随着数字技术的发展,日常生活中与信息技术相关的内容越来越多。信息技术的发展和网络覆盖率的提升带来了便利的同时也带来了一定的风险。供水行业的数字化转型也将面临这一问题。习近平总书记强调,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。供水行业在国家网络安全体系中占据怎样的角色?供水企业应该警惕哪些网络安全风险?本文将从对供水企业的调研结果出发回答这两个问题。
相关阅读
供水行业更需警惕网络安全威胁
近年来,随着智慧水务的不断发展,数字信息技术被应用于供水的各个环节。从水厂生产运行中的设备监控到用户缴费和获取服务,供水行业对网络和信息技术的依赖程度逐渐加深。网络和信息技术是供水企业提升服务和管理的重要工具。然而, 作为非信息技术专业领域的企业,供水企业对于网络和信息技术中可能存在的风险并不十分了解,因此,对于网络安全中潜在危险的防范也可能存在疏忽。
不久前,以色列供水设施遭袭事件引起业内广泛关注。尽管以色列官方回应称此次攻击并未对国家供水系统造成实质性的伤害,但对于攻击者选取供水设施作为攻击目标的险恶用心不可轻视。事实上,以色列供水设施遭遇袭击事件并非水务行业的首例。近些年来,供水网络安全事件在全球范围内频发,尤其是在存在争端的国家之间。利用网络和信息技术手段破坏或干扰对手国家的关键基础设施的方式很可能会导致受攻击国家的国民日常生活受到严重影响,因此,我们需要对有预谋的针对供水设施等关键基础设施发起攻击的情况有所准备。
供水系统供应的自来水主要有两方面的用途:1)维持生命的饮用水;2)满足卫生需求的清洁用水。因此,供水系统受到影响会更容易导致社会稳定性受到影响。对比供水与供电系统遭受攻击的情况来看,供电系统如果遭受破坏可能导致电力供应中断,但短期内恢复相对不太容易对人民的生命安全造成巨大威胁;如果供水系统受到恶意破坏,不仅可能导致供水中断,甚至可能导致受到污染的水源流入用户家中。
用户对于水质安全的敏感程度普遍较高,一旦发生水质问题不仅会导致用户生命健康受到威胁,同时用户群体的恐慌也会造成社会的稳定性受到影响。因此,供水企业需要尽快构建网络和信息技术安全体系,完善对供水关键基础设施的安全保护。这是供水企业从企业经营的职责和协助保障社会安全稳定的职责出发需要承担的工作。
面对复杂多变的国际形势,我国的供水企业更应该在使用网络及信息技术时加强安全保护意识,加快提升自身在网络及信息安全方面的防御能力,构建起更加坚固稳定的供水网络安全保障体系。为此,供水企业既要了解供水行业当前网络和信息技术安全保障的整体情况,还要清楚地认识到自身的薄弱环节,才能更好地明确未来网络安全保障工作的优化方向。
头部供水企业网络安全调研结果如何?
为了帮助供水企业更好的了解供水行业网络安全保障工作的水平,E20供水研究中心联合信息安全共性技术国家工程研究中心对国内数字化转型中的领先企业进行了以网络安全为主题的调研。根据调研反馈的情况来看,我国的供水行业头部的企业对于网络安全的重视程度处于较高的水平,但是由于非网络及信息技术专业的限制,供水企业在应用网络和信技术的过程中还是存在一定的安全风险。本文简单罗列几项调研结果反映出来的共性问题:
1、缺乏专业技术知识导致未能及时作出风险判断
供水企业并非网络和信息技术领域的专业从业者,而是使用者。因此,供水企业对于网络和信息技术的了解大多停留在使用层面,并未深入研究网络和信息技术背后复杂的结构。(这类似于我们知道如何使用门锁来保护财产,但大部分情况下使用者不回去细究锁的内部结构。作为一个标准化的工业品,即便生产厂家不同,其产品都要符合行业监管机构的认证。换句话说,产品生产技术中的安全测试和风险把关的工作实际上是由生产者按照该行业的监管机构的要求预先完成了。使用者即便不了解产品内部应用的技术,只要知道产品合格也可以相对放心的使用。)
目前我国的智慧水务发展既没有相对明确的权威机构负责制定标准,也没有行业统一认可的建设标准。因此,智慧水务的安全风险把关需要作为使用者的供水企业自己来完成。然而,供水企业缺乏对网络和信息专业领域的专业知识,对潜藏风险的纠察和处理很难全面把控。当前很多供水企业与智慧水务系统及设备的供应商之间的合作模式是供水企业负责提出需求,供应商按照需求探索改进。供水企业的需求有差别,供应商就需要按照供水企业的需求做出个性化的调整,甚至来自同一供应商的同一类产品内部所使用的支撑技术或是结构都可能存在很大差异。
然而,多数供水企业并不了解网络技术层面的专业知识,也不知道供应商对产品内部结构做出的调整会不会带来安全风险。供水企业能够简单直接评判的只有供应商提供的产品是否符合自身提出的需求。这其中的隐患在于如果产品技术层面存在供水企业没有考虑到的风险,供水企业将要为未来可能出现的安全事故负责。不仅如此,供水企业如果将智慧水务的系统分包给不同的供应商,不同系统之间可能存在的安全风险也要由供水企业承担。
调研中,不少企业表示自身也会对外包商采取一定的管控措施。常见的几种管控措施包括:1)合同约定服务;2)外包商服务评价体系;3)建立两方合作组;4)利用技术手段隔离外包系统与主机间的联系。此外,信息安全专家建议供水企业应针对外包商定期开展尽职调查、风险评估等工作;同时,供水企业内部应当设立常态化的网络安全工作小组,由企业的最高决策人负责领导小组进行网络安全维护工作。
对于缺乏技术专业知识这一情况,专家提到调研结果中反映出供水企业的网络安全培训针对性不强,需要根据供水企业的应用场景,结合工控安全、物联网安全等领域的创新解决方案开展相应的培训。
编辑:徐冰冰
版权声明:
凡注明来源为“中国水网/中国固废网/中国大气网“的所有内容,包括但不限于文字、图表、音频视频等,版权均属E20环境平台所有,如有转载,请注明来源和作者。E20环境平台保留责任追究的权利。
媒体合作请联系:李女士 010-88480317