海斌

（桂林市自來水有限公司，廣西 桂林 541004）

0 引 言

在旅游業(yè)和新興高科技產(chǎn)業(yè)的帶動下，桂林的城市規(guī)模不斷擴大。為解決城市不斷擴大帶來的供水難題，桂林自來水有限公司不斷加大水務(wù)系統(tǒng)的信息化建設(shè)力度?？焖侔l(fā)展的計算機與網(wǎng)絡(luò)技術(shù)，特別是5G 技術(shù)，為構(gòu)建水務(wù)網(wǎng)絡(luò)數(shù)據(jù)管理平臺提供了極大的便利，從而有利于實現(xiàn)水務(wù)數(shù)據(jù)的自動采集、智能分析、安全存儲等，使得自來水公司能夠根據(jù)居民的實際用水需求，制定供需平衡的供水策略，在保障居民生活、生產(chǎn)用水需求的前提下，節(jié)約成本，提高效能。

5G 技術(shù)為供水網(wǎng)絡(luò)的建設(shè)帶來了極大的優(yōu)勢，但也不可避免地帶來一些新的安全問題。在基于5G 的水務(wù)網(wǎng)絡(luò)中，水務(wù)數(shù)據(jù)呈現(xiàn)異構(gòu)多源、體量大、更新速度快等特點，這給水務(wù)數(shù)據(jù)的安全管理帶來了嚴(yán)峻的挑戰(zhàn)。本文首先介紹桂林自來水有限公司水務(wù)網(wǎng)絡(luò)的建設(shè)現(xiàn)狀，然后指出基于5G的水務(wù)網(wǎng)絡(luò)中水務(wù)數(shù)據(jù)存在的安全問題，并針對這些問題研究相應(yīng)的應(yīng)對策略，為提高水務(wù)數(shù)據(jù)的安全管理效率提供新思路。

1 現(xiàn)狀分析

桂林市自來水有限公司集供水生產(chǎn)和供應(yīng)、供水工程設(shè)計和施工、水表制造及房地產(chǎn)開發(fā)于一體。2006年至今，桂林自來水有限公司接管靈川縣八里街開發(fā)區(qū)供水，不斷推進秧塘工業(yè)園供水建設(shè)，成立加壓站管理處，雁山加壓站、萬福加壓站相繼建成投入使用。同時完成東江水廠新建DN1000 原水管、南洲大橋過江供水管、解放橋上游雙管過江管、鐵山工業(yè)園供水管、萬福路供水管、接管桂林北鐵路地區(qū)供水、機場路南、北側(cè)供水管、臨桂新區(qū)供水管、西二環(huán)路DN1200 供水管等基礎(chǔ)設(shè)施建設(shè)，2013年售水量已經(jīng)突破一億立方米。2016年，公司接收桂林市兩江水廠、桂林市臨桂五通自來水廠，供水服務(wù)范圍繼續(xù)擴大。截至2021年底，桂林市自來水有限公司在職職工900 余人，總資產(chǎn)31.43億元，固定資產(chǎn)凈值6.68億元；公司以漓江為取水水源，日設(shè)計公司量約為74 萬立方米，滿足100 萬人口生產(chǎn)生活用水需求，水質(zhì)綜合合格率達到99.99%；供水管網(wǎng)總長度2 721.45 公里，累計在線水表70.4 萬只，公司規(guī)?，F(xiàn)狀如表1所示。

表1 桂林市自來水公司現(xiàn)狀匯總

在供水范圍不斷擴大、供水量日益增加的同時，桂林自來水有限公司也非常重視供水系統(tǒng)的信息化建設(shè)，旨在實現(xiàn)供水系統(tǒng)數(shù)字化、智能化。進入21 世紀(jì)，桂林自來水有限公司大力推進網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，截止2021年底，共建成12 座數(shù)據(jù)中心（包括大型數(shù)據(jù)中心B 級機房2 座，分站點C 級機房10 座）。近年來，隨著5G 技術(shù)的迅速發(fā)展及廣泛應(yīng)用，5G 技術(shù)將為桂林自來水有限公司的供水系統(tǒng)建設(shè)提供了極大的便利，基于5G 的水務(wù)系統(tǒng)的網(wǎng)絡(luò)拓撲可以設(shè)計為如圖1所示的結(jié)構(gòu)。

