国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

   編者按：2012年8月， 施耐德電氣的莫迪康昆騰PLC產(chǎn)品率先通過中國兩家權(quán)威測評機(jī)構(gòu)：國家信息技術(shù)安全研究中心和中國電力科學(xué)研究院的雙重信息技術(shù)產(chǎn)品安全性檢測，成為目前國內(nèi)首家也是唯一通過并獲得此類檢測認(rèn)可的PLC產(chǎn)品系列。至此，施耐德電氣也開啟了在工業(yè)控制系統(tǒng)信息安全領(lǐng)域的全新征程。本期專欄，記者特別采訪了施耐德電氣工業(yè)事業(yè)部EU解決方案開發(fā)主任工程師王斌先生，他目前主要負(fù)責(zé)施耐德電氣工業(yè)控制系統(tǒng)信息安全的相關(guān)工作，請他談一下目前工業(yè)控制系統(tǒng)信息安全市場的情況以及施耐德電氣的解決之道。
 
                         
                   施耐德電氣工業(yè)事業(yè)部EU解決方案開發(fā)主任工程師 王斌 

王斌（1974-），男，漢，畢業(yè)于北京航空航天大學(xué)自動控制專業(yè)，現(xiàn)任施耐德電氣（中國）有限公司解決方案開發(fā)經(jīng)理/信息安全總監(jiān)，曾編寫《Quantum PLC設(shè)備信息安全解決方案操作手冊》和《Quantum PLC設(shè)備信息安全解決方案簡明手冊》，并被國家電力監(jiān)管委員會和國家能源局推廣到所有電力企業(yè)。

    ■《自動化博覽》：請分析一下我國目前工業(yè)控制系統(tǒng)信息安全的情況？與國外相比較存在哪些主要區(qū)別？

   王斌：從國際上來講，尤其是歐美這些發(fā)達(dá)國家，他們的綜合實力較強(qiáng)，在信息安全水平，包括網(wǎng)絡(luò)水平、計算機(jī)知識等方面普及的比較好，整個國家和社會對于信息安全的重視程度也較高，相應(yīng)的信息安全解決方案體系也比較完善，而這些恰恰是目前國內(nèi)缺少的。

   雖然現(xiàn)在國內(nèi)對于工業(yè)控制系統(tǒng)信息安全重視程度已經(jīng)普遍提高，但依然存在一些問題。

  第一，專職人員比較缺失。我曾經(jīng)去拜訪過很多企業(yè)，通常，負(fù)責(zé)信息安全的部門是信息中心，信息中心的人最初主要是負(fù)責(zé)網(wǎng)絡(luò)化的搭建、系統(tǒng)之間的互聯(lián)以及網(wǎng)絡(luò)維護(hù)這些工作，所以他們對于信息安全的基本知識比較清楚，但是卻并不了解工業(yè)控制系統(tǒng)。一個企業(yè)中真正負(fù)責(zé)工業(yè)控制系統(tǒng)的安全生產(chǎn)的一般都是由安生部或者生產(chǎn)技術(shù)科，他們雖然非常了解PLC、DCS、RTU等工業(yè)產(chǎn)品及系統(tǒng)，但是缺失信息安全，包括網(wǎng)絡(luò)搭建等方面的知識。所以目前來看，中國企業(yè)面臨的第一個問題就是缺少真正既懂工業(yè)控制系統(tǒng)又懂信息安全的技術(shù)人員或者專職人員。

