供水网络安全当“警钟长鸣”

　　2、对网络安全的认识不够全面

　　网络安全是供水企业安全防护中的一部分，因此，供水企业应当随着网络和信息技术在生产和管理中应用程度的加深，加强防范措施来配合数字化转型的发展。然而，供水行业目前对于网络安全保护的了解程度有一定程度上的滞后。这样的滞后性可能会对供水企业的网络安全防护效果造成影响。

　　举例而言，供水企业在判断哪些机构是信息安全的职能部门时，大多数的受调企业仅能确定公安机关是职能部门；只有约半数的受调企业能够准确的判断出国家保密工作部门和国家密码管理部门也是职能部门；甚至还有不少受调企业错误的将工业信息化部门也判定为信息安全的职能部门。这一信息在 2007 年发布的《信息安全等级保护管理办法》文件中就已明确，但依然不少受调企业不了解。这一结果说明了供水企业对我国的网络和信息安全的评价流程及管理体系的了解也并不清晰。

　　此外，后续关于是否了解数字证书、是否使用了电子签章等密保相关问题的调研中，多数企业表示了解但实际上却并未应用。有超过六成的受调企业表示企业的信息系统安全措施中并未使用密码技术，对此信息技术及网络安全专家指出数字证书和密码技术是在国家文件中提到的保障网络安全的核心技术，是构建网络信任的基石。如果企业未采取任何网络安全技术措施防范网络安全威胁导致系统感染勒索病毒，将会对企业造成极大的危害。

　　3、应对危机的准备不够充分

　　生产调度是供水企业工作中的重头。因此，不少供水企业搭建了远程控制系统，实现了在办公室就能操作不同水厂之间进行调度。这是数字化转型提升效率的成果之一。在此次疫情期间，智慧水务系统发挥了重要作用。供水企业的员工借助网络实现远程操作，可以在家控制水厂设备，保障水厂正常运行。然而，疫情期间员工登录操作系统的环境发生了改变，由以往的在公司内部环境下的操作转变为在相对开放的外部网络环境中登录和操作，这样的改变是否会带来安全隐患？这可能是部分企业需要提前考虑并预先作出准备的地方。

　　调研中我们针对此类需要在不同网络环境下登录控制系统并完成相应操作的情况进行了解，发现受调企业对于登录和操作时的身份验证的情形倾向于优先满足操作的便捷性，即有超过六成的受调企业选择了在不同的网络环境中“只在登录时需要身份验证”。另一方面，关于认证（登录）方式的调研结果显示出供水企业的认证方式还是比较单一。信息技术及网络安全专家指出供水企业在满足操作的便捷性的同时也需要考虑安全，为满足等级保护和密码测评的要求，建议供水企业采用多因子的认证方式，并且应当分级、分系统、分地域、分网采用不同的认证方式组合以提高安全保障。

　　4、数据管理缺乏面向未来的意识

　　目前，供水企业中已有不少采用了工业控制系统来提升水厂生产的智能化水平。同时，企业在经营管理方面也采用了诸如办公OA系统、营销工单管理系统、用户管理系统等的信息化手段来提升经营管理的效率和用户服务的水平。数字技术的应用实际上是在帮助供水企业提升信息处理的效率，从而使数据从单纯的数字变为可以为决策提供支撑的有效信息。

　　未来随着智慧水务系统数据采集能力的提升，供水企业能够获取到的数据从种类到数量都会更加丰富。从当前提倡的“数据资产化”的发展思维来看，供水企业将掌握更多的“资产”。如何更好地在使用资产的同时保障资产的安全将成为供水企业需要考虑清楚的问题。如果缺乏对数据的统筹管理，很有可能造成数据资源的浪费，或是导致数据安全受到威胁。

　　从调研结果中可以看出，绝大多数企业非常重视数据的备份，有七成以上的受调研企业对重要的信息数据采取了本地+远程备份的方式。供水企业这样的做法符合等级保护 2.0 中对三级系统中明确的重要数据备份要求。但专家同时指出，《网络安全法》第二十一条中：“采取数据分类、重要数据备份和加密等措施”的规定不仅要求企业对数据备份，同时还要求企业对数据资产进行加密保护。

　　结语

　　我国的网络建设和信息技术发展为各行各业的数字化转型提供了肥沃的土壤，近些年来已有越来越多的行业加入到数字化转型的队伍中。数字化转型的成果在此次抗击疫情中发挥的作用尤其明显，国家更是积极宣传和支持“新基建”的发展，充分支持并鼓励网络和信息技术朝向更高效便捷的方向发展。但同时，国家也同样意识到了网络和信息技术应用过程中可能存在的风险，并作出了诸如，发布施行《中华人民共和国网络安全法》、成立中央及地方的网络信息安全办公室等的决策。供水是关系到社会稳定和人民生活的重要行业，供水企业运行维护着国家关键基础设施。因此，供水行业是国家安全体系中极其重要的组成部分。供水行业在数字化转型的过程中不仅要关注提升经营效率，更要加强对网络及信息安全的重视程度。

　　供水网络安全体系的构建刻不容缓，为此，2020 年第五届（合肥）供水高峰论坛中特别设置面向供水企业的网络安全话题分享。论坛将于 9 月 3 日-5 日于合肥举办，论坛邀请了信息安全共性技术国家工程中心的专家分享相关内容。同时，E20 供水研究中心将于论坛现场首次发布《供水网络安全调研报告》电子版。报告中不仅呈现了前期对多家供水行业领军企业调研所得到的结论，还有E20 供水研究中心结合长期深耕供水行业的丰富经验做出的深度分析，更有信息及密码技术领域的专家从技术专业的角度提出的看法以及未来优化的建议。报告中的更多精彩内容将在论坛现场展示，我们期待您的参与！

编辑：徐冰冰