5年前，当整个社会对节能增效并未给与相当的热情时，施耐德电气就先于其它同类企业，率先在业内倡导节能增效的理念，并将自己定位于“全球能效管理专家”， 5年后的今天，节能增效已经成为一个时代的话题，而施耐德电气也早已“功成名就”，用施耐德电气高级副总裁、工业事业部中国区负责人徐骏的话说“就是尝到了甜头” 。

   今天，新的话题正在悄悄地生根发芽……

   2010年“震网”事件的发生，使工业控制系统面临着严峻的信息安全考验。而工业控制系统所主要应用的行业，如电力、石化、轨道交通、冶金等的特殊性使这一问题急剧升温，迅速上升至国家战略高度。就在此时，业内得到消息：施耐德电气的莫迪康昆腾PLC产品率先通过中国两家权威测评机构：国家信息技术安全研究中心和中国电力科学研究院的双重信息技术产品安全性检测，成为目前国内首家也是唯一通过并获得此类检测认可的PLC产品系列。
     
                        
                    施耐德电气高级副总裁、工业事业部中国区负责人徐骏

   毋庸多说，这个“双料安全认证”等于向业内宣布：施耐德电气PLC产品可以有效地增强工控设备的信息安全防护能力，满足中国用户提升工业系统信息安全的迫切需要，并为国家相关管理部门部署和落实加强工业信息安全的实施工作提供了强大的技术保障。

   毫无疑问，在这个工业控制系统信息安全的新时代中，施耐德电气又一次窥探了先机，走在了行业的前面。正如徐骏所言：“关于节能增效，施耐德电气有着非常成功的经验，我相信如今的信息安全问题也会和节能增效走过一样的历程，从并不被关注到广为重视，从企业被迫接受，到获得社会效益和经济效益的双重回报，从而产生发自内心的需求。在这个过程当中，施耐德电气愿意敢为天下先，做工业控制系统信息安全事业的呼吁者、参与者和推动者。”

  主动参与——三级纵深防御体系 为客户提供无忧、零风险解决方案

   纵观我国整体工业信息安全现状，人员缺失、制度形式化和生产与安全的矛盾冲突已成为我国工业用户普遍存在的三大安全困境。对此，施耐德电气提出了优先采用设备级防护、兼顾系统级和管理级防护的三级纵深防御体系，通过“自下而上”的防御体系推进安全防护策略，帮助我国工业用户有效地提升信息安全的整体水平。

  施耐德电气倡导的信息安全防护策略，包括设备级、系统级和管理级三级纵深防御体系，涉及安全评估和计划、网络分隔、边界保护、网段分离、设备加固以及监视和更新等多种安全防护措施。其中，设备级防护侧重于提升每个设备的信息安全能力；系统级防护的目标是设计安全的控制系统架构，以增强控制系统的整体信息安全功能；管理级防护的作用是规范管理、完善安全策略，加强控制系统的信息安全防护功能。其中设备级防护是施耐德电气三级纵深防御体系中的核心和基础。

   “管理级防护会受到人的因素影响。比如人的素质、人的操作疏忽等等，都可能导致信息安全问题的发生。另外，本身存在信息安全隐患的设备整合到系统中，也会导致‘带病上岗’的现象。”徐骏进一步解释，“通过将信息安全功能集成到设备本身，将大大提升工控系统的防护能力。尤其是对于那些不具备系统级防护和管理级防护能力的工控系统，我们更建议用户采用设备级防护，比如 PLC、以太网交换机和SCADA软件。”

  这便是施耐德电气提出的三级纵深防御安全解决方案，徐骏告诉记者：“施耐德电气提供的解决方案需要解决设备、系统和管理三个方面的问题。我们希望提供给客户一个无忧的、零风险的解决方案。”

   积极推进——参与国内认证和标准的制定，将先进经验带到中国

  在徐骏的眼中，产品和系统的准备只是施耐德电气在工业信息安全之路上的基础工作。接下来，尽快建立本地化的认证实验室，制定国内行业标准等工作才是当务之急。

  然而，这并不是一蹴而就的事情，徐骏用“持续地螺旋式上升”来形容这个过程。“就比如这次昆腾PLC产品的认证过程，我们主动将产品拿去送检，发现问题就尽快解决，并再次进行测试，最终才能获得‘双料安全认证’。这是一个不断自我否定，自我提升的循序渐进的过程。”据徐骏透露，未来，施耐德电气会陆续将其它产品送检，并和相关信息安全测评机构合作，在新产品发布后，坚持送检，通过并获得相关认证。

