電力行業(yè)是應用信息技術較早和較有深度的行業(yè)之一，電力系統(tǒng)的規(guī)劃設計、基建、發(fā)電、輸電、供電等各環(huán)節(jié)均有信息技術的應用，包括生產過程自動化和管理信息化。在過去十年間，關鍵基礎設施面臨的網絡攻擊不斷增多，從而使網絡安全上升為工業(yè)自動化和控制系統(tǒng)用戶及廠商關注的焦點。而電力行業(yè)的信息安全問題也已受到政府主管部門及電力企業(yè)的更多關注，從美國發(fā)電站遭遇網絡攻擊、伊朗核電站遭“震網”病毒攻擊到近期的“棱鏡門”事件，都為電力行業(yè)信息安全敲響了警鐘。

        目前電力信息安全整改的三大障礙

        電力行業(yè)作為最早應用信息技術的行業(yè)之一，對信息安全的要求也相對其他行業(yè)更為嚴格、管理也更規(guī)范，但總體仍處于較低水平。目前，電力行業(yè)信息安全整改工作主要面臨三個問題。

        其一是信息安全專責缺失。也就是懂工業(yè)控制系統(tǒng)的信息安全人員的缺失。就電力企業(yè)來說，目前很多企業(yè)沒有專門負責工業(yè)控制系統(tǒng)信息安全的人員。信息安全整改將面臨企業(yè)內部人員、部門協(xié)調不力以及人員能力不足等問題。

        其二是企業(yè)內部的信息安全管理制度還有待完善。“我走訪過一些電力企業(yè)，有的企業(yè)管理制度非常完善，但是沒有真正落到實處。比如門禁制度執(zhí)行不嚴，‘刷臉’現(xiàn)象時有發(fā)生。” 施耐德電氣工業(yè)事業(yè)部工業(yè)信息安全技術總監(jiān)王斌先生說，“有的企業(yè)這種管理制度是很完善的，反而會對信息安全的評估和整改帶來一些麻煩。我們?yōu)殡娏ζ髽I(yè)做信息安全評估和整改時，企業(yè)為了減少風險，不會讓我們接觸現(xiàn)場的控制系統(tǒng)。我們無法對控制系統(tǒng)做有效的信息安全評估和測試，也就無法提供相應的整改措施。這是管理制度和信息安全的一個沖突，也是缺失的一個方面。”

        其三是生產與安全的矛盾。在對企業(yè)整個工業(yè)控制系統(tǒng)做信息安全整改和實施時，有可能會給企業(yè)的連續(xù)生產帶來一定風險。

       施耐德工業(yè)信息安全“秘技”

        施耐德電氣針對工業(yè)控制系統(tǒng)的信息安全挑戰(zhàn)，提出了設備級、系統(tǒng)級和管理級的三級縱深防御體系，建議中國企業(yè)應及時提升設備級安全防護能力、兼顧系統(tǒng)級和管理級防護，“自下而上”逐步推進安全防護策略，從而有效地提升信息安全整體水平。

        施耐德電氣PlantStruxture™協(xié)同自動化控制系統(tǒng)架構下的縱深防御信息安全解決方案，包括設備級、系統(tǒng)級和管理級的三級縱深防護體系。涉及安全計劃、網絡分隔、邊界保護、網段分離、設備加固以及監(jiān)視和更新6大安全防御步驟。其中，設備級防護側重于提升每個設備的信息安全能力;系統(tǒng)級防護的目標是設計安全的控制系統(tǒng)架構，以提升控制系統(tǒng)的整體信息安全功能;管理級防護的作用是規(guī)范管理、完善安全策略，增強控制系統(tǒng)的信息安全功能。而其中設備級防護是施耐德電氣三級縱深防御信息安全解決方案的核心和基礎。

        “管理級防護會受到人為因素的影響。人的素質及操作疏忽都可能導致信息安全問題的發(fā)生。另外，將本身存在信息安全隱患的設備級產品整合到系統(tǒng)中，也會導致‘帶病上崗’的現(xiàn)象。”王斌先生說，“通過將信息安全功能集成到設備本身，將大大提升工控系統(tǒng)的防護能力。尤其是對于那些不具備系統(tǒng)級防護和管理級防護能力的工控系統(tǒng)，我們更建議用戶采用設備級防護，比如 PLC、以太網交換機和SCADA軟件等。”

        施耐德電氣設備級防護解決方案可以幫助企業(yè)將信息安全防護功能集成在控制設備上，以最少的資金及人員投入來最大限度地提升工控系統(tǒng)的安全防護能力。設備級防護不僅可以通過模板固件升級、軟件安全輔助功能設置，幫助企業(yè)增強工控設備的信息安全防護能力;還可以通過選擇工業(yè)級管理型交換機，采用“增強型”密碼、關閉未使用端口、端口地址綁定、網絡風暴限制、組播過濾、環(huán)網冗余等一系列具體技術措施，來極大地提升用戶防范物理入侵的能力，增強工控系統(tǒng)的可用性、可靠性和安全性。這種以設備級防護為基礎，“自下而上”逐步推進的安全防護整體解決方案，可以讓企業(yè)擺脫傳統(tǒng)安全解決方案中過于依賴管理政策、制度以及人員能力和操作規(guī)范等諸多不可控因素或不完備設施的條件限制。

         構筑安全 構建未來

         “工業(yè)信息安全需要整個行業(yè)各方協(xié)調、積極配合，并針對行業(yè)應用的實際情況做具體的分析和評估，幫助客戶打造切實可行的安全解決方案。” 施耐德電氣中國區(qū)高級副總裁、工業(yè)事業(yè)部負責人徐駿先生說，“作為工業(yè)控制領域領先者，施耐德電氣一直致力于提升工業(yè)客戶的生產運營安全能力。我們也積極參與到中國工業(yè)系統(tǒng)信息安全的具體實踐中，為中國客戶提供更加有效和全面的工業(yè)信息安全解決方案。”

        2012年，施耐德電氣莫迪康昆騰系列PLC信息安全解決方案通過了中國國家信息技術安全研究中心的權威檢測，體現(xiàn)了施耐德電氣設備級安全防護解決方案的有效性。從2013年1月起，施耐德電氣開始協(xié)助國內某大型電力集團，提升其下屬企業(yè)的信息安全防護水平，通過實踐，驗證了施耐德電氣深度安全防御解決方案的可行性和安全性。今后，施耐德電氣將繼續(xù)致力于為中國客戶提供安全、可靠、完善的信息安全解決方案，為中國工業(yè)領域信息安全作出應有的貢獻。