圖1 網(wǎng)絡(luò)拓撲圖

5G 技術(shù)在給供水系統(tǒng)帶來巨大便利的同時，也不可能避免地帶來一些新的安全問題。首先，近年來惡劣天氣，如臺風(fēng)、泥石流、洪災(zāi)、霜凍等更加頻繁，導(dǎo)致通信基站、線路故障經(jīng)常發(fā)生；與此同時，城市建設(shè)施工、惡意的人為破壞等也會導(dǎo)致線路故障，從而給公司的供水生產(chǎn)服務(wù)工作造成較大的影響。此外，在基于5G 的水務(wù)網(wǎng)絡(luò)中，水務(wù)數(shù)據(jù)具有異構(gòu)多源、體量大、更新速度快等特點，為基于5G 的水務(wù)網(wǎng)絡(luò)數(shù)據(jù)安全管理帶來了嚴(yán)峻的挑戰(zhàn)。

2 潛在的安全問題

隨著供水系統(tǒng)數(shù)字化、智能化建設(shè)不斷推進，水務(wù)網(wǎng)絡(luò)設(shè)備數(shù)量與日俱增、網(wǎng)絡(luò)規(guī)模不斷擴大，給基于5G 的水務(wù)網(wǎng)絡(luò)數(shù)據(jù)安全管理帶來了諸多嚴(yán)峻的挑戰(zhàn)，包括硬件設(shè)施損壞、系統(tǒng)故障、病毒攻擊、黑客攻擊、用戶隱私泄露以及水務(wù)數(shù)據(jù)損壞。

（1）硬件設(shè)施損壞。隨著水務(wù)系統(tǒng)的日益擴大，水務(wù)系統(tǒng)中設(shè)備數(shù)量也與日俱增，導(dǎo)致設(shè)備故障次數(shù)也愈來愈多。特別是通信網(wǎng)絡(luò)線路的故障經(jīng)常發(fā)生，而且恢復(fù)周期較長。而水務(wù)系統(tǒng)中設(shè)備繁多，需要在大量的硬件設(shè)施中找到損失的設(shè)備非常困難，而且設(shè)備替換需要較長的時間，導(dǎo)致系統(tǒng)恢復(fù)周期長、損失嚴(yán)重。如2014年1月至2015年5月，因加壓站硬件故障導(dǎo)致供水異常次數(shù)有12次，故障影響時間持續(xù)5～8小時。

（2）系統(tǒng)故障。隨著水務(wù)系統(tǒng)的不斷擴大、系統(tǒng)功能的不斷豐富，水務(wù)系統(tǒng)的軟件組成愈加復(fù)雜，系統(tǒng)不可避免地存在一些安全漏洞，會導(dǎo)致水務(wù)信息泄露。不完善的系統(tǒng)構(gòu)架極易引發(fā)水務(wù)信息泄露，系統(tǒng)資料被竊取等。同時，由于5G技術(shù)安全體制的不完善，基于5G的水務(wù)系統(tǒng)在數(shù)據(jù)庫、應(yīng)用程序、操作系統(tǒng)等方面也存在一些安全漏洞。然而，上述漏洞具有隱蔽性，不管是管理員還是用戶都難以發(fā)現(xiàn)。一般而言，需要具備一定的專業(yè)知識，并借助第三方工具方能有效檢測到上述安全漏洞。在2014年1月至2015年5月間，僅僅是雁山客服分中心就發(fā)生了3 次故障，每次故障都持續(xù)了5 ～8 小時，影響系統(tǒng)正常供水。

（3）病毒入侵。絕大多數(shù)計算機信息的破壞都是由網(wǎng)絡(luò)病毒引起的?！兜谑舜斡嬎銠C病毒和移動終端病毒疫情調(diào)查報告》表明，病毒入侵事件頻發(fā)，計算機病毒感染占比64.6%，比上年上升了32.84%；移動設(shè)備病毒占比45.4%，同比增長11.8%。在經(jīng)濟利益的驅(qū)動下，不同領(lǐng)域的攻擊者紛紛轉(zhuǎn)向病毒領(lǐng)域，促使病毒持續(xù)更新迭代，病毒數(shù)量持續(xù)增長，感染率不斷提升，使水務(wù)網(wǎng)絡(luò)遭受更多的病毒入侵。在基于5G 的水務(wù)系統(tǒng)中，對病毒攻擊的防范措施尚有不足，容易導(dǎo)致系統(tǒng)遭受病毒感染。

