施耐德電氣：以專業和專注構建工業信息安全大未來

      中國工業的進步伴隨著生產力與生產關系不斷演變，經歷了從手工作坊、機器化生產到信息化大生產的變革與演進。信息化生產最明顯的特征是使工業用戶大大提升了生產效率、實現了現代化生產終極目標的同時，又面臨著工業信息安全的嚴峻挑戰。gongkong市場研究數據顯示，2012年我國工業控制系統信息安全相關市場規模年約為11億元左右，未來五年有望保持15%左右的平均增長率。面對持續增長的工業信息安全市場，使得控制系統供應商、通信/安全設備提供商、殺毒軟件供應商乃至服務提供商試圖分一杯羹。針對目前工業控制系統安全市場現狀，施耐德電氣從專業和專注兩個維度出發，著力為工業領域客戶構建信息安全大未來。

專業：無懈可擊的三級縱深防護體系

      施耐德電氣對三級縱深防御體系的提出是經歷了對市場的摸索實踐和深度觀察。王斌介紹，起初施耐德電氣提出的是縱深防御六步法則，從信息安全評估到最后的設備級防護。在配合國家電力集團完成信息安全整改工作后，施耐德電氣發現，國內外用戶在信息安全水平和技術能力方面差異較大。國外信息安全水平相對較高，信息安全防護體系比較全面；而我國信息安全水平還處于起步階段，雖然政府主管部門出臺了相關政策，但是大部分政策并沒有在企業中完全落實。針對這種情況施耐德電氣把原來“從上到下”的防御策略逐步完善為符合中國客戶實際應用的、從設備級，到系統級和管理級“自下而上”的安全防護策略。

      實踐出真知。施耐德電氣結合在電力企業信息安全的整改經驗，總結出從安全評估到設備級加固的“自上而下”的解決方案，對企業帶來的影響表現在：由于要購買相應的防護產品，導致企業大量資金的投入，對企業技術人員能力要求非常高，信息安全解決方案部署可能會對企業安全生產產生影響。為避免給用戶帶來以上困擾，施耐德電氣倡導以設備級防護優先，兼顧系統級和管理級防護的“自下而上”的安全防護策略。王斌說：“從設備級到系統級和管理級的防護策略優勢非常明顯，首先它不會對企業資金、設備及人員造成任何負擔；其次，減少對技術人員能力的依賴，降低對其技術能力的要求；再次，設備級防護在滿足信息安全防護要求的同時，可以防范工業控制系統中設備“帶病上崗”的現象發生；最后，尤其是對于不具備系統級、管理級防護條件的企業來說，采用設備級防護，更容易實現。”

      優先采用設備級防護是施耐德電氣立足于我國國情，它適用于不同行業，可以加強各行業防范信息安全風險的能力，避免企業大規模人員、物資的投入。王斌說：“優先采用設備級防護可以增強單體設備的信息安全防范能力，對企業的安全生產和設備的正常運行不會產生任何影響。不過，對于工業系統來說，它不僅僅涉及到控制系統和信息系統等問題，具體應用也可能比較復雜，企業僅僅通過設備級完善是不夠的。因此我們希望企業在有條件的情況下，能夠部署設備級、系統級和管理級的全方位信息安全策略，以提升企業整體信息安全的防護水平。”

      對不同領域的工業客戶來說，企業在實施安全防護策略時不用擔心來自不同品牌產品的兼容性。王斌說：“從信息安全全方位縱深防御策略來說是沒有任何行業或者是產品的限制。這也就意味著從設備級到系統級、管理級安全防護策略可以推廣到任何行業、任何領域，它不僅局限于施耐德電氣的產品。不過如果設備級產品全部采用施耐德電氣產品時，企業的信息安全防護功能針對性會更強、更完善。”

