三、关键信息基础设施自身脆弱性致安全风险隐患

（一）网络攻击路径显著增多

随着互联网快速应用到能源、制造、交通等关键信息基础设施领域，原有相对封闭的系统运行环境逐渐被打破。IT和OT的加速融合，进一步促进了关键信息基础设施各层次、各环节的系统和设备互联互通。管理网和生产控制网的双向信息交互，使得生产控制权限不断上移，工业控制系统、企业内网和互联网等成为关键信息基础设施的潜在攻击发起点，客观上大大增加了攻击点和攻击面。与此同时，互联互通也为病毒、木马等传统网络安全威胁向关键信息基础设施加速渗透创造了条件，攻击者有可能利用现有IT产品的漏洞实现入侵攻击。这一切都在客观上加剧了关键信息基础设施的网络安全风险。

（二）安全防护能力水平不足

美国ICS-CERT曾在 2016年的年度报告中将美国关键基础设施部门普遍存在的网络安全问题归结为对虚拟机（VM）访问安全控制不足、远程访问缺乏安全机制、虚拟局域网（VLAN）使用不当、关键ICS功能的云服务安全性不足、未充分采用基于网络监控的深度防御策略等方面。我国关键信息基础设施安全也处于防护能力不足、水平不高的现状，存在资产底数不清、责任意识薄弱、监测预警机制不健全等诸多问题，整体上难以抵御大规模、有组织的网络攻击。