技術(shù)的發(fā)展都會有兩面性：給企業(yè)帶來的種種便利的同時，也會帶來病毒、木馬、黑客等對系統(tǒng)帶來的威脅。而工業(yè)控制領(lǐng)域也是如此，工控系統(tǒng)中通用協(xié)議和技術(shù)的廣泛應(yīng)用減弱了控制系統(tǒng)與外界的隔離，使系統(tǒng)的安全性時時遭受來自外界的考驗。去年，國家*公布的《2013年國家信息安全專項有關(guān)事項的通知》中，強調(diào)工業(yè)控制系統(tǒng)信息安全是國家重點支持的四大領(lǐng)域之一，這也意味著打響工業(yè)信息安全的保衛(wèi)戰(zhàn)刻不容緩。
　　
　　如何選擇防御體系
　　
　　縱觀當(dāng)前行業(yè)的發(fā)展，工業(yè)客戶對于工業(yè)信息安全除了認知方面的不足，往往還面臨人員缺失、制度形式化和生產(chǎn)與安全的矛盾沖突等一系列困境，而選用實際又實用的產(chǎn)品或解決方案，成為企業(yè)推進工業(yè)信息安全前行的*步。
　　
　　工業(yè)信息安全的實現(xiàn)是一個系統(tǒng)工程，多層次的防護是必要的策略?，F(xiàn)在，業(yè)界多數(shù)主流供應(yīng)商普遍采用的是“自上而下”的縱深防御體系，遵循安全計劃、網(wǎng)絡(luò)分隔、邊界保護、網(wǎng)段分離、設(shè)備加固以及監(jiān)視和更新6大步驟，側(cè)重于管理級、系統(tǒng)級安全功能的強化。“自上而下”的解決方案看似能實現(xiàn)企業(yè)信息安全，而在實施過程中卻存在很多缺陷。首先，優(yōu)先實現(xiàn)管理級、系統(tǒng)級的安全功能，需要企業(yè)投入大量資金進行軟硬件設(shè)備的建設(shè)，不是所有的客戶都有這樣的實力或意愿進行投資。其次，對于本身存在信息安全缺陷的工控設(shè)備來說，“自上而下”的防護只是一些外圍防護措施，并沒有從根源上消除信息安全的隱患，相關(guān)工控設(shè)備還處在“帶病上崗”狀態(tài)。其三，通常工業(yè)企業(yè)使用的工控設(shè)備類型多、數(shù)量龐大，單純依靠管理級、系統(tǒng)級的防護很難確保每一臺單體設(shè)備的安全性。zui后，企業(yè)現(xiàn)場的差異化，決定了管理級、系統(tǒng)級的信息安*方案定制化、私有化的程度非常高，不利于方案后續(xù)應(yīng)用推廣。所以“自上而下”實施信息安全防御策略解決方案，不能突出實用性和有效性。為此，市場上一種稱之為“自下而上”的安全策略也應(yīng)運而生。
　　
　　“自下而上”的安全策略強調(diào)以設(shè)備級防護為基礎(chǔ)，兼顧系統(tǒng)級和管理級防護。其中設(shè)備級防護側(cè)重于提升每個設(shè)備的信息安全防護能力；系統(tǒng)級防護的目標(biāo)是設(shè)計安全的控制系統(tǒng)架構(gòu)，以增強控制系統(tǒng)的整體信息安全功能；管理級防護的作用則是規(guī)范管理、完善安全策略，增強控制系統(tǒng)的災(zāi)難恢復(fù)和數(shù)據(jù)備份等功能。“自下而上”的部署，其意義在于通過將信息安全功能集成到設(shè)備本身，實現(xiàn)“細胞級”安全，企業(yè)因此可以擺脫傳統(tǒng)安*方案中對于管理政策、制度以及人員能力和操作規(guī)范等諸多不可控或不完備條件限制的過度依賴，減少投資，并能夠在短期內(nèi)迅速提升企業(yè)工控系統(tǒng)信息安全防護水平，并為逐步實施完整的縱深防御安全策略奠定基礎(chǔ)。特別是對于當(dāng)前那些數(shù)量眾多，不具備系統(tǒng)級防護和管理級防護能力的工控系統(tǒng)，設(shè)備級防護就顯得非常理想。在目前國內(nèi)工控信息安全安全策略部署的成功案例還不多見的背景下，施耐德電氣打造的“自下而上”三級縱深防護體系已經(jīng)擁有了多個成功案例。