   第二，管理制度的落實還不到位。我曾經(jīng)去過國內(nèi)很多企業(yè)，比如像大型水電站，它們的管理系統(tǒng)就非常嚴(yán)格，有著嚴(yán)格的門禁制度，同時對技術(shù)人員的日常維護(hù)操作也有著嚴(yán)格規(guī)范。還有像一些核電廠，在安全管理制度方面也是非常完善的。但是對于其他的很多行業(yè)，大多都沒有嚴(yán)格的將安全管理制度落到實處，甚至制度或規(guī)范并不完善。對于信息安全來說，三分技術(shù)，七分管理，管理是整個信息安全解決方案的核心，所以在管理制度的落實和完善方面，中國的一些企業(yè)的確還需要加強(qiáng)。第三，企業(yè)在生產(chǎn)和安全方面，往往優(yōu)先考慮的是連續(xù)生產(chǎn)。目前中國很多企業(yè)還有一些計劃經(jīng)濟(jì)的影子，他們會更重視企業(yè)的持續(xù)生產(chǎn)，但是對生產(chǎn)的安全性并不十分重視。我之前去拜訪過很多電廠，他們對于信息安全的評估、整改、完善等工作都是被動的響應(yīng)，第一要看是否有國家相關(guān)管理部門下發(fā)紅頭文件，第二要看本行業(yè)內(nèi)的一些龍頭企業(yè)是否落實了這些工作。如果這些都沒有，那他們也不會主動去做。造成這種現(xiàn)象的最主要的原因就是安全意識的淡薄。

   除此之外，設(shè)計院對信息安全知識的普及和重視程度也都需要提升。很多設(shè)計院提出來的信息安全的解決方案，比如像“三層架構(gòu)、兩層網(wǎng)絡(luò)，區(qū)域分等級”等，這些更多的都是被動的去堵、去防，并沒有做到對信息安全的主動加強(qiáng)，這就不能從根本上解決信息安全問題。目前施耐德電氣也正在積極與各行業(yè)的設(shè)計院合作，努力提升所有行業(yè)的信息安全解決方案水平。希望將項目移交給客戶的時候，能夠給客戶提供一個安全可靠的控制系統(tǒng)。

  ■《自動化博覽》：目前，國內(nèi)的工業(yè)用戶對工業(yè)控制系統(tǒng)信息安全的擔(dān)憂和需求都有哪些？

  王斌： 2011年，工信部下發(fā)了451號文件，也就是《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》，國家電力監(jiān)管委員會也多次要求在電力行業(yè)內(nèi)加強(qiáng)工業(yè)控制系統(tǒng)信息安全工作并多次開展信息安全的檢查工作。所以目前來看，電力行業(yè)對信息安全比較重視。

  另外，對于加強(qiáng)工業(yè)控制系統(tǒng)信息安全工作，國家能源局對所管轄的電力、石化和礦業(yè)三個行業(yè)也都做出了統(tǒng)一的要求。其中石化行業(yè)起步較早，當(dāng)然，各個企業(yè)內(nèi)部對信息安全解決方案的推進(jìn)程度及要求也不盡相同。

   接下來我們再談?wù)勡壍澜煌ǎツ?1月深圳地鐵二號線和五號線事故使軌道交通的安全性也越來越受到全社會的關(guān)注。但軌道交通與其他行業(yè)還不太一樣。其他行業(yè)都有相關(guān)的國家級的監(jiān)管部門，而軌道交通是直接受市政府管轄，所以它對于信息安全的重視與各市政府的重視程度有很大關(guān)系。

  在冶金行業(yè)，像寶鋼等一些大型冶金集團(tuán)，已經(jīng)開始對信息安全有所重視，在控制系統(tǒng)和信息系統(tǒng)中采用了一些網(wǎng)絡(luò)隔離的產(chǎn)品，但是普及并不廣泛。

   對于其他一些行業(yè)，其實對于信息安全現(xiàn)在都沒有投入很大的精力去重視。

  ■《自動化博覽》：像您剛才提到的一些行業(yè)，他們現(xiàn)在是不是主要停留在應(yīng)用一些產(chǎn)品上而沒有實施整體的工業(yè)控制系統(tǒng)信息安全方案？

