中國工業(yè)的進(jìn)步伴隨著生產(chǎn)力與生產(chǎn)關(guān)系不斷演變，經(jīng)歷了從手工作坊、機(jī)器化生產(chǎn)到信息化大生產(chǎn)的變革與演進(jìn)。信息化生產(chǎn)最明顯的特征是使工業(yè)用戶大大提升了生產(chǎn)效率、實(shí)現(xiàn)了現(xiàn)代化生產(chǎn)終極目標(biāo)的同時，又面臨著工業(yè)信息安全的嚴(yán)峻挑戰(zhàn)。gongkong市場研究數(shù)據(jù)顯示，2012年我國工業(yè)控制系統(tǒng)信息安全相關(guān)市場規(guī)模年約為11億元左右，未來五年有望保持15%左右的平均增長率。面對持續(xù)增長的工業(yè)信息安全市場，使得控制系統(tǒng)供應(yīng)商、通信/安全設(shè)備提供商、殺毒軟件供應(yīng)商乃至服務(wù)提供商試圖分一杯羹。針對目前工業(yè)控制系統(tǒng)安全市場現(xiàn)狀，施耐德電氣從專業(yè)和專注兩個維度出發(fā)，著力為工業(yè)領(lǐng)域客戶構(gòu)建信息安全大未來。

專業(yè)：無懈可擊的三級縱深防護(hù)體系

      施耐德電氣對三級縱深防御體系的提出是經(jīng)歷了對市場的摸索實(shí)踐和深度觀察。王斌介紹，起初施耐德電氣提出的是縱深防御六步法則，從信息安全評估到最后的設(shè)備級防護(hù)。在配合國家電力集團(tuán)完成信息安全整改工作后，施耐德電氣發(fā)現(xiàn)，國內(nèi)外用戶在信息安全水平和技術(shù)能力方面差異較大。國外信息安全水平相對較高，信息安全防護(hù)體系比較全面；而我國信息安全水平還處于起步階段，雖然政府主管部門出臺了相關(guān)政策，但是大部分政策并沒有在企業(yè)中完全落實(shí)。針對這種情況施耐德電氣把原來“從上到下”的防御策略逐步完善為符合中國客戶實(shí)際應(yīng)用的、從設(shè)備級，到系統(tǒng)級和管理級“自下而上”的安全防護(hù)策略。

      實(shí)踐出真知。施耐德電氣結(jié)合在電力企業(yè)信息安全的整改經(jīng)驗(yàn)，總結(jié)出從安全評估到設(shè)備級加固的“自上而下”的解決方案，對企業(yè)帶來的影響表現(xiàn)在：由于要購買相應(yīng)的防護(hù)產(chǎn)品，導(dǎo)致企業(yè)大量資金的投入，對企業(yè)技術(shù)人員能力要求非常高，信息安全解決方案部署可能會對企業(yè)安全生產(chǎn)產(chǎn)生影響。為避免給用戶帶來以上困擾，施耐德電氣倡導(dǎo)以設(shè)備級防護(hù)優(yōu)先，兼顧系統(tǒng)級和管理級防護(hù)的“自下而上”的安全防護(hù)策略。王斌說：“從設(shè)備級到系統(tǒng)級和管理級的防護(hù)策略優(yōu)勢非常明顯，首先它不會對企業(yè)資金、設(shè)備及人員造成任何負(fù)擔(dān)；其次，減少對技術(shù)人員能力的依賴，降低對其技術(shù)能力的要求；再次，設(shè)備級防護(hù)在滿足信息安全防護(hù)要求的同時，可以防范工業(yè)控制系統(tǒng)中設(shè)備“帶病上崗”的現(xiàn)象發(fā)生；最后，尤其是對于不具備系統(tǒng)級、管理級防護(hù)條件的企業(yè)來說，采用設(shè)備級防護(hù)，更容易實(shí)現(xiàn)。”

