2013年，施耐德電氣配合國內(nèi)某大型電力集團旗下的火電廠實施了工業(yè)信息安全整改，2014年，施耐德電氣繼續(xù)配合國內(nèi)某大型電力集團實施水電廠的工業(yè)信息安全解決方案部署工作。在國內(nèi)系統(tǒng)地部署工業(yè)信息安全安全策略的案例還不多見的背景下，這兩個案例對于幫助工業(yè)企業(yè)認識工業(yè)信息安全問題、了解工業(yè)信息安全解決方案很有價值。施耐德電氣工業(yè)事業(yè)部工業(yè)信息安全首席專家王斌先生，是施耐德電氣工業(yè)信息安全領域的專家，與國家信息技術安全研究中心、中國電力科學研究院等國內(nèi)權威的工業(yè)信息安全測評機構有密切的合作。他對上述兩個案例，以及對工業(yè)信息安全問題，尤其是工業(yè)企業(yè)的認識誤區(qū)、方案實施障礙的介紹，不僅能幫助工業(yè)企業(yè)建立對相關問題的認識，更滲透出了施耐德電氣在工業(yè)信息安全解決方案的實施策略上，與眾不同的思維方式。

　　水電企業(yè)的眾中之選

　　今年工業(yè)信息安全領域的一件大事，是施耐德配合國內(nèi)某大型電力集團進行水電廠的工業(yè)信息安全方案部署。按王斌的話來說，電力企業(yè)不僅對工業(yè)信息安全的要求極為嚴格，其對工控系統(tǒng)連續(xù)生產(chǎn)、可靠性的極高的要求，也會給工業(yè)信息安全解決方案的部署實施帶來很大的難度;而水電企業(yè)計算機監(jiān)控系統(tǒng)的工業(yè)信息安全解決方案部署工作，除了要與電廠自身的工作相協(xié)調(diào)之外，還要與電網(wǎng)電調(diào)系統(tǒng)相互協(xié)調(diào)——經(jīng)過了電力行業(yè)，尤其是水電企業(yè)實施考驗的工業(yè)信息安全解決方案，在其他行業(yè)的應用將是無往而不利的。

　　那么施耐德電氣的工業(yè)信息安全解決方案究竟是如何贏得電力企業(yè)的信任的呢?

　　這還要從2012年說起。當時的國家電力監(jiān)管委員會響應國家將電力行業(yè)列為兩個信息安全試點行業(yè)之一的政策，下發(fā)文件要求對電力行業(yè)信息安全提高重視、加強整改，其中一項重要的工作就是對相關的工業(yè)控制產(chǎn)品進行信息安全的評估。于是在2012年的8月份，施耐德電氣配合國家信息技術安全研究中心、中國電力科學研究院這兩家權威的工業(yè)信息安全測評機構，進行了針對施耐德電氣PLC產(chǎn)品的信息安全測評。而這項工作取得了極大的成功，充分驗證了施耐德電氣相關產(chǎn)品在信息安全方面的可靠性和安全性。因此在2013年，施耐德電氣得以與國內(nèi)某大型電力集團共同合作，對其旗下電廠工業(yè)控制系統(tǒng)進行信息安全整改。

　　此次整改的目標，是針對企業(yè)內(nèi)部的技術人員對工控系統(tǒng)和信息安全的了解得并不深入的問題，在提升電廠的信息安全防護水平的同時，盡量簡化部署方案，優(yōu)化部署流程，尤其是其中雙方配合的內(nèi)容，以期未來其他企業(yè)內(nèi)部的技術人員參照說明文檔，按照模式化的流程即可順利完成本企業(yè)內(nèi)工業(yè)控制系統(tǒng)的信息安全整改工作。本著這一目標，雙方首先在2013年1月份，在一家電廠進行了信息安全整改;而后對整改的方案和流程，包括說明文檔的內(nèi)容進行了優(yōu)化，對雙方的配合進行了進一步的協(xié)調(diào)。繼而在5月份，雙方又在四家電廠進行了信息安全的整改，取得了理想的效果：四家電廠工控系統(tǒng)信息安全整改的全部部署工作在八天內(nèi)完成，并且全部由電廠的技術人員自行按照手冊完成，而這些技術人員對信息安全、PLC知識其實并不熟悉。事實上，雖然這一系列的火電廠信息安全整改涉及的輔控系統(tǒng)，每一套都有十分鐘到兩小時不等的常規(guī)停機時間，但信息安全整改對每套系統(tǒng)的影響時間只有兩分鐘左右。之所以能夠實現(xiàn)如此的簡便和快捷，是因為施耐德電氣的工業(yè)信息安全解決方案，著重瞄準工控設備進行設備級信息安全防護能力的強化。這種方案除了對工控系統(tǒng)的影響小、易于實施、從根本上解決了設備“帶病上崗”的問題以外，還有不需要額外的軟硬件設備支持，因而成本更低的優(yōu)勢。

