AI时代保护关键基础设施：始于数据

Elastic Blog

Elastic Blog2026年6月2日

AI时代保护关键基础设施：始于数据

8.5Score

TL;DR · AI 摘要

AI时代保护关键基础设施始于数据治理，需实时可见性、统一防护与现代安全架构。

核心要点

攻击者利用AI将攻击周期缩短至分钟级，传统系统无法应对。
数据是核心资产也是攻击入口，必须统一治理结构化与非结构化数据。
Elastic提供AI驱动的实时检测与响应能力，支持跨系统联动防护。

结构提纲

按章节快速跳转。

§AI时代的关键基础设施风险
AI加速攻击速度至分钟级，传统系统因碎片化工具和遗留架构面临高风险。
§数据在威胁中的核心地位
敏感数据如PII或服务中断信息是首要攻击目标，存储传输漏洞成入侵入口。
§现代安全架构需求
需AI驱动的实时可见性、自动化响应及跨系统统一数据防护能力。
§Elastic解决方案价值
通过集中式数据平台实现端到端安全监控，降低运维成本并提升响应效率。

思维导图

用一张图看清主题之间的关系。

查看大纲文本（无障碍 / 无 JS 友好）

AI时代关键基础设施保护始于数据治理
- 数据为核心资产与攻击入口
  - PII与服务中断数据最受攻击
  - 存储/传输漏洞成入侵通道
- 现代安全架构需求
  - AI驱动实时可见性
  - 统一跨系统防护
- Elastic解决方案
  - 集中式数据平台
  - 自动化响应能力

金句 / Highlights

值得收藏与分享的关键句。

攻击者今天采用AI技术将攻击时间缩短至几分钟。
— 第2段
⬇︎ 下载 PNG 𝕏 分享到 X
数据是当今威胁格局的核心。它既是必须保护的资产，也是攻击者利用的漏洞。
— 第3段
⬇︎ 下载 PNG 𝕏 分享到 X
保护关键基础设施需要现代、AI驱动的安全体系，以实现实时可见性、检测与响应。
— 引言
⬇︎ 下载 PNG 𝕏 分享到 X

#AI安全#关键基础设施#数据治理

打开原文

Image 1: pubsec-cni-blog_(1).png .png)

在公共部门，关键基础设施的中断常常会引发连锁反应，对系统和社区造成重大破坏——无论原因是技术故障、自然灾害还是网络攻击。

随着关键基础设施通过分布式系统和物联网设备变得更加互联，攻击面持续扩大。与此同时，由人工智能驱动的威胁在频率和复杂性上都在增加，暴露出传统安全方法的局限性。如今保护关键服务需要的是现代的、基于人工智能的安全解决方案，以实现实时可见性、检测与响应。

如今，恶意行为者采用人工智能技术将攻击时间缩短至几分钟。但许多关键基础设施并未为现代威胁环境而设计，仍依赖于遗留系统、分散的工具、封闭源码的人工智能（隐藏其逻辑），以及因数据重 hydration 延迟而被锁定的数据。这些限制导致无法及时访问关键数据，迫使组织维护多个相互独立的技术平台，从而增加风险、成本和分析师疲劳。

负责维护关键基础设施安全的机构绝不能低估构建坚实数据基础的重要性。数据是当今威胁格局的核心。它既是必须加以保护的资产，也是攻击者利用的漏洞。个人身份信息（PII）及其他可能扰乱基本服务的信息，是恶意行为者的首要目标。同时，数据存储、访问或传输中的薄弱环节，往往成为网络犯罪分子实施攻击的入口。

保障并管理此类数据虽然资源密集，但若不这样做，其后果将远比成本更昂贵。

继续阅读，了解如何克服在人工智能时代保护关键基础设施所面临的挑战，以及 Elastic 如何提供主动的网络安全能力。

什么是关键基础设施？

关键国家基础设施（CNI）是指支撑社会功能运行的系统和资产。许多重要机构和职能集中在公共部门，以实现管理和效率，依赖于信任、治理和韧性。

关键基础设施系统支撑着现代社会运转。政府将关键基础设施定义为那些一旦遭到破坏，将对国家安全、经济稳定、公共卫生或公共安全造成严重后果的系统。

这些包括：

能源电网为家庭和医院供电。
交通网络支持商业活动和人员流动。
金融系统支撑经济活动。
电信系统确保紧急服务、企业和公民之间的连接。
医疗基础设施保障公众健康。

这些行业均运营着复杂的系统，产生关键数据，并共同需要在结构化和非结构化数据中实现统一的可见性和保护，以确保敏感信息的安全。若这些系统无法正常运作，业务将被迫中断，企业损失收入，居民也将失去赖以生存的服务。

