2、對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)不夠全面

　　網(wǎng)絡(luò)安全是供水企業(yè)安全防護(hù)中的一部分，因此，供水企業(yè)應(yīng)當(dāng)隨著網(wǎng)絡(luò)和信息技術(shù)在生產(chǎn)和管理中應(yīng)用程度的加深，加強(qiáng)防范措施來配合數(shù)字化轉(zhuǎn)型的發(fā)展。然而，供水行業(yè)目前對(duì)于網(wǎng)絡(luò)安全保護(hù)的了解程度有一定程度上的滯后。這樣的滯后性可能會(huì)對(duì)供水企業(yè)的網(wǎng)絡(luò)安全防護(hù)效果造成影響。

　　舉例而言，供水企業(yè)在判斷哪些機(jī)構(gòu)是信息安全的職能部門時(shí)，大多數(shù)的受調(diào)企業(yè)僅能確定公安機(jī)關(guān)是職能部門；只有約半數(shù)的受調(diào)企業(yè)能夠準(zhǔn)確的判斷出國(guó)家保密工作部門和國(guó)家密碼管理部門也是職能部門；甚至還有不少受調(diào)企業(yè)錯(cuò)誤的將工業(yè)信息化部門也判定為信息安全的職能部門。這一信息在 2007 年發(fā)布的《信息安全等級(jí)保護(hù)管理辦法》文件中就已明確，但依然不少受調(diào)企業(yè)不了解。這一結(jié)果說明了供水企業(yè)對(duì)我國(guó)的網(wǎng)絡(luò)和信息安全的評(píng)價(jià)流程及管理體系的了解也并不清晰。

　　此外，后續(xù)關(guān)于是否了解數(shù)字證書、是否使用了電子簽章等密保相關(guān)問題的調(diào)研中，多數(shù)企業(yè)表示了解但實(shí)際上卻并未應(yīng)用。有超過六成的受調(diào)企業(yè)表示企業(yè)的信息系統(tǒng)安全措施中并未使用密碼技術(shù)，對(duì)此信息技術(shù)及網(wǎng)絡(luò)安全專家指出數(shù)字證書和密碼技術(shù)是在國(guó)家文件中提到的保障網(wǎng)絡(luò)安全的核心技術(shù)，是構(gòu)建網(wǎng)絡(luò)信任的基石。如果企業(yè)未采取任何網(wǎng)絡(luò)安全技術(shù)措施防范網(wǎng)絡(luò)安全威脅導(dǎo)致系統(tǒng)感染勒索病毒，將會(huì)對(duì)企業(yè)造成極大的危害。

　　3、應(yīng)對(duì)危機(jī)的準(zhǔn)備不夠充分

　　生產(chǎn)調(diào)度是供水企業(yè)工作中的重頭。因此，不少供水企業(yè)搭建了遠(yuǎn)程控制系統(tǒng)，實(shí)現(xiàn)了在辦公室就能操作不同水廠之間進(jìn)行調(diào)度。這是數(shù)字化轉(zhuǎn)型提升效率的成果之一。在此次疫情期間，智慧水務(wù)系統(tǒng)發(fā)揮了重要作用。供水企業(yè)的員工借助網(wǎng)絡(luò)實(shí)現(xiàn)遠(yuǎn)程操作，可以在家控制水廠設(shè)備，保障水廠正常運(yùn)行。然而，疫情期間員工登錄操作系統(tǒng)的環(huán)境發(fā)生了改變，由以往的在公司內(nèi)部環(huán)境下的操作轉(zhuǎn)變?yōu)樵谙鄬?duì)開放的外部網(wǎng)絡(luò)環(huán)境中登錄和操作，這樣的改變是否會(huì)帶來安全隱患？這可能是部分企業(yè)需要提前考慮并預(yù)先作出準(zhǔn)備的地方。

　　調(diào)研中我們針對(duì)此類需要在不同網(wǎng)絡(luò)環(huán)境下登錄控制系統(tǒng)并完成相應(yīng)操作的情況進(jìn)行了解，發(fā)現(xiàn)受調(diào)企業(yè)對(duì)于登錄和操作時(shí)的身份驗(yàn)證的情形傾向于優(yōu)先滿足操作的便捷性，即有超過六成的受調(diào)企業(yè)選擇了在不同的網(wǎng)絡(luò)環(huán)境中“只在登錄時(shí)需要身份驗(yàn)證”。另一方面，關(guān)于認(rèn)證（登錄）方式的調(diào)研結(jié)果顯示出供水企業(yè)的認(rèn)證方式還是比較單一。信息技術(shù)及網(wǎng)絡(luò)安全專家指出供水企業(yè)在滿足操作的便捷性的同時(shí)也需要考慮安全，為滿足等級(jí)保護(hù)和密碼測(cè)評(píng)的要求，建議供水企業(yè)采用多因子的認(rèn)證方式，并且應(yīng)當(dāng)分級(jí)、分系統(tǒng)、分地域、分網(wǎng)采用不同的認(rèn)證方式組合以提高安全保障。

　　4、數(shù)據(jù)管理缺乏面向未來的意識(shí)