　　正是因為這一系列的信息安全整改在保證防護效果的同時，沒有給電力企業(yè)帶來投入成本、實施難度，以及對生產(chǎn)的影響上的壓力，國家能源局推進電力企業(yè)信息安全整改的決心得到了有力的支撐，專門下發(fā)文件在整個電力行業(yè)中推廣施耐德信息安全方案部署工作，才有了如今水電企業(yè)與施耐德電氣的合作。目前施耐德電氣正在利用豐水期的時間搭建計算機監(jiān)控系統(tǒng)信息安全方案部署專用仿真平臺，并進行相應的測試工作。待測試工作完成之后，也會像先前火電站的信息安全整改一樣，首先在一臺機組上進行功能性的驗證;而后在枯水期到來后大面積地展開信息安全方案的部署工作。

　　瞄準工業(yè)信息安全的“靶心”

　　工業(yè)信息安全的實現(xiàn)是一個系統(tǒng)工程，多層次的防護是必要的策略，這已經(jīng)是安全服務提供商的共識。施耐德電氣的工業(yè)信息安全解決方案同樣也包含管理層、系統(tǒng)層、設備層三個層次的內(nèi)容。然而施耐德電氣的工業(yè)信息安全解決方案所以能在電力行業(yè)得到成功應用，靠的卻是策略的實現(xiàn)上不同于其他廠商的“靶心思維”。

　　目前，多數(shù)安全服務供應商的解決方案是“自上而下”的，側重于管理級、系統(tǒng)級安全功能的強化。在王斌看來，這種模式有四點缺陷。首先，優(yōu)先實現(xiàn)管理級、系統(tǒng)級的安全功能，對于絕大多數(shù)此前沒有相應的軟硬件設備準備的工業(yè)企業(yè)來說，意味著需要投入大量的成本來進行從無到有的建設，其間投入的人力物力也會比較多。其次，對于本身存在信息安全缺陷的工控設備來說，“自上而下”的防護只是一些外圍措施，并沒有從根源上消除信息安全的隱患，相關工控設備實際上還是處在“帶病上崗”的狀態(tài)下。其三，工業(yè)企業(yè)內(nèi)部涉及的工控設備類型很多、數(shù)量很大，完全依靠管理級、系統(tǒng)級的防護很難保證照顧到每一臺單體設備，而如果顧此失彼，也稱不上真正實現(xiàn)了安全保障。最后，每個工業(yè)企業(yè)使用的現(xiàn)場設備的類型和數(shù)量都不一樣，這決定了管理級、系統(tǒng)級的信息安全解決方案，其定制化、私有化程度將是非常高的，一套方案即使在集團企業(yè)旗下的各個分公司中間也無法推廣，更不要說在某個行業(yè)，甚至整個工業(yè)領域里面了。這種可復制性差的缺陷同樣意味著成本將居高不下;尤其是對于大型的集團性企業(yè)來說，每個下屬單位的方案都要獨立定制，投入壓力之大顯然是難以接受的。