  王斌：對，目前來說不管是電力還是其他行業(yè)，更多的是采用系統(tǒng)級的防護(hù)方案，比如加一些防火墻，或網(wǎng)閘的產(chǎn)品來做系統(tǒng)級的隔離。還有就是把整個控制系統(tǒng)做分層、分級，將控制系統(tǒng)和信息系統(tǒng)分開，這是目前應(yīng)用最多的解決方案。有些行業(yè)雖然應(yīng)用了防火墻的產(chǎn)品，但是都是信息系統(tǒng)級的防火墻，而非工業(yè)級防火墻。其實對于工業(yè)級的防火墻，如果應(yīng)用到工業(yè)控制系統(tǒng)里，它可以加強(qiáng)整個控制系統(tǒng)信息安全的防護(hù)功能。而如果把信息系統(tǒng)的防火墻應(yīng)用到工業(yè)控制系統(tǒng)里，則并不適用，因為工業(yè)級防火墻的產(chǎn)品和信息系統(tǒng)防火墻的產(chǎn)品從性能、指標(biāo)上的要求都是完全不一樣的。

   另一方面，控制系統(tǒng)是一個非常復(fù)雜的系統(tǒng)，其內(nèi)部由很多層級組成。但目前很多企業(yè)應(yīng)用的信息安全解決方案只是將控制系統(tǒng)看成一個大的網(wǎng)絡(luò)，在外圍做了防護(hù)，卻忽略了控制系統(tǒng)內(nèi)部多層級之間的防護(hù)與隔離，這樣的解決方案顯然是不完善的。

   ■《自動化博覽》：目前國內(nèi)企業(yè)在上馬工業(yè)控制系統(tǒng)信息安全解決方案的時候，都有哪些擔(dān)憂和顧慮？

   王斌：他們的擔(dān)憂還是很多的。第一，不論采用的是何種信息安全方案，都需要有相應(yīng)的人才儲備，對這些系統(tǒng)進(jìn)行基本的維護(hù)。如果企業(yè)沒有相應(yīng)的技術(shù)儲備的話，即便是上馬了這些系統(tǒng)，如果真的出現(xiàn)了報警，一般操作人員很難判斷出是否是信息安全的問題，問題具體出現(xiàn)在哪里，如何處理，否則就無法充分發(fā)揮信息安全體系的功能。第二，當(dāng)然是資金的投入。如果客戶要上馬信息安全解決方案，也就是說要把相關(guān)的所有設(shè)備都納入到安全監(jiān)管范圍。我們知道任何一個企業(yè)內(nèi)的所有工業(yè)級設(shè)備，都是非常復(fù)雜的系統(tǒng)。如果要把大量龐雜的設(shè)備都監(jiān)管起來，這就需要耗費企業(yè)大量的財力、物力來構(gòu)建信息安全監(jiān)管體系。第三，客戶還會擔(dān)心我上馬了信息安全解決方案后，是不是能夠收獲預(yù)期的效果。因為每家企業(yè)現(xiàn)有的設(shè)備、產(chǎn)品都不一樣，而且會涉及很多廠家的產(chǎn)品。因此，這些方案都必須是根據(jù)企業(yè)的實際情況進(jìn)行定制化。即便定制了專門的解決方案，客戶勢必會擔(dān)心這個信息安全解決方案是否真的能夠做好防護(hù)。同時，信息安全攻防技術(shù)日新月異，幾年就會發(fā)生大的變化，現(xiàn)在上馬的信息安全體系過幾年后是否會失效？

