隨著數(shù)字技術的發(fā)展����,日常生活中與信息技術相關的內(nèi)容越來越多。信息技術的發(fā)展和網(wǎng)絡覆蓋率的提升帶來了便利的同時也帶來了一定的風險。供水行業(yè)的數(shù)字化轉(zhuǎn)型也將面臨這一問題。習近平總書記強調(diào)�,網(wǎng)絡安全和信息化是事關國家安全和國家發(fā)展、事關廣大人民群眾工作生活的重大戰(zhàn)略問題�����,要從國際國內(nèi)大勢出發(fā)�����,總體布局�,統(tǒng)籌各方,創(chuàng)新發(fā)展����,努力把我國建設成為網(wǎng)絡強國。供水行業(yè)在國家網(wǎng)絡安全體系中占據(jù)怎樣的角色���?供水企業(yè)應該警惕哪些網(wǎng)絡安全風險�����?本文將從對供水企業(yè)的調(diào)研結果出發(fā)回答這兩個問題�。
相關閱讀
【征集】鎖定供水行業(yè)五大類需求,尋找優(yōu)秀系統(tǒng)解決方案
供水行業(yè)更需警惕網(wǎng)絡安全威脅
近年來�����,隨著智慧水務的不斷發(fā)展����,數(shù)字信息技術被應用于供水的各個環(huán)節(jié)。從水廠生產(chǎn)運行中的設備監(jiān)控到用戶繳費和獲取服務���,供水行業(yè)對網(wǎng)絡和信息技術的依賴程度逐漸加深����。網(wǎng)絡和信息技術是供水企業(yè)提升服務和管理的重要工具�����。然而��, 作為非信息技術專業(yè)領域的企業(yè)��,供水企業(yè)對于網(wǎng)絡和信息技術中可能存在的風險并不十分了解�����,因此,對于網(wǎng)絡安全中潛在危險的防范也可能存在疏忽�����。
不久前����,以色列供水設施遭襲事件引起業(yè)內(nèi)廣泛關注�。盡管以色列官方回應稱此次攻擊并未對國家供水系統(tǒng)造成實質(zhì)性的傷害,但對于攻擊者選取供水設施作為攻擊目標的險惡用心不可輕視�����。事實上����,以色列供水設施遭遇襲擊事件并非水務行業(yè)的首例。近些年來���,供水網(wǎng)絡安全事件在全球范圍內(nèi)頻發(fā)�,尤其是在存在爭端的國家之間���。利用網(wǎng)絡和信息技術手段破壞或干擾對手國家的關鍵基礎設施的方式很可能會導致受攻擊國家的國民日常生活受到嚴重影響��,因此���,我們需要對有預謀的針對供水設施等關鍵基礎設施發(fā)起攻擊的情況有所準備���。
供水系統(tǒng)供應的自來水主要有兩方面的用途:1)維持生命的飲用水;2)滿足衛(wèi)生需求的清潔用水��。因此���,供水系統(tǒng)受到影響會更容易導致社會穩(wěn)定性受到影響��。對比供水與供電系統(tǒng)遭受攻擊的情況來看�,供電系統(tǒng)如果遭受破壞可能導致電力供應中斷���,但短期內(nèi)恢復相對不太容易對人民的生命安全造成巨大威脅��;如果供水系統(tǒng)受到惡意破壞����,不僅可能導致供水中斷��,甚至可能導致受到污染的水源流入用戶家中�����。
用戶對于水質(zhì)安全的敏感程度普遍較高,一旦發(fā)生水質(zhì)問題不僅會導致用戶生命健康受到威脅�,同時用戶群體的恐慌也會造成社會的穩(wěn)定性受到影響。因此����,供水企業(yè)需要盡快構建網(wǎng)絡和信息技術安全體系,完善對供水關鍵基礎設施的安全保護���。這是供水企業(yè)從企業(yè)經(jīng)營的職責和協(xié)助保障社會安全穩(wěn)定的職責出發(fā)需要承擔的工作。
面對復雜多變的國際形勢�,我國的供水企業(yè)更應該在使用網(wǎng)絡及信息技術時加強安全保護意識,加快提升自身在網(wǎng)絡及信息安全方面的防御能力�,構建起更加堅固穩(wěn)定的供水網(wǎng)絡安全保障體系。為此����,供水企業(yè)既要了解供水行業(yè)當前網(wǎng)絡和信息技術安全保障的整體情況,還要清楚地認識到自身的薄弱環(huán)節(jié)�����,才能更好地明確未來網(wǎng)絡安全保障工作的優(yōu)化方向����。
頭部供水企業(yè)網(wǎng)絡安全調(diào)研結果如何���?
