央视新闻消息，5月20日，广东省广州市公安局天河区分局发布警情通报称，当地某科技公司遭境外黑客组织大规模攻击，致其官方网站和部分业务系统受到影响，网络服务中断数小时，部分用户隐私信息疑遭泄露，给公司造成重大损失。

经公安机关对网络攻击手法和相关恶意代码样本开展技术分析，攻击者利用技术手段绕过该公司的网络防护装置，非法进入自助设备的后台系统，通过横向移动渗透控制多台网络设备，向这些设备中的后台系统非法上传多份攻击程序。

据警方透露，此次网络攻击是境外黑客组织的一次有组织、有预谋的大规模网络攻击行动，带有明显的网络战痕迹，并非普通个人黑客所能完成。初步追踪溯源发现，该黑客组织长期使用开源工具对我重要部门、敏感行业和科技公司开展网络资产扫描探测，广泛搜寻攻击目标，通过技术手段挖掘目标单位网络防护薄弱环节和攻击点位，伺机入侵控制目标系统，窃取、破坏重要数据，干扰相关机构正常运营。

近年来，境外黑客组织针对我国关键领域的网络攻击频率激增，不仅侵犯了受害机构的合法权益，也严重威胁到我国网络空间秩序和公众利益。

2025年4月，国家计算机病毒应急处理中心计算机病毒防治技术国家工程实验室发布“2025年哈尔滨第九届亚冬会”遭网络攻击情况监测分析报告，赛事期间，亚冬会赛事信息系统遭到来自境外的网络攻击270167次，攻击源大部分来自美国、荷兰等国家和地区，试图干扰赛事正常进行。黑龙江省域范围内的关键信息基础设施亦遭到来自境外的大量网络攻击，妄图制造混乱和窃取敏感情报。

2023年7月，武汉市地震监测中心发现部分地震速报数据前端台站采集点网络设备被植入后门程序，可非法控制设备并窃取地震烈度数据，直接威胁国家安全。经武汉市公安局江汉分局立案调查，在受害单位的网络中发现了技术非常复杂的后门恶意软件，符合美国情报机构特征，具有很强的隐蔽性，并且通过恶意软件的功能和受影响的系统判断，攻击者的目的是窃取地震监测相关数据，而且具有明显的军事侦察目的。

2022年6月，西北工业大学遭遇由美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）发起的网络攻击。此次攻击中，TAO动用了40余种专用网络攻击武器装备，渗透了该校1100余条攻击链路，窃取其核心网络配置、运维日志等超过140GB高价值数据，并利用17个国家的54台跳板机掩盖真实IP。此次调查还披露，NSA利用大量网络攻击武器，针对我国各行业龙头企业、政府、大学、医疗、科研等机构长期进行秘密黑客攻击活动。

随着网络攻击的发展和国际局势的加剧，组织性复杂、计划性高效和针对性明确的攻击活动更趋常态化，高级持续性威胁（APT）攻击成为网络空间突出风险源。中国信息安全测评中心发布的《全球高级持续性威胁（APT）研究报告》揭示，我国是APT攻击主要受害国，不仅面临国家背景的超高能力威胁行为体的现实威胁，还需应对周边地区威胁行为体的常态化挑衅；受害对象涵盖我国政府、军事、经济、教育、科研等重点部门；攻击者手法和目标持续更新升级，目标扩散，攻击深入。

为了有效应对APT攻击等网络风险挑战，保障关键系统的安全稳定运行，《网络安全法》和《关键信息基础设施安全保护条例》等法律法规明确要求网络运营者建立健全网络安全监测预警制度，及时掌握关键信息基础设施运行状况、安全态势，预警通报网络安全威胁和隐患，并要求建立健全网络安全事件应急预案，做好网络安全事件应对处置。

为落实上述要求，在国家网络安全等级保护制度基础上，国家标准 GB/T 39204 2022《信息安全技术关键信息基础设施安全保护要求》（以下简称“关基保护要求”）细化了具体安全准则，为网络运营者开展关键信息基础设施保护工作提供了强有力的标准保障。