      優(yōu)先采用設(shè)備級防護(hù)是施耐德電氣立足于我國國情，它適用于不同行業(yè)，可以加強(qiáng)各行業(yè)防范信息安全風(fēng)險的能力，避免企業(yè)大規(guī)模人員、物資的投入。王斌說：“優(yōu)先采用設(shè)備級防護(hù)可以增強(qiáng)單體設(shè)備的信息安全防范能力，對企業(yè)的安全生產(chǎn)和設(shè)備的正常運(yùn)行不會產(chǎn)生任何影響。不過，對于工業(yè)系統(tǒng)來說，它不僅僅涉及到控制系統(tǒng)和信息系統(tǒng)等問題，具體應(yīng)用也可能比較復(fù)雜，企業(yè)僅僅通過設(shè)備級完善是不夠的。因此我們希望企業(yè)在有條件的情況下，能夠部署設(shè)備級、系統(tǒng)級和管理級的全方位信息安全策略，以提升企業(yè)整體信息安全的防護(hù)水平。”

      對不同領(lǐng)域的工業(yè)客戶來說，企業(yè)在實(shí)施安全防護(hù)策略時不用擔(dān)心來自不同品牌產(chǎn)品的兼容性。王斌說：“從信息安全全方位縱深防御策略來說是沒有任何行業(yè)或者是產(chǎn)品的限制。這也就意味著從設(shè)備級到系統(tǒng)級、管理級安全防護(hù)策略可以推廣到任何行業(yè)、任何領(lǐng)域，它不僅局限于施耐德電氣的產(chǎn)品。不過如果設(shè)備級產(chǎn)品全部采用施耐德電氣產(chǎn)品時，企業(yè)的信息安全防護(hù)功能針對性會更強(qiáng)、更完善。”

      長期以來，施耐德電氣將提升工控系統(tǒng)信息安全作為產(chǎn)品設(shè)計(jì)和研發(fā)的關(guān)鍵指標(biāo)，倡導(dǎo)為客戶提供安全可靠的產(chǎn)品及應(yīng)用并加以實(shí)踐。據(jù)了解，2012年施耐德電氣莫迪康昆騰系列PLC通過了國家信息技術(shù)安全研究中心和中國電力科學(xué)研究院的權(quán)威檢測，這進(jìn)一步體現(xiàn)了施耐德電氣在設(shè)備級安全防護(hù)解決方案的有效性。王斌指出：“施耐德電氣作為產(chǎn)品供應(yīng)商來說，我們有義務(wù)提升設(shè)備級產(chǎn)品本身的信息安全能力。除此之外，建議在國家和行業(yè)主管部門的指導(dǎo)和監(jiān)督下，所有的產(chǎn)品供應(yīng)商，積極主動地提升各自產(chǎn)品本身的信息防護(hù)能力，最終為中國用戶搭建一個安全的控制系統(tǒng)環(huán)境。”

專注：構(gòu)建完美工業(yè)信息安全解決方案

      施耐德電氣在服務(wù)于工業(yè)信息安全的過程中，通過長期以來形成的品牌專業(yè)性為不同領(lǐng)域的行業(yè)客戶打造了讓人無懈可擊的三級縱深防御體系；進(jìn)而憑借專注的企業(yè)態(tài)度，從內(nèi)部安全評估體系的建立到積極參與安全標(biāo)準(zhǔn)規(guī)范制定，彰顯了其在構(gòu)建工業(yè)信息安全解決方案的實(shí)力與能力。

      首先，施耐德電氣在信息安全評估方面建立了完善的解決方案。王斌說：“施耐德電氣對于用戶信息安全評估通過五步驟實(shí)現(xiàn)的。第一，明確信息安全人員的職責(zé)，評估相關(guān)人員行為或操作對系統(tǒng)可能產(chǎn)生的影響；第二，評估整個控制系統(tǒng)的網(wǎng)絡(luò)連接情況，找出所有網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，評估其對系統(tǒng)可能產(chǎn)生的影響；第三，針對每個單體設(shè)備，查找并評估每個設(shè)備可能存在的信息安全隱患以及參數(shù)設(shè)置等方面的隱患，評估每個設(shè)備對系統(tǒng)可能產(chǎn)生的影響；第四，針對存在的信息安全漏洞，評估哪些攻擊手段會利用漏洞，會產(chǎn)生什么樣的后果；第五，根據(jù)上述評估結(jié)果，制定詳細(xì)的信息安全整改措施，減緩受到攻擊時產(chǎn)生的影響，以提升整個工業(yè)控制系統(tǒng)的可用性、可靠性和安全性。”

