“十三五”開始
，我國將進入幾十個城市同時建設城市軌道交通的大發展階段，2020年規劃線路裏程將超過10000公gong裏li。在zai提ti升sheng信xin息xi安an全quan水shui平ping方fang麵mian
，施shi耐nai德de電dian氣qi對dui軌gui道dao交jiao通tong行xing業ye的de用yong戶hu有you什shen麼me建jian議yi
？企qi業ye應ying該gai如ru何he防fang止zhi信xin息xi安an全quan事shi故gu的de發fa生sheng？與yu傳chuan統tong解jie決jue方fang案an相xiang比bi
，施shi耐nai德de電dian氣qi在zai信xin息xi安an全quan解jie決jue方fang案an上shang有you哪na些xie特te點dian？

　　就(jiu)以(yi)上(shang)這(zhe)些(xie)問(wen)題(ti)，施(shi)耐(nai)德(de)電(dian)氣(qi)工(gong)業(ye)信(xin)息(xi)安(an)全(quan)技(ji)術(shu)總(zong)監(jian)王(wang)斌(bin)日(ri)前(qian)接(jie)受(shou)了(le)中(zhong)國(guo)工(gong)業(ye)報(bao)記(ji)者(zhe)的(de)專(zhuan)訪(fang)。他(ta)強(qiang)調(tiao)，企(qi)業(ye)應(ying)該(gai)提(ti)升(sheng)主(zhu)動(dong)防(fang)禦(yu)和(he)全(quan)麵(mian)防(fang)禦(yu)的(de)理(li)念(nian)，而(er)不(bu)隻(zhi)是(shi)被(bei)動(dong)地(di)防(fang)禦(yu)
，被(bei)動(dong)地(di)發(fa)現(xian)問(wen)題(ti)
、解決問題。

　　安全隱患無處不在

　　中國工業報：很多人認為，工業控製係統之所以麵臨著信息安全的問題，主要是因為它采用了大量的通用以太網協議。您怎麼看待這個問題?

　　王斌：工業控製係統中除了存在通用以太網協議外，還大量存在著控製設備

、通訊組件、應用軟件、操(cao)作(zuo)係(xi)統(tong)等(deng)四(si)類(lei)設(she)備(bei)或(huo)資(zi)產(chan)
，而(er)這(zhe)些(xie)設(she)備(bei)或(huo)資(zi)產(chan)本(ben)身(shen)也(ye)會(hui)存(cun)在(zai)信(xin)息(xi)安(an)全(quan)風(feng)險(xian)和(he)隱(yin)患(huan)
，最(zui)終(zhong)導(dao)致(zhi)整(zheng)個(ge)工(gong)控(kong)係(xi)統(tong)存(cun)在(zai)信(xin)息(xi)安(an)全(quan)風(feng)險(xian)或(huo)隱(yin)患(huan)。震(zhen)網(wang)病(bing)毒(du)事(shi)件(jian)就(jiu)是(shi)一(yi)個(ge)很(hen)好(hao)的(de)例(li)子(zi)，雖(sui)然(ran)核(he)電(dian)廠(chang)裏(li)的(de)控(kong)製(zhi)係(xi)統(tong)與(yu)其(qi)辦(ban)公(gong)自(zi)動(dong)化(hua)係(xi)統(tong)和(he)信(xin)息(xi)係(xi)統(tong)是(shi)隔(ge)離(li)的(de)，但(dan)事(shi)實(shi)證(zheng)明(ming)，還(hai)是(shi)依(yi)然(ran)存(cun)在(zai)信(xin)息(xi)安(an)全(quan)的(de)隱(yin)患(huan)。

