2014年2月27日, 中央网络安全和信息化领导小组宣告成立, 这是中国共产党落实十八届三中全会精神的又一重大举措, 表明了网络信息安全目前面临的形势任务复杂和所处地位的重要。作为关乎国计民生的水务企业, 在信息安全建设方面责无旁贷, 必须做好相关安全保障, 确保生产经营的正常稳定。

　　 以佛山市水业集团有限公司 (以下简称佛山水业) 的信息安全建设为例, 探讨水务企业当前在信息安全方面面临的风险挑战及相应的举措。

　　 现代化水务企业的发展, 并不只局限于供水业务, 也不局限于只在本地经营。近年来水务企业在业务多元化发展, 或是同行同业收购参股, 甚至自身谋求上市等行为已经不是新鲜事。这些行为令水务企业获得迅速发展, 带来产值和利润提升的同时, 也会带来信息安全方面的挑战。

　　 出于经营监管的要求, 水务企业在作出扩张发展的行为时, 往往要求信息化建设迅速发展、跟上企业运营的需要。这体现在相应的信息系统可能需要新建或改造, 数据结构可能需要变更或重构, 数据可能需要开放共享, 甚至可能带来整个信息化架构的重大改变。

　　 水务企业在提升效率、简化管理流程的同时, 也易于造成信息安全上的疏忽。

　　 对水务企业来说, 实现智能工厂有利于提高供排水厂的整体出水水质、降低生产成本, 但在实现智能化建设时, 应同时考虑智能化带来的安全风险和挑战。

　　 首先工控系统容易成为潜在的被攻击点。早期的工控系统受制于网络通讯技术, 往往为单机系统。虽然数据共享功能较弱, 容易导致数据孤岛的存在, 但其独立性也使其具有相对较高的安全性。智能化及移动互联相关的技术发展起来后, 一旦发生恶意事件, 将直接影响供排水安全, 甚至可能导致人身安全事故, 影响较为恶劣。但由于这类恶意代码的样本数量及攻击事件数量相对较少, 因此易被忽略。

　　 其次高度的生产智能化和自动化虽然为水务企业带来不少的好处, 但也令整个生产过程对调度软件、模型软件、DCS、PLC等软硬件高度依赖。智能化的程度越高, 其依赖程度也越高。一旦发生信息安全方面的事故, 整个生产过程将受到不小的影响, 甚至瘫痪。这对于以提供优质供排水服务为目标的水务企业来说, 是不容忽视的风险。

　　 水务企业在建设专业化的信息化系统, 如GIS系统时, 往往需要引入第三方专业软件建设服务商, 且在建设期及后期的维护期往往需要对方以远程接入的方式完成各项工作。这种远程接入的方式虽然便利, 但需要水务企业在一定程度上开放企业内部的信息访问权限。这种接入方式在带来便利的同时, 潜在的信息安全风险也不可忽视, 包括但不限于欺骗接入、人员误操作、恶意窃取或破坏数据等。

　　 信息技术的发展不但拉近了人们之间的距离, 也令许多传统事务的办理和公开信息的查阅更加便利。近年来许多水务企业都建设了自已的网站, 进行公开信息的披露。

　　 然而, 网站等作为信息暴露点, 也是黑客易于关注和攻击的对象。门户网站被黑、植入不良信息甚至反动标语等恶意事件时有发生, 防不胜防。对水务企业来说, 一旦门户网站被攻破, 不仅影响便民服务的质量, 给公众带来不好的印像, 甚至黑客可借此入侵企业内部, 非法获取机密数据和用户资料, 甚至攻击生产调度重要系统, 造成严重的、甚至不可挽回的损失。

　　 由于信息安全环境讯息万变, 以及非法攻击和入侵手段的日新月异, 水务企业的信息安全建设将是一个持续的、永无止境的过程, 期间需要不断投入人力、物力和财力。作为非盈利性的公共企业, 如何在保障信息安全的基础上, 尽量节省投资, 成为水务企业普遍关注的问题。

　　 以一个水务企业的信息安全建设投入效果来看, 其边际效用通常是递减的, 即在其他条件不变的情况下, 当增加的投入超过某一水平之后, 新增的每一个单位投入带来的新增效果会下降, 故在信息安全方面应根据自身实际情况量身设计、适可而止。另一方面, 由于信息安全保障责任的重大, 外部形势的变化较快, 水务企业必须提前作出合理的规划和预判, 并进行相关建设, 而不能只依赖于事故后的亡羊补牢。在节约信息安全成本与保障安全两者上如何平衡, 也是水务企业在当前信息安全形势下的挑战。

　　 坚持“谁主管、谁负责;谁使用、谁负责”的方针, 通过责任的分解, 并落实到具体的部门和员工, 使整个企业从高层领导到基层员工都具有信息安全的防范意识和责任感, 具有危机感和使命感。

　　 信息安全建设如同消防防火, 重在预防, 事后的补救只是迫不得已的措施。建设的重点在于根据自身的特点, 有针对性地在薄弱环节上进行强化, 提高自身的防御能力。并且还应定期进行自我评审和调整优化, 这是一个迭代的、持续不断的过程。

