隨著數字技術的發展�,日常生活中與信息技術相關的內容越來越多。信息技術的發展和網絡覆蓋率的提升帶來了便利的同時也帶來了一定的風險�����。供水行業的數字化轉型也將面臨這一問題�。習近平總書記強調,網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題�����,要從國際國內大勢出發���,總體布局����,統籌各方,創新發展�,努力把我國建設成為網絡強國��。供水行業在國家網絡安全體系中占據怎樣的角色?供水企業應該警惕哪些網絡安全風險�?本文將從對供水企業的調研結果出發回答這兩個問題。
相關閱讀
【征集】鎖定供水行業五大類需求,尋找優秀系統解決方案
供水行業更需警惕網絡安全威脅
近年來,隨著智慧水務的不斷發展,數字信息技術被應用于供水的各個環節。從水廠生產運行中的設備監控到用戶繳費和獲取服務,供水行業對網絡和信息技術的依賴程度逐漸加深����。網絡和信息技術是供水企業提升服務和管理的重要工具����。然而�����, 作為非信息技術專業領域的企業�����,供水企業對于網絡和信息技術中可能存在的風險并不十分了解,因此����,對于網絡安全中潛在危險的防范也可能存在疏忽�。
不久前�����,以色列供水設施遭襲事件引起業內廣泛關注�。盡管以色列官方回應稱此次攻擊并未對國家供水系統造成實質性的傷害�,但對于攻擊者選取供水設施作為攻擊目標的險惡用心不可輕視。事實上,以色列供水設施遭遇襲擊事件并非水務行業的首例���。近些年來,供水網絡安全事件在全球范圍內頻發,尤其是在存在爭端的國家之間�����。利用網絡和信息技術手段破壞或干擾對手國家的關鍵基礎設施的方式很可能會導致受攻擊國家的國民日常生活受到嚴重影響����,因此�,我們需要對有預謀的針對供水設施等關鍵基礎設施發起攻擊的情況有所準備���。
供水系統供應的自來水主要有兩方面的用途:1)維持生命的飲用水����;2)滿足衛生需求的清潔用水�����。因此��,供水系統受到影響會更容易導致社會穩定性受到影響。對比供水與供電系統遭受攻擊的情況來看�����,供電系統如果遭受破壞可能導致電力供應中斷�,但短期內恢復相對不太容易對人民的生命安全造成巨大威脅;如果供水系統受到惡意破壞,不僅可能導致供水中斷��,甚至可能導致受到污染的水源流入用戶家中�。
用戶對于水質安全的敏感程度普遍較高,一旦發生水質問題不僅會導致用戶生命健康受到威脅,同時用戶群體的恐慌也會造成社會的穩定性受到影響。因此�����,供水企業需要盡快構建網絡和信息技術安全體系���,完善對供水關鍵基礎設施的安全保護����。這是供水企業從企業經營的職責和協助保障社會安全穩定的職責出發需要承擔的工作��。
面對復雜多變的國際形勢�����,我國的供水企業更應該在使用網絡及信息技術時加強安全保護意識,加快提升自身在網絡及信息安全方面的防御能力����,構建起更加堅固穩定的供水網絡安全保障體系���。為此���,供水企業既要了解供水行業當前網絡和信息技術安全保障的整體情況��,還要清楚地認識到自身的薄弱環節,才能更好地明確未來網絡安全保障工作的優化方向。
頭部供水企業網絡安全調研結果如何?
為了幫助供水企業更好的了解供水行業網絡安全保障工作的水平���,E20供水研究中心聯合信息安全共性技術國家工程研究中心對國內數字化轉型中的領先企業進行了以網絡安全為主題的調研。根據調研反饋的情況來看����,我國的供水行業頭部的企業對于網絡安全的重視程度處于較高的水平����,但是由于非網絡及信息技術專業的限制���,供水企業在應用網絡和信技術的過程中還是存在一定的安全風險����。本文簡單羅列幾項調研結果反映出來的共性問題:
1、缺乏專業技術知識導致未能及時作出風險判斷
供水企業并非網絡和信息技術領域的專業從業者���,而是使用者���。因此���,供水企業對于網絡和信息技術的了解大多停留在使用層面���,并未深入研究網絡和信息技術背后復雜的結構���。(這類似于我們知道如何使用門鎖來保護財產,但大部分情況下使用者不回去細究鎖的內部結構。作為一個標準化的工業品����,即便生產廠家不同�,其產品都要符合行業監管機構的認證���。換句話說����,產品生產技術中的安全測試和風險把關的工作實際上是由生產者按照該行業的監管機構的要求預先完成了。使用者即便不了解產品內部應用的技術�,只要知道產品合格也可以相對放心的使用�����。)
目前我國的智慧水務發展既沒有相對明確的權威機構負責制定標準,也沒有行業統一認可的建設標準����。因此�����,智慧水務的安全風險把關需要作為使用者的供水企業自己來完成�。然而,供水企業缺乏對網絡和信息專業領域的專業知識��,對潛藏風險的糾察和處理很難全面把控��。當前很多供水企業與智慧水務系統及設備的供應商之間的合作模式是供水企業負責提出需求�����,供應商按照需求探索改進。供水企業的需求有差別�,供應商就需要按照供水企業的需求做出個性化的調整�����,甚至來自同一供應商的同一類產品內部所使用的支撐技術或是結構都可能存在很大差異。
然而,多數供水企業并不了解網絡技術層面的專業知識�,也不知道供應商對產品內部結構做出的調整會不會帶來安全風險�。供水企業能夠簡單直接評判的只有供應商提供的產品是否符合自身提出的需求��。這其中的隱患在于如果產品技術層面存在供水企業沒有考慮到的風險�����,供水企業將要為未來可能出現的安全事故負責。不僅如此,供水企業如果將智慧水務的系統分包給不同的供應商���,不同系統之間可能存在的安全風險也要由供水企業承擔。
調研中��,不少企業表示自身也會對外包商采取一定的管控措施�。常見的幾種管控措施包括:1)合同約定服務;2)外包商服務評價體系���;3)建立兩方合作組;4)利用技術手段隔離外包系統與主機間的聯系�����。此外��,信息安全專家建議供水企業應針對外包商定期開展盡職調查、風險評估等工作��;同時��,供水企業內部應當設立常態化的網絡安全工作小組�,由企業的最高決策人負責領導小組進行網絡安全維護工作���。
對于缺乏技術專業知識這一情況����,專家提到調研結果中反映出供水企業的網絡安全培訓針對性不強,需要根據供水企業的應用場景�����,結合工控安全、物聯網安全等領域的創新解決方案開展相應的培訓����。
編輯:徐冰冰