　　傳統解決方案缺陷多

　　中國工業報：與傳統的信息安全解決方案相比，施耐德電氣在信息安全解決方案上有什麼特點？

　　王斌：目前，多數安全服務供應商的解決方案是“自上而下”的
，側重於管理級、係統級安全功能的強化。但這種模式有四點缺陷。首先

，優先實現管理級、係(xi)統(tong)級(ji)的(de)安(an)全(quan)功(gong)能(neng)，對(dui)於(yu)絕(jue)大(da)多(duo)數(shu)此(ci)前(qian)沒(mei)有(you)相(xiang)應(ying)的(de)軟(ruan)硬(ying)件(jian)設(she)備(bei)準(zhun)備(bei)的(de)工(gong)業(ye)企(qi)業(ye)來(lai)說(shuo)
，意(yi)味(wei)著(zhe)需(xu)要(yao)投(tou)入(ru)大(da)量(liang)的(de)成(cheng)本(ben)來(lai)進(jin)行(xing)從(cong)無(wu)到(dao)有(you)的(de)建(jian)設(she)，其(qi)間(jian)投(tou)入(ru)的(de)人(ren)力(li)物(wu)力(li)也(ye)會(hui)比(bi)較(jiao)多(duo)
；其次，對於本身存在信息安全缺陷的工控設備來說
，“自上而下”的防護隻是一些外圍措施，並沒有從根源上消除信息安全的隱患，相關工控設備實際上還是處在“帶病上崗”的狀態下；再其次，工業企業內部涉及的工控設備類型很多
、數量很大，完全依靠管理級
、係統級的防護很難保證照顧到每一台單體設備，而如果顧此失彼，也稱不上真正實現了安全保障；最後，每個工業企業使用的現場設備的類型和數量都不一樣，這決定了管理級、係統級的信息安全解決方案，其定製化、私si有you化hua程cheng度du將jiang是shi非fei常chang高gao的de
，一yi套tao方fang案an即ji使shi在zai集ji團tuan企qi業ye旗qi下xia的de各ge個ge分fen公gong司si中zhong間jian也ye無wu法fa推tui廣guang
，更geng不bu要yao說shuo在zai某mou個ge行xing業ye
，甚shen至zhi整zheng個ge工gong業ye領ling域yu裏li麵mian了le。這zhe種zhong可ke複fu製zhi性xing差cha的de缺que陷xian同tong樣yang意yi味wei著zhe成cheng本ben將jiang居ju高gao不bu下xia；尤其是對於大型的集團性企業來說，每個下屬單位的方案都要獨立定製

，投入壓力之大顯然是難以接受的。

　　而施耐德電氣的工業信息安全解決方案之所以不同，就在於施耐德電氣主張采取“自下而上”的防護策略，更加側重設備級防禦、輔以係統級和管理級的三級防禦體係
，也就是說從設備級的防護入手來構建工業信息安全係統。

　　瞄準靶心聚準焦點

　　中國工業報：工控設備的停運
、損壞導致生產活動中斷無疑是企業最為憂心的信息安全事故，企業應該如何防止這種情況的發生？

　　王斌：我們的建議是

，讓企業關注的焦點回歸到工業信息安全威脅的“靶心”，即工控設備本身上來


，設法提升工控產品自身的信息安全防護能力，從根源上消除工控產品的信息安全漏洞。

　　具ju體ti的de做zuo法fa是shi

，在zai不bu影ying響xiang工gong控kong設she備bei功gong能neng與yu性xing能neng的de前qian提ti下xia，將jiang信xin息xi安an全quan的de功gong能neng集ji成cheng到dao每mei一yi個ge單dan體ti設she備bei上shang。對dui於yu工gong業ye企qi業ye來lai說shuo
，實shi現xian了le這zhe種zhong設she備bei級ji的de信xin息xi安an全quan防fang護hu，意yi味wei著zhe已yi經jing獲huo得de了le完wan整zheng的de多duo層ceng次ci工gong業ye信xin息xi安an全quan防fang護hu中zhong最zui核he心xin的de部bu分fen功gong能neng；此後根據自身情況，在具備了相應的條件和能力時，逐步完善係統級、管理級的輔助策略即可。

　　這種“自下而上”的模式，初期因為不需要額外采購軟硬件設備
，因此需要的投入少；工業企業隻需要針對自身使用的工控設備進行建設，實施的難度也不高；對工業企業內部的技術人員的能力要求也不高。

　　優先部署設備級防護

　　中國工業報：在提升信息安全水平方麵，施耐德電氣對軌道交通行業、石化和煤化工行業用戶有什麼建議？

　　王斌：muqianlaishuobuguanshidianlihaishiguidaojiaotonghuoqitaxingye，gengduodeshicaiyongxitongjidefanghufangan
，birujiayixiefanghuoqiang，huowangzhadechanpinlaizuoxitongjidegeli
，haiyoujiushibazhenggekongzhixitongzuofenceng、分fen級ji，將jiang控kong製zhi係xi統tong和he信xin息xi係xi統tong分fen開kai。有you些xie行xing業ye雖sui然ran應ying用yong了le防fang火huo牆qiang的de產chan品pin
，但dan是shi都dou是shi信xin息xi係xi統tong級ji的de防fang火huo牆qiang，而er非fei工gong業ye級ji防fang火huo牆qiang。而er信xin息xi係xi統tong的de防fang火huo牆qiang應ying用yong到dao工gong業ye控kong製zhi係xi統tong裏li，則ze由you於yu可ke靠kao性xing
、實時性等因素和無法提供工業以太網協議解析等功能，因此並不適用。

