摘要：随着社会的发展和生活水平的提高,人们对健康的关注程度和要求越来越高,这在一定程度上对制药工业提出高要求，药品作为百姓基本的生活健康保障资源，药品的质量一直是重中之重，当前国家关于药品行业GMP标准也不断地完善。并且伴随着两化融合的持续深入，药企对精益制造、MES系统、数据完整性等的重视程度日益提升。与此同时，制药工控系统生产网络安全也成了药企风险与质量管理的重要一环。本文以制药业展开剖析，探索制药业安全“秘方”——工业控制生产系统网络安全防护。

一、行业背景

当前，以制造业为核心的实体经济是保持国家竞争力和经济健康发展的基础，世界各国都在大力发展智能制造，与此同时全球制造企业面临的网络风险也越来越大。大量工业物联网设备的部署，在增加系统功能、提高生产效率的同时，也带来了许多漏洞，致使暴露的攻击面逐步扩大。加之勒索软件的肆虐，各大制造厂商也遭受了不同程度的损失。

伴随制药信息化与自动化的持续深入，药企对精益制造、MES系统、数据完整性等的重视程度日益提升。与此同时，制药工控系统生产网络安全也成了药企风险与质量管理的重要一环。在当前日益严峻的安全态势下，全球各国越来越多企业重视工控系统网络安全建设，因此如何去做好生产网络安全评估与管理是每家有前瞻性的药企不能忽视的课题，也是亟需去应对解决的一大难题。

制药企业有复杂的制造工艺，对药物产品的特殊性要求有非常严格的过程管控，包括严格的批号管理和精确的生产调度管理等，因此，制药企业的制造执行管理系统（ＭＥＳ）将制药工艺、运行模式等有效结合和管理起来，实现对制药企业的工单、原材料、容器、工艺路线、生产过程控制管理、质量和现场数据采集等核心管理工作。

二、安全现状

制药企业整体网络架构。参照《工业控制系统安全扩展要求》工业企业各层次功能单元映射模型，整体可先划分为IT网与OT网两部分。IT网主要是集团ERP办公网络，包含OA、财务、ERP等功能模块。OT网络主要为MES管理网与现场车间网络。各层级部署汇聚/核心交换机，完成本层向上层间的数据传递。

制药生产车间工控系统存在以下安全风险：

1、生产网工作站风险

生产环境中的工作站缺乏有效的安全防护措施，工作站大量使用老旧操作系统版本且存在大量安全漏洞，并且由于生产控制网络的封闭性，不能及时对这些高危安全漏洞进行漏洞补丁修复；工作站缺乏对软件安装执行的控制，部分工作站上发现与生产无关的软件；生产环境中的工作站缺少外设管控措施，大量工作站存在USB插拔记录，移动介质在管理网和生产网之间交叉使用，难免会感染病毒或恶意代码，进而导致生产系统受到攻击，造成不可预知的风险。

2、生产区网络通信风险

生产网络内缺少安全审计设备，无法对网络中的攻击行为、数据流量、重要操作等进行监测审计，不能对工控协议通信报文进行采集与深度解析,在发生工控通信基线的异常行为时没有告警机制，一旦出现安全事故无法回溯。

3、生产区域边界风险

制药生产车间存在多条生产线，将生产网划分为对应的多个区域，这些区域边界都缺少必要的边界防范措施，生产网各个车间区域内的工控系统通过无线的方式接入工业网络中，不能对从生产网内部或外部发起的已知/未知攻击行为进行实时检测和响应。

4、生产网安全管理风险

生产网中没有建立统一的运维管理平台，无法对运维过程中的日志、操作过程进行记录和审计，缺乏有效的监测和报警措施，这将导致工控出现问题时得不到及时排查。

三、整体方案设计

3.1 设计依据

《中华人民共和国网络安全法》

《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019

《信息安全技术信息安全风险评估规范》GB/T 20984-2007

《计算机信息系统安全保护等级划分准则》GB/T 17859-1999

《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020

《中华人民共和国数据安全法》

《工业控制系统信息安全防护指南》工信部

《关键信息基础设施安全保护条例》国务院令第745号

《工业互联网企业网络安全分类分级管理指南（试行）》（工信厅网安函〔2020〕302号

3.2 纵深防御设计方法

本方案在进行安全体系方案设计过程中，将根据国家信息安全等级保护相关要求，通过分析待建系统的实际安全需求，结合其业务信息的实际特性，并依据及参照相关政策标准，建立了符合待建系统的信息安全保障体系框架，设计安全保障体系方案，综合提升信息系统的安全保障能力和防护水平，确保信息系统的安全稳定运行。根据分区分域防护的原则，按照“一个中心三重防护”的思想，构建工业控制系统安全等级保护纵深防御体系。

