數字孿生水利建設中筑牢數字安全屏障的思考

張 潮

（水利部信息中心，100053，北京）

一、背 景

在新一輪科技革命和產業變革深入發展之際，數據成為促進經濟增長的關鍵生產要素。根據《全球數字經濟白皮書（2023年）》，2022年美國、中國、德國等51個國家數字經濟增加值規模為41.4萬億美元，同比名義增長7.4%，占GDP的46.1%。數字安全保障是數字經濟發展的重要前提和基礎，尤其在百年未有之大變局迅速演進、國際環境復雜、不穩定趨勢明顯的形勢下，數據竊取、勒索、攻擊屢見不鮮，網絡戰已是現實，發展數字經濟、實施數字安全戰略已成為全世界共識。全球已有超過170個國家將數字安全作為優先發展的戰略方向，圍繞數字技術、數據要素、產業生態、安全標準等的國際競爭日趨激烈。

加快建設數字中國是發展新質生產力、推進中國式現代化的必然選擇。黨的二十大報告強調：“加快建設制造強國、質量強國、航天強國、交通強國、網絡強國、數字中國。”2022 年，我國數字經濟規模達到50.2萬億元，穩居世界第二，占GDP比重41.5%。2023年，中共中央、國務院印發《數字中國建設整體布局規劃》，明確數字中國建設的“2522”整體框架，即夯實數字基礎設施和數據資源體系“兩大基礎”，推進數字技術與經濟、政治、文化、社會、生態文明建設“五位一體”深度融合，強化數字技術創新體系和數字安全屏障“兩大能力”，優化數字化發展國內國際“兩個環境”。其中，筑牢可信可控的數字安全屏障是強化數字中國兩項關鍵能力的措施之一，同步部署了切實維護網絡安全、增強數據安全保障能力兩項重點任務。

水利行業目前正處于全面提升治理能力實現水利高質量發展和信息技術高速發展歷史性交匯的機遇期。習近平總書記對提升流域設施數字化、網絡化、智能化水平提出了明確要求，《數字中國建設整體布局規劃》中明確提出“構建以數字孿生流域為核心的智慧水利體系”。數字孿生水利面向新階段水利高質量發展需求，為水利決策管理提供前瞻性、科學性、精準性、安全性支持，實現水利業務與現代信息技術融合發展。

目前，我國數字孿生水利建設取得積極進展，數字孿生流域、數字孿生水網、數字孿生工程建設全面推進，已經在水資源調配與管理、水旱災害防御、河湖管理等方面取得成效。隨著大數據、人工智能等先進信息技術與水利業務的深度融合，數字孿生水利建設將形成推動新階段水利高質量發展的新質生產力，有力支撐水利治理改革。加快建設數字孿生水利，需要打造廣泛互聯的水利網絡，深入推進天空地一體化數據采集共享，開展人工智能、大數據等基礎設施建設，打通數據壁壘，消除數據孤島，充分發揮數據要素作用。同時也需要建立數字安全屏障，多措并舉維護水利網絡安全和數據安全，防御網絡攻擊和數據泄露、竊取、篡改等對數字孿生水利的破壞，確保水利網絡、大數據平臺、核心應用、關鍵信息基礎設施安全運行。

二、數字孿生水利建設中的數字安全

樹立正確的網絡安全觀，正確認識數字安全保護和數字孿生水利的辯證關系及兩者對水利事業的推動作用，是做好水利網信工作的基礎。數字安全保護和數字孿生水利統一于推動水利高質量發展的大局，兩者是一體之兩翼、驅動之雙輪。數字安全保護和數字孿生水利建設是互相依存的兩個要素，若沒有安全的數字空間，數字孿生水利無法健康發展，反之，若沒有數字孿生水利的需求，數字安全就是無源之水、無本之木。高水平的水利數字安全保護能力也是數字孿生水利建設的重要成果。

1.數字孿生水利和數字安全的關系

（1）筑牢水利數字安全屏障是水利行業落實總體國家安全觀的重要體現

2014年，習近平總書記首次提出了總體國家安全觀重大戰略思想，明確了新時代維護國家安全的整體布局。黨的二十大報告明確提出“強化經濟、重大基礎設施、金融、網絡、數據、生物、資源、核、太空、海洋等安全保障體系建設”。隨著數字孿生水利建設的深入推進，虛擬與現實全面融合，高性能計算實時運行，水利工程泛在連接，信息系統全面云化，水利行業的數字化、網絡化、智能化進一步深入推進，數字安全在水利行業中的基礎性、戰略性、全局性地位將越來越突出，水利行業將成為傳統安全和非傳統安全密集交織的領域。統籌發展和安全，提升水利數字安全保護能力，是水利行業落實總體國家安全觀的典型體現，也是維護國家安全大局的必由之路。

