对比分析国内外的战略差异、技术路径优劣及未来演进方向。

---

2. 全球关键信息基础设施保护战略深度剖析

在全球范围内,CII保护战略正呈现出从“合规导向”向“实战导向”转变,从“被动防御”向“主动防御”跨越的显著特征。各国依据自身的法律传统与地缘政治诉求,形成了各具特色的治理范式。

2.1 美国:全域威慑与“前瑞防御”的霸权体系

美国作为全球网络空间的超级大国,其CII保护战略具有极强的进攻性与扩张性,旨在通过绝对的技术优势与法律长臂管辖,维持其网络霸权。

2.1.1 战略顶层设计:从PPD-21到国家网络安全战略

美国的CII保护体系奠基于第21号总统政策指令(PPD-21),该指令确立了关键基础设施的安全与韧性政策。2024年发布的《美国网络安全态势报告》及相关战略文件,进一步明确了“保卫关键基础设施”、“破坏和瓦解对手活动”的核心支柱 1。

  • 战略意图: 美国明确将中国(PRC)视为主要的网络威胁来源,指责中国行为体(如“伏特台风”Volt Typhoon)在美关键基础设施中预置恶意代码,意图在冲突时制造破坏 2。这种叙事为其采取激进的防御措施提供了政治合法性。
  • 全政府协同: 通过CISA(网络安全与基础设施安全局)作为国家协调员,美国建立了跨部门、跨公私领域的协同机制,强调“整体国家”(Whole-of-Nation)的防御姿态 4。

2.1.2 治理框架升级:NIST CSF 2.0的全球标杆

美国国家标准与技术研究院(NIST)发布的网络安全框架(CSF)2.0版本,是全球CII保护的风向标。

  • 核心变革: CSF 2.0在原有的“识别、保护、检测、响应、恢复”五大功能基础上,新增了**“治理”(Govern)**功能 6。这一变化极具战略意义,它将网络安全责任从技术部门上移至董事会和高管层,强调组织架构、风险管理策略与供应链安全的顶层设计。
  • 供应链安全(C-SCRM): CSF 2.0将供应链风险管理纳入核心治理范畴,要求组织不仅要管好自身,还要穿透管理供应商的安全态势 8。这实际上是在构建一个排他性的“可信供应商”联盟,配合实体清单制度,将特定国家的企业排除在美国关键基础设施供应链之外。

2.1.3 战术执行:CISA的“主动防御”与AI路线图

CISA发布的《2025-2026国际战略计划》及《人工智能路线图》,展示了其战术执行的精细度 10。

  • 前瑞防御(Defend Forward): 美军网络司令部与CISA紧密配合,推行“前瑞防御”战略,即在敌方网络中进行持续交战,源头遏制威胁 12。这模糊了防御与进攻的界限,使得CII保护具有了先发制人的性质。
  • AI安全治理: CISA发布的AI路线图强调“安全设计”(Secure by Design),要求AI系统在开发阶段即内置安全性,并防止AI被恶意用于攻击关键基础设施 11。美国正试图通过制定AI安全标准,掌握全球技术治理的话语权。

2.2 欧盟:数字主权与“监管超级大国”的制度防线

欧盟的CII保护战略侧重于通过严格的立法构建“数字主权”,利用其庞大的单一市场作为杠杆,强制推行高标准的安全规范。

2.2.1 NIS2指令:责任穿透与全链条合规

《网络与信息系统安全指令》(NIS2)是欧盟CII保护的基石,相比第一代NIS指令,其严苛程度显著提升 14。

  • 扩大管辖范围: NIS2消除了“基本服务运营者”与“数字服务提供商”的区别,统一划分为“基本实体”和“重要实体”,覆盖能源、交通、卫生、数字基础设施等18个关键部门 16。
  • 管理层责任制: NIS2明确规定,管理机构成员(如董事会)必须批准网络安全措施并监督其实施,若违规将面临个人责任及巨额罚款(最高达全球年营业额的2%或1000万欧元) 17。这一条款迫使企业高层必须像对待财务风险一样对待网络安全。
  • 供应链穿透: 欧盟要求实体必须评估其直接供应商和服务提供商的安全风险,并在合同中通过安全条款进行约束。这实际上是在欧盟内部建立了一道“合规防火墙”,任何无法满足NIS2标准的外国供应商(特别是来自非可信国家的企业)将难以进入欧盟市场 17。

