施耐德電氣：以專業(yè)和專注構建工業(yè)信息安全大未來

      中國工業(yè)的進步伴隨著生產力與生產關系不斷演變，經歷了從手工作坊、機器化生產到信息化大生產的變革與演進。信息化生產最明顯的特征是使工業(yè)用戶大大提升了生產效率、實現了現代化生產終極目標的同時，又面臨著工業(yè)信息安全的嚴峻挑戰(zhàn)。gongkong市場研究數據顯示，2012年我國工業(yè)控制系統(tǒng)信息安全相關市場規(guī)模年約為11億元左右，未來五年有望保持15%左右的平均增長率。面對持續(xù)增長的工業(yè)信息安全市場，使得控制系統(tǒng)供應商、通信/安全設備提供商、殺毒軟件供應商乃至服務提供商試圖分一杯羹。針對目前工業(yè)控制系統(tǒng)安全市場現狀，施耐德電氣從專業(yè)和專注兩個維度出發(fā)，著力為工業(yè)領域客戶構建信息安全大未來。

專業(yè)：無懈可擊的三級縱深防護體系

      施耐德電氣對三級縱深防御體系的提出是經歷了對市場的摸索實踐和深度觀察。王斌介紹，起初施耐德電氣提出的是縱深防御六步法則，從信息安全評估到最后的設備級防護。在配合國家電力集團完成信息安全整改工作后，施耐德電氣發(fā)現，國內外用戶在信息安全水平和技術能力方面差異較大。國外信息安全水平相對較高，信息安全防護體系比較全面；而我國信息安全水平還處于起步階段，雖然政府主管部門出臺了相關政策，但是大部分政策并沒有在企業(yè)中完全落實。針對這種情況施耐德電氣把原來“從上到下”的防御策略逐步完善為符合中國客戶實際應用的、從設備級，到系統(tǒng)級和管理級“自下而上”的安全防護策略。

      實踐出真知。施耐德電氣結合在電力企業(yè)信息安全的整改經驗，總結出從安全評估到設備級加固的“自上而下”的解決方案，對企業(yè)帶來的影響表現在：由于要購買相應的防護產品，導致企業(yè)大量資金的投入，對企業(yè)技術人員能力要求非常高，信息安全解決方案部署可能會對企業(yè)安全生產產生影響。為避免給用戶帶來以上困擾，施耐德電氣倡導以設備級防護優(yōu)先，兼顧系統(tǒng)級和管理級防護的“自下而上”的安全防護策略。王斌說：“從設備級到系統(tǒng)級和管理級的防護策略優(yōu)勢非常明顯，首先它不會對企業(yè)資金、設備及人員造成任何負擔；其次，減少對技術人員能力的依賴，降低對其技術能力的要求；再次，設備級防護在滿足信息安全防護要求的同時，可以防范工業(yè)控制系統(tǒng)中設備“帶病上崗”的現象發(fā)生；最后，尤其是對于不具備系統(tǒng)級、管理級防護條件的企業(yè)來說，采用設備級防護，更容易實現。”

      優(yōu)先采用設備級防護是施耐德電氣立足于我國國情，它適用于不同行業(yè)，可以加強各行業(yè)防范信息安全風險的能力，避免企業(yè)大規(guī)模人員、物資的投入。王斌說：“優(yōu)先采用設備級防護可以增強單體設備的信息安全防范能力，對企業(yè)的安全生產和設備的正常運行不會產生任何影響。不過，對于工業(yè)系統(tǒng)來說，它不僅僅涉及到控制系統(tǒng)和信息系統(tǒng)等問題，具體應用也可能比較復雜，企業(yè)僅僅通過設備級完善是不夠的。因此我們希望企業(yè)在有條件的情況下，能夠部署設備級、系統(tǒng)級和管理級的全方位信息安全策略，以提升企業(yè)整體信息安全的防護水平。”

      對不同領域的工業(yè)客戶來說，企業(yè)在實施安全防護策略時不用擔心來自不同品牌產品的兼容性。王斌說：“從信息安全全方位縱深防御策略來說是沒有任何行業(yè)或者是產品的限制。這也就意味著從設備級到系統(tǒng)級、管理級安全防護策略可以推廣到任何行業(yè)、任何領域，它不僅局限于施耐德電氣的產品。不過如果設備級產品全部采用施耐德電氣產品時，企業(yè)的信息安全防護功能針對性會更強、更完善。”