关基保护要求对监测预警活动主要按照制度、监测、预警三部分明确安全要求。

通过各级监管部门、保护工作部门、权威安全机构等渠道常态化关注国内外安全事件、安全漏洞、发展趋势，建立信息共享、沟通合作、协作处置的有效机制。

在网络关键节点部署攻击检测设备发现高级威胁，基于大数据和人工智能技术的多维度关联分析能力，从海量监测数据中挖掘形成有价值的安全态势及情报，做到集中统一指挥、多点监测、多级联动处置。

监测预警工作要能得到有效的落实，应做到报警方式合理、预警接收渠道全面、研判处理流程合理、预警处置措施有效。

威努特具备成熟的网络安全监测预警工具，包括入侵检测系统、工控安全监测与审计系统、高级威胁检测系统、态势分析与安全运营管理平台等，可以协助关键信息基础设施运营者落地监测预警工作。以威努特高级威胁检测系统为例，集威胁情报、下一代入侵检测、异常检测、病毒木马检测、恶意代码基因图谱检测、未知威胁沙箱行为检测、恶意流量人工智能检测等多种技术于一体，对网络中的南北流量/东西流量进行全面深度威胁检测与溯源分析。产品基于资产、攻击者、威胁事件、协议元数据、威胁情报等多源数据进行基于攻击链和场景的关联，还原攻击事件，及时告警，溯源威胁，对检测及防御APT攻击起到关键作用。

威努特高级威胁检测系统业务处理流程

关基保护要求对事件处置活动可梳理为制度建设、应急预案和演练建设、响应和处置建设、重新识别建设四个步骤。

网络安全事件管理制度应明确不同网络安全事件的分类分级、不同类别和级别事件处置的流程等，并为网络安全事件处置提供相应资源，组织建立专门网络安全应急支撑队伍、专家队伍，保障安全事件得到及时有效处置。

网络安全事件应急预案应明确，一旦信息系统中断、受到损害或者发生故障时，需要维护的关键业务功能，并明确遭受破坏时恢复关键业务和恢复全部业务的时间，并且包括非常规时期、遭受大规模攻击时等处置流程。

当发生有可能危害关键业务的安全事件时，应及时向安全管理机构报告，并组织研判，形成事件报告；按照事件处置流程、应急预案进行事件处理，恢复关键业务和信息系统到已知的状态；及时将安全事件及处置情况通报到可能受影响的部门和相关人员，向供应链涉及的、与事件相关的其他组织提供安全事件信息，并按照法律政策规定报告相关部门。

在发生应急事件时，按照预期目标恢复关键业务和数据从技术上依赖于备份系统的建设，威努特数据备份与恢复系统能够提供重要数据的本地备份和恢复功能。系统的数据库复制软件通过建立实时或准实时的容灾数据库，在出现数据损失时不仅可以保证关键业务数据的及时恢复，也可以确保应用程序的及时接管，将故障对应用系统的影响降到最低。

威努特数据备份与恢复系统应用级容灾功能

根据监测预警发现的安全隐患或发生的安全事件，以及处置结果，并结合安全威胁和风险变化情况开展评估，必要时重新开展业务、资产和风险识别工作，并更新安全策略。

关键信息基础设施运营者可以通过布设流量探针、日志信息数据推送等多种方式，将各类网络安全数据资源进行汇聚分析，依托大数据、人工监测等方式开展实时监测、通报预警、应急处置等工作。威努特态势分析与安全运营管理平台能对系统内资产和设备运行状态、网络链路、安全状况进行监测，通过综合分析研判生成预警信息。整合多维监测数据，构建多种数据模型，通过关联分析引擎基于流式处理框架进行分析，能够在大数据量级下对各维度安全数据进行实时关联分析，发现更复杂的、更具价值的威胁事件，并支持对输出结果进行回溯分析。

威努特态势分析与安全运营管理平台告警处置功能

愈加高发的国家级APT攻击事件不仅暴露了网络战的隐蔽性与危害性，更揭示了高阶网络战的常态化、武器化趋势，我国通过制度标准建设与技术强化手段加速构建自主可控的关键信息基础设施网络安全防护体系，提升对有组织的、大规模的APT攻击的法律反制能力和攻防对抗能力。威努特作为网络安全领域的深耕者，将持续为关基设施提供实时免疫、主动防御、韧性恢复的一体化安全保障，助力国家在数字时代抵御APT攻击的常态化威胁，守护国家安全与经济发展的核心命脉。