   ■《自動化博覽》：針對于這些企業(yè)擔(dān)心的問題，施耐德電氣有什么樣的解決方案？是否可以滿足企業(yè)定制化的需求？

   王斌：施耐德電氣在工業(yè)控制系統(tǒng)信息安全解決方案上面的理念與別的廠商不太一樣。別的廠商更多的是推薦采用“自上到下”的縱深防御解決方案。相當(dāng)于在監(jiān)控平臺中專門增加相應(yīng)的信息安全評估、報警、日志記錄等軟件，通過管理級平臺來增強(qiáng)信息安全的監(jiān)管功能。再往下通過加強(qiáng)系統(tǒng)架構(gòu)來增強(qiáng)安全性，最后才是加強(qiáng)設(shè)備級的安全性，這種方案的核心是從管理上增強(qiáng)系統(tǒng)的信息安全。但是這樣的解決方案就會帶來一些問題。第一，對操作人員的素質(zhì)要求較高，比如監(jiān)管系統(tǒng)報警后，操作員就必須要做出實時判斷，立即將相應(yīng)的指令通過生產(chǎn)系統(tǒng)發(fā)下去，準(zhǔn)確判斷出故障點在哪里，再讓維修人員去維護(hù)，所以對操作人員的依賴性較強(qiáng)；第二，如果采用這種方案，整個系統(tǒng)就必須要增加很多產(chǎn)品，以保障系統(tǒng)架構(gòu)安全性的增強(qiáng)，反而對設(shè)備級的具體產(chǎn)品，比如現(xiàn)場用到的每一個PLC，每一個控制產(chǎn)品和網(wǎng)絡(luò)產(chǎn)品沒有太多要求。顯然，結(jié)合中國企業(yè)目前的現(xiàn)狀，這種方案并不十分適用。

  施耐德電氣拜訪了很多企業(yè)用戶之后，我們發(fā)現(xiàn)企業(yè)內(nèi)部對于信息安全其實有很多認(rèn)識和部署等多方面的不足，就像我們最初談到的那三個問題一樣，所以在綜合考慮之后，施耐德電氣重新修正了我們的信息安全解決方案。

  施耐德電氣現(xiàn)在提倡的是“自下而上”的三級縱深防御解決方案。我們將所有的解決方案分為三級，第一級是設(shè)備級，也是施耐德電氣信息安全解決方案最為強(qiáng)調(diào)的一級。這一級主要是指工業(yè)控制系統(tǒng)中的一些具體的現(xiàn)場設(shè)備，如PLC、RTU、DCS、變頻器等。如果我們在設(shè)備級加強(qiáng)每一個單體設(shè)備或產(chǎn)品的信息安全功能，這樣這些產(chǎn)品組成一個系統(tǒng)后，這個系統(tǒng)就必然也具備了基本的信息安全功能。同時，它也會成為整個信息安全解決方案中的最后一道“防火墻”。通過增強(qiáng)設(shè)備級的信息安全防護(hù)功能，也就可以加強(qiáng)整個控制系統(tǒng)的信息安全性能。這種方案的好處在于：第一，可以脫離對人的依賴。因為它不需要現(xiàn)場操作人員或者維護(hù)人員做任何操作，只要把安全設(shè)備應(yīng)用在系統(tǒng)里，實際上就已經(jīng)增強(qiáng)了整個系統(tǒng)的安全性。第二，這種方案對整個系統(tǒng)架構(gòu)的要求也降低了。將已經(jīng)具備了信息安全性能的單體設(shè)備集成到系統(tǒng)中，這個系統(tǒng)本身就要比不具備安全功能的單體設(shè)備組成的系統(tǒng)更安全。如果再加上系統(tǒng)級的防護(hù)后，無形中就已經(jīng)構(gòu)成了兩層保護(hù)。其防護(hù)能力自然要比僅僅做系統(tǒng)級防護(hù)的系統(tǒng)信息安全防范能力更強(qiáng)。

  在設(shè)備級之后，我們強(qiáng)調(diào)的是系統(tǒng)級。所有的工業(yè)控制系統(tǒng)都不是獨立的信息孤島，它們之間會組成一個大的系統(tǒng)，通過網(wǎng)絡(luò)連接在一起。所以我們需要增強(qiáng)整個控制系統(tǒng)架構(gòu)的信息安全防護(hù)功能。這其中我們有針對交換機(jī)等產(chǎn)品的信息安全的防護(hù)方案，也有例如防火墻等的專門產(chǎn)品等，來增強(qiáng)整個系統(tǒng)級的信息安全防護(hù)功能。