　　而施耐德電氣的工業(yè)信息安全解決方案所以不同，就在于施耐德電氣主張采取“自下而上”的防護策略，也就是說從設備級的防護入手來構建工業(yè)信息安全系統(tǒng)。工控設備的停運、損壞導致生產(chǎn)活動中斷無疑是工業(yè)企業(yè)最為憂心的信息安全事故，那么如何防止這種情況的發(fā)生呢?施耐德電氣給出的答案是，讓關注的焦點回歸到工業(yè)信息安全威脅的“靶心”，即工控設備本身上來，設法提升工控產(chǎn)品自身的信息安全防護能力，從根源上消除工控產(chǎn)品的信息安全漏洞。具體的做法是，在不影響工控設備功能與性能的前提下，將信息安全的功能集成到每一個單體設備上。對于工業(yè)企業(yè)來說，實現(xiàn)了這種設備級的信息安全防護，意味著已經(jīng)獲得了完整的多層次工業(yè)信息安全防護中最核心的部分功能;此后根據(jù)自身情況，在具備了相應的條件和能力時，逐步完善系統(tǒng)級、管理級的輔助策略即可。這種“自下而上”的模式，初期因為不需要額外采購軟硬件設備，因此需要的投入少;工業(yè)企業(yè)只需要針對自身使用的工控設備進行建設，實施的難度也不高;對工業(yè)企業(yè)內(nèi)部的技術人員的能力要求也不高。從2013年初起，施耐德電氣提供給客戶的所有工控產(chǎn)品都已經(jīng)具備了信息安全的功能，工業(yè)企業(yè)使用這樣的工控產(chǎn)品，不必依賴其它的保護措施就已經(jīng)獲得了符合國際國內(nèi)相關法規(guī)要求的、過硬的信息安全保障。最近，施耐德電氣全球首款ePAC產(chǎn)品——莫迪康M580(Modicon M580)通過了中國電力科學研究院的信息技術產(chǎn)品安全性檢測，這是繼2012年施耐德電氣莫迪康昆騰PLC產(chǎn)品成功獲得國家權威信息安全測評機構的安全性認證之后，旗下的最新PLC產(chǎn)品再次獲得權威檢測機構的認可。另一方面，對于此前已經(jīng)在應用的工控設備，施耐德電氣也可提供相應的服務，幫助工業(yè)企業(yè)獲得同等的保障。

　　用靶心思維認識工業(yè)信息安全

　　王斌認為，當前工業(yè)企業(yè)在選擇工業(yè)信息安全解決方案上有所躑躅，是因為對工業(yè)信息安全問題的認識還有所欠缺。隨著兩化融合在工業(yè)企業(yè)內(nèi)部的深入，工業(yè)信息安全問題將會日益凸顯。工業(yè)企業(yè)應當積極地去增進對工業(yè)信息安全的認識，以便在兩化融合的趨勢下規(guī)避信息安全風險、保護自身的利益。

　　(1)認識信息安全威脅

　　王斌將當前工業(yè)企業(yè)面臨的，主要工業(yè)信息安全的威脅分為了六類。其一是信息化與自動化技術的深度融合，推高了操作失誤等人為因素可能造成影響。在一個高度智能化的工業(yè)企業(yè)中，由于操作失誤等人為因素造成工控系統(tǒng)運轉異常，危及企業(yè)的生產(chǎn)、運營是完全有可能的。其二是黑客出于私人目的竊取工業(yè)企業(yè)機密信息的行為愈演愈烈，給企業(yè)帶來的直接、間接經(jīng)濟損失會越來越大。其三是國家和國家之間、企業(yè)和企業(yè)之間出于政治或商業(yè)目的的信息戰(zhàn)會給工業(yè)企業(yè)帶來巨大的威脅。“棱鏡門”、“五只眼情報聯(lián)盟”、“攻擊巨人”等事件已經(jīng)充分說明了這絕不是空穴來風。其四，自然災害、意外情況也可能會造成工業(yè)企業(yè)的信息安全事故。深圳地鐵疑似因便攜式3G路由器信號干擾而發(fā)生故障的事故，在工業(yè)企業(yè)中同樣有可能發(fā)生。其五，日常生活中常見的電腦病毒、木馬、惡意軟件等威脅，對于工控系統(tǒng)來說也同樣存在。

