隨著數(shù)字技術(shù)的發(fā)展�����,日常生活中與信息技術(shù)相關(guān)的內(nèi)容越來越多����。信息技術(shù)的發(fā)展和網(wǎng)絡(luò)覆蓋率的提升帶來了便利的同時也帶來了一定的風(fēng)險。供水行業(yè)的數(shù)字化轉(zhuǎn)型也將面臨這一問題����。習(xí)近平總書記強調(diào),網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和國家發(fā)展�、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題,要從國際國內(nèi)大勢出發(fā),總體布局�,統(tǒng)籌各方,創(chuàng)新發(fā)展��,努力把我國建設(shè)成為網(wǎng)絡(luò)強國���。供水行業(yè)在國家網(wǎng)絡(luò)安全體系中占據(jù)怎樣的角色�����?供水企業(yè)應(yīng)該警惕哪些網(wǎng)絡(luò)安全風(fēng)險�����?本文將從對供水企業(yè)的調(diào)研結(jié)果出發(fā)回答這兩個問題����。
相關(guān)閱讀
【征集】鎖定供水行業(yè)五大類需求����,尋找優(yōu)秀系統(tǒng)解決方案
供水行業(yè)更需警惕網(wǎng)絡(luò)安全威脅
近年來,隨著智慧水務(wù)的不斷發(fā)展����,數(shù)字信息技術(shù)被應(yīng)用于供水的各個環(huán)節(jié)。從水廠生產(chǎn)運行中的設(shè)備監(jiān)控到用戶繳費和獲取服務(wù),供水行業(yè)對網(wǎng)絡(luò)和信息技術(shù)的依賴程度逐漸加深���。網(wǎng)絡(luò)和信息技術(shù)是供水企業(yè)提升服務(wù)和管理的重要工具�����。然而���, 作為非信息技術(shù)專業(yè)領(lǐng)域的企業(yè),供水企業(yè)對于網(wǎng)絡(luò)和信息技術(shù)中可能存在的風(fēng)險并不十分了解��,因此�,對于網(wǎng)絡(luò)安全中潛在危險的防范也可能存在疏忽。
不久前�����,以色列供水設(shè)施遭襲事件引起業(yè)內(nèi)廣泛關(guān)注���。盡管以色列官方回應(yīng)稱此次攻擊并未對國家供水系統(tǒng)造成實質(zhì)性的傷害�,但對于攻擊者選取供水設(shè)施作為攻擊目標(biāo)的險惡用心不可輕視����。事實上,以色列供水設(shè)施遭遇襲擊事件并非水務(wù)行業(yè)的首例���。近些年來�,供水網(wǎng)絡(luò)安全事件在全球范圍內(nèi)頻發(fā)��,尤其是在存在爭端的國家之間����。利用網(wǎng)絡(luò)和信息技術(shù)手段破壞或干擾對手國家的關(guān)鍵基礎(chǔ)設(shè)施的方式很可能會導(dǎo)致受攻擊國家的國民日常生活受到嚴(yán)重影響,因此�����,我們需要對有預(yù)謀的針對供水設(shè)施等關(guān)鍵基礎(chǔ)設(shè)施發(fā)起攻擊的情況有所準(zhǔn)備����。
供水系統(tǒng)供應(yīng)的自來水主要有兩方面的用途:1)維持生命的飲用水;2)滿足衛(wèi)生需求的清潔用水��。因此�,供水系統(tǒng)受到影響會更容易導(dǎo)致社會穩(wěn)定性受到影響。對比供水與供電系統(tǒng)遭受攻擊的情況來看���,供電系統(tǒng)如果遭受破壞可能導(dǎo)致電力供應(yīng)中斷��,但短期內(nèi)恢復(fù)相對不太容易對人民的生命安全造成巨大威脅��;如果供水系統(tǒng)受到惡意破壞���,不僅可能導(dǎo)致供水中斷�����,甚至可能導(dǎo)致受到污染的水源流入用戶家中����。
用戶對于水質(zhì)安全的敏感程度普遍較高�����,一旦發(fā)生水質(zhì)問題不僅會導(dǎo)致用戶生命健康受到威脅�����,同時用戶群體的恐慌也會造成社會的穩(wěn)定性受到影響���。因此���,供水企業(yè)需要盡快構(gòu)建網(wǎng)絡(luò)和信息技術(shù)安全體系��,完善對供水關(guān)鍵基礎(chǔ)設(shè)施的安全保護。這是供水企業(yè)從企業(yè)經(jīng)營的職責(zé)和協(xié)助保障社會安全穩(wěn)定的職責(zé)出發(fā)需要承擔(dān)的工作����。
面對復(fù)雜多變的國際形勢,我國的供水企業(yè)更應(yīng)該在使用網(wǎng)絡(luò)及信息技術(shù)時加強安全保護意識��,加快提升自身在網(wǎng)絡(luò)及信息安全方面的防御能力����,構(gòu)建起更加堅固穩(wěn)定的供水網(wǎng)絡(luò)安全保障體系。為此�,供水企業(yè)既要了解供水行業(yè)當(dāng)前網(wǎng)絡(luò)和信息技術(shù)安全保障的整體情況,還要清楚地認識到自身的薄弱環(huán)節(jié)����,才能更好地明確未來網(wǎng)絡(luò)安全保障工作的優(yōu)化方向。
頭部供水企業(yè)網(wǎng)絡(luò)安全調(diào)研結(jié)果如何�?