（2）做好水利數字安全保護是數字孿生水利建設的前提

數字孿生水利是大數據、人工智能技術與水利業務的充分融合和賦能，在虛擬網絡空間中構建了江河湖海、水利工程、水利管理活動的數字孿生體及智能應用。在這個數字孿生水利網絡空間中，若沒有堅實的數字安全保護作為前提，數字孿生水利建設造就的全國水利網絡、海量行業數據、實時算法模型、核心業務應用等寶貴成果將輕易被黑客組織入侵、破壞甚至掌控篡改等，后果不堪設想，極端情況下甚至會對國家安全、人民生命財產安全造成嚴重損害。建設數字孿生水利，需要堅持底線思維和極限思維，把好“安全關口”，守好“安全底線”，建水利行業數字空間久安之勢，才能成數字孿生水利長治之業。

（3）數字孿生水利建設保障水利數字安全能力持續提升

數字孿生水利建設對水利數字安全保護提出了發展需求。隨著數字孿生水利的深入推進，水利物聯網互聯安全、數據傳輸共享安全、應用認證安全、電子證照文件安全、地理信息服務安全、即時通信移動應用安全、人工智能安全等多方面安全保障需求被提出，有力推動水利數字安全由傳統靜態安全向主動防御、動態防御、協同防御升級轉變。數字孿生水利建設有效推動了云計算、大數據、人工智能等先進信息技術在水利行業的應用，也為數字安全發展提供了新技術土壤。近年來，水利部以水利云和大數據平臺為基礎，通過廣泛收集行業內外多元、異構、海量的流量、情報、日志等數據，研發業務融合安全檢測算法模型，有效實現網絡安全態勢監測。水利部正在探索安全大模型的研究應用，并在惡意流量監測、安全告警自動化處置、自然語言研判分析等方面取得積極成效。圖1為水利部網絡安全分析監控大屏。

圖1 水利部網絡安全分析監控大屏

2.數字孿生水利建設中的主要安全問題

水利部高度重視數字孿生水利建設中的數字安全工作，印發《水利網絡安全管理辦法》《水利部數據安全管理辦法》等管理文件，頒布《水利網絡安全保護技術規范》等技術標準，并在《數字孿生流域建設技術大綱（試行）》等多個文件中設立專門章節闡述網絡安全、數據安全保護。近年來，水利行業對數字安全重視程度大幅度提高，水利網絡安全體系已經初具規模，但距離建成滿足數字孿生水利發展需求的數字安全保護體系仍有不少差距，需要持續提升防護能力。

（1）網絡安全形勢日益嚴峻

近年，網絡安全威脅和風險日益突出。僅2023年，全球發生多起創紀錄的數據泄露、勒索軟件、零日漏洞、間諜軟件和供應鏈攻擊事件，包括俄羅斯政府首次曝光的大規模蘋果手機后門監聽活動，某銀行的美國金融服務子公司遭受嚴重勒索軟件攻擊等等。我國的關鍵信息基礎設施已成為高級持續性威脅（APT）的主要攻擊對象，數據泄露、漏洞攻擊等事件也逐漸增多。據監測統計，水利作為關鍵信息基礎設施重點行業之一，遭受高危攻擊次數近5年增長6倍，2022年已超過1億次，其中不乏有組織的高水平攻擊和精心構造的“釣魚”攻擊。伴隨著數字化、網絡化、智能化大潮，數字孿生水利必將面臨日益嚴峻、復雜多變的外部網絡安全形勢，遭受更高頻次、更加隱蔽、更為動態的網絡攻擊。面對這樣的形勢發展，必須持續強化水利數字安全能力。

（2）行業對數字安全的認識不到位不充分

有些單位對數字安全重要性認識不足，在信息化和應用系統的建設過程中幾乎不采取任何安全保護措施，安全“大開綠燈”，重要業務系統帶著“弱口令”“未授權訪問”等漏洞上線。有些單位在信息化工作中過于保守，采取“一封了之”的措施，一定程度上阻礙了水利業務應用對外服務和水利數據共享流動，造成安全和業務的對立。有些單位認為安全工作是信息化部門的工作職責，阻礙了有效完整的安全防護體系建設，導致許多工作無法落到實處，無法持續提高安全防護能力。基于上述認識不到位不充分問題，應持續加強教育培訓，強化思想認識，培養人才隊伍，做好數字安全保護和數字孿生水利的同步設計、同步實施、同步運行。

