工控網(wǎng)首頁
>

新聞中心

>

人物專訪

>

施耐德電氣:以專業(yè)和專注構(gòu)建工業(yè)信息安全大未來

施耐德電氣:以專業(yè)和專注構(gòu)建工業(yè)信息安全大未來

——— gongkong訪施耐德電氣工業(yè)事業(yè)部工業(yè)信息安全技術(shù)總監(jiān)王斌先生

      中國工業(yè)的進步伴隨著生產(chǎn)力與生產(chǎn)關(guān)系不斷演變,經(jīng)歷了從手工作坊、機器化生產(chǎn)到信息化大生產(chǎn)的變革與演進。信息化生產(chǎn)最明顯的特征是使工業(yè)用戶大大提升了生產(chǎn)效率、實現(xiàn)了現(xiàn)代化生產(chǎn)終極目標的同時,又面臨著工業(yè)信息安全的嚴峻挑戰(zhàn)。gongkong市場研究數(shù)據(jù)顯示,2012年我國工業(yè)控制系統(tǒng)信息安全相關(guān)市場規(guī)模年約為11億元左右,未來五年有望保持15%左右的平均增長率。面對持續(xù)增長的工業(yè)信息安全市場,使得控制系統(tǒng)供應商、通信/安全設(shè)備提供商、殺毒軟件供應商乃至服務(wù)提供商試圖分一杯羹。針對目前工業(yè)控制系統(tǒng)安全市場現(xiàn)狀,施耐德電氣從專業(yè)和專注兩個維度出發(fā),著力為工業(yè)領(lǐng)域客戶構(gòu)建信息安全大未來。

      縱觀我國整體工業(yè)信息安全現(xiàn)狀,施耐德電氣工業(yè)信息安全技術(shù)總監(jiān)王斌先生分別從最終用戶的角度進行分析:“人員缺失、制度形式化和生產(chǎn)與安全的矛盾沖突是我國工業(yè)用戶普遍存在的三大安全困境。”因此,針對我國工業(yè)用戶普遍存在的問題,施耐德電氣提出了優(yōu)先采用設(shè)備級防護、兼顧系統(tǒng)級和管理級防護的三級縱深防御體系,通過“自下而上”的方式推進安全防護策略,幫助我國工業(yè)用戶有效地提升信息安全的整體水平。

專業(yè):無懈可擊的三級縱深防護體系

      施耐德電氣對三級縱深防御體系的提出是經(jīng)歷了對市場的摸索實踐和深度觀察。王斌介紹,起初施耐德電氣提出的是縱深防御六步法則,從信息安全評估到最后的設(shè)備級防護。在配合國家電力集團完成信息安全整改工作后,施耐德電氣發(fā)現(xiàn),國內(nèi)外用戶在信息安全水平和技術(shù)能力方面差異較大。國外信息安全水平相對較高,信息安全防護體系比較全面;而我國信息安全水平還處于起步階段,雖然政府主管部門出臺了相關(guān)政策,但是大部分政策并沒有在企業(yè)中完全落實。針對這種情況施耐德電氣把原來“從上到下”的防御策略逐步完善為符合中國客戶實際應用的、從設(shè)備級,到系統(tǒng)級和管理級“自下而上”的安全防護策略。

      實踐出真知。施耐德電氣結(jié)合在電力企業(yè)信息安全的整改經(jīng)驗,總結(jié)出從安全評估到設(shè)備級加固的“自上而下”的解決方案,對企業(yè)帶來的影響表現(xiàn)在:由于要購買相應的防護產(chǎn)品,導致企業(yè)大量資金的投入,對企業(yè)技術(shù)人員能力要求非常高,信息安全解決方案部署可能會對企業(yè)安全生產(chǎn)產(chǎn)生影響。為避免給用戶帶來以上困擾,施耐德電氣倡導以設(shè)備級防護優(yōu)先,兼顧系統(tǒng)級和管理級防護的“自下而上”的安全防護策略。王斌說:“從設(shè)備級到系統(tǒng)級和管理級的防護策略優(yōu)勢非常明顯,首先它不會對企業(yè)資金、設(shè)備及人員造成任何負擔;其次,減少對技術(shù)人員能力的依賴,降低對其技術(shù)能力的要求;再次,設(shè)備級防護在滿足信息安全防護要求的同時,可以防范工業(yè)控制系統(tǒng)中設(shè)備“帶病上崗”的現(xiàn)象發(fā)生;最后,尤其是對于不具備系統(tǒng)級、管理級防護條件的企業(yè)來說,采用設(shè)備級防護,更容易實現(xiàn)。”