　　最后，也是對于工業(yè)企業(yè)最重要的是，工業(yè)企業(yè)內(nèi)部的控制設備、網(wǎng)絡組件、通訊協(xié)議，尤其是下層工控系統(tǒng)中的一些私有協(xié)議，在信息安全的防護上非常不完善，甚至從工控系統(tǒng)、通訊協(xié)議通用性的角度來說，基本上沒有信息安全防護的能力——以“靶心思維”來審視，這種防護缺陷才是對工業(yè)企業(yè)信息安全的最大威脅。

　　(2)發(fā)現(xiàn)自身的防護缺陷

　　在充分認識了工業(yè)信息安全威脅的基礎上，對于工業(yè)企業(yè)而言更重要的，是發(fā)現(xiàn)自身在信息安全防護上的缺陷。王斌建議對此也要以“靶心思維”來指導，也就是著眼于組成工控系統(tǒng)的幾種主要設備或資產(chǎn)來進行。首先當然是PLC、監(jiān)控軟件等單體設備，第二種是SCADA等應用軟件，第三種是操作系統(tǒng)軟件，第四種是網(wǎng)絡通訊組件，比如防火墻、交換機等。這四種工控系統(tǒng)中的主要設備都可能存在信息安全的缺陷，將視線聚焦在它們之上后，再輔以一定的方法就不難發(fā)現(xiàn)。

　　比如，及時跟蹤設備廠商發(fā)布的漏洞信息是最常見，卻也最易為人忽視的重要手段。最好的例子莫過于微軟作為操作系統(tǒng)廠商，會在每周二針對其流行的操作系統(tǒng)產(chǎn)品發(fā)布新的漏洞信息，以及相應的解決方案。及時關注涉及自身設備的漏洞信息的發(fā)布情況，是掌握自身信息安全缺陷乃至消除缺陷最直接、最簡單易行的手段之一。

　　此外，國際國內(nèi)的一些專門的組織、協(xié)會，也會發(fā)布工控產(chǎn)品的信息安全漏洞信息。比如美國的CERT會在其官方網(wǎng)站上發(fā)布全球主要供應商全系列產(chǎn)品的漏洞信息;國內(nèi)則有中國國家信息安全漏洞庫(CNNVD)。工業(yè)企業(yè)只要登錄這些機構的網(wǎng)站，查詢自身所使用的工控產(chǎn)品的漏洞信息，并加以修復。

　　第三，工業(yè)企業(yè)應當明確所使用的操作系統(tǒng)、應用軟件本身是否具有用戶權限管理的功能，相應功能是否能滿足應用需求，是否已經(jīng)進行了相關的設置。如果答案是否定的，工控系統(tǒng)當然是存在信息安全隱患的。網(wǎng)絡設備的情況也與之類似。以太網(wǎng)交換機、防火墻、網(wǎng)閘、網(wǎng)關等一般都具有一定的信息安全防護功能，但如果工業(yè)企業(yè)因疏忽或其他愿意沒有啟用這些功能，其工控系統(tǒng)的信息安全防護也是存在巨大漏洞的。

　　(3)了解市場的產(chǎn)品、服務供應

　　對于工業(yè)企業(yè)來說，全面了解市場上相關產(chǎn)品、服務的供應情況，是進行工業(yè)信息安全防護決策和實施的基礎。就施耐德電氣而言，能夠為工業(yè)企業(yè)提供的產(chǎn)品和服務囊括了工業(yè)信息安全實現(xiàn)全部四個方面的內(nèi)容。從最初的咨詢環(huán)節(jié)開始，施耐德電氣能夠幫助工業(yè)企業(yè)評估其工控系統(tǒng)的信息安全水平，查找其工控系統(tǒng)存在的信息安全隱患、薄弱環(huán)節(jié)，包括管理制度、軟件、權限設置等方方面問題的測評，并提供信息安全整改的建議。接下來，施耐德電器可以根據(jù)評估的結果幫助工業(yè)企業(yè)設計信息安全防護的解決方案、完善信息安全防護策略并幫助其集成信息安全防護策略。第三方面是針對已經(jīng)投運的工業(yè)信息安全系統(tǒng)，施耐德電氣可以提供維護等一系列支持服務。最后一方面，是施耐德電氣能夠為工業(yè)企業(yè)內(nèi)部的相關人員提供工業(yè)信息安全的培訓。王斌認為，施耐德電氣所提供的工業(yè)信息安全產(chǎn)品、服務基本覆蓋了目前市場上相關供應的各種類型，足以稱為市場整體情況態(tài)的范本;正所謂管中窺豹，可見一斑。

