基于5G的水務網絡數據安全管理

2022-08-12 01:54:28海斌

現代信息科技 2022年7期

海斌

（桂林市自來水有限公司，廣西桂林 541004）

0 引言

在旅游業和新興高科技產業的帶動下，桂林的城市規模不斷擴大。為解決城市不斷擴大帶來的供水難題，桂林自來水有限公司不斷加大水務系統的信息化建設力度。快速發展的計算機與網絡技術，特別是5G 技術，為構建水務網絡數據管理平臺提供了極大的便利，從而有利于實現水務數據的自動采集、智能分析、安全存儲等，使得自來水公司能夠根據居民的實際用水需求，制定供需平衡的供水策略，在保障居民生活、生產用水需求的前提下，節約成本，提高效能。

5G 技術為供水網絡的建設帶來了極大的優勢，但也不可避免地帶來一些新的安全問題。在基于5G 的水務網絡中，水務數據呈現異構多源、體量大、更新速度快等特點，這給水務數據的安全管理帶來了嚴峻的挑戰。本文首先介紹桂林自來水有限公司水務網絡的建設現狀，然后指出基于5G的水務網絡中水務數據存在的安全問題，并針對這些問題研究相應的應對策略，為提高水務數據的安全管理效率提供新思路。

1 現狀分析

桂林市自來水有限公司集供水生產和供應、供水工程設計和施工、水表制造及房地產開發于一體。2006年至今，桂林自來水有限公司接管靈川縣八里街開發區供水，不斷推進秧塘工業園供水建設，成立加壓站管理處，雁山加壓站、萬福加壓站相繼建成投入使用。同時完成東江水廠新建DN1000 原水管、南洲大橋過江供水管、解放橋上游雙管過江管、鐵山工業園供水管、萬福路供水管、接管桂林北鐵路地區供水、機場路南、北側供水管、臨桂新區供水管、西二環路DN1200 供水管等基礎設施建設，2013年售水量已經突破一億立方米。2016年，公司接收桂林市兩江水廠、桂林市臨桂五通自來水廠，供水服務范圍繼續擴大。截至2021年底，桂林市自來水有限公司在職職工900 余人，總資產31.43億元，固定資產凈值6.68億元；公司以漓江為取水水源，日設計公司量約為74 萬立方米，滿足100 萬人口生產生活用水需求，水質綜合合格率達到99.99%；供水管網總長度2 721.45 公里，累計在線水表70.4 萬只，公司規模現狀如表1所示。

表1 桂林市自來水公司現狀匯總

在供水范圍不斷擴大、供水量日益增加的同時，桂林自來水有限公司也非常重視供水系統的信息化建設，旨在實現供水系統數字化、智能化。進入21 世紀，桂林自來水有限公司大力推進網絡基礎設施建設，截止2021年底，共建成12 座數據中心（包括大型數據中心B 級機房2 座，分站點C 級機房10 座）。近年來，隨著5G 技術的迅速發展及廣泛應用，5G 技術將為桂林自來水有限公司的供水系統建設提供了極大的便利，基于5G 的水務系統的網絡拓撲可以設計為如圖1所示的結構。

圖1 網絡拓撲圖

5G 技術在給供水系統帶來巨大便利的同時，也不可能避免地帶來一些新的安全問題。首先，近年來惡劣天氣，如臺風、泥石流、洪災、霜凍等更加頻繁，導致通信基站、線路故障經常發生；與此同時，城市建設施工、惡意的人為破壞等也會導致線路故障，從而給公司的供水生產服務工作造成較大的影響。此外，在基于5G 的水務網絡中，水務數據具有異構多源、體量大、更新速度快等特點，為基于5G 的水務網絡數據安全管理帶來了嚴峻的挑戰。

2 潛在的安全問題

隨著供水系統數字化、智能化建設不斷推進，水務網絡設備數量與日俱增、網絡規模不斷擴大，給基于5G 的水務網絡數據安全管理帶來了諸多嚴峻的挑戰，包括硬件設施損壞、系統故障、病毒攻擊、黑客攻擊、用戶隱私泄露以及水務數據損壞。