2.2.2 网络弹性法案(CRA):产品全生命周期的安全壁垒

如果说NIS2管的是“企业”,那么《网络弹性法案》(CRA)管的就是“产品” 19。

  • 安全准入: CRA要求所有带有数字元素的产品(软硬件)在投放欧盟市场前,必须满足基本的网络安全要求,并加贴CE标志。
  • 漏洞管理: 制造商必须在产品预期生命周期内提供安全更新,并需在24小时内报告被利用的漏洞 19。
  • 战略影响: CRA实际上构建了一个非关税贸易壁垒。对于中国等非欧盟国家的CII设备制造商而言,进入欧盟市场的合规成本将大幅增加,且面临源代码审查等潜在风险。

2.3 日本:从“专守防卫”到“能动且网络防御”的战略转型

日本在面对日益严峻的周边安全环境(特别是针对中国、朝鲜的威胁认知)时,其网络安全战略发生了根本性的转折,突破了战后长期的“专守防卫”限制 21。

2.3.1 “能动性网络防御”(Active Cyber Defense)立法

2024年至2025年间,日本积极推动“能动性网络防御”立法,赋予政府在网络空间采取先发制人措施的权力。

  • 通信监控权: 新法案允许日本政府(自卫队、警察厅)在不预先获得法院令状的情况下,监测和分析国内外的通信数据(元数据),以探测潜在的网络攻击征兆 22。
  • 反击与中和: 日本引入了“反击能力”,允许在特定条件下侵入攻击者的服务器并进行“无害化”处理(即瘫痪对方攻击能力) 21。这标志着日本CII保护策略从纯粹的被动防御转向了具备进攻性的主动防御。

2.3.2 经济安全保障推进法(ESPA)

日本《经济安全保障推进法》明确将确保核心基础设施的安全作为四大支柱之一 25。

  • 预先审查制度: 该法案建立了一个预先审查机制,这就要求特定的社会基础设施运营商(如电力、通信、金融)在引进关键设备或系统时,必须提前向政府报告,接受安全审查。
  • 针对性: 这一机制的核心目的是防止植入“后门”或被“恶意控制”,实际上是配合美国对华科技脱钩战略,将中国供应链从日本关键基础设施中剔除 26。

2.4 全球战略对比总结表

维度美国 (USA)欧盟 (EU)日本 (Japan)中国 (China)
核心战略理念前瑞防御 (Defend Forward)数字主权 (Digital Sovereignty)能动性防御 (Active Defense)积极防御、新质战斗力
关键法规/标准NIST CSF 2.0, PPD-21NIS2, CRA经济安保法, 能动网络防御法网安法, 关基条例, 支撑能力白皮书
治理重心风险管理与情报共享合规审计与高额罚款供应链审查与通信监控制度建设与技术对抗并重
供应链策略C-SCRM (排除不可信供应商)安全设计 (CE认证)预先审查 (去中国化倾向)自主可控、国产化替代
攻防姿态极具进攻性 (跨越边界)防御性为主 (强调韧性)转向进攻性 (反击能力)强调实战化对抗与反制

---

3. 白皮书深度解析:构建网络安全“新质战斗力”

在上述国际背景下,我国发布的《关键信息基础设施安全保护支撑能力白皮书(2025)》显得尤为关键。该白皮书由郭启全研究员策划,旨在通过AI技术重塑网络安全范式,构建“新质战斗力”。

3.1 “新质战斗力”的核心内涵

虽然白皮书未给出教科书式的定义,但通过对其框架的解构 27,我们可以勾勒出“网络安全新质战斗力”的完整画像:

  • 定义推演: 网络安全新质战斗力是指在“AI+”时代,以人工智能、大数据、量子计算等颠覆性技术为核心驱动,通过全链条的智能化升级,实现网络防御从人力密集型向技术密集型、从被动响应向主动免疫、从单点防护向体系化对抗转变的综合实战能力。
  • 三大特征: 白皮书明确指出了新一代技术体系的三大特征——“人机深度协同、主动免疫、自我进化” 27。这直接对标了美军的“算法战”和“联合全域指挥控制”(JADC2)理念,强调机器智能在OODA(观察-调整-决策-行动)循环中的主导地位。

3.2 战略架构:“以智制智”的对抗哲学

白皮书提出了“以智制智”的防御架构,这是对当前攻击者利用AI进行降维打击的直接回应 27。

  • 背景逻辑: 面对智能化、规模化、隐蔽化的攻击(如AI生成的钓鱼邮件、自动化漏洞利用),传统的人工运营已无法招架。唯有利用AI的速度和算力,对抗AI驱动的攻击。
  • 平战结合: 白皮书创新性地将能力划分为**“平时”“战时”**两个维度 27。
    • 平时: 侧重于资产测绘、漏洞挖掘、情报分析、仿真推演。
    • 战时: 侧重于指挥调度、攻击压制、自动化响应、溯源反制。
      这种划分突破了西方常用的“事件响应”(Incident Response)框架,直接引入了军事对抗思维,反映了我国对网络空间“战场化”属性的深刻认知。

