基于5G的水務(wù)網(wǎng)絡(luò)數(shù)據(jù)安全管理

海斌

（桂林市自來(lái)水有限公司，廣西 桂林 541004）

0 引 言

在旅游業(yè)和新興高科技產(chǎn)業(yè)的帶動(dòng)下，桂林的城市規(guī)模不斷擴(kuò)大。為解決城市不斷擴(kuò)大帶來(lái)的供水難題，桂林自來(lái)水有限公司不斷加大水務(wù)系統(tǒng)的信息化建設(shè)力度?？焖侔l(fā)展的計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)，特別是5G 技術(shù)，為構(gòu)建水務(wù)網(wǎng)絡(luò)數(shù)據(jù)管理平臺(tái)提供了極大的便利，從而有利于實(shí)現(xiàn)水務(wù)數(shù)據(jù)的自動(dòng)采集、智能分析、安全存儲(chǔ)等，使得自來(lái)水公司能夠根據(jù)居民的實(shí)際用水需求，制定供需平衡的供水策略，在保障居民生活、生產(chǎn)用水需求的前提下，節(jié)約成本，提高效能。

5G 技術(shù)為供水網(wǎng)絡(luò)的建設(shè)帶來(lái)了極大的優(yōu)勢(shì)，但也不可避免地帶來(lái)一些新的安全問(wèn)題。在基于5G 的水務(wù)網(wǎng)絡(luò)中，水務(wù)數(shù)據(jù)呈現(xiàn)異構(gòu)多源、體量大、更新速度快等特點(diǎn)，這給水務(wù)數(shù)據(jù)的安全管理帶來(lái)了嚴(yán)峻的挑戰(zhàn)。本文首先介紹桂林自來(lái)水有限公司水務(wù)網(wǎng)絡(luò)的建設(shè)現(xiàn)狀，然后指出基于5G的水務(wù)網(wǎng)絡(luò)中水務(wù)數(shù)據(jù)存在的安全問(wèn)題，并針對(duì)這些問(wèn)題研究相應(yīng)的應(yīng)對(duì)策略，為提高水務(wù)數(shù)據(jù)的安全管理效率提供新思路。

1 現(xiàn)狀分析

桂林市自來(lái)水有限公司集供水生產(chǎn)和供應(yīng)、供水工程設(shè)計(jì)和施工、水表制造及房地產(chǎn)開發(fā)于一體。2006年至今，桂林自來(lái)水有限公司接管靈川縣八里街開發(fā)區(qū)供水，不斷推進(jìn)秧塘工業(yè)園供水建設(shè)，成立加壓站管理處，雁山加壓站、萬(wàn)福加壓站相繼建成投入使用。同時(shí)完成東江水廠新建DN1000 原水管、南洲大橋過(guò)江供水管、解放橋上游雙管過(guò)江管、鐵山工業(yè)園供水管、萬(wàn)福路供水管、接管桂林北鐵路地區(qū)供水、機(jī)場(chǎng)路南、北側(cè)供水管、臨桂新區(qū)供水管、西二環(huán)路DN1200 供水管等基礎(chǔ)設(shè)施建設(shè)，2013年售水量已經(jīng)突破一億立方米。2016年，公司接收桂林市兩江水廠、桂林市臨桂五通自來(lái)水廠，供水服務(wù)范圍繼續(xù)擴(kuò)大。截至2021年底，桂林市自來(lái)水有限公司在職職工900 余人，總資產(chǎn)31.43億元，固定資產(chǎn)凈值6.68億元；公司以漓江為取水水源，日設(shè)計(jì)公司量約為74 萬(wàn)立方米，滿足100 萬(wàn)人口生產(chǎn)生活用水需求，水質(zhì)綜合合格率達(dá)到99.99%；供水管網(wǎng)總長(zhǎng)度2 721.45 公里，累計(jì)在線水表70.4 萬(wàn)只，公司規(guī)?，F(xiàn)狀如表1所示。