为何保护关键基础设施至关重要

关键基础设施的中断不仅仅是经济损失——它们还可能威胁运营、企业声誉、敏感公民数据，甚至公共安全。过去几年全球范围内发生的关键基础设施事件已证明安全漏洞带来的破坏性影响。其核心在于：数据遭到破坏。

保护关键基础设施已成为各国政府及私营部门组织的优先事项。随着快速发展的AI驱动型网络威胁日益增多，关键基础设施必须保障其数据和服务的安全，这要求具备操作可见性及能够适应现代环境变化的弹性网络安全能力。

保护的经济考量

关键基础设施的投资常被视为一种“保险”：其价值只有在出现问题时才显现。然而，尽管安全措施成本高昂，其价值不可低估。CNI拥有独特的投资策略，要求推动更高的成本效益，需权衡潜在安全事件的成本，以及持续投入技术、培训和人力所需的成本。

最终，随着组织持续推进数字化转型，安全绝不能作为事后考虑；它应融入每一个新的运营层面。与此同时，公共部门和关键基础设施组织正面临在有限预算下完成更多工作的压力。这要求聚焦效率，通过整合、可扩展且成本效益高的数据存储，以及数据驱动的安全运营来降低复杂性，同时提升安全成果。

在一些公共部门机构中，建立和维护内部安全运营中心（SOC）在财务上存在限制，部分原因在于需要雇佣专业人员。这为探索专门针对政府应用场景的安全运营中心即服务（SOCaaS）提供了独特机遇。

统一的数据基础，助力弹性运营

要充分利用人工智能赋能的安全能力，必须具备坚实的数据管理基础。采用数据网格方法可实现数据所有权的去中心化，同时保持共享治理与安全标准。组织不再依赖单一集中式数据平台，而是将数据按领域划分成“产品”，由最贴近数据生成系统的团队拥有并管理。对于关键基础设施运营商而言，这有助于提升安全性和运营效率。此外，数据网格方法还能实现工具整合，显著减少技术蔓延、漏洞风险及维护多个安全工具的成本。

在系统设计之初即考虑韧性，也有助于基础设施运营商在不断变化的监管要求和新兴威胁面前，无需中断核心服务即可灵活应对。

关键基础设施中的零信任架构

零信任架构消除了默认信任的概念。每个用户、设备和应用程序在访问系统或数据前都必须持续验证其身份和授权。通常，权限仅限于完成特定任务所需的最小范围。更重要的是，访问权限仅根据严格策略授予，确保系统在不断变化的威胁环境中始终安全且更新。

对关键基础设施运营商而言，零信任架构提供以下优势：

增强可见性：通过统一所有零信任支柱的数据并实施持续监控，组织可获得覆盖用户、设备、IT、OT 和 IoT 环境的整体视图，从而更快发现并调查异常行为。
缩小攻击面：严格的标识与访问控制限制了未经授权的入口点。
降低损害：微隔离技术可将攻击限制在较小范围内，当攻击发生时最大限度降低损害，并降低恢复成本。

通过验证每一次交互而非默认信任内部网络，零信任有助于保护复杂基础设施系统免受外部攻击者和内部威胁。结合如数据网格等统一数据方法，可进一步加强这一安全框架，连接各安全支柱的数据并实现环境整体可视性。

为何威胁狩猎对关键国家基础设施至关重要

即使是最先进的防御体系也无法阻止所有威胁。攻击者可能绕过自动化检测工具、利用未知漏洞，或隐藏在合法系统活动中。正是在这种情况下，威胁狩猎变得至关重要。

威胁狩猎是一种主动策略，分析师会主动搜寻可能已绕过传统安全防御机制的网络威胁。重点在于提前预测、识别并中止潜在威胁，避免其造成任何损害。通过持续搜索入侵迹象，关键基础设施组织能够更早发现复杂威胁，降低大规模中断的可能性。

然而，随着基础设施环境日益复杂，仅靠人工监控和操作已无法跟上现代威胁的步伐。安全团队面临海量警报、日志和遥测数据，由此产生一个核心数据问题：信息碎片化导致可见性受限、关联困难、响应延迟加剧，以及分析师疲劳度上升。

