文章总结： 英国NCSC发布关基严重威胁应对指南，指出此类威胁旨在破坏服务与物理系统。核心是从防御转向韧性：平时清理资产并规划；关注TTPs而非特征进行狩猎；实施网络分段与隔离；在威胁持续时利用备份恢复业务。强调无法消除风险，需通过隔离、认证和演练提升生存能力。 综合评分： 88 文章分类： 应急响应,安全建设,威胁情报

英国国家网络安全中心（NCSC）发布关基单位严重威胁应对指南

原创

玄月调查小组 玄月调查小组

玄月调查小组

2026年1月29日 23:03 上海

英国国家网络安全中心（NCSC）近期发布了一份专门针对关基设施的指南，用于指导组织如何在“严重网络威胁”环境下生存并恢复 。

什么是“严重网络威胁”？

在 NCSC 的定义中，严重网络威胁不仅仅是普通的数据泄露，而是指极高可能性的针对性破坏攻击 。这类攻击通常由高能力的攻击者发起，目标包括：

• 长期切断关键服务或运营。
• 擦除或篡改数据，使恢复变得极其困难甚至不可能。
• 直接破坏物理系统，例如工控系统 (ICS) 。
• 引发行业、政府乃至社会的连锁反应。

核心行动建议：从防御转向韧性

1. 别等危机爆发才做决策

组织必须在“头脑冷静”的平时就设计好防御方案，而不是在遭受攻击时仓促应变 。

• 清理资产：你无法保护你看不到的东西 。必须建立持续更新的系统清单，特别是关键业务系统。
• 情境规划：利用情境规划等工具探索未来的不确定性。

2. 态势感知：盯住“战术”而非仅仅是“特征”

指南强调了“痛苦金字塔”模型 。

• TTPs（战术、技术和程序）：相比于容易更换的 IP 或文件哈希，盯住攻击者的行为模式（TTPs）更具战略价值 。
• 主动出击：开展主动的威胁狩猎，而不是被动等待报警 。
• 信息共享：在严重威胁期间，应降低情报共享的门槛，与合作伙伴共同应对 。

3. 极端加固：网络分段与“岛屿化”

当威胁等级升高时，传统的边界防御可能失效 。

• 网络分段：像水密舱一样隔离网络，防止攻击者横向移动 。
• 网络隔离：这是一种极端手段，即断开系统与互联网或企业IT网络的连接。
• 手动替代方案：必须演练在没有 IT 系统支持的情况下，如何通过手动流程维持核心功能 。

4. 恢复：在“威胁持续存在”的情况下运营

韧性意味着即使攻击者仍在你的系统中，也要有能力恢复核心业务 。

• 可信备份：确保备份不仅安全，而且能快速部署 。
• 人的因素：考虑危机状态下员工的轮班和心理压力，疲惫的团队更容易出错 。

点评

这份指南最清醒的一点在于：它承认了风险无法完全消除。与其幻想通过买一套安全产品来“一劳永逸”，不如老老实实地搞好网络隔离、身份验证以及演练。

参考资料:How to prepare for and plan your organisation’s  response to severe cyber  threat: a guide for CNI Act now to be ready to withstand and recover from severe cyber attacks：https://www.ncsc.gov.uk/files/ncsc-how-to-prepare-for-and-plan-your-organisation-s-response-to-severe-cyber-threat-a-guide-for-cni.pdf

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：玄月调查小组 玄月调查小组 玄月调查小组《英国国家网络安全中心（NCSC）发布关基单位严重威胁应对指南》