供水網絡安全當“警鐘長鳴”

時間：2020-08-17 16:59

來源：E20供水研究中心

作者：胡雅倩

　　2、對網絡安全的認識不夠全面

　　網絡安全是供水企業安全防護中的一部分，因此，供水企業應當隨著網絡和信息技術在生產和管理中應用程度的加深，加強防范措施來配合數字化轉型的發展。然而，供水行業目前對于網絡安全保護的了解程度有一定程度上的滯后。這樣的滯后性可能會對供水企業的網絡安全防護效果造成影響。

　　舉例而言，供水企業在判斷哪些機構是信息安全的職能部門時，大多數的受調企業僅能確定公安機關是職能部門；只有約半數的受調企業能夠準確的判斷出國家保密工作部門和國家密碼管理部門也是職能部門；甚至還有不少受調企業錯誤的將工業信息化部門也判定為信息安全的職能部門。這一信息在 2007 年發布的《信息安全等級保護管理辦法》文件中就已明確，但依然不少受調企業不了解。這一結果說明了供水企業對我國的網絡和信息安全的評價流程及管理體系的了解也并不清晰。

　　此外，后續關于是否了解數字證書、是否使用了電子簽章等密保相關問題的調研中，多數企業表示了解但實際上卻并未應用。有超過六成的受調企業表示企業的信息系統安全措施中并未使用密碼技術，對此信息技術及網絡安全專家指出數字證書和密碼技術是在國家文件中提到的保障網絡安全的核心技術，是構建網絡信任的基石。如果企業未采取任何網絡安全技術措施防范網絡安全威脅導致系統感染勒索病毒，將會對企業造成極大的危害。

　　3、應對危機的準備不夠充分

　　生產調度是供水企業工作中的重頭。因此，不少供水企業搭建了遠程控制系統，實現了在辦公室就能操作不同水廠之間進行調度。這是數字化轉型提升效率的成果之一。在此次疫情期間，智慧水務系統發揮了重要作用。供水企業的員工借助網絡實現遠程操作，可以在家控制水廠設備，保障水廠正常運行。然而，疫情期間員工登錄操作系統的環境發生了改變，由以往的在公司內部環境下的操作轉變為在相對開放的外部網絡環境中登錄和操作，這樣的改變是否會帶來安全隱患？這可能是部分企業需要提前考慮并預先作出準備的地方。

　　調研中我們針對此類需要在不同網絡環境下登錄控制系統并完成相應操作的情況進行了解，發現受調企業對于登錄和操作時的身份驗證的情形傾向于優先滿足操作的便捷性，即有超過六成的受調企業選擇了在不同的網絡環境中“只在登錄時需要身份驗證”。另一方面，關于認證（登錄）方式的調研結果顯示出供水企業的認證方式還是比較單一。信息技術及網絡安全專家指出供水企業在滿足操作的便捷性的同時也需要考慮安全，為滿足等級保護和密碼測評的要求，建議供水企業采用多因子的認證方式，并且應當分級、分系統、分地域、分網采用不同的認證方式組合以提高安全保障。

　　4、數據管理缺乏面向未來的意識

　　目前，供水企業中已有不少采用了工業控制系統來提升水廠生產的智能化水平。同時，企業在經營管理方面也采用了諸如辦公OA系統、營銷工單管理系統、用戶管理系統等的信息化手段來提升經營管理的效率和用戶服務的水平。數字技術的應用實際上是在幫助供水企業提升信息處理的效率，從而使數據從單純的數字變為可以為決策提供支撐的有效信息。

　　未來隨著智慧水務系統數據采集能力的提升，供水企業能夠獲取到的數據從種類到數量都會更加豐富。從當前提倡的“數據資產化”的發展思維來看，供水企業將掌握更多的“資產”。如何更好地在使用資產的同時保障資產的安全將成為供水企業需要考慮清楚的問題。如果缺乏對數據的統籌管理，很有可能造成數據資源的浪費，或是導致數據安全受到威脅。

　　從調研結果中可以看出，絕大多數企業非常重視數據的備份，有七成以上的受調研企業對重要的信息數據采取了本地+遠程備份的方式。供水企業這樣的做法符合等級保護 2.0 中對三級系統中明確的重要數據備份要求。但專家同時指出，《網絡安全法》第二十一條中：“采取數據分類、重要數據備份和加密等措施”的規定不僅要求企業對數據備份，同時還要求企業對數據資產進行加密保護。

　　結語

　　我國的網絡建設和信息技術發展為各行各業的數字化轉型提供了肥沃的土壤，近些年來已有越來越多的行業加入到數字化轉型的隊伍中。數字化轉型的成果在此次抗擊疫情中發揮的作用尤其明顯，國家更是積極宣傳和支持“新基建”的發展，充分支持并鼓勵網絡和信息技術朝向更高效便捷的方向發展。但同時，國家也同樣意識到了網絡和信息技術應用過程中可能存在的風險，并作出了諸如，發布施行《中華人民共和國網絡安全法》、成立中央及地方的網絡信息安全辦公室等的決策。供水是關系到社會穩定和人民生活的重要行業，供水企業運行維護著國家關鍵基礎設施。因此，供水行業是國家安全體系中極其重要的組成部分。供水行業在數字化轉型的過程中不僅要關注提升經營效率，更要加強對網絡及信息安全的重視程度。

　　供水網絡安全體系的構建刻不容緩，為此，2020 年第五屆（合肥）供水高峰論壇中特別設置面向供水企業的網絡安全話題分享。論壇將于 9 月 3 日-5 日于合肥舉辦，論壇邀請了信息安全共性技術國家工程中心的專家分享相關內容。同時，E20 供水研究中心將于論壇現場首次發布《供水網絡安全調研報告》電子版。報告中不僅呈現了前期對多家供水行業領軍企業調研所得到的結論，還有E20 供水研究中心結合長期深耕供水行業的豐富經驗做出的深度分析，更有信息及密碼技術領域的專家從技術專業的角度提出的看法以及未來優化的建議。報告中的更多精彩內容將在論壇現場展示，我們期待您的參與！