      信息安全防范是一項(xiàng)系統(tǒng)工程，需要和用戶、IT系統(tǒng)供應(yīng)商、工業(yè)系統(tǒng)供應(yīng)商及管理部門的緊密協(xié)作，才能打造一個安全的工業(yè)系統(tǒng)網(wǎng)絡(luò)。施耐德電氣通過自身努力，在工信部、國家能源局等主管部門的指導(dǎo)和安排下，與中國電力行業(yè)和其他行業(yè)客戶積極合作，致力于信息安全知識的普及和解決方案的推廣；作為國家標(biāo)準(zhǔn)化委員會成員，施耐德電氣在工業(yè)控制系統(tǒng)信息安全的標(biāo)準(zhǔn)化制定方面，幫助中國政府和行業(yè)主管部門完善相應(yīng)的法規(guī)和標(biāo)準(zhǔn)制定；并加強(qiáng)與國家權(quán)威信息安全檢測機(jī)構(gòu)合作，做好新產(chǎn)品的信息安全檢測工作，保證交付給中國客戶的所有產(chǎn)品是滿足國家和行業(yè)的信息安全要求，減少用戶在信息安全方面的投資。今年以來，施耐德電氣交付給所有客戶的產(chǎn)品都已具備設(shè)備級防護(hù)能力，滿足了國家和行業(yè)信息安全的相關(guān)要求。未來，施耐德電氣的新產(chǎn)品都將滿足Achilles SL2認(rèn)證標(biāo)準(zhǔn)及IEC 62443標(biāo)準(zhǔn)。

      在推廣和實(shí)現(xiàn)工業(yè)信息安全防護(hù)解決方案進(jìn)程中，施耐德電氣率先在電力、交通等行業(yè)取得了卓越的成績。在電力行業(yè)，施耐德電氣在國家能源局的指導(dǎo)和部署下，與國家權(quán)威的信息安全測評機(jī)構(gòu)合作，完善了信息安全解決方案，通過了國家信息技術(shù)安全研究中心和中國電力科學(xué)研究院權(quán)威的信息安全檢測，成為目前業(yè)內(nèi)唯一一家產(chǎn)品通過信息安全檢測、并被政府主管部門認(rèn)可的廠家。今年，施耐德電氣配合國家大型電力集團(tuán)開展了部分省份電力企業(yè)的信息安全實(shí)施工作，提升其設(shè)備級、系統(tǒng)級和管理級的安全防護(hù)水平，通過實(shí)踐，證明了施耐德電氣信息安全縱深防御解決方案的可行性、可靠性和安全性。在交通行業(yè)，雖然系統(tǒng)網(wǎng)絡(luò)相對比較封閉。不過針對產(chǎn)品類型繁雜、數(shù)量龐大、產(chǎn)品供應(yīng)商較多的具體應(yīng)用特點(diǎn)，施耐德電氣首先通過采用設(shè)備級加固方案，然后加強(qiáng)系統(tǒng)級架構(gòu)的完善，最后對管理級采取相應(yīng)的預(yù)防舉措，進(jìn)而達(dá)到提升整個控制系統(tǒng)的信息安全。

      整體來說，施耐德電氣信息安全防護(hù)策略適用于不同行業(yè)的應(yīng)用，由于客戶需求存在著差異化，施耐德電氣也將根據(jù)自身積累的行業(yè)經(jīng)驗(yàn)，結(jié)合客戶實(shí)際需求，基于工業(yè)信息安全解決方案，對不同的行業(yè)做出相應(yīng)調(diào)整，以實(shí)現(xiàn)定制化、讓客戶滿意的工業(yè)信息安全解決方案。