　　目前，供水企業(yè)中已有不少采用了工業(yè)控制系統(tǒng)來提升水廠生產(chǎn)的智能化水平。同時(shí)，企業(yè)在經(jīng)營(yíng)管理方面也采用了諸如辦公OA系統(tǒng)、營(yíng)銷工單管理系統(tǒng)、用戶管理系統(tǒng)等的信息化手段來提升經(jīng)營(yíng)管理的效率和用戶服務(wù)的水平。數(shù)字技術(shù)的應(yīng)用實(shí)際上是在幫助供水企業(yè)提升信息處理的效率，從而使數(shù)據(jù)從單純的數(shù)字變?yōu)榭梢詾闆Q策提供支撐的有效信息。

　　未來隨著智慧水務(wù)系統(tǒng)數(shù)據(jù)采集能力的提升，供水企業(yè)能夠獲取到的數(shù)據(jù)從種類到數(shù)量都會(huì)更加豐富。從當(dāng)前提倡的“數(shù)據(jù)資產(chǎn)化”的發(fā)展思維來看，供水企業(yè)將掌握更多的“資產(chǎn)”。如何更好地在使用資產(chǎn)的同時(shí)保障資產(chǎn)的安全將成為供水企業(yè)需要考慮清楚的問題。如果缺乏對(duì)數(shù)據(jù)的統(tǒng)籌管理，很有可能造成數(shù)據(jù)資源的浪費(fèi)，或是導(dǎo)致數(shù)據(jù)安全受到威脅。

　　從調(diào)研結(jié)果中可以看出，絕大多數(shù)企業(yè)非常重視數(shù)據(jù)的備份，有七成以上的受調(diào)研企業(yè)對(duì)重要的信息數(shù)據(jù)采取了本地+遠(yuǎn)程備份的方式。供水企業(yè)這樣的做法符合等級(jí)保護(hù) 2.0 中對(duì)三級(jí)系統(tǒng)中明確的重要數(shù)據(jù)備份要求。但專家同時(shí)指出，《網(wǎng)絡(luò)安全法》第二十一條中：“采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施”的規(guī)定不僅要求企業(yè)對(duì)數(shù)據(jù)備份，同時(shí)還要求企業(yè)對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行加密保護(hù)。

　　結(jié)語(yǔ)

　　我國(guó)的網(wǎng)絡(luò)建設(shè)和信息技術(shù)發(fā)展為各行各業(yè)的數(shù)字化轉(zhuǎn)型提供了肥沃的土壤，近些年來已有越來越多的行業(yè)加入到數(shù)字化轉(zhuǎn)型的隊(duì)伍中。數(shù)字化轉(zhuǎn)型的成果在此次抗擊疫情中發(fā)揮的作用尤其明顯，國(guó)家更是積極宣傳和支持“新基建”的發(fā)展，充分支持并鼓勵(lì)網(wǎng)絡(luò)和信息技術(shù)朝向更高效便捷的方向發(fā)展。但同時(shí)，國(guó)家也同樣意識(shí)到了網(wǎng)絡(luò)和信息技術(shù)應(yīng)用過程中可能存在的風(fēng)險(xiǎn)，并作出了諸如，發(fā)布施行《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、成立中央及地方的網(wǎng)絡(luò)信息安全辦公室等的決策。供水是關(guān)系到社會(huì)穩(wěn)定和人民生活的重要行業(yè)，供水企業(yè)運(yùn)行維護(hù)著國(guó)家關(guān)鍵基礎(chǔ)設(shè)施。因此，供水行業(yè)是國(guó)家安全體系中極其重要的組成部分。供水行業(yè)在數(shù)字化轉(zhuǎn)型的過程中不僅要關(guān)注提升經(jīng)營(yíng)效率，更要加強(qiáng)對(duì)網(wǎng)絡(luò)及信息安全的重視程度。

　　供水網(wǎng)絡(luò)安全體系的構(gòu)建刻不容緩，為此，2020 年第五屆（合肥）供水高峰論壇中特別設(shè)置面向供水企業(yè)的網(wǎng)絡(luò)安全話題分享。論壇將于 9 月 3 日-5 日于合肥舉辦，論壇邀請(qǐng)了信息安全共性技術(shù)國(guó)家工程中心的專家分享相關(guān)內(nèi)容。同時(shí)，E20 供水研究中心將于論壇現(xiàn)場(chǎng)首次發(fā)布《供水網(wǎng)絡(luò)安全調(diào)研報(bào)告》電子版。報(bào)告中不僅呈現(xiàn)了前期對(duì)多家供水行業(yè)領(lǐng)軍企業(yè)調(diào)研所得到的結(jié)論，還有E20 供水研究中心結(jié)合長(zhǎng)期深耕供水行業(yè)的豐富經(jīng)驗(yàn)做出的深度分析，更有信息及密碼技術(shù)領(lǐng)域的專家從技術(shù)專業(yè)的角度提出的看法以及未來優(yōu)化的建議。報(bào)告中的更多精彩內(nèi)容將在論壇現(xiàn)場(chǎng)展示，我們期待您的參與！

編輯：徐冰冰