　　消除四大認識誤區(qū)

　　王斌特別提到，目前工業(yè)企業(yè)對工業(yè)信息安全的認識還存在很多誤區(qū)。這些認識誤區(qū)的存在對工業(yè)企業(yè)選擇恰當?shù)墓I(yè)信息安全解決方案有很大的干擾。走出這些誤區(qū)，保證工業(yè)信息安全防護擁有正確的指導思想，對于工業(yè)企業(yè)來說非常有必要。

　　對工業(yè)信息安全最大的的認識誤區(qū)，是認為如果工控系統(tǒng)與與互聯(lián)網(wǎng)等外部的網(wǎng)絡環(huán)境完全隔離，就不存在工業(yè)信息安全問題。王斌接觸過的很多工業(yè)企業(yè)都抱有這樣的觀點。事實上單純的物理隔離并不能成其為可靠的工業(yè)信息安全保障。在2010年的震網(wǎng)病毒事件中，被攻擊的伊朗布什爾核電站的控制系統(tǒng)也是與外部隔離的，但病毒還是通過U盤感染了其控制計算機，最終導致了整個控制系統(tǒng)的癱瘓。這一事件已經(jīng)充分證明了“隔離即安全”觀點的錯誤性，其損失之慘痛值得每一個工業(yè)企業(yè)對這一認識誤區(qū)提起警惕。

　　另一個常見的認識誤區(qū)，是認為工業(yè)信息安全防護是一項一勞永逸的工作，部署了完善的信息安全系統(tǒng)之后，在很長的時期內(nèi)都不會再出現(xiàn)，也不必再關注信息安全問題。實際上，工業(yè)信息安全需要“長治”才能“久安”，其防護是一項長期的工作。信息技術發(fā)展日新月異，當前無懈可擊的信息安全系統(tǒng)，一段時間之后可能就會有新的漏洞被發(fā)現(xiàn)。微軟每周二發(fā)布操作系統(tǒng)漏洞信息及解決方案、工控系統(tǒng)SCADA軟件供應商定期發(fā)布漏洞修復補丁包的舉措，都是例證。如果不持續(xù)地關注和完善，信息安全系統(tǒng)的防護作用會日漸降低。因而陷于“一勞永逸”的誤區(qū)之中，雖然部署了信息安全系統(tǒng)，卻缺失了不斷完善的工作，同樣會使自身處于信息安全風險之中。

　　還有一種認識誤區(qū)，情況與“一勞永逸”類似，那就是盲目投資。有些工業(yè)企業(yè)能夠認識到工業(yè)信息安全防護的意義，但卻沒有能夠把握自身的防護需求，而只是一味地認為高投入打造的信息安全系統(tǒng)必定能夠實現(xiàn)良好的防護效果。懷有這樣的認識，工業(yè)企業(yè)往往會購買一些昂貴的軟硬件防護設備，或者聘請一些專門從事信息安全防護工作的人員來為自己設計、搭建、完善信息安全解決方案。然而這樣的認識其實并不全面。由于每個工業(yè)企業(yè)所使用的工控設備的類型、數(shù)量都不一樣，因而任何一套工業(yè)信息安全解決方案都不能脫離具體的工業(yè)企業(yè)應用去評價其功效。換句話來說，工業(yè)企業(yè)的信息安全解決方案與其用“好與不好”來評價，不如用“合適與不合適”來評價。性能優(yōu)越、功能豐富的信息安全防護產(chǎn)品，也不能覆蓋所有工業(yè)企業(yè)的需求。如果不對自身的需求加以認識，而是盲目地認為“高投入有高回報”，不但自身工業(yè)信息安全的目標不一定能夠實現(xiàn)，還很可能導致購買一些價格昂貴，并且很多功能與自身需求無關的防護設備，或是所購買的防護設備彼此之間功能多有重疊——無論哪種情況都是對投資的浪費。完全地依賴聘請的信息安全防護的專業(yè)人士也是同理，畢竟任何技術人員對信息安全技術與工業(yè)生產(chǎn)的了解都不可能面面俱到。