按照生产控制系统业务处理过程将系统划分成安全计算环境、安全区域边界和安全通信网络三部分，以计算节点为基础对这三部分实施保护，构成由安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的“一个中心，三重防护”结构。以下为制药工控系统安全防护示意图：

四、解决方案

4.1 安全区域边界

4.1.1边界防护和访问控制

在边界位置部署安全防护产品，用于阻止和降低边界外部安全带来的威胁和风险。能够解决传统安全设备在应用管控、应用可视化、应用内容防护等方面的问题。在OPC服务器与接入交换机之间部署工业防火墙，结合工业控制网络的特点，对工业控制数据包进行过滤，通过白名单机制，学习获取到工业控制系统中传输的协议，支持到使用的类和方法，收集所有传输协议，阻止其他异常流量；在MES与办公网之间部署工业隔离网闸。实现生产网络和办公网络的物理隔离，剥离 TCP/IP 协议和应用协议。

4.1.2入侵防范

在MES网核心交换机处部署入侵检测系统，对制药控制系统的网络入侵行为进行检测，确保第一时间发现入侵及恶意行为，保障制药控制系统的安全。

4.1.3安全审计

通过交换机端口镜像功能以网络旁路的方式部署工业监测审计系统，对制药控制系统中可能存在的攻击行为、数据流量、重要操作等进行监测审计，用于事后回溯和网络分析。

4.2 安全通信网络该部分主要要求分为网络架构、通信传输、可信验证三个部分，主要通过前期的规划与设计完成。建议从以下四个方面着手进行解决：

（1）优化架构

①按照相关政策法规，经过专业规划，确保工业控制系统网络层次清晰；②重要网络链路冗余，带宽和网络设备处理能力满足需要。

（2）分区分域

①将整个工业控制系统分为几个安全域；②恰当的分区分域，适合的安全产品部署，达到最佳的防御效果。

（3）可靠通信

①设备性能稳定；业务高峰不卡顿；Bypass、双机部署防止单点故障；②IPSec/SSL VPN确保可信、加密通信。

（4）安全隔离

①工控系统与企业其它信息系统之间采取单向隔离技术措施；②实时控制网络与其它网络实行物理隔离。

4.3 安全计算环境

4.3.1 终端安全

在现场服务器和终端上部署工业终端安全卫士，采用“白名单”管理技术，通过对数据采集和分析，针对不符合白名单中的行为特征进行阻断或告警，以此避免主机网络受到未知漏洞威胁，同时还可以有效地阻止操作人员异常操作带来的危害。

4.3.2 系统管理

在制药控制系统MES网络交换机上部署运维审计与管理系统，对制药控制系统的运维进行统一的管理、授权，确保所有的运维、管理操作均满足等级保护身份鉴别、访问控制、操作审计的要求。

4.3.3 集中日志审计

日志审计系统旁路部署在核心交换上，实现全网的网络行为的统一审计，收集网络设备、安全设备、主机系统等设备的运行状况、网络流量、用户行为等日志信息，并对收集到的日志信息进行分类和关联分析，并可根据审计人员的操作要求生成统计报表，方便查询和生成报告，为网络事件追溯提供证据。

4.3.4集中管控

对制药控制系统中的相关安全产品进行统一的管理及运维，信息安全管理人员可以通过统一安全管理平台对整个工业控制网内信息安全情况进行统一实时的监控，在第一时间内发现网络安全问题，实现工控风险的动态监测。统一安全管理平台，用于网络内工业防火墙、工业终端安全卫士、工业入侵检测系统等安全设备进行统一管理及维护。