3.3 AI赋能的关键应用场景

白皮书详细列举了AI在攻防两端的应用,展现了极高的技术前瞻性 27:

  1. 攻击侧(红队视角):
    • 自动化目标侦察: 利用AI快速扫描暴露面,发现零日漏洞。
    • 智能攻击路径规划: 动态分析网络拓扑,规划最优渗透路径。
    • 规避性恶意代码生成: 利用生成式AI编写多态病毒,绕过静态查杀。
  2. 防御侧(蓝队视角):
    • 全域态势感知: 基于知识图谱和多模态数据,实时建模安全态势。
    • 动态防御与主动免疫: 构建网络拟态防御环境,利用AI生成蜜罐和欺骗环境(Deception Technology),诱捕攻击者 27。
    • 智能编排与响应(SOAR): AI Agent自主决策,秒级下发阻断策略。

---

4. 创新与缺陷:白皮书与国际标准的对比分析

将白皮书与NIST CSF 2.0、NIS2及日本ACD法案进行横向对比,可以清晰地看到我国CII保护战略的独特优势与潜在短板。

4.1 创新点分析:技术驱动的实战化超越

4.1.1 鲜明的“战时”对抗思维

创新性: 相比于NIST CSF 2.0侧重于“风险管理”和“业务连续性”,白皮书直接引入“战时”概念,强调“指挥控制”、“攻击压制”和“反制”。
优势: 这种思维更符合当前地缘政治冲突(如俄乌战争、巴以冲突)中网络战的真实形态。它不仅要求CII“不断网”,更要求具备在国家级对抗中“打赢”的能力。这使得我国的CII保护不仅是合规工程,更是国防工程。

4.1.2 对生成式AI的激进拥抱

创新性: 白皮书将大模型(LLM)和AI Agent(智能体)置于核心地位,提出重构安全范式 27。相比之下,美国的CISA AI路线图更多关注AI的安全性(Safety)和风险(Risk),即“防AI作恶”;而白皮书更关注AI的战斗力(Combat Power),即“用AI作战”。
优势: 这使得中国在利用AI进行自动化攻防、代码生成、智能研判等方面可能形成技术代差优势,特别是在处理海量告警和自动化响应速度上。

4.1.3 “主动免疫”与拟态防御的理论突破

创新性: 白皮书强调“主动免疫”和“自我进化”,这与中国工程院邬江兴院士提出的“拟态防御”理论一脉相承。
优势: 西方主流防御架构(如零信任)仍基于“假设被攻破”的静态设防,而主动免疫追求系统架构的动态变化,增加了攻击者的不确定性成本。

4.2 缺陷与不足:治理与生态的短板

4.2.1 “治理”(Govern)维度的缺失

缺陷: 对比NIST CSF 2.0将“治理”升格为核心功能,以及NIS2对董事会责任的严厉追究,白皮书在组织管理、责权对等、高层问责等治理机制上的论述相对薄弱 6。
风险: “新质战斗力”如果缺乏“新质治理”的支撑,可能导致技术工具有余,而管理效能不足。由于缺乏像NIS2那样对高管的个人处罚机制,企业决策层可能仍将安全视为成本而非战略,导致AI安全投入难以落地。

4.2.2 供应链安全管理的系统性不足

缺陷: 虽然白皮书提到了供应链安全,但更多是从技术检测(如代码审计)角度切入 27。相比之下,欧盟CRA和NIS2建立了一套完整的供应链法律责任体系和市场准入机制(CE认证)20。
风险: 在全球供应链割裂的背景下,仅靠技术手段难以防御上游硬件植入或断供风险。缺乏法律层面的供应链穿透审查机制,可能使CII长期处于“带病运行”状态。

4.2.3 国际合作与情报共享的内卷化

缺陷: 美国CISA战略明确将“国际伙伴关系”作为核心 10,日本也积极融入北约CCDCOE等框架。而白皮书在“国际合作”与“跨境协同”方面着墨甚少 27。
风险: 网络攻击是全球性的,缺乏跨境情报共享机制(如美国主导的自动化指标共享),将导致我国CII在面对跨国APT组织时由于信息孤岛而处于被动。

