数字孪生水利建设中筑牢数字安全屏障的思考

张 潮

（水利部信息中心，100053，北京）

一、背 景

在新一轮科技革命和产业变革深入发展之际，数据成为促进经济增长的关键生产要素。根据《全球数字经济白皮书（2023年）》，2022年美国、中国、德国等51个国家数字经济增加值规模为41.4万亿美元，同比名义增长7.4%，占GDP的46.1%。数字安全保障是数字经济发展的重要前提和基础，尤其在百年未有之大变局迅速演进、国际环境复杂、不稳定趋势明显的形势下，数据窃取、勒索、攻击屡见不鲜，网络战已是现实，发展数字经济、实施数字安全战略已成为全世界共识。全球已有超过170个国家将数字安全作为优先发展的战略方向，围绕数字技术、数据要素、产业生态、安全标准等的国际竞争日趋激烈。

加快建设数字中国是发展新质生产力、推进中国式现代化的必然选择。党的二十大报告强调：“加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国。”2022 年，我国数字经济规模达到50.2万亿元，稳居世界第二，占GDP比重41.5%。2023年，中共中央、国务院印发《数字中国建设整体布局规划》，明确数字中国建设的“2522”整体框架，即夯实数字基础设施和数据资源体系“两大基础”，推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合，强化数字技术创新体系和数字安全屏障“两大能力”，优化数字化发展国内国际“两个环境”。其中，筑牢可信可控的数字安全屏障是强化数字中国两项关键能力的措施之一，同步部署了切实维护网络安全、增强数据安全保障能力两项重点任务。

水利行业目前正处于全面提升治理能力实现水利高质量发展和信息技术高速发展历史性交汇的机遇期。习近平总书记对提升流域设施数字化、网络化、智能化水平提出了明确要求，《数字中国建设整体布局规划》中明确提出“构建以数字孪生流域为核心的智慧水利体系”。数字孪生水利面向新阶段水利高质量发展需求，为水利决策管理提供前瞻性、科学性、精准性、安全性支持，实现水利业务与现代信息技术融合发展。

目前，我国数字孪生水利建设取得积极进展，数字孪生流域、数字孪生水网、数字孪生工程建设全面推进，已经在水资源调配与管理、水旱灾害防御、河湖管理等方面取得成效。随着大数据、人工智能等先进信息技术与水利业务的深度融合，数字孪生水利建设将形成推动新阶段水利高质量发展的新质生产力，有力支撑水利治理改革。加快建设数字孪生水利，需要打造广泛互联的水利网络，深入推进天空地一体化数据采集共享，开展人工智能、大数据等基础设施建设，打通数据壁垒，消除数据孤岛，充分发挥数据要素作用。同时也需要建立数字安全屏障，多措并举维护水利网络安全和数据安全，防御网络攻击和数据泄露、窃取、篡改等对数字孪生水利的破坏，确保水利网络、大数据平台、核心应用、关键信息基础设施安全运行。

二、数字孪生水利建设中的数字安全

树立正确的网络安全观，正确认识数字安全保护和数字孪生水利的辩证关系及两者对水利事业的推动作用，是做好水利网信工作的基础。数字安全保护和数字孪生水利统一于推动水利高质量发展的大局，两者是一体之两翼、驱动之双轮。数字安全保护和数字孪生水利建设是互相依存的两个要素，若没有安全的数字空间，数字孪生水利无法健康发展，反之，若没有数字孪生水利的需求，数字安全就是无源之水、无本之木。高水平的水利数字安全保护能力也是数字孪生水利建设的重要成果。

1.数字孪生水利和数字安全的关系

（1）筑牢水利数字安全屏障是水利行业落实总体国家安全观的重要体现

2014年，习近平总书记首次提出了总体国家安全观重大战略思想，明确了新时代维护国家安全的整体布局。党的二十大报告明确提出“强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设”。随着数字孪生水利建设的深入推进，虚拟与现实全面融合，高性能计算实时运行，水利工程泛在连接，信息系统全面云化，水利行业的数字化、网络化、智能化进一步深入推进，数字安全在水利行业中的基础性、战略性、全局性地位将越来越突出，水利行业将成为传统安全和非传统安全密集交织的领域。统筹发展和安全，提升水利数字安全保护能力，是水利行业落实总体国家安全观的典型体现，也是维护国家安全大局的必由之路。