表1 桂林市自來(lái)水公司現(xiàn)狀匯總

在供水范圍不斷擴(kuò)大、供水量日益增加的同時(shí)，桂林自來(lái)水有限公司也非常重視供水系統(tǒng)的信息化建設(shè)，旨在實(shí)現(xiàn)供水系統(tǒng)數(shù)字化、智能化。進(jìn)入21 世紀(jì)，桂林自來(lái)水有限公司大力推進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，截止2021年底，共建成12 座數(shù)據(jù)中心（包括大型數(shù)據(jù)中心B 級(jí)機(jī)房2 座，分站點(diǎn)C 級(jí)機(jī)房10 座）。近年來(lái)，隨著5G 技術(shù)的迅速發(fā)展及廣泛應(yīng)用，5G 技術(shù)將為桂林自來(lái)水有限公司的供水系統(tǒng)建設(shè)提供了極大的便利，基于5G 的水務(wù)系統(tǒng)的網(wǎng)絡(luò)拓?fù)淇梢栽O(shè)計(jì)為如圖1所示的結(jié)構(gòu)。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

5G 技術(shù)在給供水系統(tǒng)帶來(lái)巨大便利的同時(shí)，也不可能避免地帶來(lái)一些新的安全問(wèn)題。首先，近年來(lái)惡劣天氣，如臺(tái)風(fēng)、泥石流、洪災(zāi)、霜凍等更加頻繁，導(dǎo)致通信基站、線路故障經(jīng)常發(fā)生；與此同時(shí)，城市建設(shè)施工、惡意的人為破壞等也會(huì)導(dǎo)致線路故障，從而給公司的供水生產(chǎn)服務(wù)工作造成較大的影響。此外，在基于5G 的水務(wù)網(wǎng)絡(luò)中，水務(wù)數(shù)據(jù)具有異構(gòu)多源、體量大、更新速度快等特點(diǎn)，為基于5G 的水務(wù)網(wǎng)絡(luò)數(shù)據(jù)安全管理帶來(lái)了嚴(yán)峻的挑戰(zhàn)。

2 潛在的安全問(wèn)題

隨著供水系統(tǒng)數(shù)字化、智能化建設(shè)不斷推進(jìn)，水務(wù)網(wǎng)絡(luò)設(shè)備數(shù)量與日俱增、網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，給基于5G 的水務(wù)網(wǎng)絡(luò)數(shù)據(jù)安全管理帶來(lái)了諸多嚴(yán)峻的挑戰(zhàn)，包括硬件設(shè)施損壞、系統(tǒng)故障、病毒攻擊、黑客攻擊、用戶隱私泄露以及水務(wù)數(shù)據(jù)損壞。

（1）硬件設(shè)施損壞。隨著水務(wù)系統(tǒng)的日益擴(kuò)大，水務(wù)系統(tǒng)中設(shè)備數(shù)量也與日俱增，導(dǎo)致設(shè)備故障次數(shù)也愈來(lái)愈多。特別是通信網(wǎng)絡(luò)線路的故障經(jīng)常發(fā)生，而且恢復(fù)周期較長(zhǎng)。而水務(wù)系統(tǒng)中設(shè)備繁多，需要在大量的硬件設(shè)施中找到損失的設(shè)備非常困難，而且設(shè)備替換需要較長(zhǎng)的時(shí)間，導(dǎo)致系統(tǒng)恢復(fù)周期長(zhǎng)、損失嚴(yán)重。如2014年1月至2015年5月，因加壓站硬件故障導(dǎo)致供水異常次數(shù)有12次，故障影響時(shí)間持續(xù)5～8小時(shí)。

（2）系統(tǒng)故障。隨著水務(wù)系統(tǒng)的不斷擴(kuò)大、系統(tǒng)功能的不斷豐富，水務(wù)系統(tǒng)的軟件組成愈加復(fù)雜，系統(tǒng)不可避免地存在一些安全漏洞，會(huì)導(dǎo)致水務(wù)信息泄露。不完善的系統(tǒng)構(gòu)架極易引發(fā)水務(wù)信息泄露，系統(tǒng)資料被竊取等。同時(shí)，由于5G技術(shù)安全體制的不完善，基于5G的水務(wù)系統(tǒng)在數(shù)據(jù)庫(kù)、應(yīng)用程序、操作系統(tǒng)等方面也存在一些安全漏洞。然而，上述漏洞具有隱蔽性，不管是管理員還是用戶都難以發(fā)現(xiàn)。一般而言，需要具備一定的專業(yè)知識(shí)，并借助第三方工具方能有效檢測(cè)到上述安全漏洞。在2014年1月至2015年5月間，僅僅是雁山客服分中心就發(fā)生了3 次故障，每次故障都持續(xù)了5 ～8 小時(shí)，影響系統(tǒng)正常供水。

