5年前，當整個(gè)社會(huì )對節能增效并未給與相當的熱情時(shí)，施耐德電氣就先于其它同類(lèi)企業(yè)，率先在業(yè)內倡導節能增效的理念，并將自己定位于“全球能效管理專(zhuān)家”， 5年后的今天，節能增效已經(jīng)成為一個(gè)時(shí)代的話(huà)題，而施耐德電氣也早已“功成名就”，用施耐德電氣高級副總裁、工業(yè)事業(yè)部中國區負責人徐駿的話(huà)說(shuō)“就是嘗到了甜頭” 。

   今天，新的話(huà)題正在悄悄地生根發(fā)芽……

   2010年“震網(wǎng)”事件的發(fā)生，使工業(yè)控制系統面臨著(zhù)嚴峻的信息安全考驗。而工業(yè)控制系統所主要應用的行業(yè)，如電力、石化、軌道交通、冶金等的特殊性使這一問(wèn)題急劇升溫，迅速上升至國家戰略高度。就在此時(shí)，業(yè)內得到消息：施耐德電氣的莫迪康昆騰PLC產(chǎn)品率先通過(guò)中國兩家權威測評機構：國家信息技術(shù)安全研究中心和中國電力科學(xué)研究院的雙重信息技術(shù)產(chǎn)品安全性檢測，成為目前國內首家也是唯一通過(guò)并獲得此類(lèi)檢測認可的PLC產(chǎn)品系列。
     
                        
                    施耐德電氣高級副總裁、工業(yè)事業(yè)部中國區負責人徐駿

   毋庸多說(shuō)，這個(gè)“雙料安全認證”等于向業(yè)內宣布：施耐德電氣PLC產(chǎn)品可以有效地增強工控設備的信息安全防護能力，滿(mǎn)足中國用戶(hù)提升工業(yè)系統信息安全的迫切需要，并為國家相關(guān)管理部門(mén)部署和落實(shí)加強工業(yè)信息安全的實(shí)施工作提供了強大的技術(shù)保障。

   毫無(wú)疑問(wèn)，在這個(gè)工業(yè)控制系統信息安全的新時(shí)代中，施耐德電氣又一次窺探了先機，走在了行業(yè)的前面。正如徐駿所言：“關(guān)于節能增效，施耐德電氣有著(zhù)非常成功的經(jīng)驗，我相信如今的信息安全問(wèn)題也會(huì )和節能增效走過(guò)一樣的歷程，從并不被關(guān)注到廣為重視，從企業(yè)被迫接受，到獲得社會(huì )效益和經(jīng)濟效益的雙重回報，從而產(chǎn)生發(fā)自?xún)刃牡男枨?。在這個(gè)過(guò)程當中，施耐德電氣愿意敢為天下先，做工業(yè)控制系統信息安全事業(yè)的呼吁者、參與者和推動(dòng)者。”

  主動(dòng)參與——三級縱深防御體系 為客戶(hù)提供無(wú)憂(yōu)、零風(fēng)險解決方案

   縱觀(guān)我國整體工業(yè)信息安全現狀，人員缺失、制度形式化和生產(chǎn)與安全的矛盾沖突已成為我國工業(yè)用戶(hù)普遍存在的三大安全困境。對此，施耐德電氣提出了優(yōu)先采用設備級防護、兼顧系統級和管理級防護的三級縱深防御體系，通過(guò)“自下而上”的防御體系推進(jìn)安全防護策略，幫助我國工業(yè)用戶(hù)有效地提升信息安全的整體水平。

  施耐德電氣倡導的信息安全防護策略，包括設備級、系統級和管理級三級縱深防御體系，涉及安全評估和計劃、網(wǎng)絡(luò )分隔、邊界保護、網(wǎng)段分離、設備加固以及監視和更新等多種安全防護措施。其中，設備級防護側重于提升每個(gè)設備的信息安全能力；系統級防護的目標是設計安全的控制系統架構，以增強控制系統的整體信息安全功能；管理級防護的作用是規范管理、完善安全策略，加強控制系統的信息安全防護功能。其中設備級防護是施耐德電氣三級縱深防御體系中的核心和基礎。