  最后，施耐德電氣也有專門的針對管理級的信息安全解決方案，目前我們正在與一些國際知名的信息安全解決方案提供商合作，共同研究針對管理級的信息安全的方案。雖然管理級的安全防護(hù)在施耐德電氣所推崇的信息安全解決方案中并不是最核心的，但管理無疑是整個信息安全方案能否真正落地的最關(guān)鍵因素，所以也不能忽視管理級的信息安全防護(hù)。

  ■《自動化博覽》：既然單體設(shè)備的安全防護(hù)能力是施耐德電氣信息安全解決方案的關(guān)鍵，針對于提升單體設(shè)備防護(hù)能力，施耐德電氣做了哪些工作呢？

   王斌：從去年開始，施耐德電氣一直在做PLC產(chǎn)品的信息安全相關(guān)測試和認(rèn)證，我們的目的就是為了加強(qiáng)單體設(shè)備的信息安全防護(hù)能力。2012年8月，施耐德電氣昆騰PLC系列率先通過國家信息技術(shù)安全研究中心和中國電力科學(xué)研究院的雙重信息技術(shù)產(chǎn)品安全性檢測，成為首家且唯一獲得此類檢測認(rèn)可的工控PLC產(chǎn)品系列。

   ■《自動化博覽》：為什么要選擇昆騰PLC系列進(jìn)行測試？

   王斌：昆騰PLC是90年代推向市場的產(chǎn)品，經(jīng)過每年的不斷更新和完善，一直到現(xiàn)在都占有非常高的市場份額。目前，該PLC主要應(yīng)用在幾大行業(yè)：第一是火電行業(yè)，所占份額在50%~60%，之后在水電行業(yè)，占有率在80%以上，在冶金、石化和軌道交通，也分別有著廣泛的應(yīng)用。所以國家和行業(yè)主管部門也非常希望施耐德電氣能夠拿市場占有率非常高的昆騰PLC產(chǎn)品進(jìn)行信息安全的測評，這樣更具有代表性，影響力也比較廣。當(dāng)然，不管從企業(yè)責(zé)任還是社會責(zé)任的角度，施耐德電氣都非常愿意做類似的產(chǎn)品測評。

  ■《自動化博覽》：未來，是否還會將一些產(chǎn)品陸續(xù)進(jìn)行相關(guān)的測評？

   王斌：這將會是施耐德電氣未來持續(xù)要做的工作，增強(qiáng)工業(yè)信息安全性能將繼續(xù)作為施耐德后續(xù)發(fā)布的PLC產(chǎn)品的基本性能之一。很快，我們還會做Modicon M580產(chǎn)品的測評。ModiconM580提供了一個開放、可靠和更安全的系統(tǒng)，目前已經(jīng)通過國際上信息安全領(lǐng)域最知名的“Achilles L2”健壯性測試。先進(jìn)的網(wǎng)絡(luò)安全功能能夠最大限度減少病毒攻擊事件的發(fā)生，有效增強(qiáng)網(wǎng)絡(luò)信息安全防護(hù)能力。施耐德電氣希望提供給中國用戶的是一個安全、可靠的工業(yè)控制系統(tǒng)產(chǎn)品。

   ■《自動化博覽》：施耐德電氣的自下而上的縱深防御系統(tǒng)解決方案是否已經(jīng)有了成功的行業(yè)應(yīng)用實例？

  王斌：2013年，施耐德電氣與國內(nèi)某大型電力集團(tuán)，針對其山東分公司所有電廠的工業(yè)控制系統(tǒng)成功部署過信息安全解決方案。當(dāng)時國家電力監(jiān)管委員會的相關(guān)領(lǐng)導(dǎo)，以及電力集團(tuán)的領(lǐng)導(dǎo)都到現(xiàn)場進(jìn)行了驗收，效果非常好。目前，施耐德電氣的信息安全解決方案已經(jīng)推廣到全國所有的電力企業(yè)，成為首家也是唯一把信息安全解決方案推廣到全國的設(shè)備廠商。 

   摘自《自動化博覽》2013年12月