      優(yōu)先采用設(shè)備級防護是施耐德電氣立足于我國國情,它適用于不同行業(yè),可以加強各行業(yè)防范信息安全風險的能力,避免企業(yè)大規(guī)模人員、物資的投入。王斌說:“優(yōu)先采用設(shè)備級防護可以增強單體設(shè)備的信息安全防范能力,對企業(yè)的安全生產(chǎn)和設(shè)備的正常運行不會產(chǎn)生任何影響。不過,對于工業(yè)系統(tǒng)來說,它不僅僅涉及到控制系統(tǒng)和信息系統(tǒng)等問題,具體應用也可能比較復雜,企業(yè)僅僅通過設(shè)備級完善是不夠的。因此我們希望企業(yè)在有條件的情況下,能夠部署設(shè)備級、系統(tǒng)級和管理級的全方位信息安全策略,以提升企業(yè)整體信息安全的防護水平。”

      對不同領(lǐng)域的工業(yè)客戶來說,企業(yè)在實施安全防護策略時不用擔心來自不同品牌產(chǎn)品的兼容性。王斌說:“從信息安全全方位縱深防御策略來說是沒有任何行業(yè)或者是產(chǎn)品的限制。這也就意味著從設(shè)備級到系統(tǒng)級、管理級安全防護策略可以推廣到任何行業(yè)、任何領(lǐng)域,它不僅局限于施耐德電氣的產(chǎn)品。不過如果設(shè)備級產(chǎn)品全部采用施耐德電氣產(chǎn)品時,企業(yè)的信息安全防護功能針對性會更強、更完善。”

      長期以來,施耐德電氣將提升工控系統(tǒng)信息安全作為產(chǎn)品設(shè)計和研發(fā)的關(guān)鍵指標,倡導為客戶提供安全可靠的產(chǎn)品及應用并加以實踐。據(jù)了解,2012年施耐德電氣莫迪康昆騰系列PLC通過了國家信息技術(shù)安全研究中心和中國電力科學研究院的權(quán)威檢測,這進一步體現(xiàn)了施耐德電氣在設(shè)備級安全防護解決方案的有效性。王斌指出:“施耐德電氣作為產(chǎn)品供應商來說,我們有義務(wù)提升設(shè)備級產(chǎn)品本身的信息安全能力。除此之外,建議在國家和行業(yè)主管部門的指導和監(jiān)督下,所有的產(chǎn)品供應商,積極主動地提升各自產(chǎn)品本身的信息防護能力,最終為中國用戶搭建一個安全的控制系統(tǒng)環(huán)境。”

專注:構(gòu)建完美工業(yè)信息安全解決方案

      施耐德電氣在服務(wù)于工業(yè)信息安全的過程中,通過長期以來形成的品牌專業(yè)性為不同領(lǐng)域的行業(yè)客戶打造了讓人無懈可擊的三級縱深防御體系;進而憑借專注的企業(yè)態(tài)度,從內(nèi)部安全評估體系的建立到積極參與安全標準規(guī)范制定,彰顯了其在構(gòu)建工業(yè)信息安全解決方案的實力與能力。

      首先,施耐德電氣在信息安全評估方面建立了完善的解決方案。王斌說:“施耐德電氣對于用戶信息安全評估通過五步驟實現(xiàn)的。第一,明確信息安全人員的職責,評估相關(guān)人員行為或操作對系統(tǒng)可能產(chǎn)生的影響;第二,評估整個控制系統(tǒng)的網(wǎng)絡(luò)連接情況,找出所有網(wǎng)絡(luò)中的薄弱環(huán)節(jié),評估其對系統(tǒng)可能產(chǎn)生的影響;第三,針對每個單體設(shè)備,查找并評估每個設(shè)備可能存在的信息安全隱患以及參數(shù)設(shè)置等方面的隱患,評估每個設(shè)備對系統(tǒng)可能產(chǎn)生的影響;第四,針對存在的信息安全漏洞,評估哪些攻擊手段會利用漏洞,會產(chǎn)生什么樣的后果;第五,根據(jù)上述評估結(jié)果,制定詳細的信息安全整改措施,減緩受到攻擊時產(chǎn)生的影響,以提升整個工業(yè)控制系統(tǒng)的可用性、可靠性和安全性。”