4.2.4 “主动防御”的法律边界模糊

缺陷: 白皮书提倡“主动诱捕”和“反制”,但在法律授权上未像日本ACD法案那样明确政府和企业的权限边界 22。
风险: 企业进行主动反制(Hack Back)存在极高的法律风险和外交风险。缺乏明确的交战规则(Rules of Engagement),可能导致企业在反制过程中误伤第三方,或引发不可控的国际冲突。

---

5. 结论与建议:构建中国特色的CII现代化防御体系

综上所述,全球CII保护已进入“法律强制、技术对抗、供应链脱钩”的深水区。白皮书提出的“新质战斗力”为我国网络安全技术发展指明了正确的方向,即全面智能化。然而,要应对中美长期博弈的严峻挑战,仅有技术升级是不够的。

5.1 战略建议

  1. 补齐“治理”短板,强化高层问责:
    • 建议借鉴NIST CSF 2.0和NIS2,在国家标准中增设“治理”域,明确CII运营者的一把手(CEO/董事长)为网络安全第一责任人,并建立类似欧盟的处罚机制,倒逼资源投入。
  2. 立法确立“主动防御”的合法性与边界:
    • 参考日本ACD立法经验,通过修订《网络安全法》或出台司法解释,明确CII运营者在特定条件下(如战时或遭遇国家级攻击)进行主动诱捕、流量阻断乃至技术反制的法律授权与免责条款,同时规定必须接受国家网信部门的指挥与监督。
  3. 构建主权级供应链安全审查体系:
    • 不仅要利用AI进行代码级检测,更要建立类似欧盟CRA的“数字产品通行证”制度。对进入CII领域的软硬件产品实施全生命周期的安全性与可控性审查,特别是针对深层依赖关系(如开源组件)的穿透式审计。
  4. 打造“AI+”安全产业生态:
    • 不仅要研发AI安全产品,更要培育“AI安全服务”。鼓励建立行业级的AI安全运营中心(AI-SOC),利用大模型实现跨单位、跨行业的威胁情报自动化共享与联防联控,打破信息孤岛,形成真正的“人民战争”防线。

中国在网络安全领域具备数据资源丰富、应用场景多样、举国体制统筹的独特优势。通过将白皮书的技术愿景与完善的法律治理体系相结合,中国完全有能力构建起一套既适应“AI+”时代技术变革,又能抵御地缘政治冲击的现代化关键信息基础设施安全保障体系。

---

附表:中美欧日CII保护关键指标对比

指标美国 (US)欧盟 (EU)日本 (JP)中国 (CN - 基于白皮书方向)
核心驱动力霸权护持、全域威慑市场准入、数字人权地缘危机、正常国家化sovereign safety、新质生产力
AI应用态度风险管控为主 (Safe AI)严格监管 (AI Act)促进发展 (AI Friendly)战斗力倍增器 (Combat Power)
高管责任强调但不强制个人责任强制个人问责与罚款强调企业责任责任制逐渐压实,主要对单位
响应速度要求72小时 (CIRCIA)24小时早期预警及时报告强调实时监测与自动化响应
防御边界境外打击 (Defend Forward)境内韧性跨境反击 (Active Defense)境内主动防御与反制