　　另(ling)一(yi)方(fang)麵(mian)，控(kong)製(zhi)係(xi)統(tong)是(shi)一(yi)個(ge)非(fei)常(chang)複(fu)雜(za)的(de)係(xi)統(tong)
，其(qi)內(nei)部(bu)由(you)很(hen)多(duo)層(ceng)級(ji)組(zu)成(cheng)，係(xi)統(tong)內(nei)任(ren)何(he)一(yi)個(ge)接(jie)入(ru)點(dian)受(shou)到(dao)影(ying)響(xiang)，就(jiu)可(ke)能(neng)會(hui)引(yin)發(fa)整(zheng)個(ge)係(xi)統(tong)內(nei)所(suo)有(you)設(she)備(bei)全(quan)部(bu)癱(tan)瘓(huan)。但(dan)目(mu)前(qian)很(hen)多(duo)企(qi)業(ye)應(ying)用(yong)的(de)信(xin)息(xi)安(an)全(quan)解(jie)決(jue)方(fang)案(an)隻(zhi)是(shi)將(jiang)控(kong)製(zhi)係(xi)統(tong)看(kan)成(cheng)一(yi)個(ge)大(da)的(de)網(wang)絡(luo)
，在(zai)外(wai)圍(wei)做(zuo)了(le)防(fang)護(hu)，卻(que)忽(hu)略(lve)了(le)控(kong)製(zhi)係(xi)統(tong)內(nei)部(bu)多(duo)層(ceng)級(ji)之(zhi)間(jian)的(de)防(fang)護(hu)與(yu)隔(ge)離(li)
，這(zhe)樣(yang)的(de)解(jie)決(jue)方(fang)案(an)顯(xian)然(ran)是(shi)不(bu)完(wan)善(shan)的(de)。

　　針對不同行業安全防護的整改和提升
，施耐德電氣的經驗可以概括為：在(zai)強(qiang)調(tiao)整(zheng)體(ti)安(an)全(quan)解(jie)決(jue)方(fang)案(an)的(de)設(she)計(ji)的(de)同(tong)時(shi)，企(qi)業(ye)也(ye)要(yao)注(zhu)重(zhong)實(shi)效(xiao)性(xing)和(he)緊(jin)迫(po)性(xing)。從(cong)不(bu)同(tong)行(xing)業(ye)的(de)信(xin)息(xi)安(an)全(quan)實(shi)際(ji)出(chu)發(fa)，在(zai)不(bu)具(ju)備(bei)條(tiao)件(jian)的(de)情(qing)況(kuang)下(xia)，可(ke)以(yi)自(zi)下(xia)而(er)上(shang)的(de)優(you)先(xian)部(bu)署(shu)設(she)備(bei)級(ji)防(fang)護(hu)。當(dang)各(ge)種(zhong)條(tiao)件(jian)成(cheng)熟(shu)後(hou)，企(qi)業(ye)再(zai)進(jin)一(yi)步(bu)實(shi)施(shi)設(she)備(bei)級(ji)、係統級和管理級三級縱深防禦體係，來提升整個企業信息安全的全麵防護水平。

　　相關鏈接：企業應該如何選擇信息安全防禦方案？

　　對於工業控製係統而言，主要涉及四類設備——控製設備、通訊組件、應ying用yong軟ruan件jian和he操cao作zuo係xi統tong。這zhe四si類lei設she備bei都dou各ge自zi存cun在zai著zhe信xin息xi安an全quan的de風feng險xian和he漏lou洞dong
，最zui終zhong會hui導dao致zhi整zheng個ge工gong業ye控kong製zhi係xi統tong存cun在zai信xin息xi安an全quan的de風feng險xian。那na麼me企qi業ye應ying該gai如ru何he對dui設she備bei級ji進jin行xing防fang護hu？施shi耐nai德de電dian氣qi工gong業ye信xin息xi安an全quan技ji術shu總zong監jian王wang斌bin對dui記ji者zhe坦tan言yan，施shi耐nai德de電dian氣qi提ti倡chang增zeng加jia每mei一yi個ge單dan體ti設she備bei的de信xin息xi安an全quan防fang護hu能neng力li，當dang這zhe些xie小xiao設she備bei放fang到dao一yi起qi組zu成cheng一yi個ge大da係xi統tong的de時shi候hou
，這zhe個ge大da係xi統tong就jiu具ju備bei了le信xin息xi安an全quan防fang護hu的de最zui基ji本ben的de能neng力li。

　　從2013nianchuqi
，shinaidedianqitigonggeikehudesuoyougongkongchanpindouyijingjubeilexinxianquandegongneng，gongyeqiyeshiyongzheyangdegongkongchanpin，bubiyilaiqitadebaohucuoshijiuyijinghuodelefuheguojiguoneixiangguanfaguiyaoqiude、過硬的信息安全保障。最近，施耐德電氣全球首款ePAC產品——莫迪康M580(ModiconM580)通過了中國電力科學研究院的信息技術產品安全性檢測，這是繼2012年施耐德電氣莫迪康昆騰PLC產品成功獲得國家權威信息安全測評機構的安全性認證之後，旗下的最新PLCchanpinzaicihuodequanweijiancejigouderenke。lingyifangmian，duiyuciqianyijingzaiyingyongdegongkongshebei，shinaidedianqiyeketigongxiangyingdefuwu，bangzhugongyeqiyehuodetongdengdebaozhang。