   其实，施耐德电气公司在美国很早就建立了信息网络安全的认证实验室，这个实验室的服务对象是施耐德电气全球销售的所有产品。任何在全球，包括在中国发布的产品，必须都要经过这个实验室的认证测试。这便是当前信息安全领域最高端的认证：Achilles认证体系。虽然有一个不争的事实摆在眼前：每个国家的国情不一样，尤其在客户使用规范和应用上可以说相差甚远，也就是说，即便在中国发布的产品已经接受了全球化的认证，若想在中国市场“落地”，也需要通过本地化的认证。所以，施耐德电气也正在考虑与国内的测评机构共建实验室，来尽快实现本地化的认证。

  标准缺失是目前国内工业信息安全市场最为关键的问题。“目前国内并没有一个大家公认的标准体系，标准的缺失严重阻碍了整个工业信息安全事业的发展。而在这方面，施耐德电气有很多成功的经验和先进的理念，我们非常愿意与国内一些权威测评机构和相关行业协会合作，参与标准的建立和完善。”徐骏进一步表示，“作为这个市场的主要参与者，这是施耐德电气义不容辞的义务和责任，我们不仅要确保自身产品、系统的绝对安全，同时，还要积极参与到整个标准体系的建立、检测、认证等工作中去，为我国工业信息安全事业的发展做出应有的贡献。”

  强烈呼吁——建立一个产、学、研的有机生态圈

  有了敢为天下先的气魄，有了先进的产品和系统解决方案，徐骏还深深地意识到：这并不是一家企业就可以做成的事情。它需要整个产业链的通力合作，政府、企业、大专院校、科研单位、行业协会……缺一不可，“必须建立一个产、学、研的有机生态圈，共同推进我国工业控制系统信息安全事业的建设。”

   对比主流国家，信息安全问题在中国才刚刚起步。徐骏告诉记者，以美国为例，他们的整个社会对于信息安全问题的意识都要强于我国，这个社会意识不仅是政府单方面的，还包括企业、科研等机构在共同驱动，自下而上的力量非常强大，体现出来的是企业发自内心的需求。而就中国目前的现状来看，似乎主要是政府“一厢情愿”，而企业多是被迫接受。

   除此之外，长效机制的落实也是徐骏担心的一方面，“国外企业将工业控制系统信息安全这项工作当作是一个长期持续的过程，希望我国不要把这个事情只当做一个整改，一项运动来看，而是要长期坚持地做下去，这就需要长效机制的建立，需要监管机制的建立等。”

   事实上，无论是提高客户的意识还是长效机制的落地，都需要强调协同的力量，就如徐骏所说的：“在意识理念和规章制度落地的过程中，我们需要强调的是整个产、学、研三位一体的完整体系的建立。在此，我也代表施耐德电气呼吁，希望在政府的指导下，广大企业、用户、行业协会等在这个过程中紧密合作，将工业控制系统信息安全的隐患逐渐消除，为提升我国信息安全技术整体水平，推动我国信息安全管理水平更进一步而不懈的努力！”

  历史总有着惊人的相似。数十年前，施耐德电气正是凭借PLC产品在自动化领域奠定了领导地位。如今，站在新的历史起点，莫迪康昆腾PLC产品率先通过“双料安全认证”，仿佛是经历了一场轮回，使施耐德电气再次回到了起跑的原点，这或许将预示着施耐德电气在工业信息安全市场的新一轮崛起。

  采访后记：

   徐骏，1998年8月加入施耐德电气，就在他加入这家世界500强企业的第14年——2012年，他迎来了自己事业上的又一个新的高度——正式出任施耐德电气工业事业部中国区负责人。这个来自中国上海，毕业于上海交通大学自动控制专业的高材生在采访中充分彰显了他作为一名外企高管的强烈使命感和责任感。采访中，他多次提到，“施耐德电气来到中国，并不纯粹是为了做业务，更重要的是，希望能够为国民经济领域核心技术的提升贡献力量。施耐德电气率先提出了‘中国原创’战略，我们不仅要将国外先进的技术引进中国，更要将中国的特殊需求以及核心技术反哺至全球。”事实上，这个施耐德电气全球最年轻的高管，需要思考的不仅是如何带领中国团队进一步拓展本地工业自动化市场，还要面临一个巨大的挑战——打开一个全新的工业信息安全市场，或许，这才是他彰显能力的最淋漓尽致的一次表演。 

   摘自《自动化博览》2013年11月