為了幫助供水企業(yè)更好的了解供水行業(yè)網(wǎng)絡(luò)安全保障工作的水平,E20供水研究中心聯(lián)合信息安全共性技術(shù)國家工程研究中心對國內(nèi)數(shù)字化轉(zhuǎn)型中的領(lǐng)先企業(yè)進行了以網(wǎng)絡(luò)安全為主題的調(diào)研�����。根據(jù)調(diào)研反饋的情況來看����,我國的供水行業(yè)頭部的企業(yè)對于網(wǎng)絡(luò)安全的重視程度處于較高的水平����,但是由于非網(wǎng)絡(luò)及信息技術(shù)專業(yè)的限制����,供水企業(yè)在應(yīng)用網(wǎng)絡(luò)和信技術(shù)的過程中還是存在一定的安全風(fēng)險。本文簡單羅列幾項調(diào)研結(jié)果反映出來的共性問題:
1�、缺乏專業(yè)技術(shù)知識導(dǎo)致未能及時作出風(fēng)險判斷
供水企業(yè)并非網(wǎng)絡(luò)和信息技術(shù)領(lǐng)域的專業(yè)從業(yè)者,而是使用者��。因此����,供水企業(yè)對于網(wǎng)絡(luò)和信息技術(shù)的了解大多停留在使用層面,并未深入研究網(wǎng)絡(luò)和信息技術(shù)背后復(fù)雜的結(jié)構(gòu)�。(這類似于我們知道如何使用門鎖來保護財產(chǎn),但大部分情況下使用者不回去細究鎖的內(nèi)部結(jié)構(gòu)�����。作為一個標(biāo)準(zhǔn)化的工業(yè)品�����,即便生產(chǎn)廠家不同,其產(chǎn)品都要符合行業(yè)監(jiān)管機構(gòu)的認證���。換句話說��,產(chǎn)品生產(chǎn)技術(shù)中的安全測試和風(fēng)險把關(guān)的工作實際上是由生產(chǎn)者按照該行業(yè)的監(jiān)管機構(gòu)的要求預(yù)先完成了。使用者即便不了解產(chǎn)品內(nèi)部應(yīng)用的技術(shù)���,只要知道產(chǎn)品合格也可以相對放心的使用�����。)
目前我國的智慧水務(wù)發(fā)展既沒有相對明確的權(quán)威機構(gòu)負責(zé)制定標(biāo)準(zhǔn)���,也沒有行業(yè)統(tǒng)一認可的建設(shè)標(biāo)準(zhǔn)。因此��,智慧水務(wù)的安全風(fēng)險把關(guān)需要作為使用者的供水企業(yè)自己來完成�����。然而�,供水企業(yè)缺乏對網(wǎng)絡(luò)和信息專業(yè)領(lǐng)域的專業(yè)知識,對潛藏風(fēng)險的糾察和處理很難全面把控�����。當(dāng)前很多供水企業(yè)與智慧水務(wù)系統(tǒng)及設(shè)備的供應(yīng)商之間的合作模式是供水企業(yè)負責(zé)提出需求,供應(yīng)商按照需求探索改進����。供水企業(yè)的需求有差別,供應(yīng)商就需要按照供水企業(yè)的需求做出個性化的調(diào)整���,甚至來自同一供應(yīng)商的同一類產(chǎn)品內(nèi)部所使用的支撐技術(shù)或是結(jié)構(gòu)都可能存在很大差異��。
然而����,多數(shù)供水企業(yè)并不了解網(wǎng)絡(luò)技術(shù)層面的專業(yè)知識����,也不知道供應(yīng)商對產(chǎn)品內(nèi)部結(jié)構(gòu)做出的調(diào)整會不會帶來安全風(fēng)險。供水企業(yè)能夠簡單直接評判的只有供應(yīng)商提供的產(chǎn)品是否符合自身提出的需求��。這其中的隱患在于如果產(chǎn)品技術(shù)層面存在供水企業(yè)沒有考慮到的風(fēng)險���,供水企業(yè)將要為未來可能出現(xiàn)的安全事故負責(zé)�����。不僅如此��,供水企業(yè)如果將智慧水務(wù)的系統(tǒng)分包給不同的供應(yīng)商�����,不同系統(tǒng)之間可能存在的安全風(fēng)險也要由供水企業(yè)承擔(dān)����。
調(diào)研中��,不少企業(yè)表示自身也會對外包商采取一定的管控措施����。常見的幾種管控措施包括:1)合同約定服務(wù);2)外包商服務(wù)評價體系����;3)建立兩方合作組;4)利用技術(shù)手段隔離外包系統(tǒng)與主機間的聯(lián)系���。此外��,信息安全專家建議供水企業(yè)應(yīng)針對外包商定期開展盡職調(diào)查�����、風(fēng)險評估等工作���;同時����,供水企業(yè)內(nèi)部應(yīng)當(dāng)設(shè)立常態(tài)化的網(wǎng)絡(luò)安全工作小組����,由企業(yè)的最高決策人負責(zé)領(lǐng)導(dǎo)小組進行網(wǎng)絡(luò)安全維護工作。
對于缺乏技術(shù)專業(yè)知識這一情況�����,專家提到調(diào)研結(jié)果中反映出供水企業(yè)的網(wǎng)絡(luò)安全培訓(xùn)針對性不強�,需要根據(jù)供水企業(yè)的應(yīng)用場景,結(jié)合工控安全�、物聯(lián)網(wǎng)安全等領(lǐng)域的創(chuàng)新解決方案開展相應(yīng)的培訓(xùn)。
編輯:徐冰冰