　　
　　如何選擇工控設(shè)備
　　
　　根據(jù)設(shè)備級防護策略，工控系統(tǒng)中應(yīng)用的PLC、以太網(wǎng)交換機和SCADA軟件等工控設(shè)備都可以變身為捍衛(wèi)信息安全的衛(wèi)士。例如，通過模板固件升級、軟件輔助功能設(shè)置來增強工控設(shè)備的信息安全防護能力，通過設(shè)置工業(yè)級管理型交換機的安全參數(shù)，如采用“增強型”密碼、關(guān)閉未用端口、端口地址綁定、網(wǎng)絡(luò)風(fēng)暴限制、組播過濾等一系列具體技術(shù)措施、采用以太網(wǎng)環(huán)網(wǎng)提升網(wǎng)絡(luò)的容錯能力等方案，極大地提升工控系統(tǒng)防范物理入侵能力，提升工控系統(tǒng)的可用性。
　　
　　從2011年*451號文件《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》中明確指出，有關(guān)的國家大型企業(yè)要慎重選擇工業(yè)控制系統(tǒng)設(shè)備，到近期，國家相關(guān)主管部門針對國有大型企業(yè)工業(yè)控制設(shè)備選型的安全性要求日趨嚴格，并逐步出臺相關(guān)政策法規(guī)，都可以窺見工控設(shè)備選型的重要性。
　　
　　那么，對于工控設(shè)備應(yīng)如何選擇呢？
　　
　　以電力行業(yè)為例，*安監(jiān)司提出PLC等工控設(shè)備的選用必須參照兩條標(biāo)準：
　　
　　a)禁止選用經(jīng)國家相關(guān)管理部門檢測認定并經(jīng)國家*通報存在漏洞和風(fēng)險的系統(tǒng)及設(shè)備。
　　
　　b)系統(tǒng)和設(shè)備經(jīng)有資質(zhì)的機構(gòu)檢測認定不存在信息安全漏洞和風(fēng)險。
　　
　　對應(yīng)用于重要信息系統(tǒng)(等保定級3級以上)的設(shè)備，宜同時滿足以上兩條標(biāo)準；對于應(yīng)用于一般信息系統(tǒng)(等保定級2級)的設(shè)備，滿足其中一條即可；對于整改的設(shè)備，應(yīng)滿足第二條標(biāo)準。而目前市場上可以同時滿足上述兩個標(biāo)準的只有施耐德電氣UnityQuantumPLC。
　　
　　實際上，在2012年，施耐德電氣*康昆騰系列PLC產(chǎn)品就通過了國家信息技術(shù)安全研究中心和中國電力科學(xué)研究院這兩家國家測評機構(gòu)的安全性檢測，成為國內(nèi)也是目前*通過并獲得此類檢測認可的PLC產(chǎn)品系列。2014年推向市場的新一代*康M580ePLC產(chǎn)品，也通過了中國電力科學(xué)研究院的安全性檢測，這表明施耐德電氣已經(jīng)讓工業(yè)信息安全成為其PLC產(chǎn)品的一個核心功能。據(jù)悉，從2013年初起，施耐德電氣提供給客戶的所有工控產(chǎn)品都已經(jīng)內(nèi)置了信息安全防護功能，使工業(yè)企業(yè)不必依賴其它的安全防護措施就已獲得了符合國內(nèi)相關(guān)法規(guī)要求的、過硬的信息安全保障。而對于此前已經(jīng)在應(yīng)用的工控設(shè)備，該公司也可提供相應(yīng)的服務(wù)，幫助工業(yè)企業(yè)獲得同等的保障。
　　
　　面對科技發(fā)展這把雙刃劍，企業(yè)只有做出有效的應(yīng)對決策才能在規(guī)避可能出現(xiàn)的風(fēng)險，盡享技術(shù)進步的成果。對于工控企業(yè)而言，選擇正確的安全策略和工控設(shè)備，無疑是有效提升信息安全防護水平、減少企業(yè)投入的重要方式。