供水网络安全当“警钟长鸣”

供水行业更需警惕网络安全威胁

近年来，随着智慧水务的不断发展，数字信息技术被应用于供水的各个环节。从水厂生产运行中的设备监控到用户缴费和获取服务，供水行业对网络和信息技术的依赖程度逐渐加深。网络和信息技术是供水企业提升服务和管理的重要工具。然而， 作为非信息技术专业领域的企业，供水企业对于网络和信息技术中可能存在的风险并不十分了解，因此，对于网络安全中潜在危险的防范也可能存在疏忽。

以色列供水设施遭袭事件引起业内广泛关注。尽管以色列官方回应称此次攻击并未对国家供水系统造成实质性的伤害，但对于攻击者选取供水设施作为攻击目标的险恶用心不可轻视。事实上，以色列供水设施遭遇袭击事件并非水务行业的首例。近些年来，供水网络安全事件在全球范围内频发，尤其是在存在争端的国家之间。利用网络和信息技术手段破坏或干扰对手国家的关键基础设施的方式很可能会导致受攻击国家的国民日常生活受到严重影响，因此，我们需要对有预谋的针对供水设施等关键基础设施发起攻击的情况有所准备。

供水系统供应的自来水主要有两方面的用途：1）维持生命的饮用水；2）满足卫生需求的清洁用水。因此，供水系统受到影响会更容易导致社会稳定性受到影响。对比供水与供电系统遭受攻击的情况来看，供电系统如果遭受破坏可能导致电力供应中断，但短期内恢复相对不太容易对人民的生命安全造成巨大威胁；如果供水系统受到恶意破坏，不仅可能导致供水中断，甚至可能导致受到污染的水源流入用户家中。

用户对于水质安全的敏感程度普遍较高，一旦发生水质问题不仅会导致用户生命健康受到威胁，同时用户群体的恐慌也会造成社会的稳定性受到影响。因此，供水企业需要尽快构建网络和信息技术安全体系，完善对供水关键基础设施的安全保护。这是供水企业从企业经营的职责和协助保障社会安全稳定的职责出发需要承担的工作。

面对复杂多变的国际形势，我国的供水企业更应该在使用网络及信息技术是加强安全保护意识，加快提升自身在网络及信息安全方面的防御能力，构建起更加坚固稳定的供水网络安全保障体系。为此，供水企业既要了解供水行业当前网络和信息技术安全保障的整体情况，还要清楚地认识到自身的薄弱环节，才能更好地明确未来网络安全保障工作的优化方向。

头部供水企业网络安全调研结果如何？

为了帮助供水企业更好地了解供水行业网络安全保障工作的水平，E20供水研究中心联合信息安全共性技术国家工程研究中心对国内数字化转型中的领先企业进行了以网络安全为主题的调研。根据调研反馈的情况来看，我国的供水行业头部的企业对于网络安全的重视程度处于较高的水平，但是由于非网络及信息技术专业的限制，供水企业在应用网络和信技术的过程中还是存在一定的安全风险。本文简单罗列几项调研结果反映出来的共性问题：

1、缺乏专业技术知识导致未能及时作出风险判断

供水企业并非网络和信息技术领域的专业从业者，而是使用者。因此，供水企业对于网络和信息技术的了解大多停留在使用层面，并未深入研究网络和信息技术背后复杂的结构。(这类似于我们知道如何使用门锁来保护财产，但大部分情况下使用者不回去细究锁的内部结构。作为一个标准化的工业品，即便生产厂家不同，其产品都要符合行业监管机构的认证。换句话说，产品生产技术中的安全测试和风险把关的工作实际上是由生产者按照该行业的监管机构的要求预先完成了。使用者即便不了解产品内部应用的技术，只要知道产品合格也可以相对放心的使用。)

目前我国的智慧水务发展既没有相对明确的权威机构负责制定标准，也没有行业统一认可的建设标准。因此，智慧水务的安全风险把关需要作为使用者的供水企业自己来完成。然而，供水企业缺乏对网络和信息专业领域的专业知识，对潜藏风险的纠察和处理很难全面把控。当前很多供水企业与智慧水务系统及设备的供应商之间的合作模式是供水企业负责提出需求，供应商按照需求探索改进。供水企业的需求有差别，供应商就需要按照供水企业的需求做出个性化的调整，甚至来自同一供应商的同一类产品内部所使用的支撑技术或是结构都可能存在很大差异。

然而，多数供水企业并不了解网络技术层面的专业知识，也不知道供应商对产品内部结构做出的调整会不会带来安全风险。供水企业能够简单直接评判的只有供应商提供的产品是否符合自身提出的需求。这其中的隐患在于如果产品技术层面存在供水企业没有考虑到的风险，供水企业将要为未来可能出现的安全事故负责。不仅如此，供水企业如果将智慧水务的系统分包给不同的供应商，不同系统之间可能存在的安全风险也要由供水企业承担。

调研中，不少企业表示自身也会对外包商采取一定的管控措施。常见的几种管控措施包括：1）合同约定服务；2）外包商服务评价体系；3）建立两方合作组；4）利用技术手段隔离外包系统与主机间的联系。此外，信息安全专家建议供水企业应针对外包商定期开展尽职调查、风险评估等工作；同时，供水企业内部应当设立常态化的网络安全工作小组，由企业的最高决策人负责领导小组进行网络安全维护工作。