　　第四種認識誤區(qū)，是對“人的因素”過分依賴。由于震網(wǎng)事件發(fā)生的直接原因，可以歸結為伊朗布什爾核電站的，工業(yè)信息安全管理制度存在疏漏，因而很多工業(yè)企業(yè)產(chǎn)生了這樣的誤解，即只要建立起嚴明的管理制度，就可以實現(xiàn)良好的工業(yè)信息安全防護。擁有完善的管理制度的確可以消除一部分信息安全隱患，但管理制度的落地過于依賴工業(yè)企業(yè)人員素質(zhì)，而由于疏忽、操作失誤，甚至人的情緒等很多不確定因素都可能會造成管理制度落實不到位、信息安全防護效用的可靠性并不像很多工業(yè)企業(yè)設想得那樣高，因此完全依靠管理制度來支撐工業(yè)企業(yè)的信息安全防護是不可行的。實際上，這也正是王斌將管理制度定義為工業(yè)信息安全輔助防護的原因。言及此處王斌特別強調(diào)，通過對建立管理制度這一工業(yè)信息安全防護手段的不足之處的審視，恰恰可以看到“靶心思維”的意義：以消除工控設備信息安全漏洞的設備級防護為核心，輔以系統(tǒng)級和管理級的外圍措施，既能從根源上解決工業(yè)信息安全問題，對投入的要求、對人為因素的依賴又相對較低，對工業(yè)企業(yè)來說無疑是當前最具可行性的方案。

　　方案實施的障礙

　　除了工業(yè)企業(yè)對工業(yè)信息安全問題的認識誤區(qū)之外，工業(yè)信息安全解決方案實施過程中可能遭遇的種種障礙，也會給工業(yè)信息安全防護目標的實現(xiàn)造成不利影響。王斌在與工業(yè)企業(yè)合作的過程中對此印象頗深。具體說來，工業(yè)信息安全實施過程中最主要的障礙和挑戰(zhàn)共有五種。其中最常見的三種是：目前工業(yè)企業(yè)內(nèi)部缺少既具備信息安全知識又了解工控系統(tǒng)技術的人員;很多工業(yè)企業(yè)的信息安全管理制度還不完善，少數(shù)設置了較為完善的信息安全管理制度的企業(yè)，其制度的落實情況也大多不夠理想;工業(yè)企業(yè)大多更關心生產(chǎn)，對于工控系統(tǒng)的重視程度和了解程度都不高，更遑論信息安全系統(tǒng)了，于是往往導致不能很好地處理生產(chǎn)和信息安全整改的關系。

　　第四種障礙是成本上的壓力。工業(yè)信息安全防護的成本不僅限于軟硬件設備的購置、解決方案的實施。由于工業(yè)信息安全防護是一項持續(xù)性和系統(tǒng)性的工作，因此其成本還包括相關技術人員的培養(yǎng)、系統(tǒng)的日常維護、升級等等。也就是說，工業(yè)信息安全防護的成本也是需要長期持續(xù)投入的。這當然會給工業(yè)企業(yè)帶來一定的壓力，從而成為部署信息安全防護策略的障礙。而如王斌所說，也正是因為這個原因，施耐德電氣的“自下而上”的工業(yè)信息安全解決方案，初期投入更低的優(yōu)勢，對于成本壓力承受能力比較低的工業(yè)企業(yè)來說，是更容易接受的實現(xiàn)工業(yè)信息安全防護的可行之路。