　　對dui於yu降jiang低di這zhe種zhong危wei害hai發fa生sheng的de概gai率lv，施shi耐nai德de電dian氣qi也ye有you很hen多duo的de解jie決jue方fang案an。比bi如ru對dui於yu控kong製zhi類lei產chan品pin，在zai控kong製zhi係xi統tong發fa生sheng失shi效xiao後hou，產chan品pin內nei置zhi的de故gu障zhang狀zhuang態tai預yu置zhi功gong能neng，可ke以yi讓rang所suo有you受shou控kong的de設she備bei全quan部bu處chu於yu安an全quan狀zhuang態tai，不bu會hui對dui係xi統tong產chan生sheng更geng大da規gui模mo的de次ci生sheng災zai害hai。如ru果guo事shi故gu發fa生sheng了le
，產chan品pin完wan善shan的de故gu障zhang診zhen斷duan、帶電插拔等維護特性又可以大大縮短係統恢複的時間。

　　據ju了le解jie，所suo有you的de工gong業ye控kong製zhi係xi統tong都dou不bu是shi獨du立li的de信xin息xi孤gu島dao
，它ta們men之zhi間jian會hui組zu成cheng一yi個ge大da的de係xi統tong，通tong過guo網wang絡luo連lian接jie在zai一yi起qi。對dui此ci，王wang斌bin表biao示shi，企qi業ye需xu要yao不bu斷duan增zeng強qiang整zheng個ge控kong製zhi係xi統tong的de係xi統tong架jia構gou的de信xin息xi安an全quan防fang護hu功gong能neng。如ru施shi耐nai德de電dian氣qi可ke以yi提ti供gong通tong訊xun組zu件jian設she備bei中zhong所suo需xu完wan善shan的de以yi太tai網wang交jiao換huan機ji、防fang火huo牆qiang等deng的de專zhuan門men產chan品pin
，來lai增zeng強qiang整zheng個ge信xin息xi安an全quan的de係xi統tong級ji信xin息xi安an全quan的de功gong能neng。為wei了le減jian少shao發fa生sheng的de概gai率lv，施shi耐nai德de電dian氣qi也ye有you很hen多duo解jie決jue方fang案an，從cong前qian期qi的de全quan網wang絡luo評ping估gu，發fa現xian潛qian在zai的de弱ruo點dian，到dao網wang絡luo分fen隔ge
，邊bian界jie保bao護hu，網wang段duan分fen離li等deng。通tong過guo修xiu改gai網wang絡luo架jia構gou
，來lai減jian少shao網wang絡luo風feng險xian。

　　王斌介紹說
，施耐德電氣除了可以提供設備級、係(xi)統(tong)級(ji)和(he)管(guan)理(li)級(ji)的(de)防(fang)禦(yu)方(fang)案(an)外(wai)，還(hai)可(ke)以(yi)提(ti)供(gong)完(wan)善(shan)的(de)信(xin)息(xi)安(an)全(quan)服(fu)務(wu)。目(mu)前(qian)
，在(zai)施(shi)耐(nai)德(de)電(dian)氣(qi)的(de)官(guan)方(fang)網(wang)站(zhan)上(shang)，公(gong)開(kai)了(le)施(shi)耐(nai)德(de)所(suo)有(you)的(de)信(xin)息(xi)安(an)全(quan)的(de)解(jie)決(jue)方(fang)案(an)，上(shang)麵(mian)有(you)一(yi)些(xie)詳(xiang)細(xi)的(de)信(xin)息(xi)安(an)全(quan)部(bu)署(shu)方(fang)案(an)和(he)完(wan)善(shan)的(de)手(shou)冊(ce)，可(ke)以(yi)免(mian)費(fei)下(xia)載(zai)。施(shi)耐(nai)德(de)電(dian)氣(qi)對(dui)於(yu)信(xin)息(xi)安(an)全(quan)的(de)防(fang)護(hu)來(lai)說(shuo)，從(cong)前(qian)期(qi)的(de)評(ping)估(gu)到(dao)解(jie)決(jue)方(fang)案(an)的(de)設(she)計(ji)到(dao)集(ji)成(cheng)到(dao)最(zui)後(hou)培(pei)訓(xun)等(deng)各(ge)個(ge)方(fang)麵(mian)，都(dou)可(ke)以(yi)提(ti)供(gong)完(wan)善(shan)的(de)解(jie)決(jue)方(fang)案(an)。