   “管理級防護會(huì )受到人的因素影響。比如人的素質(zhì)、人的操作疏忽等等，都可能導致信息安全問(wèn)題的發(fā)生。另外，本身存在信息安全隱患的設備整合到系統中，也會(huì )導致‘帶病上崗’的現象。”徐駿進(jìn)一步解釋?zhuān)?ldquo;通過(guò)將信息安全功能集成到設備本身，將大大提升工控系統的防護能力。尤其是對于那些不具備系統級防護和管理級防護能力的工控系統，我們更建議用戶(hù)采用設備級防護，比如 PLC、以太網(wǎng)交換機和SCADA軟件。”

  這便是施耐德電氣提出的三級縱深防御安全解決方案，徐駿告訴記者：“施耐德電氣提供的解決方案需要解決設備、系統和管理三個(gè)方面的問(wèn)題。我們希望提供給客戶(hù)一個(gè)無(wú)憂(yōu)的、零風(fēng)險的解決方案。”

   積極推進(jìn)——參與國內認證和標準的制定，將先進(jìn)經(jīng)驗帶到中國

  在徐駿的眼中，產(chǎn)品和系統的準備只是施耐德電氣在工業(yè)信息安全之路上的基礎工作。接下來(lái)，盡快建立本地化的認證實(shí)驗室，制定國內行業(yè)標準等工作才是當務(wù)之急。

  然而，這并不是一蹴而就的事情，徐駿用“持續地螺旋式上升”來(lái)形容這個(gè)過(guò)程。“就比如這次昆騰PLC產(chǎn)品的認證過(guò)程，我們主動(dòng)將產(chǎn)品拿去送檢，發(fā)現問(wèn)題就盡快解決，并再次進(jìn)行測試，最終才能獲得‘雙料安全認證’。這是一個(gè)不斷自我否定，自我提升的循序漸進(jìn)的過(guò)程。”據徐駿透露，未來(lái)，施耐德電氣會(huì )陸續將其它產(chǎn)品送檢，并和相關(guān)信息安全測評機構合作，在新產(chǎn)品發(fā)布后，堅持送檢，通過(guò)并獲得相關(guān)認證。

   其實(shí)，施耐德電氣公司在美國很早就建立了信息網(wǎng)絡(luò )安全的認證實(shí)驗室，這個(gè)實(shí)驗室的服務(wù)對象是施耐德電氣全球銷(xiāo)售的所有產(chǎn)品。任何在全球，包括在中國發(fā)布的產(chǎn)品，必須都要經(jīng)過(guò)這個(gè)實(shí)驗室的認證測試。這便是當前信息安全領(lǐng)域最高端的認證：Achilles認證體系。雖然有一個(gè)不爭的事實(shí)擺在眼前：每個(gè)國家的國情不一樣，尤其在客戶(hù)使用規范和應用上可以說(shuō)相差甚遠，也就是說(shuō)，即便在中國發(fā)布的產(chǎn)品已經(jīng)接受了全球化的認證，若想在中國市場(chǎng)“落地”，也需要通過(guò)本地化的認證。所以，施耐德電氣也正在考慮與國內的測評機構共建實(shí)驗室，來(lái)盡快實(shí)現本地化的認證。

  標準缺失是目前國內工業(yè)信息安全市場(chǎng)最為關(guān)鍵的問(wèn)題。“目前國內并沒(méi)有一個(gè)大家公認的標準體系，標準的缺失嚴重阻礙了整個(gè)工業(yè)信息安全事業(yè)的發(fā)展。而在這方面，施耐德電氣有很多成功的經(jīng)驗和先進(jìn)的理念，我們非常愿意與國內一些權威測評機構和相關(guān)行業(yè)協(xié)會(huì )合作，參與標準的建立和完善。”徐駿進(jìn)一步表示，“作為這個(gè)市場(chǎng)的主要參與者，這是施耐德電氣義不容辭的義務(wù)和責任，我們不僅要確保自身產(chǎn)品、系統的絕對安全，同時(shí)，還要積極參與到整個(gè)標準體系的建立、檢測、認證等工作中去，為我國工業(yè)信息安全事業(yè)的發(fā)展做出應有的貢獻。”

