关键信息基础设施承载国家安全命脉，其稳健运行事关全局。伴随《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法治体系持续完善，国家以顶层设计筑牢安全防线，对能源、交通、水利、金融等命脉领域实施精准化防护与体系化治理，为行业实践提供规范性框架与战略指引。当前国际局势深刻演变，确保关键信息基础设施全周期安全，已成为维护国家核心利益、保障社会有序运转的根基性工程。

水利作为关键信息基础设施的核心单元，其数据安全直接关系国计民生。智慧水务纵深推进，供水监测、污水处理等关键节点对数据流的依存度呈指数级攀升，而数据泄露、非法篡改与非授权访问等新型风险同步凸显。面对攻击技术智能化、威胁渠道多元化的严峻态势，攻击者若渗透供水监测节点诱发数据异常，将直接冲击城市生命线。水务行业数据防护体系将面临系统性考验。

免改造数据安全技术为水务数据安全开辟战略新空间。该技术针对现有系统难以进行大规模改造的特点，在不改变原有系统架构的基础上，实现了高效的数据加密与安全防护，有效应对水务行业中敏感数据在传输和存储过程中的泄漏风险，防止未经授权的访问和恶意篡改。

数字化时代，水务系统中产生和积累的大量数据，涵盖了从水源监测到供水终端的各类信息，这些数据对于保障城市正常供水、优化水资源调配以及提升水务服务质量至关重要。因此，对水务数据进行妥善保护，确保其安全性和完整性，是水务系统稳定运行和持续发展的关键所在。

在此背景下，水务系统的改造升级势在必行，但其中存在诸多需求难点。一方面，需在保障现有水务系统持续稳定运行的前提下推进安全升级，避免改造对供水、污水处理等核心民生服务造成中断风险；另一方面，面对老旧设备与新兴技术的兼容性问题，以及海量异构数据的安全防护需求，如何在有限的改造成本和时间内，实现数据全生命周期的安全覆盖，并满足政策法规对关键信息基础设施的合规要求成为当务之急。

炼石围绕某水务集团核心业务应用，提供基于免改造的密码与数据安全保护建设，通过打造免改造技术引擎平台，将安全能力系统融入水务业务系统和应用服务内部。针对水务数据在不同处理环节的免改造控制面，施加防绕过动态保护，实现横向覆盖用户信息管理、供排水调度、水质监测、营收管理等广泛应用，纵向叠加识别、加密、脱敏、访问控制、审计追溯等多阶安全能力，面向运维侧防范内部DBA、外包、黑客拖库攻击，面向用户侧防范业务人员越权访问及风险操作，并实现集中式管控、分布式保护、分阶段上线，增强水务安全保障能力。

创新免改造技术投送多重安全能力。方案基于切面安全的免改造技术，不改变已有云服务或物理部署架构，面向应用系统以配置方式部署，可对上百个应用服务节点中的数十个字段进行策略设置，实现敏感数据以密文形式存储于数据库或文件系统，完成字段级、文件级细粒度加密，保护结构化和非结构化数据安全。适应大多数应用架构，如Java、C、C++等主流开发语言，兼容主流的关系型和非关系型数据库，满足信息系统多、环境复杂的水务数据安全需求，这种模式对业务系统连续运行无影响，也不会因实施加密而带来业务风险，解决传统外挂式密码产品改造应用成本高、落地难等痛点。针对不同处理环节的免改造控制面，施加防绕过动态保护，实现横向覆盖广泛应用，纵向叠加数据识别、加密脱敏、检测响应、审计追溯多阶安全能力，易部署易扩展，实现安全与业务有机融合。

高性能国密保障数据传输存储安全。方案支持SM系列商用密码算法，针对用户账号、证件号、联系电话等字段实现保留格式加密，可灵活运用SM4的多种算法模式。凭借具有PCT国际专利保护的高性能国密技术，在单CPU上SM4加解密速度突破140Gbps，确保对用户使用体验无影响。

同时，方案支持多并发、多线程数据加密，适用于单表数亿条级别的数据加密以及历史数据全量加密分批操作，实现系统影响最小化。基于高性能国密及信源加密技术，可将安全能力投送到收集、传输、存储、使用等真实的数据处理流程中，支持从应用侧将数据加密后以密文形式存储，以及数据从用户侧、应用服务到数据库之间以密文形式安全流转，安全性高、合规性好，保障重要数据存储和传输的机密性和完整性。

引入“集中式管控、分布式保护”体系。方案通过水务企业用户本级统一配置安全策略，在各分支多个应用节点分别部署数据加解密平台，实现敏感数据的分布式加解密和脱敏，支撑总公司、分公司、水厂和营业网点等多级架构在“省、市、区”多级联动协同。方案全面覆盖服务器、云端、桌面端、移动端、物联网端等多种场景，支持“两地三中心”高可靠性部署。此外，在元数据管理系统中，支持系统管理员、策略管理员和运维管理员之间的权力和责任分离机制，“三权分立”减少滥用权限或疏漏导致的潜在风险。