（2）做好水利数字安全保护是数字孪生水利建设的前提

数字孪生水利是大数据、人工智能技术与水利业务的充分融合和赋能，在虚拟网络空间中构建了江河湖海、水利工程、水利管理活动的数字孪生体及智能应用。在这个数字孪生水利网络空间中，若没有坚实的数字安全保护作为前提，数字孪生水利建设造就的全国水利网络、海量行业数据、实时算法模型、核心业务应用等宝贵成果将轻易被黑客组织入侵、破坏甚至掌控篡改等，后果不堪设想，极端情况下甚至会对国家安全、人民生命财产安全造成严重损害。建设数字孪生水利，需要坚持底线思维和极限思维，把好“安全关口”，守好“安全底线”，建水利行业数字空间久安之势，才能成数字孪生水利长治之业。

（3）数字孪生水利建设保障水利数字安全能力持续提升

数字孪生水利建设对水利数字安全保护提出了发展需求。随着数字孪生水利的深入推进，水利物联网互联安全、数据传输共享安全、应用认证安全、电子证照文件安全、地理信息服务安全、即时通信移动应用安全、人工智能安全等多方面安全保障需求被提出，有力推动水利数字安全由传统静态安全向主动防御、动态防御、协同防御升级转变。数字孪生水利建设有效推动了云计算、大数据、人工智能等先进信息技术在水利行业的应用，也为数字安全发展提供了新技术土壤。近年来，水利部以水利云和大数据平台为基础，通过广泛收集行业内外多元、异构、海量的流量、情报、日志等数据，研发业务融合安全检测算法模型，有效实现网络安全态势监测。水利部正在探索安全大模型的研究应用，并在恶意流量监测、安全告警自动化处置、自然语言研判分析等方面取得积极成效。图1为水利部网络安全分析监控大屏。

图1 水利部网络安全分析监控大屏

2.数字孪生水利建设中的主要安全问题

水利部高度重视数字孪生水利建设中的数字安全工作，印发《水利网络安全管理办法》《水利部数据安全管理办法》等管理文件，颁布《水利网络安全保护技术规范》等技术标准，并在《数字孪生流域建设技术大纲（试行）》等多个文件中设立专门章节阐述网络安全、数据安全保护。近年来，水利行业对数字安全重视程度大幅度提高，水利网络安全体系已经初具规模，但距离建成满足数字孪生水利发展需求的数字安全保护体系仍有不少差距，需要持续提升防护能力。

（1）网络安全形势日益严峻

近年，网络安全威胁和风险日益突出。仅2023年，全球发生多起创纪录的数据泄露、勒索软件、零日漏洞、间谍软件和供应链攻击事件，包括俄罗斯政府首次曝光的大规模苹果手机后门监听活动，某银行的美国金融服务子公司遭受严重勒索软件攻击等等。我国的关键信息基础设施已成为高级持续性威胁（APT）的主要攻击对象，数据泄露、漏洞攻击等事件也逐渐增多。据监测统计，水利作为关键信息基础设施重点行业之一，遭受高危攻击次数近5年增长6倍，2022年已超过1亿次，其中不乏有组织的高水平攻击和精心构造的“钓鱼”攻击。伴随着数字化、网络化、智能化大潮，数字孪生水利必将面临日益严峻、复杂多变的外部网络安全形势，遭受更高频次、更加隐蔽、更为动态的网络攻击。面对这样的形势发展，必须持续强化水利数字安全能力。

（2）行业对数字安全的认识不到位不充分

有些单位对数字安全重要性认识不足，在信息化和应用系统的建设过程中几乎不采取任何安全保护措施，安全“大开绿灯”，重要业务系统带着“弱口令”“未授权访问”等漏洞上线。有些单位在信息化工作中过于保守，采取“一封了之”的措施，一定程度上阻碍了水利业务应用对外服务和水利数据共享流动，造成安全和业务的对立。有些单位认为安全工作是信息化部门的工作职责，阻碍了有效完整的安全防护体系建设，导致许多工作无法落到实处，无法持续提高安全防护能力。基于上述认识不到位不充分问题，应持续加强教育培训，强化思想认识，培养人才队伍，做好数字安全保护和数字孪生水利的同步设计、同步实施、同步运行。