（3）技術對抗水平不足，水利數字安全主動防御能力需重點加強

經過多年建設，水利網絡安全體系初步具備了較好的縱深防御基礎，防火墻、主機防護軟件等基礎設備均有配置，但在網絡安全態勢感知，安全管理中心建設，云計算、物聯網、工控、大數據擴展安全強化，關鍵信息基礎設施情報預警、主動防御等方面欠缺較多。水利行業數據安全工作處于起步階段，水利部通過印發水利數據分類分級的技術指南文件，已經建立了部分數據梳理的工作基礎，但仍存在大量重要和敏感數據明文傳輸、權限控制模糊、缺乏身份認證保護等問題，亟須基于密碼技術加強數據全流程安全防護。

三、筑牢水利數字安全屏障的主要措施

水利數字安全是一項專業性強、綜合性強的復雜工作，涵蓋人、財、物管理和技術防護措施等多方面具體事項，需要抓住重點進行體系化建設。從數字孿生水利主要組成部分來看，在統一安全防護基礎上，數字孿生水網要重點關注“綱、目、結”對象節點間的互聯互通安全和集中控制安全；數字孿生流域要重點關注海量數據的交換共享使用安全；數字孿生工程要重點關注水利工程控制系統的隔離與防護。

按照工作切面分，數字孿生水利的數字安全可分為水利網絡安全和水利數據安全兩方面。結合面臨的形勢、存在的問題及現有工作基礎，在水利網絡安全方面，提出以健全水利關鍵信息基礎設施安全防護建設為重點，既可以提升水利網絡安全保底線能力，又能夠以點帶面拉動全行業網絡安全防護能力提升；在水利數據安全方面，提出以健全水利數據分類分級保護為途徑，全面補齊數據安全制度和重點環節防護措施，重點確保水利重要數據的安全應用。

1.以關鍵信息基礎設施為重點，維護水利網絡安全

關鍵信息基礎設施是國家網絡安全的重中之重，數字孿生水利建設涉及的水利大數據、水利大網絡、核心水利業務應用、重要水利工程控制系統等關鍵信息基礎設施直接影響國計民生和國家安全。近年來，水利網絡安全通過管理體系、技術體系、運營體系、保障體系等全面體系化推進建設，顯著提升了防護能力。在目前水利網絡安全體系建設的基礎上，要緊緊抓住關鍵信息基礎設施安全這個主要矛盾和防護底線，有力推動全行業網絡安全綜合防御體系的完善升級。

（1）強化主動防御措施

在傳統縱深防御基礎上，強化關鍵信息基礎設施相關的安全數據匯集與分析，確保網絡監測全面無死角，開發與業務深度融合的威脅檢測算法模型，全面提高態勢感知能力。強化安全情報能力，全面集成行業內外部惡意IP/域名、木馬文件、高危漏洞等情報信息，主動開展信息資產互聯網暴露監測，提前采取加固安全防護措施，實現安全關口前移。

（2）推進安全資源共享

網絡安全資源同樣是信息化資源的一部分。進一步統籌完善水利統一安全認證、安全情報中心、災難備份資源、商用密碼基礎設施等安全服務的共享共用，推廣支撐數字孿生水網各級節點間的安全通信認證，節省建設成本的同時有效推進一致性，提高安全防護基線水平。另外，可探索全行業在安全數據處理、檢測算法模型、研判分析、安全大模型等方面的安全新技術共建共享，補強基層單位人員技術力量短板，廣泛提高全行業網絡安全監測預警與應急響應能力。

（3）深化聯防聯控機制

水利網絡安全聯防聯控機制為水利行業近年來的網絡安全風險處置提供了有效保障，應繼續堅持水利行業“一盤棋”，推動聯防聯控機制走深走實。進一步健全完善已有的水利網絡安全工作平臺、水利藍信等媒介，便捷通知、通報、反饋各環節，暢通溝通渠道。進一步豐富各單位共享的情報信息，在原本共享攻擊IP和重要事件的基礎上，實現攻擊事件、高危漏洞等高價值情報的常態化共享，提高聯防效益。進一步提高行業安全管控平臺能力，豐富數據源和監測算法，完善行業監測感知系統集成對接，提升聯合處置調度能力。進一步加強對關鍵信息基礎設施網絡安全崗位人員的教育培訓，增強人員隊伍的網絡安全意識和技能。