（1）硬件設施損壞。隨著水務系統的日益擴大，水務系統中設備數量也與日俱增，導致設備故障次數也愈來愈多。特別是通信網絡線路的故障經常發生，而且恢復周期較長。而水務系統中設備繁多，需要在大量的硬件設施中找到損失的設備非常困難，而且設備替換需要較長的時間，導致系統恢復周期長、損失嚴重。如2014年1月至2015年5月，因加壓站硬件故障導致供水異常次數有12次，故障影響時間持續5～8小時。

（2）系統故障。隨著水務系統的不斷擴大、系統功能的不斷豐富，水務系統的軟件組成愈加復雜，系統不可避免地存在一些安全漏洞，會導致水務信息泄露。不完善的系統構架極易引發水務信息泄露，系統資料被竊取等。同時，由于5G技術安全體制的不完善，基于5G的水務系統在數據庫、應用程序、操作系統等方面也存在一些安全漏洞。然而，上述漏洞具有隱蔽性，不管是管理員還是用戶都難以發現。一般而言，需要具備一定的專業知識，并借助第三方工具方能有效檢測到上述安全漏洞。在2014年1月至2015年5月間，僅僅是雁山客服分中心就發生了3 次故障，每次故障都持續了5 ～8 小時，影響系統正常供水。

（3）病毒入侵。絕大多數計算機信息的破壞都是由網絡病毒引起的。《第十八次計算機病毒和移動終端病毒疫情調查報告》表明，病毒入侵事件頻發，計算機病毒感染占比64.6%，比上年上升了32.84%；移動設備病毒占比45.4%，同比增長11.8%。在經濟利益的驅動下，不同領域的攻擊者紛紛轉向病毒領域，促使病毒持續更新迭代，病毒數量持續增長，感染率不斷提升，使水務網絡遭受更多的病毒入侵。在基于5G 的水務系統中，對病毒攻擊的防范措施尚有不足，容易導致系統遭受病毒感染。

（4）黑客攻擊。國家互聯網應急中心發布的最新報告顯示，黑客攻擊網絡的頻率一直都呈現上漲趨勢，然而現有防護手段尚不能夠及時應對層出不窮的黑客攻擊。在基于5G 的水務系統中，除了系統本身的軟硬件漏洞外，黑客還可以利用5G 網絡的安全漏洞，對水務系統進行攻擊，給水務系統的正常運行和水務數據安全造成嚴重的威脅。2013年1月初至2月末，攻擊者通過境外大約6 700 多臺僵尸主機控制了中國境內大約190 萬臺主機。水務系統也會遭受黑客的攻擊，但是對于諸多由黑客發起的APT（Advanced Persistent Threat）行為，現有的防護技術無法有效應對。

（5）用戶隱私泄露。用戶隱私泄露已經成為計算機網絡的重要威脅，《中國個人信息安全和隱私保護報告》曾顯示，84%的網民曾經遭受過因個人信息泄露帶來的不良影響，比如廣告推銷等；在2015年6月到2016年6月期間，我國網民因電信詐騙導致個人信息泄露遭受的經濟損失超過900 億元。水務數據包含大量的用戶隱私數據，如用戶的身份、家庭住址、用水量等，極易導致用戶隱私信息泄露。特別地，自來水公司管理員可以通過居民用水流量分布情況，大致推斷居民的居家活動，如果某個時間段居民用水流量劇增，大致可以推斷居民正在進行沐浴、洗衣服等大量耗水的活動。

（6）水務數據損壞。水務數據是水務系統的核心，對原始水務數據的分析可以為高層決策指明方向。然而，在水務系統中，由于設備的軟硬件故障，如斷電、硬件損壞、系統崩潰、電磁干擾等因素，水務數據在采集、傳輸、存儲過程中都有可能被損壞；與此同時，管理員的誤操作以及外部攻擊者的惡意攻擊行為，如篡改、偽造、刪除等，也會導致水務數據損壞，給水務數據安全管理帶來嚴峻的挑戰。2021年1月，臨沂部分小區的遠程水表傳輸的過程中出現了故障，造成傳輸數據不完整（少傳了水費），導致水務公司需要采取人工抄表的方式進行校正。