      信息安全防范是一項系統(tǒng)工程,需要和用戶、IT系統(tǒng)供應商、工業(yè)系統(tǒng)供應商及管理部門的緊密協(xié)作,才能打造一個安全的工業(yè)系統(tǒng)網(wǎng)絡(luò)。施耐德電氣通過自身努力,在工信部、國家能源局等主管部門的指導和安排下,與中國電力行業(yè)和其他行業(yè)客戶積極合作,致力于信息安全知識的普及和解決方案的推廣;作為國家標準化委員會成員,施耐德電氣在工業(yè)控制系統(tǒng)信息安全的標準化制定方面,幫助中國政府和行業(yè)主管部門完善相應的法規(guī)和標準制定;并加強與國家權(quán)威信息安全檢測機構(gòu)合作,做好新產(chǎn)品的信息安全檢測工作,保證交付給中國客戶的所有產(chǎn)品是滿足國家和行業(yè)的信息安全要求,減少用戶在信息安全方面的投資。今年以來,施耐德電氣交付給所有客戶的產(chǎn)品都已具備設(shè)備級防護能力,滿足了國家和行業(yè)信息安全的相關(guān)要求。未來,施耐德電氣的新產(chǎn)品都將滿足Achilles SL2認證標準及IEC 62443標準。

      在推廣和實現(xiàn)工業(yè)信息安全防護解決方案進程中,施耐德電氣率先在電力、交通等行業(yè)取得了卓越的成績。在電力行業(yè),施耐德電氣在國家能源局的指導和部署下,與國家權(quán)威的信息安全測評機構(gòu)合作,完善了信息安全解決方案,通過了國家信息技術(shù)安全研究中心和中國電力科學研究院權(quán)威的信息安全檢測,成為目前業(yè)內(nèi)唯一一家產(chǎn)品通過信息安全檢測、并被政府主管部門認可的廠家。今年,施耐德電氣配合國家大型電力集團開展了部分省份電力企業(yè)的信息安全實施工作,提升其設(shè)備級、系統(tǒng)級和管理級的安全防護水平,通過實踐,證明了施耐德電氣信息安全縱深防御解決方案的可行性、可靠性和安全性。在交通行業(yè),雖然系統(tǒng)網(wǎng)絡(luò)相對比較封閉。不過針對產(chǎn)品類型繁雜、數(shù)量龐大、產(chǎn)品供應商較多的具體應用特點,施耐德電氣首先通過采用設(shè)備級加固方案,然后加強系統(tǒng)級架構(gòu)的完善,最后對管理級采取相應的預防舉措,進而達到提升整個控制系統(tǒng)的信息安全。

      整體來說,施耐德電氣信息安全防護策略適用于不同行業(yè)的應用,由于客戶需求存在著差異化,施耐德電氣也將根據(jù)自身積累的行業(yè)經(jīng)驗,結(jié)合客戶實際需求,基于工業(yè)信息安全解決方案,對不同的行業(yè)做出相應調(diào)整,以實現(xiàn)定制化、讓客戶滿意的工業(yè)信息安全解決方案。

投訴建議

提交

查看更多評論
其他資訊

查看更多

進入AIGC時代,UPS迎產(chǎn)業(yè)變革新拐點

數(shù)字孿生“化實為虛”重塑機場行李檢測,讓旅客體驗高效出行

以數(shù)字化夯實糧油產(chǎn)業(yè)根基,守護“天下糧倉”

2023 ID智享未來設(shè)計獎揭曉 共繪未來家居生活無限可能

致勝新格局:從煉化看過程自動化的創(chuàng)新與一體化