（3）病毒入侵。絕大多數(shù)計(jì)算機(jī)信息的破壞都是由網(wǎng)絡(luò)病毒引起的?！兜谑舜斡?jì)算機(jī)病毒和移動(dòng)終端病毒疫情調(diào)查報(bào)告》表明，病毒入侵事件頻發(fā)，計(jì)算機(jī)病毒感染占比64.6%，比上年上升了32.84%；移動(dòng)設(shè)備病毒占比45.4%，同比增長(zhǎng)11.8%。在經(jīng)濟(jì)利益的驅(qū)動(dòng)下，不同領(lǐng)域的攻擊者紛紛轉(zhuǎn)向病毒領(lǐng)域，促使病毒持續(xù)更新迭代，病毒數(shù)量持續(xù)增長(zhǎng)，感染率不斷提升，使水務(wù)網(wǎng)絡(luò)遭受更多的病毒入侵。在基于5G 的水務(wù)系統(tǒng)中，對(duì)病毒攻擊的防范措施尚有不足，容易導(dǎo)致系統(tǒng)遭受病毒感染。

（4）黑客攻擊。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的最新報(bào)告顯示，黑客攻擊網(wǎng)絡(luò)的頻率一直都呈現(xiàn)上漲趨勢(shì)，然而現(xiàn)有防護(hù)手段尚不能夠及時(shí)應(yīng)對(duì)層出不窮的黑客攻擊。在基于5G 的水務(wù)系統(tǒng)中，除了系統(tǒng)本身的軟硬件漏洞外，黑客還可以利用5G 網(wǎng)絡(luò)的安全漏洞，對(duì)水務(wù)系統(tǒng)進(jìn)行攻擊，給水務(wù)系統(tǒng)的正常運(yùn)行和水務(wù)數(shù)據(jù)安全造成嚴(yán)重的威脅。2013年1月初至2月末，攻擊者通過(guò)境外大約6 700 多臺(tái)僵尸主機(jī)控制了中國(guó)境內(nèi)大約190 萬(wàn)臺(tái)主機(jī)。水務(wù)系統(tǒng)也會(huì)遭受黑客的攻擊，但是對(duì)于諸多由黑客發(fā)起的APT（Advanced Persistent Threat）行為，現(xiàn)有的防護(hù)技術(shù)無(wú)法有效應(yīng)對(duì)。

（5）用戶隱私泄露。用戶隱私泄露已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)的重要威脅，《中國(guó)個(gè)人信息安全和隱私保護(hù)報(bào)告》曾顯示，84%的網(wǎng)民曾經(jīng)遭受過(guò)因個(gè)人信息泄露帶來(lái)的不良影響，比如廣告推銷等；在2015年6月到2016年6月期間，我國(guó)網(wǎng)民因電信詐騙導(dǎo)致個(gè)人信息泄露遭受的經(jīng)濟(jì)損失超過(guò)900 億元。水務(wù)數(shù)據(jù)包含大量的用戶隱私數(shù)據(jù)，如用戶的身份、家庭住址、用水量等，極易導(dǎo)致用戶隱私信息泄露。特別地，自來(lái)水公司管理員可以通過(guò)居民用水流量分布情況，大致推斷居民的居家活動(dòng)，如果某個(gè)時(shí)間段居民用水流量劇增，大致可以推斷居民正在進(jìn)行沐浴、洗衣服等大量耗水的活動(dòng)。