（4）提升自主可控能力

習近平總書記指出：“互聯網核心技術是我們最大的‘命門’，核心技術受制于人是我們最大的隱患。”水利網信關鍵技術的自主可控，是數字孿生水利建設的基礎，也是水利網絡安全的根基。在原有信息化建設基礎上，以網絡、虛擬化、并行計算為重點，不斷發展可信可控的云原生高性能計算能力，破解算力“卡脖子”難題。持續做好業務系統的升級遷移，堅持需求牽引、應用至上，“一系統一策”開展系統改造適配等工作，將“自主可控”由辦公系統向業務系統逐步深化。重點推動數字孿生水利工程涉及的控制系統更新，以PLC控制器、SCADA系統、重要傳感器等核心裝備為重點，逐步實現控制系統的全自主可控，解決系統不透明、漏洞隱患多、存在惡意外聯甚至可被操縱破壞等痛點問題。

2.以分類分級保護為基礎，增強水利數據安全保障能力

數據已成為新的生產要素，我國出臺數據安全法，對數據安全保護提出明確要求。隨著數字孿生水利建設的不斷推進，數據安全方面的風險逐漸顯現。數據分類分級保護是實施數據安全的第一步和重要基礎，要以數據分類分級為基礎，重點做好重要數據防護，逐步提升水利數據安全防護水平。

（1）完善水利數據分類分級保護制度

數據安全法明確提出“國家建立數據分類分級保護制度”“對數據實行分類分級保護”。水利部已經印發《水利部數據安全管理辦法（試行）》《水利數據分類分級指南（試行）》等文件，構建了行業數據分類分級保護的頂層設計基礎。應在此基礎上，根據數據分類分級工作實施情況和水利重要數據目錄內容，細化數據分類分級保護責任分工、數據安全監督檢查、數據資源服務、數據安全事件管理、數據出境管理等方面的制度，健全數據安全管理體系。在數據安全相關國家標準指引下，編制水利行業重要數據保護、數據分類分級、數據安全評估等方面的技術規范，填補水利數據安全技術標準空白，指導全行業開展數據安全防護體系建設。

（2）落實重要數據全流程安全技術措施

數據要發揮價值，就要在不同主體中流轉起來。數據流轉環節主要可分為收集、存儲、使用、加工、傳輸、提供、公開等。在數字孿生水利建設中，要以密碼技術為基礎，充分考慮重要數據所有處理環節的技術保護，持續保障數據的安全狀態。完善密碼基礎設施對稱加密、非對稱加密、簽名驗簽、電子信封、SSL 通信加密等能力，重點采取多因子認證、原始數據加密、信道加密、系統證書認證、數據庫加密、數據權限控制、數據水印、數據脫敏等防護措施。積極探索應用區塊鏈、隱私計算、量子密碼等新興技術對數字孿生流域的海量高價值數據進行安全保護，實現數據安全保護和數據價值挖掘的動態平衡和協同發展。

（3）強化數據安全治理教育培訓

提升數據安全治理效能，建設數字孿生水利，必須要有一支掌握網絡安全、數據安全、人工智能和大數據、水利業務等方面知識技能的人才隊伍。數據安全和業務應用的黏性高，人才缺口極大，應大力培養大批適應數字孿生水利發展的數據安全治理人才。一是頂層推動制定包含數據安全人才在內的數字孿生水利人才發展規劃，制定多層次、多元化的人才招聘和培養計劃，加快構建復合型數據安全治理人才隊伍；二是強化行業數據安全培訓，尤其是要對業務人員開展全方位的數據安全意識以及基礎知識、數據安全技術、數據安全管理、場景化數據安全治理等知識和技能的培訓；三是完善科技人才激勵機制，多方式引進和留住高端專業人才，優化行業人才布局。

四、結 語

水利數字安全是數字孿生水利建設的基礎和前提，要提高思想認識，以強化水利關鍵信息基礎設施安全保護和開展水利數據分類分級保護為重點措施，提升網絡安全主動防御能力和數據全流程安全保護能力，筑牢數字安全屏障，支撐水利新質生產力發展，為數字孿生水利建設保駕護航。