      長期以來，施耐德電氣將提升工控系統(tǒng)信息安全作為產品設計和研發(fā)的關鍵指標，倡導為客戶提供安全可靠的產品及應用并加以實踐。據了解，2012年施耐德電氣莫迪康昆騰系列PLC通過了國家信息技術安全研究中心和中國電力科學研究院的權威檢測，這進一步體現了施耐德電氣在設備級安全防護解決方案的有效性。王斌指出：“施耐德電氣作為產品供應商來說，我們有義務提升設備級產品本身的信息安全能力。除此之外，建議在國家和行業(yè)主管部門的指導和監(jiān)督下，所有的產品供應商，積極主動地提升各自產品本身的信息防護能力，最終為中國用戶搭建一個安全的控制系統(tǒng)環(huán)境。”

專注：構建完美工業(yè)信息安全解決方案

      施耐德電氣在服務于工業(yè)信息安全的過程中，通過長期以來形成的品牌專業(yè)性為不同領域的行業(yè)客戶打造了讓人無懈可擊的三級縱深防御體系；進而憑借專注的企業(yè)態(tài)度，從內部安全評估體系的建立到積極參與安全標準規(guī)范制定，彰顯了其在構建工業(yè)信息安全解決方案的實力與能力。

      首先，施耐德電氣在信息安全評估方面建立了完善的解決方案。王斌說：“施耐德電氣對于用戶信息安全評估通過五步驟實現的。第一，明確信息安全人員的職責，評估相關人員行為或操作對系統(tǒng)可能產生的影響；第二，評估整個控制系統(tǒng)的網絡連接情況，找出所有網絡中的薄弱環(huán)節(jié)，評估其對系統(tǒng)可能產生的影響；第三，針對每個單體設備，查找并評估每個設備可能存在的信息安全隱患以及參數設置等方面的隱患，評估每個設備對系統(tǒng)可能產生的影響；第四，針對存在的信息安全漏洞，評估哪些攻擊手段會利用漏洞，會產生什么樣的后果；第五，根據上述評估結果，制定詳細的信息安全整改措施，減緩受到攻擊時產生的影響，以提升整個工業(yè)控制系統(tǒng)的可用性、可靠性和安全性。”

      信息安全防范是一項系統(tǒng)工程，需要和用戶、IT系統(tǒng)供應商、工業(yè)系統(tǒng)供應商及管理部門的緊密協作，才能打造一個安全的工業(yè)系統(tǒng)網絡。施耐德電氣通過自身努力，在工信部、國家能源局等主管部門的指導和安排下，與中國電力行業(yè)和其他行業(yè)客戶積極合作，致力于信息安全知識的普及和解決方案的推廣；作為國家標準化委員會成員，施耐德電氣在工業(yè)控制系統(tǒng)信息安全的標準化制定方面，幫助中國政府和行業(yè)主管部門完善相應的法規(guī)和標準制定；并加強與國家權威信息安全檢測機構合作，做好新產品的信息安全檢測工作，保證交付給中國客戶的所有產品是滿足國家和行業(yè)的信息安全要求，減少用戶在信息安全方面的投資。今年以來，施耐德電氣交付給所有客戶的產品都已具備設備級防護能力，滿足了國家和行業(yè)信息安全的相關要求。未來，施耐德電氣的新產品都將滿足Achilles SL2認證標準及IEC 62443標準。

      在推廣和實現工業(yè)信息安全防護解決方案進程中，施耐德電氣率先在電力、交通等行業(yè)取得了卓越的成績。在電力行業(yè)，施耐德電氣在國家能源局的指導和部署下，與國家權威的信息安全測評機構合作，完善了信息安全解決方案，通過了國家信息技術安全研究中心和中國電力科學研究院權威的信息安全檢測，成為目前業(yè)內唯一一家產品通過信息安全檢測、并被政府主管部門認可的廠家。今年，施耐德電氣配合國家大型電力集團開展了部分省份電力企業(yè)的信息安全實施工作，提升其設備級、系統(tǒng)級和管理級的安全防護水平，通過實踐，證明了施耐德電氣信息安全縱深防御解決方案的可行性、可靠性和安全性。在交通行業(yè)，雖然系統(tǒng)網絡相對比較封閉。不過針對產品類型繁雜、數量龐大、產品供應商較多的具體應用特點，施耐德電氣首先通過采用設備級加固方案，然后加強系統(tǒng)級架構的完善，最后對管理級采取相應的預防舉措，進而達到提升整個控制系統(tǒng)的信息安全。

      整體來說，施耐德電氣信息安全防護策略適用于不同行業(yè)的應用，由于客戶需求存在著差異化，施耐德電氣也將根據自身積累的行業(yè)經驗，結合客戶實際需求，基于工業(yè)信息安全解決方案，對不同的行業(yè)做出相應調整，以實現定制化、讓客戶滿意的工業(yè)信息安全解決方案。