施耐德电气工业事业部工业信息安全技术总监王斌先生在论坛上发言

工业信息安全一直以来都是工业领域各个厂商及用户关注的焦点，随着网络技术、信息技术的不断延伸，工业信息安全更是成为业内的重中之重。作为工业控制领域的领先者，施耐德电气一直致力于提升工业客户的生产运营安全能力，积极参与到中国工业系统信息安全的具体实践中，为中国客户提供更加有效和全面的工业信息安全解决方案。

在8月8日举办的“2013年工业信息安全用户高峰论坛”上，施耐德电气针对工业控制系统的信息安全挑战，特别提出了设备级、系统级和管理级的三级纵深防御体系，即建议中国企业应该及时提升设备级安全防护能力，兼顾系统级和管理级防护，“自下而上”逐步推进的安全防护策略，从而有效地提升信息安全整体水平。

为了更加深入地了解施耐德电气的三级纵深防御体系，记者与施耐德电气工业事业部工业信息安全技术总监王斌先生进行了面对面的沟通和交流。长期以来，施耐德电气始终将提升工控系统信息安全作为产品设计和研发的关键指标，倡导为客户提供安全可靠的产品及应用并加以实践，也积累了大量中国工业信息安全建设的实践经验。

针对中国工业信息安全的具体情况，施耐德电气发现中国行业客户普遍存在三大安全困境：人员缺失、制度形式化和生产与安全的矛盾冲突。王斌先生表示：中国行业客户在实施信息安全防御策略时需要更加重视解决方案的实用性和有效性。实践证明，现阶段加快提升设备级防护的安全水平，可以有效地减少企业对信息安全人员的专业能力和管理制度的过度依赖。他进一步解释：“设备级防护侧重于提升每个设备的信息安全能力；系统级防护的目标是设计安全的控制系统架构，以提升控制系统的整体信息安全功能；管理级防护的作用是规范管理、完善安全策略，增强控制系统的信息安全功能。这其中，设备级防护是施耐德电气三级纵深防御体系中的核心和基础。”

施耐德电气设备级防护解决方案可以帮助企业将信息安全防护功能集成在控制设备上，以最大限度提升工控系统的防护能力。设备级防护通过模板固件升级、软件信息安全辅助功能设置，帮助企业增强工控设备的信息安全防护能力；通过配置工业级管理型交换机、以太网环网升级等网络升级方案，以及采用“增强型”密码、关闭未用端口、端口地址绑定、网络风暴限制、组播过滤等一系列具体技术措施，可以极大地提升用户防范物理入侵能力，提升工控系统的可用性、可靠性和安全性。王斌先生特别强调：“施耐德电气三级纵深防御体系与其他安全解决方案最大的区别在于是以设备级防护为基础，兼顾系统级和管理级安全，‘自下而上’逐步推进的安全防护整体解决方案，这样最大的优势在于可以让企业摆脱传统安全解决方案中过于依赖管理政策、制度以及人员能力和操作规范等诸多不可控或不完备的条件限制。通过将信息安全功能集成到设备本身，可以大大提高工控系统的防护能力，尤其是对那些不具备系统级防护和管理级防护能力的工控系统，我们更建议用户采用设备级防护，如PLC、以太网交换机和SCADA软件等。”

施耐德电气一直致力于帮助中国所有客户不断提升其工业控制系统的安全性、可用性和可靠性，三级纵深防御体系就是其集多年经验之所成。这种“自下而上”的安全防护体系能够减少企业对于专业技术人员的依赖，同时避免大规模资金和人员的投入。据了解，三级纵深防御体系已经开始推行应用，例如施耐德电气从2013年1月起就开始协助国内某大型电力集团提升其下属企业的信息安全防护水平，通过实践验证了施耐德电气深度安全防御解决方案的可行性和安全性。今后，三级纵深防御体系将可以推广到任何行业，为工业控制信息安全发挥更大的作用。