3 采取的措施

為保障自來水公司主節點和下級分公司節點的數據安全，同時將通信開支成本降到合理水平，非常有必要采取一些有效的措施，保證水務數據安全，確保供水生產服務工作穩定持續開展。擬采取的具體措施如下：

（1）定期排查，智能檢測。基于5G 的水務系統中設備繁多，需要專業的人員定期檢查設備運行情況，并建立設備管理數據庫，如圖2所示，對設備的采購時間、運行環境、老化情況等建冊登記。與此同時，吸引計算機方面的人才加入到水務企業，參與水務企業基礎設施的信息化建設，利用傳感器技術，實時收集設備的運行數據，及時發現損壞設備并對其進行準確定位，以實現快速更換。此外，建立突發故障應急機制，以應對水務設備出現故障。

圖2 水務設備數據庫

（2）系統定期檢測，查漏補缺。首先采用攻擊模擬的方式，通過模擬水務系統可能遭受的攻擊行為，對水務系統進行攻擊，檢測其抗攻擊能力，找出其安全漏洞。與此同時，及時引入安全公司的大數據威脅情報信息技術，采用被動和主動相結合的方式，實時收集各個設備的相關日志進行威脅情報分析，及時發現漏洞并聘請專業維護人員參照安全公司的建議進行漏洞修復。此外，關注安全廠商提供的補丁修復方案，及時查漏補缺，修復系統安全漏洞。

（3）部署病毒檢測軟件，構建病毒查殺系統。首選利用防火墻構建第一道安全防線，其次對于流經防火墻流量中的網絡行為做入侵檢測分析，當發現攻擊行為，要及時更新防火墻規則進行阻攔操作，從而達到防范的目的。其次，部署入侵檢測系統，對可疑數據流量進行入侵檢測分析，及時發現新型病毒攻擊并實現有效的攔截。此外，通過白名單技術，實現特定設備只允許特定的主機和IP 訪問，實行嚴格的權限劃分，拒絕陌生主機和IP 的連接請求。

（4）組織安全培訓，提高安全意識。積極組織與基于5G的水務系統安全相關的技能培訓和演練，大力提升內部人員的網絡安全意識和技術水平。與此同時，對所有擁有權限操作水務設備的訪問者建立特定的數據庫，每次訪問，首先檢測其是否具有訪問權限，以過濾掉未授權訪問者；同時利用5G 超低延時的特點，對于訪問者的密碼進行動態更新，每次訪問都需要通過授權設備獲取最新的密碼，否則不允許登錄。

（5）水務數據加密與細粒度訪問控制。針對基于5G 的水務系統中用戶隱私泄露的問題，擬根據等級保護要求對水務數據采取防護措施，從網絡和通信、應用與數據等多個維度建立安全技術體系，對敏感數據采用密碼技術進行加密，有效防止用戶隱私泄露。與此同時，需要根據等級保護的要求，定期開展測評工作，測試系統的保護能力，建立長久有效的等保工作機制。此外，建立有效的安全策略和管理制度，做好用戶角色管理，根據角色去分配用戶權限，嚴格限制水務企業工作人員對用戶隱私的訪問，防止水務數據被非授權或越權用戶訪問。

（6）水務數據容災備份。構建水務云計算平臺，如圖3所示，將水務數據及時備份到云端，通過云計算實現水務數據容災備份，防止設備宕機帶來的數據損壞。與此同時，需要對管理員進行專業技術培訓，提高管理員業務能力，避免管理員誤操作引發的數據損壞；此外，為及時發現外部攻擊者惡意攻擊行為造成的數據損壞，設計適用于水務系統的數據完整性驗證方案，對水務數據定期進行完整性驗證，檢驗水務數據是否被惡意損壞。

圖3 水務云計算平臺框架

4 結論

本文針對桂林自來水有限公司供水系統存在的安全漏洞進行分析，指出目前系統仍存在硬件設施損壞、系統故障、病毒入侵、黑客攻擊、用戶隱私泄露以及水務數據損壞等問題，并針對這些問題研究相應的應對策略，能夠有效確保水務系統的持續穩定運行，推動自來水公司的水務系統數字化、智慧化建設，從而更好地為公司的供水信息安全保駕護航。