      長期以來，施耐德電氣將提升工控系統信息安全作為產品設計和研發的關鍵指標，倡導為客戶提供安全可靠的產品及應用并加以實踐。據了解，2012年施耐德電氣莫迪康昆騰系列PLC通過了國家信息技術安全研究中心和中國電力科學研究院的權威檢測，這進一步體現了施耐德電氣在設備級安全防護解決方案的有效性。王斌指出：“施耐德電氣作為產品供應商來說，我們有義務提升設備級產品本身的信息安全能力。除此之外，建議在國家和行業主管部門的指導和監督下，所有的產品供應商，積極主動地提升各自產品本身的信息防護能力，最終為中國用戶搭建一個安全的控制系統環境。”

專注：構建完美工業信息安全解決方案

      施耐德電氣在服務于工業信息安全的過程中，通過長期以來形成的品牌專業性為不同領域的行業客戶打造了讓人無懈可擊的三級縱深防御體系；進而憑借專注的企業態度，從內部安全評估體系的建立到積極參與安全標準規范制定，彰顯了其在構建工業信息安全解決方案的實力與能力。

      首先，施耐德電氣在信息安全評估方面建立了完善的解決方案。王斌說：“施耐德電氣對于用戶信息安全評估通過五步驟實現的。第一，明確信息安全人員的職責，評估相關人員行為或操作對系統可能產生的影響；第二，評估整個控制系統的網絡連接情況，找出所有網絡中的薄弱環節，評估其對系統可能產生的影響；第三，針對每個單體設備，查找并評估每個設備可能存在的信息安全隱患以及參數設置等方面的隱患，評估每個設備對系統可能產生的影響；第四，針對存在的信息安全漏洞，評估哪些攻擊手段會利用漏洞，會產生什么樣的后果；第五，根據上述評估結果，制定詳細的信息安全整改措施，減緩受到攻擊時產生的影響，以提升整個工業控制系統的可用性、可靠性和安全性。”

      信息安全防范是一項系統工程，需要和用戶、IT系統供應商、工業系統供應商及管理部門的緊密協作，才能打造一個安全的工業系統網絡。施耐德電氣通過自身努力，在工信部、國家能源局等主管部門的指導和安排下，與中國電力行業和其他行業客戶積極合作，致力于信息安全知識的普及和解決方案的推廣；作為國家標準化委員會成員，施耐德電氣在工業控制系統信息安全的標準化制定方面，幫助中國政府和行業主管部門完善相應的法規和標準制定；并加強與國家權威信息安全檢測機構合作，做好新產品的信息安全檢測工作，保證交付給中國客戶的所有產品是滿足國家和行業的信息安全要求，減少用戶在信息安全方面的投資。今年以來，施耐德電氣交付給所有客戶的產品都已具備設備級防護能力，滿足了國家和行業信息安全的相關要求。未來，施耐德電氣的新產品都將滿足Achilles SL2認證標準及IEC 62443標準。

      在推廣和實現工業信息安全防護解決方案進程中，施耐德電氣率先在電力、交通等行業取得了卓越的成績。在電力行業，施耐德電氣在國家能源局的指導和部署下，與國家權威的信息安全測評機構合作，完善了信息安全解決方案，通過了國家信息技術安全研究中心和中國電力科學研究院權威的信息安全檢測，成為目前業內唯一一家產品通過信息安全檢測、并被政府主管部門認可的廠家。今年，施耐德電氣配合國家大型電力集團開展了部分省份電力企業的信息安全實施工作，提升其設備級、系統級和管理級的安全防護水平，通過實踐，證明了施耐德電氣信息安全縱深防御解決方案的可行性、可靠性和安全性。在交通行業，雖然系統網絡相對比較封閉。不過針對產品類型繁雜、數量龐大、產品供應商較多的具體應用特點，施耐德電氣首先通過采用設備級加固方案，然后加強系統級架構的完善，最后對管理級采取相應的預防舉措，進而達到提升整個控制系統的信息安全。

      整體來說，施耐德電氣信息安全防護策略適用于不同行業的應用，由于客戶需求存在著差異化，施耐德電氣也將根據自身積累的行業經驗，結合客戶實際需求，基于工業信息安全解決方案，對不同的行業做出相應調整，以實現定制化、讓客戶滿意的工業信息安全解決方案。