（6）水務(wù)數(shù)據(jù)損壞。水務(wù)數(shù)據(jù)是水務(wù)系統(tǒng)的核心，對(duì)原始水務(wù)數(shù)據(jù)的分析可以為高層決策指明方向。然而，在水務(wù)系統(tǒng)中，由于設(shè)備的軟硬件故障，如斷電、硬件損壞、系統(tǒng)崩潰、電磁干擾等因素，水務(wù)數(shù)據(jù)在采集、傳輸、存儲(chǔ)過(guò)程中都有可能被損壞；與此同時(shí)，管理員的誤操作以及外部攻擊者的惡意攻擊行為，如篡改、偽造、刪除等，也會(huì)導(dǎo)致水務(wù)數(shù)據(jù)損壞，給水務(wù)數(shù)據(jù)安全管理帶來(lái)嚴(yán)峻的挑戰(zhàn)。2021年1月，臨沂部分小區(qū)的遠(yuǎn)程水表傳輸?shù)倪^(guò)程中出現(xiàn)了故障，造成傳輸數(shù)據(jù)不完整（少傳了水費(fèi)），導(dǎo)致水務(wù)公司需要采取人工抄表的方式進(jìn)行校正。

3 采取的措施

為保障自來(lái)水公司主節(jié)點(diǎn)和下級(jí)分公司節(jié)點(diǎn)的數(shù)據(jù)安全，同時(shí)將通信開支成本降到合理水平，非常有必要采取一些有效的措施，保證水務(wù)數(shù)據(jù)安全，確保供水生產(chǎn)服務(wù)工作穩(wěn)定持續(xù)開展。擬采取的具體措施如下：

（1）定期排查，智能檢測(cè)。基于5G 的水務(wù)系統(tǒng)中設(shè)備繁多，需要專業(yè)的人員定期檢查設(shè)備運(yùn)行情況，并建立設(shè)備管理數(shù)據(jù)庫(kù)，如圖2所示，對(duì)設(shè)備的采購(gòu)時(shí)間、運(yùn)行環(huán)境、老化情況等建冊(cè)登記。與此同時(shí)，吸引計(jì)算機(jī)方面的人才加入到水務(wù)企業(yè)，參與水務(wù)企業(yè)基礎(chǔ)設(shè)施的信息化建設(shè)，利用傳感器技術(shù)，實(shí)時(shí)收集設(shè)備的運(yùn)行數(shù)據(jù)，及時(shí)發(fā)現(xiàn)損壞設(shè)備并對(duì)其進(jìn)行準(zhǔn)確定位，以實(shí)現(xiàn)快速更換。此外，建立突發(fā)故障應(yīng)急機(jī)制，以應(yīng)對(duì)水務(wù)設(shè)備出現(xiàn)故障。

圖2 水務(wù)設(shè)備數(shù)據(jù)庫(kù)

（2）系統(tǒng)定期檢測(cè)，查漏補(bǔ)缺。首先采用攻擊模擬的方式，通過(guò)模擬水務(wù)系統(tǒng)可能遭受的攻擊行為，對(duì)水務(wù)系統(tǒng)進(jìn)行攻擊，檢測(cè)其抗攻擊能力，找出其安全漏洞。與此同時(shí)，及時(shí)引入安全公司的大數(shù)據(jù)威脅情報(bào)信息技術(shù)，采用被動(dòng)和主動(dòng)相結(jié)合的方式，實(shí)時(shí)收集各個(gè)設(shè)備的相關(guān)日志進(jìn)行威脅情報(bào)分析，及時(shí)發(fā)現(xiàn)漏洞并聘請(qǐng)專業(yè)維護(hù)人員參照安全公司的建議進(jìn)行漏洞修復(fù)。此外，關(guān)注安全廠商提供的補(bǔ)丁修復(fù)方案，及時(shí)查漏補(bǔ)缺，修復(fù)系統(tǒng)安全漏洞。

（3）部署病毒檢測(cè)軟件，構(gòu)建病毒查殺系統(tǒng)。首選利用防火墻構(gòu)建第一道安全防線，其次對(duì)于流經(jīng)防火墻流量中的網(wǎng)絡(luò)行為做入侵檢測(cè)分析，當(dāng)發(fā)現(xiàn)攻擊行為，要及時(shí)更新防火墻規(guī)則進(jìn)行阻攔操作，從而達(dá)到防范的目的。其次，部署入侵檢測(cè)系統(tǒng)，對(duì)可疑數(shù)據(jù)流量進(jìn)行入侵檢測(cè)分析，及時(shí)發(fā)現(xiàn)新型病毒攻擊并實(shí)現(xiàn)有效的攔截。此外，通過(guò)白名單技術(shù)，實(shí)現(xiàn)特定設(shè)備只允許特定的主機(jī)和IP 訪問(wèn)，實(shí)行嚴(yán)格的權(quán)限劃分，拒絕陌生主機(jī)和IP 的連接請(qǐng)求。

