DS200SLCCG1AFG

更新时间: 2023-07-19

目前，业界一般采用的信息安全策略是纵深防御策略的6大步骤：安全计划、网络分隔、边界保护、网段分离、设备加固以及监视和更新。理论上，企业通过“自上而下”实施该策略就可以实现企业信息安全。但在实际整改工作中，施耐德电气发现采用通用的纵深防御策略不能有效的应对电力企业面临的“安全困境”。因此，我们在通用纵深防御策略的基础上，推出了三级纵深防御体系来帮助电力企业解决实际问题。

　　施耐德电气三级纵深防御体系是以设备级防护为主导、兼顾系统级和管理级防护，“自下而上”部署全方位的信息安全策略。其中，设备级防护侧重于提升每个设备的信息安全防护能力;系统级防护的目标是设计安全的系统架构，来增强控制系统的整体信息安全功能;管理级防护的作用是规范管理、完善安全策略，增强控制系统的信息安全水平。而设备级防护是三级纵深防护体系中的核心和基础。

　　与自上而下的通用纵深防御策略不同，施耐德电气强调自下而上、以设备级防护为核心的安全策略。它在电力企业的实际应用中表现出三个方面的优势：

　　**：增强控制系统每个单体设备的信息安全防护，避免设备“带病上岗”，同时方案部署也不会对企业工控系统的正常活动产生影响。而采用自上而下的方案，则有可能会影响到安全生产，这是企业**关注的决定性因素。

　　第二：减少对人员**技能的依赖。设备级防护，普通的维护人员就可以完成。而在自上而下的策略中，系统级、管理级的信息安全维护，对人员的**技能要求很高。

　　第三：设备级防护，不需要大量资金投入。而从上而下的安全策略则要求企业购买相应的防护产品，如防火墙、网闸等，包括完善整个入侵检测、入侵防护体系，需要大量资金投入。

　　针对电力企业的安全整改，施耐德电气的经验可以概括为：电力企业在不具备条件的情况下，可以“自下而上”地优先部署设备级防护。当各种条件成熟后，电力企业再进一步实施设备级、系统级和管理级三级纵深防御体系，来提升整个企业信息安全的全面防护水平。