今日頭條
官方微信
官方抖音
訪談頻道 5年前,當整個社會對節能增效并未給與相當的熱情時,施耐德電氣就先于其它同類企業,率先在業內倡導節能增效的理念,并將自己定位于“全球能效管理專家”, 5年后的今天,節能增效已經成為一個時代的話題,而施耐德電氣也早已“功成名就”,用施耐德電氣高級副總裁、工業事業部中國區負責人徐駿的話說“就是嘗到了甜頭” 。
今天,新的話題正在悄悄地生根發芽……
2010年“震網”事件的發生,使工業控制系統面臨著嚴峻的信息安全考驗。而工業控制系統所主要應用的行業,如電力、石化、軌道交通、冶金等的特殊性使這一問題急劇升溫,迅速上升至國家戰略高度。就在此時,業內得到消息:施耐德電氣的莫迪康昆騰PLC產品率先通過中國兩家權威測評機構:國家信息技術安全研究中心和中國電力科學研究院的雙重信息技術產品安全性檢測,成為目前國內首家也是唯一通過并獲得此類檢測認可的PLC產品系列。
施耐德電氣高級副總裁、工業事業部中國區負責人徐駿
毋庸多說,這個“雙料安全認證”等于向業內宣布:施耐德電氣PLC產品可以有效地增強工控設備的信息安全防護能力,滿足中國用戶提升工業系統信息安全的迫切需要,并為國家相關管理部門部署和落實加強工業信息安全的實施工作提供了強大的技術保障。
毫無疑問,在這個工業控制系統信息安全的新時代中,施耐德電氣又一次窺探了先機,走在了行業的前面。正如徐駿所言:“關于節能增效,施耐德電氣有著非常成功的經驗,我相信如今的信息安全問題也會和節能增效走過一樣的歷程,從并不被關注到廣為重視,從企業被迫接受,到獲得社會效益和經濟效益的雙重回報,從而產生發自內心的需求。在這個過程當中,施耐德電氣愿意敢為天下先,做工業控制系統信息安全事業的呼吁者、參與者和推動者。”
主動參與——三級縱深防御體系 為客戶提供無憂、零風險解決方案
縱觀我國整體工業信息安全現狀,人員缺失、制度形式化和生產與安全的矛盾沖突已成為我國工業用戶普遍存在的三大安全困境。對此,施耐德電氣提出了優先采用設備級防護、兼顧系統級和管理級防護的三級縱深防御體系,通過“自下而上”的防御體系推進安全防護策略,幫助我國工業用戶有效地提升信息安全的整體水平。
施耐德電氣倡導的信息安全防護策略,包括設備級、系統級和管理級三級縱深防御體系,涉及安全評估和計劃、網絡分隔、邊界保護、網段分離、設備加固以及監視和更新等多種安全防護措施。其中,設備級防護側重于提升每個設備的信息安全能力;系統級防護的目標是設計安全的控制系統架構,以增強控制系統的整體信息安全功能;管理級防護的作用是規范管理、完善安全策略,加強控制系統的信息安全防護功能。其中設備級防護是施耐德電氣三級縱深防御體系中的核心和基礎。
“管理級防護會受到人的因素影響。比如人的素質、人的操作疏忽等等,都可能導致信息安全問題的發生。另外,本身存在信息安全隱患的設備整合到系統中,也會導致‘帶病上崗’的現象。”徐駿進一步解釋,“通過將信息安全功能集成到設備本身,將大大提升工控系統的防護能力。尤其是對于那些不具備系統級防護和管理級防護能力的工控系統,我們更建議用戶采用設備級防護,比如 PLC、以太網交換機和SCADA軟件。”
這便是施耐德電氣提出的三級縱深防御安全解決方案,徐駿告訴記者:“施耐德電氣提供的解決方案需要解決設備、系統和管理三個方面的問題。我們希望提供給客戶一個無憂的、零風險的解決方案。”
積極推進——參與國內認證和標準的制定,將先進經驗帶到中國
在徐駿的眼中,產品和系統的準備只是施耐德電氣在工業信息安全之路上的基礎工作。接下來,盡快建立本地化的認證實驗室,制定國內行業標準等工作才是當務之急。
然而,這并不是一蹴而就的事情,徐駿用“持續地螺旋式上升”來形容這個過程。“就比如這次昆騰PLC產品的認證過程,我們主動將產品拿去送檢,發現問題就盡快解決,并再次進行測試,最終才能獲得‘雙料安全認證’。這是一個不斷自我否定,自我提升的循序漸進的過程。”據徐駿透露,未來,施耐德電氣會陸續將其它產品送檢,并和相關信息安全測評機構合作,在新產品發布后,堅持送檢,通過并獲得相關認證。