　　 水务企业虽然是民生性的公共企业, 但也应注重运营的经济性。面对日益严峻的信息安全形势, 既要做到保障企业自身信息应用安全, 也应节省该方面的投资, 须做到甄别重点, 有所侧重地投入。通过投资在最能立竿见影的环节, 达到迅速提升自身信息安全防护水平的目的。

　　 为提高企业内部对信息安全的重视度, 佛山水业成立了以董事长为组长的信息安全领导小组;为提高信息安全工作的效率, 成立了以信息中心、各子公司分管领导及技术骨干为主要成员的信息安全工作小组。在此基础上, 为系统地规划今后3年的信息安全发展方案, 佛山水业根据自身特点, 结合上级要求, 自2017年底开始组织编写《2018~2020年佛山市水业集团信息安全工作方案》 (以下简称方案) , 通过对方案的编写和评审, 佛山水业系统地梳理了现状, 规划了2018~2020年的建设内容和方案, 包括了资金投入、组织架构、管理制度、建设任务、人力配置等方面, 以点带面, 循序渐进, 形成了今后3年信息安全建设内容的依据。佛山水业信息安全技术架构见图1。

　　 自2017年以来, 佛山水业响应上级部门的要求, 开展了信息安全等级保护工作。重点选择风险较高, 影响面较大的重要信息系统作为实施对象, 对营业收费系统、门户网站、地理信息系统和调度系统按等级保护三级标准实施测评和整改, 重点提高涉及敏感数据资料或是公开信息披露点的信息系统安全性。从2018年开始, 佛山水业计划开始对重要供水厂的生产自控系统按等级保护三级标准实施测评和整改, 从信息安全层面提升供水服务的安全性。

　　 佛山水业先后建设了门户网站及微信公众号, 作为信息披露及便民的窗口。为加强其安全性, 除了在相关的服务器上使用防病毒软件外, 佛山水业还采取了如下措施:

　　 首先在整个佛山水业只设置一个互联网线路出口, 并在该出口上配置了一台UTM, 对病毒、木马等恶意代码进行拦截, 见图1。

　　 其次设置了WAF防护设备 (见图1) , 用于拦截各种非法的入侵。通过配置恶意代码防护、SQL注入防护、暴力破解防护等功能, 并限制上传下载的文件类型, 限定后台访问的主机和人员, 达到保护网站及公众号安全的目的。

　　 此外在网站及公众号所在的服务器上启用严规则防火墙, 配置较为严格的入站规则, 禁止所有无关的外部访问。

　　 最后加强了非常时期的管理, 在危害较大的新病毒或攻击手段出现的时期, 采取对网站和公众号定期人工检查的方法, 保障网站及公众号的正常稳定运行。

　　 随着企业自身的不断发展, 以及业务的多元化, 佛山水业的网络架构和应用架构也日益复杂, 与外界的信息互联渠道也越来越多。同时为满足业务需要而进行的信息化建设也开始提速, 更多的软件建设方通过远程接入等方式连至佛山水业的内部网络中。

　　 首先在重要的边界接入点增加防护设备, 并配置合适的安全策略, 增强入侵防卸能力和安全风险隔离能力;其次重视对边界访问日志的记录和审计, 重点配置了日志审计和数据库审计设备, 用于事件跟踪分析;此外加强远程接入管理, 对远程接入的软件开发维护方, 每次接入前分配动态帐号密码, 完成工作后即令帐号密码失效, 提高接入行为的安全可控度;最后规范内网连接外网的行为, 在制度层面规定所有连接外网的行为必须经过指定的互联网出口, 接受上网行为模块的管控, 严禁私自连接互联网。

　　 软硬件、网络等信息化设施及数据的冗余是保障生产和业务连续性的有力措施。理论上冗余度越高, 安全性也越高。但考虑到成本因素, 佛山水业只选取了关键的信息化设施实施冗余配置。

　　 首先对诸如数据中心中的关键设施, 包括核心交换机及主干光纤网络、虚拟化服务器及磁盘阵列资源实现冗余配置, 保障核心业务在单点故障下仍能连续稳定运行。

　　 其次对重要的数据, 如营业收费系统的数据, 采取多种备份形式并举的方式实现数据的冗余。包括本机数据库备份、异机数据库备份以及使用专业的备份机定期整机备份。确保在出现误操作或信息安全事故时, 有足够多的备份副本并且可以在尽可能短的时间内完成恢复还原。

　　 为预防重大信息安全风险对重要信息系统及其业务可能造成重大损失, 佛山水业对包括调度系统、厂级自控系统在内的重要信息系统制定了相关的信息安全应急预案。并通过定期修订预案、定期演练的方式, 做好应对重大信息安全风险的准备。

　　 从管理的角度看, 管理层的重视是至关重要的, 此外, 还应重视已有建设成果的持续安全管理, 包括信息安全制度的落实, 内外网访问的管控, 以及应急预案的定期演练和修订等。

　　 从技术的角度看, 目前信息安全等级保护是当前较为成熟的主流标准, 佛山水业参照该标准实施信息安全建设。其中, 关乎供排水安全的工控系统、实现与用户交互和信息批露的网站等重要系统是首要关注的对象, 从防入侵、防篡改、防泄密等方面进行加固和完善, 并辅以备份管理及事后审计手段。此外, 信息安全形式复杂多变, 水业企业在信息安全方面的建设应坚持不懈、不断改进。