　　最后，有一些工業(yè)企業(yè)存在這樣的問題：了解到了自身存在工業(yè)信息安全隱患的事實，也愿意配合工業(yè)信息安全產(chǎn)品的供應商來進行工業(yè)信息安全的評估、整改，但是對于部署了工業(yè)信息安全解決方案是否就能解決工業(yè)信息安全的問題，還心存疑慮，以致于對真正上馬工業(yè)信息安全的防護體系裹足不前。工業(yè)企業(yè)有這樣的疑慮是可以理解的;畢竟信息安全技術的發(fā)展日新月異，部署的信息安全系統(tǒng)能否在未來幾年內(nèi)，甚至十幾年持續(xù)地滿足信息安全防護的需求，工業(yè)企業(yè)希望在做出投資決策之前能夠明確這一點是非常合理的。而之所以沒有解開工業(yè)企業(yè)的這一疑慮，在于供應商在為工業(yè)企業(yè)的信息安全系統(tǒng)提供的持續(xù)支持上做得還不夠，抑或沒能將信息良好地傳遞給工業(yè)企業(yè)。

　　完整價值的最后一環(huán)

　　解開工業(yè)企業(yè)對于部署工業(yè)信息安全解決方案的價值的疑慮，對工業(yè)信息安全產(chǎn)品和解決方案供應商提出了這樣的要求：為工業(yè)企業(yè)提供工業(yè)信息知識、自身工業(yè)信息安全解決方案的介紹，以及工業(yè)信息安全防護系統(tǒng)的維護服務。由此可見，工業(yè)信息安全產(chǎn)品和解決方案供應商能夠、應當為工業(yè)企業(yè)提供的價值，并非只有產(chǎn)品和實施，只有加上服務這一環(huán)才完整。

　　在2013年與國內(nèi)某大型電力集團展開合作時，施耐德電氣就曾為國內(nèi)電力行業(yè)所有的電力集團和測評機構提供過工業(yè)信息安全知識和施耐德電氣的，工業(yè)信息安全解決方案的培訓服務。在培訓開始前，施耐德電氣對接受培訓的技術人員進行了摸底調(diào)查，結果顯示其中60%的人甚至對電力企業(yè)使用的工控系統(tǒng)都不熟悉。而從此后的電廠工業(yè)信息安全整改的結果來看，培訓的效果無疑非常理想：整改由電力企業(yè)的技術人員獨立進行，相關工作完成得非常順利，整改后的工業(yè)信息安全防護效果也通過了電力企業(yè)，以及當時的電監(jiān)會相關領導的驗收。

　　除了直接的培訓之外，施耐德電氣還能為工業(yè)企業(yè)提供工業(yè)信息安全解決方案的文檔支持——完善的培訓教材只是其中的一部分，另外還包括方案實施的指導手冊等。在工業(yè)信息安全整改、相關解決方案的部署中，即使工業(yè)企業(yè)的技術人員對于方案實施培訓的內(nèi)容沒有記全，只要參照指導手冊等文檔資料，按步驟實施，還是能夠順利地完成相關工作。即便在部署中遇到問題，文檔中完善的應對策略，也可幫助技術人員快速定位并解決問題。因此，完善的文檔支持能夠為工業(yè)信息安全解決方案的成功部署提供重要的保證。

　　通過王斌先生的介紹，不難發(fā)現(xiàn)這樣一個事實：不僅是工業(yè)企業(yè)，也包括工業(yè)信息安全解決方案的供應商在內(nèi)，目前工業(yè)領域內(nèi)所有相關企業(yè)所遭遇的，工業(yè)信息安全防護方面的問題，或多或少地都與工業(yè)企業(yè)對工業(yè)信息安全的認識尚不充分有關。任何一種新概念、新產(chǎn)品在市場上的推廣，都要經(jīng)歷這樣一個階段。而施耐德電氣“自下而上”的工業(yè)信息安全實施策略，恰恰是瞄準了在這個階段里，決定著工業(yè)企業(yè)是否易于接受的核心內(nèi)容。其“靶心思維”的方式，相比于技術層面，更可稱是一種市場性的考慮——是站在工業(yè)企業(yè)的角度去審視工業(yè)信息安全解決方案，想工業(yè)企業(yè)所想而得來的;對于現(xiàn)階段推動工業(yè)信息安全防護廣泛地為工業(yè)企業(yè)所認識、接受，具有重要意義。