从自动化迈向智能安全运营

自动化与机器学习是提升检测与响应能力的关键工具。基于AI的分析可实时处理海量数据集，识别人类分析师可能忽略的模式与异常。

安全自动化还可优化事件响应流程。例如，自动隔离被攻陷的设备、阻断可疑网络流量或撤销凭证等操作可在数秒内遏制威胁扩散，防止攻击蔓延至整个基础设施系统。这使安全团队得以专注于更高价值的任务，如调查复杂事件、改进防御体系及强化韧性策略。

在现代安全运营中，该能力正进一步演进为“代理型”模型——自主代理负责从数据摄入到响应的全生命周期，而分析师则负责判断、验证与审批。这使得检测更加迅速且具有上下文关联，基于可信的操作数据而非孤立警报。

重要的是，代理型安全运营平台并不取代人类专家。人类并未被移出循环，而是被置于循环顶端。平台负责调查、关联并构建响应方案。

分析师审阅方案、做出判断并批准执行。平台行动，而分析师决策。这种“人类在环”模型确保安全团队在不牺牲速度或规模的前提下，始终保有控制权。

依托 Elastic 实现主动式 AI 驱动安全，适用于任何环境

借助Elastic Security，负责关键基础设施的组织可全面升级安全措施。Elastic 的代理型安全运营平台可处理从数据摄入到响应的全生命周期，分析师负责判断、验证与审批。关键基础设施可摆脱繁琐耗时的传统安全流程所带来的风险，转而采用面向 AI 驱动威胁的智能化运营体系，以跟上快速演变的安全挑战。

作为该平台的一部分，Elastic 提供了基于人工智能的安全工具，以增强关键基础设施的韧性，例如：

**上下文工程**：结构化并丰富 AI 所处理的信号，确保每个自动化决策都基于其所保护环境的实际运行状况。

**Agent Builder** 和 **代理技能**：提供设计界面和模块化能力库，用于构建面向特定目的的自主工作流，这些工作流会随着威胁态势的变化而持续演进。

**Elastic Workflows**：原生自动化引擎，可端到端协调安全运营——涵盖检测、调查与响应——消除在关键服务事件中因人工交接而导致的响应延迟。

**Elastic AI Agent**：一个自主安全操作员，可代表 SOC 执行多步骤调查与响应操作，在分析师短缺或遭受持续攻击时仍能维持覆盖。

**AI 驱动的攻击发现**：自动跨实体、行为和攻击路径关联告警，帮助分析师优先定位重点区域，并将有限注意力聚焦于最关键的威胁。

**Elastic AI 助手**：一个交互式分析师助手，借助实时 SOC 上下文回答调查问题并建议修复步骤，支持人类决策者在保护关键基础设施时做出关键判断。

此外，Elastic 支持模型无关的大语言模型（LLMs），适用于任何部署场景——包括完全隔离的本地环境。组织可根据区域、云或基础设施灵活部署，以满足主权和数据驻留要求，无需依赖特定供应商。

借助 Elastic，无论数据存储位置或格式如何，均可对所有数据类型进行持续监控，从而更早发现异常、更快响应。我们的 AI 能力旨在超越专业团队的范围，降低复杂性与培训时间，同时提升组织内各层级的可用性。

在人工智能时代，关键基础设施的核心教训十分明确：在基于信任的系统中，基础设施必须持续且安全地运行。今天为应对中断做好准备，同时投资于明日更具韧性的系统，是确保人们所依赖的关键服务在日益不确定的数字环境中依然可靠运作的唯一途径。这需要能够统一视图地查看所有数据，并全面应用 AI 能力至所有数据之上，从而实现更快、更有依据的决策。

**了解 Elastic 如何帮助您保护关键基础设施系统**。

_本文所述功能或功能的发布及时间安排均由 Elastic 单方面决定。当前尚未提供的任何功能或功能可能无法按时交付，甚至可能根本不会交付。_

_本文中，我们可能使用或提及第三方生成式 AI 工具，这些工具由各自所有者拥有并运营。Elastic 对第三方工具无任何控制权，亦不对其内容、操作或使用承担任何责任或义务，也不对因使用此类工具而产生的任何损失或损害负责。请在使用涉及个人、敏感或机密信息的 AI 工具时保持谨慎。您提交的数据可能用于 AI 训练或其他用途。无法保证您提供的信息将被保密或安全保存。在使用前，请务必熟悉任何生成式 AI 工具的隐私政策和使用条款。_

_Elastic、Elasticsearch 及相关标识均为 elasticsearch B.V. 在美国及其他国家的商标、标志或注册商标。所有其他公司和产品名称均为各自所有者的商标、标志或注册商标。_