  強烈呼吁——建立一個(gè)產(chǎn)、學(xué)、研的有機生態(tài)圈

  有了敢為天下先的氣魄，有了先進(jìn)的產(chǎn)品和系統解決方案，徐駿還深深地意識到：這并不是一家企業(yè)就可以做成的事情。它需要整個(gè)產(chǎn)業(yè)鏈的通力合作，政府、企業(yè)、大專(zhuān)院校、科研單位、行業(yè)協(xié)會(huì )……缺一不可，“必須建立一個(gè)產(chǎn)、學(xué)、研的有機生態(tài)圈，共同推進(jìn)我國工業(yè)控制系統信息安全事業(yè)的建設。”

   對比主流國家，信息安全問(wèn)題在中國才剛剛起步。徐駿告訴記者，以美國為例，他們的整個(gè)社會(huì )對于信息安全問(wèn)題的意識都要強于我國，這個(gè)社會(huì )意識不僅是政府單方面的，還包括企業(yè)、科研等機構在共同驅動(dòng)，自下而上的力量非常強大，體現出來(lái)的是企業(yè)發(fā)自?xún)刃牡男枨?。而就中國目前的現狀來(lái)看，似乎主要是政府“一廂情愿”，而企業(yè)多是被迫接受。

   除此之外，長(cháng)效機制的落實(shí)也是徐駿擔心的一方面，“國外企業(yè)將工業(yè)控制系統信息安全這項工作當作是一個(gè)長(cháng)期持續的過(guò)程，希望我國不要把這個(gè)事情只當做一個(gè)整改，一項運動(dòng)來(lái)看，而是要長(cháng)期堅持地做下去，這就需要長(cháng)效機制的建立，需要監管機制的建立等。”

   事實(shí)上，無(wú)論是提高客戶(hù)的意識還是長(cháng)效機制的落地，都需要強調協(xié)同的力量，就如徐駿所說(shuō)的：“在意識理念和規章制度落地的過(guò)程中，我們需要強調的是整個(gè)產(chǎn)、學(xué)、研三位一體的完整體系的建立。在此，我也代表施耐德電氣呼吁，希望在政府的指導下，廣大企業(yè)、用戶(hù)、行業(yè)協(xié)會(huì )等在這個(gè)過(guò)程中緊密合作，將工業(yè)控制系統信息安全的隱患逐漸消除，為提升我國信息安全技術(shù)整體水平，推動(dòng)我國信息安全管理水平更進(jìn)一步而不懈的努力！”

  歷史總有著(zhù)驚人的相似。數十年前，施耐德電氣正是憑借PLC產(chǎn)品在自動(dòng)化領(lǐng)域奠定了領(lǐng)導地位。如今，站在新的歷史起點(diǎn)，莫迪康昆騰PLC產(chǎn)品率先通過(guò)“雙料安全認證”，仿佛是經(jīng)歷了一場(chǎng)輪回，使施耐德電氣再次回到了起跑的原點(diǎn)，這或許將預示著(zhù)施耐德電氣在工業(yè)信息安全市場(chǎng)的新一輪崛起。

  采訪(fǎng)后記：

   徐駿，1998年8月加入施耐德電氣，就在他加入這家世界500強企業(yè)的第14年——2012年，他迎來(lái)了自己事業(yè)上的又一個(gè)新的高度——正式出任施耐德電氣工業(yè)事業(yè)部中國區負責人。這個(gè)來(lái)自中國上海，畢業(yè)于上海交通大學(xué)自動(dòng)控制專(zhuān)業(yè)的高材生在采訪(fǎng)中充分彰顯了他作為一名外企高管的強烈使命感和責任感。采訪(fǎng)中，他多次提到，“施耐德電氣來(lái)到中國，并不純粹是為了做業(yè)務(wù)，更重要的是，希望能夠為國民經(jīng)濟領(lǐng)域核心技術(shù)的提升貢獻力量。施耐德電氣率先提出了‘中國原創(chuàng )’戰略，我們不僅要將國外先進(jìn)的技術(shù)引進(jìn)中國，更要將中國的特殊需求以及核心技術(shù)反哺至全球。”事實(shí)上，這個(gè)施耐德電氣全球最年輕的高管，需要思考的不僅是如何帶領(lǐng)中國團隊進(jìn)一步拓展本地工業(yè)自動(dòng)化市場(chǎng)，還要面臨一個(gè)巨大的挑戰——打開(kāi)一個(gè)全新的工業(yè)信息安全市場(chǎng)，或許，這才是他彰顯能力的最淋漓盡致的一次表演。 

   摘自《自動(dòng)化博覽》2013年11月