对于缺乏技术专业知识这一情况，专家提到调研结果中反映出供水企业的网络安全培训针对性不强，需要根据供水企业的应用场景，结合工控安全、物联网安全等领域的创新解决方案开展相应的培训。

2、对网络安全的认识不够全面

网络安全是供水企业安全防护中的一部分，因此，供水企业应当随着网络和信息技术在生产和管理中应用程度的加深，加强防范措施来配合数字化转型的发展。然而，供水行业目前对于网络安全保护的了解程度有一定程度上的滞后。这样的滞后性可能会对供水企业的网络安全防护效果造成影响。

举例而言，供水企业在判断哪些机构是信息安全的职能部门时，大多数的受调企业仅能确定公安机关是职能部门；只有约半数的受调企业能够准确地判断出国家保密工作部门和国家密码管理部门也是职能部门；甚至还有不少受调企业错误地将工业信息化部门也判定为信息安全的职能部门。这一信息在 2007 年发布的《信息安全等级保护管理办法》文件中就已明确，但依然不少受调企业不了解。这一结果说明了供水企业对我国的网络和信息安全的评价流程及管理体系的了解也并不清晰。

此外，后续关于是否了解数字证书、是否使用了电子签章等密保相关问题的调研中，多数企业表示了解但实际上却并未应用。有超过六成的受调企业表示企业的信息系统安全措施中并未使用密码技术，对此信息技术及网络安全专家指出数字证书和密码技术是在国家文件中提到的保障网络安全的核心技术，是构建网络信任的基石。如果企业未采取任何网络安全技术措施防范网络安全威胁导致系统感染勒索病毒，将会对企业造成极大的危害。

3、应对危机的准备不够充分

生产调度是供水企业工作中的重头。因此，不少供水企业搭建了远程控制系统，实现了在办公室就能操作不同水厂之间进行调度。这是数字化转型提升效率的成果之一。在此次疫情期间，智慧水务系统发挥了重要作用。供水企业的员工借助网络实现远程操作，可以在家控制水厂设备，保障水厂正常运行。然而，疫情期间员工登录操作系统的环境发生了改变，由以往的在公司内部环境下的操作转变为在相对开放的外部网络环境中登录和操作，这样的改变是否会带来安全隐患？这可能是部分企业需要提前考虑并预先作出准备的地方。

调研中我们针对此类需要在不同网络环境下登录控制系统并完成相应操作的情况进行了解，发现受调企业对于登录和操作时的身份验证的情形倾向于优先满足操作的便捷性，即有超过六成的受调企业选择了在不同的网络环境中“只在登录时需要身份验证”。另一方面，关于认证（登录）方式的调研结果显示出供水企业的认证方式还是比较单一。信息技术及网络安全专家指出供水企业在满足操作的便捷性的同时也需要考虑安全，为满足等级保护和密码测评的要求，建议供水企业采用多因子的认证方式，并且应当分级、分系统、分地域、分网采用不同的认证方式组合以提高安全保障。

4、数据管理缺乏面向未来的意识

目前，供水企业中已有不少采用了工业控制系统来提升水厂生产的智能化水平。同时，企业在经营管理方面也采用了诸如办公OA系统、营销工单管理系统、用户管理系统等的信息化手段来提升经营管理的效率和用户服务的水平。数字技术的应用实际上是在帮助供水企业提升信息处理的效率，从而使数据从单纯的数字变为可以为决策提供支撑的有效信息。

未来随着智慧水务系统数据采集能力的提升，供水企业能够获取到的数据从种类到数量都会更加丰富。从当前提倡的“数据资产化”的发展思维来看，供水企业将掌握更多的“资产”。如何更好地在使用资产的同时保障资产的安全将成为供水企业需要考虑清楚的问题。如果缺乏对数据的统筹管理，很有可能造成数据资源的浪费，或是导致数据安全受到威胁。

从调研结果中可以看出，绝大多数企业非常重视数据的备份，有七成以上的受调研企业对重要的信息数据采取了本地+远程备份的方式。供水企业这样的做法符合等级保护 2.0 中对三级系统中明确的重要数据备份要求。但专家同时指出，《网络安全法》第二十一条中：“采取数据分类、重要数据备份和加密等措施”的规定不仅要求企业对数据备份，同时还要求企业对数据资产进行加密保护。

结语

我国的网络建设和信息技术发展为各行各业的数字化转型提供了肥沃的土壤，近些年来已有越来越多的行业加入到数字化转型的队伍中。数字化转型的成果在此次抗击疫情中发挥的作用尤其明显，国家更是积极宣传和支持“新基建”的发展，充分支持并鼓励网络和信息技术朝向更高效便捷的方向发展。但同时，国家也同样意识到了网络和信息技术应用过程中可能存在的风险，并作出了诸如，发布施行《中华人民共和国网络安全法》、成立中央及地方的网络信息安全办公室等的决策。供水是关系到社会稳定和人民生活的重要行业，供水企业运行维护着国家关键基础设施。因此，供水行业是国家安全体系中极其重要的组成部分。供水行业在数字化转型的过程中不仅要关注提升经营效率，更要加强对网络及信息安全的重视程度。

来源：E20 供水研究中心 作者：胡雅倩