（4）黑客攻擊。國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的最新報告顯示，黑客攻擊網(wǎng)絡(luò)的頻率一直都呈現(xiàn)上漲趨勢，然而現(xiàn)有防護手段尚不能夠及時應(yīng)對層出不窮的黑客攻擊。在基于5G 的水務(wù)系統(tǒng)中，除了系統(tǒng)本身的軟硬件漏洞外，黑客還可以利用5G 網(wǎng)絡(luò)的安全漏洞，對水務(wù)系統(tǒng)進行攻擊，給水務(wù)系統(tǒng)的正常運行和水務(wù)數(shù)據(jù)安全造成嚴(yán)重的威脅。2013年1月初至2月末，攻擊者通過境外大約6 700 多臺僵尸主機控制了中國境內(nèi)大約190 萬臺主機。水務(wù)系統(tǒng)也會遭受黑客的攻擊，但是對于諸多由黑客發(fā)起的APT（Advanced Persistent Threat）行為，現(xiàn)有的防護技術(shù)無法有效應(yīng)對。

（5）用戶隱私泄露。用戶隱私泄露已經(jīng)成為計算機網(wǎng)絡(luò)的重要威脅，《中國個人信息安全和隱私保護報告》曾顯示，84%的網(wǎng)民曾經(jīng)遭受過因個人信息泄露帶來的不良影響，比如廣告推銷等；在2015年6月到2016年6月期間，我國網(wǎng)民因電信詐騙導(dǎo)致個人信息泄露遭受的經(jīng)濟損失超過900 億元。水務(wù)數(shù)據(jù)包含大量的用戶隱私數(shù)據(jù)，如用戶的身份、家庭住址、用水量等，極易導(dǎo)致用戶隱私信息泄露。特別地，自來水公司管理員可以通過居民用水流量分布情況，大致推斷居民的居家活動，如果某個時間段居民用水流量劇增，大致可以推斷居民正在進行沐浴、洗衣服等大量耗水的活動。

（6）水務(wù)數(shù)據(jù)損壞。水務(wù)數(shù)據(jù)是水務(wù)系統(tǒng)的核心，對原始水務(wù)數(shù)據(jù)的分析可以為高層決策指明方向。然而，在水務(wù)系統(tǒng)中，由于設(shè)備的軟硬件故障，如斷電、硬件損壞、系統(tǒng)崩潰、電磁干擾等因素，水務(wù)數(shù)據(jù)在采集、傳輸、存儲過程中都有可能被損壞；與此同時，管理員的誤操作以及外部攻擊者的惡意攻擊行為，如篡改、偽造、刪除等，也會導(dǎo)致水務(wù)數(shù)據(jù)損壞，給水務(wù)數(shù)據(jù)安全管理帶來嚴(yán)峻的挑戰(zhàn)。2021年1月，臨沂部分小區(qū)的遠程水表傳輸?shù)倪^程中出現(xiàn)了故障，造成傳輸數(shù)據(jù)不完整（少傳了水費），導(dǎo)致水務(wù)公司需要采取人工抄表的方式進行校正。

3 采取的措施

為保障自來水公司主節(jié)點和下級分公司節(jié)點的數(shù)據(jù)安全，同時將通信開支成本降到合理水平，非常有必要采取一些有效的措施，保證水務(wù)數(shù)據(jù)安全，確保供水生產(chǎn)服務(wù)工作穩(wěn)定持續(xù)開展。擬采取的具體措施如下：

（1）定期排查，智能檢測?；?G 的水務(wù)系統(tǒng)中設(shè)備繁多，需要專業(yè)的人員定期檢查設(shè)備運行情況，并建立設(shè)備管理數(shù)據(jù)庫，如圖2所示，對設(shè)備的采購時間、運行環(huán)境、老化情況等建冊登記。與此同時，吸引計算機方面的人才加入到水務(wù)企業(yè)，參與水務(wù)企業(yè)基礎(chǔ)設(shè)施的信息化建設(shè)，利用傳感器技術(shù)，實時收集設(shè)備的運行數(shù)據(jù)，及時發(fā)現(xiàn)損壞設(shè)備并對其進行準(zhǔn)確定位，以實現(xiàn)快速更換。此外，建立突發(fā)故障應(yīng)急機制，以應(yīng)對水務(wù)設(shè)備出現(xiàn)故障。

圖2 水務(wù)設(shè)備數(shù)據(jù)庫

（2）系統(tǒng)定期檢測，查漏補缺。首先采用攻擊模擬的方式，通過模擬水務(wù)系統(tǒng)可能遭受的攻擊行為，對水務(wù)系統(tǒng)進行攻擊，檢測其抗攻擊能力，找出其安全漏洞。與此同時，及時引入安全公司的大數(shù)據(jù)威脅情報信息技術(shù)，采用被動和主動相結(jié)合的方式，實時收集各個設(shè)備的相關(guān)日志進行威脅情報分析，及時發(fā)現(xiàn)漏洞并聘請專業(yè)維護人員參照安全公司的建議進行漏洞修復(fù)。此外，關(guān)注安全廠商提供的補丁修復(fù)方案，及時查漏補缺，修復(fù)系統(tǒng)安全漏洞。