其實,施耐德電氣公司在美國很早就建立了信息網絡安全的認證實驗室,這個實驗室的服務對象是施耐德電氣全球銷售的所有產品。任何在全球,包括在中國發布的產品,必須都要經過這個實驗室的認證測試。這便是當前信息安全領域最高端的認證:Achilles認證體系。雖然有一個不爭的事實擺在眼前:每個國家的國情不一樣,尤其在客戶使用規范和應用上可以說相差甚遠,也就是說,即便在中國發布的產品已經接受了全球化的認證,若想在中國市場“落地”,也需要通過本地化的認證。所以,施耐德電氣也正在考慮與國內的測評機構共建實驗室,來盡快實現本地化的認證。
標準缺失是目前國內工業信息安全市場最為關鍵的問題。“目前國內并沒有一個大家公認的標準體系,標準的缺失嚴重阻礙了整個工業信息安全事業的發展。而在這方面,施耐德電氣有很多成功的經驗和先進的理念,我們非常愿意與國內一些權威測評機構和相關行業協會合作,參與標準的建立和完善。”徐駿進一步表示,“作為這個市場的主要參與者,這是施耐德電氣義不容辭的義務和責任,我們不僅要確保自身產品、系統的絕對安全,同時,還要積極參與到整個標準體系的建立、檢測、認證等工作中去,為我國工業信息安全事業的發展做出應有的貢獻。”
強烈呼吁——建立一個產、學、研的有機生態圈
有了敢為天下先的氣魄,有了先進的產品和系統解決方案,徐駿還深深地意識到:這并不是一家企業就可以做成的事情。它需要整個產業鏈的通力合作,政府、企業、大專院校、科研單位、行業協會……缺一不可,“必須建立一個產、學、研的有機生態圈,共同推進我國工業控制系統信息安全事業的建設。”
對比主流國家,信息安全問題在中國才剛剛起步。徐駿告訴記者,以美國為例,他們的整個社會對于信息安全問題的意識都要強于我國,這個社會意識不僅是政府單方面的,還包括企業、科研等機構在共同驅動,自下而上的力量非常強大,體現出來的是企業發自內心的需求。而就中國目前的現狀來看,似乎主要是政府“一廂情愿”,而企業多是被迫接受。
除此之外,長效機制的落實也是徐駿擔心的一方面,“國外企業將工業控制系統信息安全這項工作當作是一個長期持續的過程,希望我國不要把這個事情只當做一個整改,一項運動來看,而是要長期堅持地做下去,這就需要長效機制的建立,需要監管機制的建立等。”
事實上,無論是提高客戶的意識還是長效機制的落地,都需要強調協同的力量,就如徐駿所說的:“在意識理念和規章制度落地的過程中,我們需要強調的是整個產、學、研三位一體的完整體系的建立。在此,我也代表施耐德電氣呼吁,希望在政府的指導下,廣大企業、用戶、行業協會等在這個過程中緊密合作,將工業控制系統信息安全的隱患逐漸消除,為提升我國信息安全技術整體水平,推動我國信息安全管理水平更進一步而不懈的努力!”
歷史總有著驚人的相似。數十年前,施耐德電氣正是憑借PLC產品在自動化領域奠定了領導地位。如今,站在新的歷史起點,莫迪康昆騰PLC產品率先通過“雙料安全認證”,仿佛是經歷了一場輪回,使施耐德電氣再次回到了起跑的原點,這或許將預示著施耐德電氣在工業信息安全市場的新一輪崛起。
采訪后記:
徐駿,1998年8月加入施耐德電氣,就在他加入這家世界500強企業的第14年——2012年,他迎來了自己事業上的又一個新的高度——正式出任施耐德電氣工業事業部中國區負責人。這個來自中國上海,畢業于上海交通大學自動控制專業的高材生在采訪中充分彰顯了他作為一名外企高管的強烈使命感和責任感。采訪中,他多次提到,“施耐德電氣來到中國,并不純粹是為了做業務,更重要的是,希望能夠為國民經濟領域核心技術的提升貢獻力量。施耐德電氣率先提出了‘中國原創’戰略,我們不僅要將國外先進的技術引進中國,更要將中國的特殊需求以及核心技術反哺至全球。”事實上,這個施耐德電氣全球最年輕的高管,需要思考的不僅是如何帶領中國團隊進一步拓展本地工業自動化市場,還要面臨一個巨大的挑戰——打開一個全新的工業信息安全市場,或許,這才是他彰顯能力的最淋漓盡致的一次表演。
摘自《自動化博覽》2013年11月
北京市公安局海淀分局備案號:11010802023656號