（3）技术对抗水平不足，水利数字安全主动防御能力需重点加强

经过多年建设，水利网络安全体系初步具备了较好的纵深防御基础，防火墙、主机防护软件等基础设备均有配置，但在网络安全态势感知，安全管理中心建设，云计算、物联网、工控、大数据扩展安全强化，关键信息基础设施情报预警、主动防御等方面欠缺较多。水利行业数据安全工作处于起步阶段，水利部通过印发水利数据分类分级的技术指南文件，已经建立了部分数据梳理的工作基础，但仍存在大量重要和敏感数据明文传输、权限控制模糊、缺乏身份认证保护等问题，亟须基于密码技术加强数据全流程安全防护。

三、筑牢水利数字安全屏障的主要措施

水利数字安全是一项专业性强、综合性强的复杂工作，涵盖人、财、物管理和技术防护措施等多方面具体事项，需要抓住重点进行体系化建设。从数字孪生水利主要组成部分来看，在统一安全防护基础上，数字孪生水网要重点关注“纲、目、结”对象节点间的互联互通安全和集中控制安全；数字孪生流域要重点关注海量数据的交换共享使用安全；数字孪生工程要重点关注水利工程控制系统的隔离与防护。

按照工作切面分，数字孪生水利的数字安全可分为水利网络安全和水利数据安全两方面。结合面临的形势、存在的问题及现有工作基础，在水利网络安全方面，提出以健全水利关键信息基础设施安全防护建设为重点，既可以提升水利网络安全保底线能力，又能够以点带面拉动全行业网络安全防护能力提升；在水利数据安全方面，提出以健全水利数据分类分级保护为途径，全面补齐数据安全制度和重点环节防护措施，重点确保水利重要数据的安全应用。

1.以关键信息基础设施为重点，维护水利网络安全

关键信息基础设施是国家网络安全的重中之重，数字孪生水利建设涉及的水利大数据、水利大网络、核心水利业务应用、重要水利工程控制系统等关键信息基础设施直接影响国计民生和国家安全。近年来，水利网络安全通过管理体系、技术体系、运营体系、保障体系等全面体系化推进建设，显著提升了防护能力。在目前水利网络安全体系建设的基础上，要紧紧抓住关键信息基础设施安全这个主要矛盾和防护底线，有力推动全行业网络安全综合防御体系的完善升级。

（1）强化主动防御措施

在传统纵深防御基础上，强化关键信息基础设施相关的安全数据汇集与分析，确保网络监测全面无死角，开发与业务深度融合的威胁检测算法模型，全面提高态势感知能力。强化安全情报能力，全面集成行业内外部恶意IP/域名、木马文件、高危漏洞等情报信息，主动开展信息资产互联网暴露监测，提前采取加固安全防护措施，实现安全关口前移。

（2）推进安全资源共享

网络安全资源同样是信息化资源的一部分。进一步统筹完善水利统一安全认证、安全情报中心、灾难备份资源、商用密码基础设施等安全服务的共享共用，推广支撑数字孪生水网各级节点间的安全通信认证，节省建设成本的同时有效推进一致性，提高安全防护基线水平。另外，可探索全行业在安全数据处理、检测算法模型、研判分析、安全大模型等方面的安全新技术共建共享，补强基层单位人员技术力量短板，广泛提高全行业网络安全监测预警与应急响应能力。

（3）深化联防联控机制

水利网络安全联防联控机制为水利行业近年来的网络安全风险处置提供了有效保障，应继续坚持水利行业“一盘棋”，推动联防联控机制走深走实。进一步健全完善已有的水利网络安全工作平台、水利蓝信等媒介，便捷通知、通报、反馈各环节，畅通沟通渠道。进一步丰富各单位共享的情报信息，在原本共享攻击IP和重要事件的基础上，实现攻击事件、高危漏洞等高价值情报的常态化共享，提高联防效益。进一步提高行业安全管控平台能力，丰富数据源和监测算法，完善行业监测感知系统集成对接，提升联合处置调度能力。进一步加强对关键信息基础设施网络安全岗位人员的教育培训，增强人员队伍的网络安全意识和技能。