（3）部署病毒檢測軟件，構(gòu)建病毒查殺系統(tǒng)。首選利用防火墻構(gòu)建第一道安全防線，其次對于流經(jīng)防火墻流量中的網(wǎng)絡(luò)行為做入侵檢測分析，當(dāng)發(fā)現(xiàn)攻擊行為，要及時更新防火墻規(guī)則進行阻攔操作，從而達到防范的目的。其次，部署入侵檢測系統(tǒng)，對可疑數(shù)據(jù)流量進行入侵檢測分析，及時發(fā)現(xiàn)新型病毒攻擊并實現(xiàn)有效的攔截。此外，通過白名單技術(shù)，實現(xiàn)特定設(shè)備只允許特定的主機和IP 訪問，實行嚴(yán)格的權(quán)限劃分，拒絕陌生主機和IP 的連接請求。

（4）組織安全培訓(xùn)，提高安全意識。積極組織與基于5G的水務(wù)系統(tǒng)安全相關(guān)的技能培訓(xùn)和演練，大力提升內(nèi)部人員的網(wǎng)絡(luò)安全意識和技術(shù)水平。與此同時，對所有擁有權(quán)限操作水務(wù)設(shè)備的訪問者建立特定的數(shù)據(jù)庫，每次訪問，首先檢測其是否具有訪問權(quán)限，以過濾掉未授權(quán)訪問者；同時利用5G 超低延時的特點，對于訪問者的密碼進行動態(tài)更新，每次訪問都需要通過授權(quán)設(shè)備獲取最新的密碼，否則不允許登錄。

（5）水務(wù)數(shù)據(jù)加密與細粒度訪問控制。針對基于5G 的水務(wù)系統(tǒng)中用戶隱私泄露的問題，擬根據(jù)等級保護要求對水務(wù)數(shù)據(jù)采取防護措施，從網(wǎng)絡(luò)和通信、應(yīng)用與數(shù)據(jù)等多個維度建立安全技術(shù)體系，對敏感數(shù)據(jù)采用密碼技術(shù)進行加密，有效防止用戶隱私泄露。與此同時，需要根據(jù)等級保護的要求，定期開展測評工作，測試系統(tǒng)的保護能力，建立長久有效的等保工作機制。此外，建立有效的安全策略和管理制度，做好用戶角色管理，根據(jù)角色去分配用戶權(quán)限，嚴(yán)格限制水務(wù)企業(yè)工作人員對用戶隱私的訪問，防止水務(wù)數(shù)據(jù)被非授權(quán)或越權(quán)用戶訪問。

（6）水務(wù)數(shù)據(jù)容災(zāi)備份。構(gòu)建水務(wù)云計算平臺，如圖3所示，將水務(wù)數(shù)據(jù)及時備份到云端，通過云計算實現(xiàn)水務(wù)數(shù)據(jù)容災(zāi)備份，防止設(shè)備宕機帶來的數(shù)據(jù)損壞。與此同時，需要對管理員進行專業(yè)技術(shù)培訓(xùn)，提高管理員業(yè)務(wù)能力，避免管理員誤操作引發(fā)的數(shù)據(jù)損壞；此外，為及時發(fā)現(xiàn)外部攻擊者惡意攻擊行為造成的數(shù)據(jù)損壞，設(shè)計適用于水務(wù)系統(tǒng)的數(shù)據(jù)完整性驗證方案，對水務(wù)數(shù)據(jù)定期進行完整性驗證，檢驗水務(wù)數(shù)據(jù)是否被惡意損壞。

圖3 水務(wù)云計算平臺框架

4 結(jié) 論

本文針對桂林自來水有限公司供水系統(tǒng)存在的安全漏洞進行分析，指出目前系統(tǒng)仍存在硬件設(shè)施損壞、系統(tǒng)故障、病毒入侵、黑客攻擊、用戶隱私泄露以及水務(wù)數(shù)據(jù)損壞等問題，并針對這些問題研究相應(yīng)的應(yīng)對策略，能夠有效確保水務(wù)系統(tǒng)的持續(xù)穩(wěn)定運行，推動自來水公司的水務(wù)系統(tǒng)數(shù)字化、智慧化建設(shè)，從而更好地為公司的供水信息安全保駕護航。