施耐德电气高级副总裁、工业事业部中国区负责人 徐骏
据相关数据统计,2011年国家信息安全漏洞共享平台收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,这让我们意识到,工业控制系统信息安全正面临着严峻的挑战。对此,施耐德电气高级副总裁、工业事业部中国区负责人徐骏认为,“隐患永远都会有,甚至会越来越多。随着工业化与信息化的深度融合,工控系统实现与互联网系统平台和移动互联平台的广泛互联,随之而来的信息安全隐患会呈几何级数的增长。但我们不能因噎废食,不能因为存在工业控制系统的信息安全隐患,就回避两化融合大趋势为整个产业升级带来的历史机遇,直面挑战,是我们唯一的选择。”
携手联盟 共筑信息安 全防护“长城”
2014年4月17日,“工业控制系统信息安全产业联盟”在北京正式成立。施耐德电气作为目前为止唯一一家外资企业加入联盟,徐骏表示,对于工业控制系统信息安全的问题,施耐德电气责无旁贷,同时我们也有能力有义务,利用自身先进的技术、产品、解决方案推进中国工业控制系统信息安全产业的健康发展。在这一点上,与工业控制系统信息安全产业联盟的宗旨完全一致, 这是我们加入该联盟的最基本的前提。我们期待借助联盟这个平台,为建立完善的工业控制系统信息安全体系在国内的推进起到一定作用。
据悉,在该联盟中,施耐德电气将主要承担联盟今后的国际交流小组工作,徐骏告诉记者:“这恰恰是施耐德电气的强项。”施耐德电气有着非常丰富的国外经验和成功案例,这些成功案例包括产品 级、系统级和管理级等多种解决方案。我们可以将其带到中国市场,带到客户群体中,帮助客户更好地实现安全防护等级的提升。另外一方面,建立行业标准是目前国内工业控制系统信息安全迫在眉睫的工作之一,而施耐德电气则可以将其他国家在如何建立国家标准和权威认证机构等方面的宝贵经验引进到联盟中,从而推广给国家政府部门和其它相关机构。同时,他透露,施耐德电气也会和国内的产、学、研等单位合作,共同提升中国工控系统信息安全水平。
徐骏继续说道:“联盟的成立对于推进中国工业控制系统信息安全产业的发展来说是一件大好事,它可以有效地使整个产业对于工业控制系统信息安全问题达成共识,促进官、产、学、研、用几方面的互动交流,施耐德电气作为理事单位,期待与联盟携手,共筑信息安全防护‘长城’。”
产品标准 严格恪守
众所周知,信息安全标准在信息安全保障体系建设中发挥着基础性、规范性作用,是确保信息安全产品和系统在设计、研发、生产、建设、使用、测评中保证其一致性、可靠性、可控性的技术规范、技术依据。没有信息安全标准,信息化建设的安全可靠就无法保证。近年来,尽管我国颁布了《国家信息安全标准体系》、《国家信息安全“十一五”规划》等指导性文件,进行信息化安全建设,并取得了阶段性成果。但目前为止,并没有专门针对工业控制系统信息安全的标准出台。与此同时,工业控制系统应用的领域非常广泛,电力、石化、冶金、市政等,所有这些行业都有各自的特点,工艺流程相差非常大,但是存在的信息安全危害都非常大。所以徐骏认为,尽快建立垂直行业的工业控制系统信息安全标准更是当务之急。当然,他也表示,罗马不是一日建成,在相关标准未建立之前,企业应该严格恪守相关企业标准,保证产品达到相应的防护等级。
他强调,施耐德电气未来推向中国的产品,首先,要符合施耐德电气自身企业的标准,而这个标准是本着“高标准严要求”的原则建立的;第二,产品在推出之前,一定要通过全球的权威认证机构的认证,例如Achilles认证;第三,施耐德电气向中国推出的任何产品在发布之前,也积极地与国内权威认证机构配合,测试并通过国内相应的认证。譬如,施耐德电气推出的昆腾PLC以及Modicon M580系列等产品都通过了国内的相关安全认证。
三级防护 为客户保驾护航
事实上,施耐德电气之所以如此强调产品设备级的防护与其提出的三级纵深防御防护策略有着密不可分的联系。
施耐德电气提倡的是“自下而上”的三级纵深防御解决方案。其将所有的解决方案分为三级,第一级是设备级,也是施耐德电气信息安全解决方案最为强调的一级。这一级指的是工业控制系统中的一些具体的现场设备,如PLC、RTU、DCS、变频器等。施耐德电气认为如果在设备级加强每一个单体设备或产品的信息安全功能,在这些产品组成一个系统之后,这个系统就必然也具备了基本的信息安全功能。同时,它也会成为整个信息安全解决方案中的最后一道防火墙。通过增强设备级的信息安全防护功能,也就可以加强整个控制系统的信息安全防护能力。
其次是系统级。所有的工业控制系统都不是独立的信息孤岛,它们之间通过网络连接在一起组成一个更大的系统。所以需要增强整个控制系统的系统架构的信息安全防护功能。
最后,是管理级的信息安全解决方案。目前,施耐德电气正在与一些知名的信息安全解决方案提供商合作,共同研究和定制针对管理级的信息安全的防护策略。
徐骏说道:“我们为客户提供三级的解决方案体系,是因为我们希望客户以最好的性价比投入,一次性解决所有相关的隐患和问题。我们的方案非常注重可操作性”。事实上,施耐德电气目前在国内已经有不少成功的案例。而电力行业是其最先开始的行业。他透露,施耐德电气目前已与五大电力集团之中的两大电力集团公司旗下的分公司层面展开了合作,进行规模化的信息安全解决方案部署工作,取得了良好的效果,并获得了行业主管部门及电力集团的认可和好评。同时,更为重要的是,在整改执行的过程中,施耐德电气很好地完成了客户提出的基本要求——不要影响生产的持续性,受到了客户们的一致好评。