（4）提升自主可控能力

习近平总书记指出：“互联网核心技术是我们最大的‘命门’，核心技术受制于人是我们最大的隐患。”水利网信关键技术的自主可控，是数字孪生水利建设的基础，也是水利网络安全的根基。在原有信息化建设基础上，以网络、虚拟化、并行计算为重点，不断发展可信可控的云原生高性能计算能力，破解算力“卡脖子”难题。持续做好业务系统的升级迁移，坚持需求牵引、应用至上，“一系统一策”开展系统改造适配等工作，将“自主可控”由办公系统向业务系统逐步深化。重点推动数字孪生水利工程涉及的控制系统更新，以PLC控制器、SCADA系统、重要传感器等核心装备为重点，逐步实现控制系统的全自主可控，解决系统不透明、漏洞隐患多、存在恶意外联甚至可被操纵破坏等痛点问题。

2.以分类分级保护为基础，增强水利数据安全保障能力

数据已成为新的生产要素，我国出台数据安全法，对数据安全保护提出明确要求。随着数字孪生水利建设的不断推进，数据安全方面的风险逐渐显现。数据分类分级保护是实施数据安全的第一步和重要基础，要以数据分类分级为基础，重点做好重要数据防护，逐步提升水利数据安全防护水平。

（1）完善水利数据分类分级保护制度

数据安全法明确提出“国家建立数据分类分级保护制度”“对数据实行分类分级保护”。水利部已经印发《水利部数据安全管理办法（试行）》《水利数据分类分级指南（试行）》等文件，构建了行业数据分类分级保护的顶层设计基础。应在此基础上，根据数据分类分级工作实施情况和水利重要数据目录内容，细化数据分类分级保护责任分工、数据安全监督检查、数据资源服务、数据安全事件管理、数据出境管理等方面的制度，健全数据安全管理体系。在数据安全相关国家标准指引下，编制水利行业重要数据保护、数据分类分级、数据安全评估等方面的技术规范，填补水利数据安全技术标准空白，指导全行业开展数据安全防护体系建设。

（2）落实重要数据全流程安全技术措施

数据要发挥价值，就要在不同主体中流转起来。数据流转环节主要可分为收集、存储、使用、加工、传输、提供、公开等。在数字孪生水利建设中，要以密码技术为基础，充分考虑重要数据所有处理环节的技术保护，持续保障数据的安全状态。完善密码基础设施对称加密、非对称加密、签名验签、电子信封、SSL 通信加密等能力，重点采取多因子认证、原始数据加密、信道加密、系统证书认证、数据库加密、数据权限控制、数据水印、数据脱敏等防护措施。积极探索应用区块链、隐私计算、量子密码等新兴技术对数字孪生流域的海量高价值数据进行安全保护，实现数据安全保护和数据价值挖掘的动态平衡和协同发展。

（3）强化数据安全治理教育培训

提升数据安全治理效能，建设数字孪生水利，必须要有一支掌握网络安全、数据安全、人工智能和大数据、水利业务等方面知识技能的人才队伍。数据安全和业务应用的黏性高，人才缺口极大，应大力培养大批适应数字孪生水利发展的数据安全治理人才。一是顶层推动制定包含数据安全人才在内的数字孪生水利人才发展规划，制定多层次、多元化的人才招聘和培养计划，加快构建复合型数据安全治理人才队伍；二是强化行业数据安全培训，尤其是要对业务人员开展全方位的数据安全意识以及基础知识、数据安全技术、数据安全管理、场景化数据安全治理等知识和技能的培训；三是完善科技人才激励机制，多方式引进和留住高端专业人才，优化行业人才布局。

四、结 语

水利数字安全是数字孪生水利建设的基础和前提，要提高思想认识，以强化水利关键信息基础设施安全保护和开展水利数据分类分级保护为重点措施，提升网络安全主动防御能力和数据全流程安全保护能力，筑牢数字安全屏障，支撑水利新质生产力发展，为数字孪生水利建设保驾护航。