报告撰写完毕。

Works cited

  1. 2024 Report on the Cybersecurity Posture of the United States | Biden White House, accessed December 5, 2025, https://bidenwhitehouse.archives.gov/wp-content/uploads/2024/05/2024-Report-on-the-Cybersecurity-Posture-of-the-United-States.pdf
  2. People's Republic of China Threat Overview and Advisories - CISA, accessed December 5, 2025, https://www.cisa.gov/topics/cyber-threats-and-advisories/nation-state-cyber-actors/china
  3. China-Linked Cyber Operations Targeting US Critical Infrastructure - NJCCIC - NJ.gov, accessed December 5, 2025, https://www.cyber.nj.gov/threat-landscape/nation-state-threat-analysis-reports/china-linked-cyber-operations-targeting-us-critical-infrastructure
  4. Presidential Policy Directive (PPD) 21: Critical Infrastructure Security and Resilience - CISA, accessed December 5, 2025, https://www.cisa.gov/resources-tools/resources/presidential-policy-directive-ppd-21-critical-infrastructure-security-and
  5. CISA Cybersecurity Strategic Plan FY2024-2026, accessed December 5, 2025, https://www.cisa.gov/sites/default/files/2025-01/FY2024-2026_Cybersecurity_Strategic_Plan508.pdf
  6. Updated NIST cybersecurity framework adds core function, focuses on supply chain risk management | FedScoop, accessed December 5, 2025, https://fedscoop.com/updated-nist-cybersecurity-framework-adds-core-function-focuses-on-supply-chain-risk-management/
  7. NIST Cybersecurity Framework 2.0 - ACA Group, accessed December 5, 2025, https://www.acaglobal.com/insights/nist-cybersecurity-framework-20
  8. NIST CSF 2.0: What's New and Why It Matters - NRI Secure, accessed December 5, 2025, https://www.nri-secure.com/blog/nist-csf-2
  9. NIST CSF 2.0: Updated Third Party & Supply Chain Risk Management – Part 2 - Blog, accessed December 5, 2025, https://blog.riskrecon.com/nist-csf-2.0-updated-third-party-supply-chain-risk-management-part-2
  10. FY2025-2026 CISA International Strategic Plan, accessed December 5, 2025, https://www.cisa.gov/2025-2026-cisa-international-strategic-plan
  11. 2024 DHS Aritificial Intelligence Roadmap - Homeland Security, accessed December 5, 2025, https://www.dhs.gov/sites/default/files/2024-03/24_0315_ocio_roadmap_artificialintelligence-ciov3-signed-508.pdf
  12. A Chinese Perspective on the Pentagon's Cyber Strategy: From 'Active Cyber Defense' to 'Defending Forward' | Carnegie Endowment for International Peace, accessed December 5, 2025, https://carnegieendowment.org/posts/2018/10/a-chinese-perspective-on-the-pentagons-cyber-strategy-from-active-cyber-defense-to-defending-forward?lang=en
  13. 5 Key Takeaways from the 2023-2024 CISA Roadmap for Artificial Intelligence - TrustNet, accessed December 5, 2025, https://trustnetinc.com/resources/5-key-takeaways-from-the-2023-2024-cisa-roadmap-for-artificial-intelligence/
  14. NIS2 Directive: securing network and information systems | Shaping Europe's digital future, accessed December 5, 2025, https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
  15. NIS 2 Directive, Preamble 51-60, Final Text, accessed December 5, 2025, https://www.nis-2-directive.com/NIS_2_Directive_Preamble_51_to_60.html
  16. Implications of NIS2 on cybersecurity and AI - Darktrace, accessed December 5, 2025, https://www.darktrace.com/blog/the-implications-of-nis2-on-cyber-security-and-ai
  17. NIS2 Directive: 5 Key takeaways - Diligent, accessed December 5, 2025, https://www.diligent.com/resources/blog/nis2-five-key-takeaways
  18. Navigating NIS2 Requirements: Transforming Supply Chain Security - BitSight Technologies, accessed December 5, 2025, https://www.bitsight.com/blog/navigating-nis2-requirements-transforming-supply-chain-security
  19. Understanding the Relationship Between NIS2 and the EU Cyber Resilience Act, accessed December 5, 2025, https://hyperproof.io/understanding-the-relationship-between-nis2-and-the-eu-cyber-resilience-act/
  20. Cyber Resilience Act | Shaping Europe's digital future - European Union, accessed December 5, 2025, https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
  21. New Legislation Signals Japan's Shift to “Active” Cyber Defense | Nippon.com, accessed December 5, 2025, https://www.nippon.com/en/in-depth/d01147/
  22. Japan's new Active Cyber Defense Law: A Strategic Evolution in National Cybersecurity, accessed December 5, 2025, https://www.centerforcybersecuritypolicy.org/insights-and-research/japans-new-active-cyber-defense-law-a-strategic-evolution-in-national-cybersecurity
  23. Japan's Active Cyber Defense Law: AEV & Resilience - SafeBreach, accessed December 5, 2025, https://www.safebreach.com/blog/japan-active-cyber-defense-law/
  24. Active Cyber Defense Bill Clears Lower House - INCYBER NEWS, accessed December 5, 2025, https://incyber.org/en/article/active-cyber-defense-bill-clears-lower-house/
  25. New Act on the promotion of Japan's economic security enacted - Global Compliance News, accessed December 5, 2025, https://www.globalcompliancenews.com/2022/07/10/new-act-on-the-promotion-of-japans-economic-security-enacted240622/
  26. Japan's Economic Security Promotion Act and the implications for businesses, accessed December 5, 2025, https://www.iiss.org/publications/strategic-comments/2022/japans-economic-security-promotion-act-and-the-implications-for-businesses/
  27. 关键信息基础设施安全保护支撑能力白皮书-以新质战斗力引领“AI+”时代网络安全.pdf

贡献者

The avatar of contributor named as pansin pansin

文件历史

撰写

CC BY-SA 4.0 © 2022-PRESENT Nólëbase 的创作者们