（4）組織安全培訓(xùn)，提高安全意識(shí)。積極組織與基于5G的水務(wù)系統(tǒng)安全相關(guān)的技能培訓(xùn)和演練，大力提升內(nèi)部人員的網(wǎng)絡(luò)安全意識(shí)和技術(shù)水平。與此同時(shí)，對(duì)所有擁有權(quán)限操作水務(wù)設(shè)備的訪問(wèn)者建立特定的數(shù)據(jù)庫(kù)，每次訪問(wèn)，首先檢測(cè)其是否具有訪問(wèn)權(quán)限，以過(guò)濾掉未授權(quán)訪問(wèn)者；同時(shí)利用5G 超低延時(shí)的特點(diǎn)，對(duì)于訪問(wèn)者的密碼進(jìn)行動(dòng)態(tài)更新，每次訪問(wèn)都需要通過(guò)授權(quán)設(shè)備獲取最新的密碼，否則不允許登錄。

（5）水務(wù)數(shù)據(jù)加密與細(xì)粒度訪問(wèn)控制。針對(duì)基于5G 的水務(wù)系統(tǒng)中用戶隱私泄露的問(wèn)題，擬根據(jù)等級(jí)保護(hù)要求對(duì)水務(wù)數(shù)據(jù)采取防護(hù)措施，從網(wǎng)絡(luò)和通信、應(yīng)用與數(shù)據(jù)等多個(gè)維度建立安全技術(shù)體系，對(duì)敏感數(shù)據(jù)采用密碼技術(shù)進(jìn)行加密，有效防止用戶隱私泄露。與此同時(shí)，需要根據(jù)等級(jí)保護(hù)的要求，定期開展測(cè)評(píng)工作，測(cè)試系統(tǒng)的保護(hù)能力，建立長(zhǎng)久有效的等保工作機(jī)制。此外，建立有效的安全策略和管理制度，做好用戶角色管理，根據(jù)角色去分配用戶權(quán)限，嚴(yán)格限制水務(wù)企業(yè)工作人員對(duì)用戶隱私的訪問(wèn)，防止水務(wù)數(shù)據(jù)被非授權(quán)或越權(quán)用戶訪問(wèn)。

（6）水務(wù)數(shù)據(jù)容災(zāi)備份。構(gòu)建水務(wù)云計(jì)算平臺(tái)，如圖3所示，將水務(wù)數(shù)據(jù)及時(shí)備份到云端，通過(guò)云計(jì)算實(shí)現(xiàn)水務(wù)數(shù)據(jù)容災(zāi)備份，防止設(shè)備宕機(jī)帶來(lái)的數(shù)據(jù)損壞。與此同時(shí)，需要對(duì)管理員進(jìn)行專業(yè)技術(shù)培訓(xùn)，提高管理員業(yè)務(wù)能力，避免管理員誤操作引發(fā)的數(shù)據(jù)損壞；此外，為及時(shí)發(fā)現(xiàn)外部攻擊者惡意攻擊行為造成的數(shù)據(jù)損壞，設(shè)計(jì)適用于水務(wù)系統(tǒng)的數(shù)據(jù)完整性驗(yàn)證方案，對(duì)水務(wù)數(shù)據(jù)定期進(jìn)行完整性驗(yàn)證，檢驗(yàn)水務(wù)數(shù)據(jù)是否被惡意損壞。

圖3 水務(wù)云計(jì)算平臺(tái)框架

4 結(jié) 論

本文針對(duì)桂林自來(lái)水有限公司供水系統(tǒng)存在的安全漏洞進(jìn)行分析，指出目前系統(tǒng)仍存在硬件設(shè)施損壞、系統(tǒng)故障、病毒入侵、黑客攻擊、用戶隱私泄露以及水務(wù)數(shù)據(jù)損壞等問(wèn)題，并針對(duì)這些問(wèn)題研究相應(yīng)的應(yīng)對(duì)策略，能夠有效確保水務(wù)系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行，推動(dòng)自來(lái)水公司的水務(wù)系統(tǒng)數(shù)字化、智慧化建設(shè)，從而更好地為公司的供水信息安全保駕護(hù)航。