為了幫助供水企業(yè)更好的了解供水行業(yè)網(wǎng)絡安全保障工作的水平,E20供水研究中心聯(lián)合信息安全共性技術國家工程研究中心對國內(nèi)數(shù)字化轉(zhuǎn)型中的領先企業(yè)進行了以網(wǎng)絡安全為主題的調(diào)研����。根據(jù)調(diào)研反饋的情況來看,我國的供水行業(yè)頭部的企業(yè)對于網(wǎng)絡安全的重視程度處于較高的水平���,但是由于非網(wǎng)絡及信息技術專業(yè)的限制�,供水企業(yè)在應用網(wǎng)絡和信技術的過程中還是存在一定的安全風險�。本文簡單羅列幾項調(diào)研結果反映出來的共性問題:
1、缺乏專業(yè)技術知識導致未能及時作出風險判斷
供水企業(yè)并非網(wǎng)絡和信息技術領域的專業(yè)從業(yè)者�,而是使用者。因此�����,供水企業(yè)對于網(wǎng)絡和信息技術的了解大多停留在使用層面�,并未深入研究網(wǎng)絡和信息技術背后復雜的結構。(這類似于我們知道如何使用門鎖來保護財產(chǎn)�����,但大部分情況下使用者不回去細究鎖的內(nèi)部結構。作為一個標準化的工業(yè)品��,即便生產(chǎn)廠家不同�����,其產(chǎn)品都要符合行業(yè)監(jiān)管機構的認證�。換句話說,產(chǎn)品生產(chǎn)技術中的安全測試和風險把關的工作實際上是由生產(chǎn)者按照該行業(yè)的監(jiān)管機構的要求預先完成了����。使用者即便不了解產(chǎn)品內(nèi)部應用的技術,只要知道產(chǎn)品合格也可以相對放心的使用�。)
目前我國的智慧水務發(fā)展既沒有相對明確的權威機構負責制定標準�����,也沒有行業(yè)統(tǒng)一認可的建設標準���。因此�����,智慧水務的安全風險把關需要作為使用者的供水企業(yè)自己來完成�����。然而����,供水企業(yè)缺乏對網(wǎng)絡和信息專業(yè)領域的專業(yè)知識,對潛藏風險的糾察和處理很難全面把控����。當前很多供水企業(yè)與智慧水務系統(tǒng)及設備的供應商之間的合作模式是供水企業(yè)負責提出需求,供應商按照需求探索改進���。供水企業(yè)的需求有差別����,供應商就需要按照供水企業(yè)的需求做出個性化的調(diào)整���,甚至來自同一供應商的同一類產(chǎn)品內(nèi)部所使用的支撐技術或是結構都可能存在很大差異���。
然而,多數(shù)供水企業(yè)并不了解網(wǎng)絡技術層面的專業(yè)知識����,也不知道供應商對產(chǎn)品內(nèi)部結構做出的調(diào)整會不會帶來安全風險��。供水企業(yè)能夠簡單直接評判的只有供應商提供的產(chǎn)品是否符合自身提出的需求��。這其中的隱患在于如果產(chǎn)品技術層面存在供水企業(yè)沒有考慮到的風險����,供水企業(yè)將要為未來可能出現(xiàn)的安全事故負責���。不僅如此���,供水企業(yè)如果將智慧水務的系統(tǒng)分包給不同的供應商,不同系統(tǒng)之間可能存在的安全風險也要由供水企業(yè)承擔���。
調(diào)研中�,不少企業(yè)表示自身也會對外包商采取一定的管控措施����。常見的幾種管控措施包括:1)合同約定服務���;2)外包商服務評價體系��;3)建立兩方合作組����;4)利用技術手段隔離外包系統(tǒng)與主機間的聯(lián)系。此外����,信息安全專家建議供水企業(yè)應針對外包商定期開展盡職調(diào)查、風險評估等工作���;同時�����,供水企業(yè)內(nèi)部應當設立常態(tài)化的網(wǎng)絡安全工作小組���,由企業(yè)的最高決策人負責領導小組進行網(wǎng)絡安全維護工作。
對于缺乏技術專業(yè)知識這一情況����,專家提到調(diào)研結果中反映出供水企業(yè)的網(wǎng)絡安全培訓針對性不強,需要根據(jù)供水企業(yè)的應用場景�����,結合工控安全、物聯(lián)網(wǎng)安全等領域的創(chuàng)新解決方案開展相應的培訓����。
編輯:徐冰冰
