生物制藥企業工業控制網絡等保設計與應用

雷東 蔣井明 劉大明

蘭州生物制品研究所有限責任公司 甘肅 蘭州 730046

引言

現階段，生物制藥企業在工業控制網絡等保設計管理過程中需要首先參考《網絡安全等級保護基本要求GB/T22239-2019》相關要求，并結合自身的運作管理需求，結合行之有效的管控方式、管控手段，建立起數據安全管理結構，完善整個體系中的各監測管理流程，同時優化網絡體系中的各控制節點，保障數據信息安全。

1 工業控制網絡的概念

在當今智能制造領域，企業需要依托成熟完善的工業控制網絡體系，對經營運作流程、經營管理方式進行更加細致深入地優化改善，工業控制網絡系統在交通、工業生產、電子商務等多個領域得到廣泛使用，工業控制網絡涉及較多的控制單元，如集散控制系統、分散控制系統、分布式控制系統，期間需要依托成熟完善的控制器局域網，結合載波監聽、多路訪問、沖突檢測等專項控制手段、控制措施，整合多項協議數據單元，實現對整個體系中結構化、半結構化數據資料進行更加科學高效地管理控制。傳統工業控制網絡結合半雙工通信機制可在兩個方向進行數據傳遞，工業控制網絡系統需要結合介質防控，實現設備之間的專項管理管制，在生產管理過程中，工作人員、技術人員需要嚴格把控自動控制裝置之間的多項數據信息，如數據串行、多點通信，實現現場總線管理。

而在現場總線管理活動中則需要結合多樣化的系統軟件，如主態工具軟件、設備功能軟件、設備接口、通信軟件、監控組態軟件等，用戶需要根據自身的實際使用需求來完成對各軟件體系、軟件系統的開發控制。最為關鍵的是，在工業控制系統中需要實現模擬數據編碼，而常見的3種編碼包含ASK、FSK、PSK，在互聯網層、傳輸層、應用層實現對數據信息多維度、多層次地管理控制。總體來說，工業控制技術在當今數字化、信息化時代可實現對數據信息更加高效地管理、管制，對于實現智能化、柔性化生產具備較大的現實意義。在網絡技術、開放式技術的加持下，傳統的工業網絡控制系統不再是以孤立的形式存在，依托完整全面的IT網絡實現工業自動化控制是必然的發展趨勢，但是在此期間相關企業單位在工業控制網絡的設計管理環節則應當考慮其中潛在的控制安全風險問題，對其中諸如操作系統的漏洞、軟件漏洞、RTOS漏洞、ODAY漏洞以及數據竊取、盜取等風險問題進行嚴格控制。

2 生物制藥企業工業控制網絡等保設計方案

2.1 安全設計的原則

保障工控安全是生物制藥企業在當今自動化、數字化生產管理活動中的重點工作任務，具體來說，生物制藥企業在生產管理活動中需要借助各項機密性的生產資料、生產文件，如專利、核心技術、各原材料的配方、工藝、生產加工流程進行專項控制，因此建立起實時高效的網絡安全管理體系，保障生產資料的安全穩定對于實現工業企業的業務發展具備顯著的功效[1]。在此期間，工業企業需要完善現有的網絡架構，而相關網絡架構需要承擔起生物制藥企業基本的業務管理需求，比如企業需要確保網絡帶寬能夠滿足企業后續產能擴張的生產管理需求，實現對關鍵線路點位的改善設計，滿足數據交換以及數據安全管理的分段控制需求訴求；其次，數據信息數據管理也應當具備保密性，在數據傳輸、儲存管理過程中，工業控制網絡與外部網絡的接觸點位進一步增多，從而導致數據信息的發送、接收、儲存存在較多的安全隱患點位，一旦信息遭受篡改或攻擊，工業控制網絡中的預測機制、預警機制應當發出基本警示的作用，快速反饋信息，保障數據安全。

2.2 現場總線設計

工業控制網絡需要實現對生物資料以及企業生產管理流程中人、機、料、法、環各種信息資料的綜合處理控制，因此結合現場總線技術的使用是必不可少的，在工業網絡設計過程中，相關企業單位應當致力于提升現場通信服務管理水平，結合數字化通信網絡系統，在開放互聯網絡架構中實現現場設備的互聯互通，在此期間相關單位應當對其中的結構與功能高度分散的系統進行嚴格管控，保證設備信息、設備資料的傳輸傳遞具備互操性、互換性，能夠實現數據服務之間的有效對接。而為了保障現場總線技術能夠發揮出實際價值和作用，企業單位也應當將其中的服務與協議關系進行全新定義，具體來說，數據服務與底層協議存在兩種不同的管控重心以及不同的原理概念，在服務管理層面可完成細致深入地操作、管控，但是服務用戶以及服務提供者均存在較大的差異，而協議是通信同層對等實體之間交換報文、分組格式以及意義的規則。在總線管理活動中，生物制藥企業需要對其中的服務與協議進行科學高效地定義，將兩者完全分離開來，在操作層面以及管理層面實現安全管控。

2.3 邊界安全設計

邊界安全設計是工業控制網絡安全管理工作中的重點和要點，在邊界安全管理過程中主要是實現邊界隔離、訪問控制，對外來入侵以及病毒進行實時高效地防范。最為關鍵的是，在邊界安全設計過程中還需要完善現行安全審計機制。

在邊界隔離控制環節，企業需要防范非法客戶端對內部數據信息進行訪問，為此企業可以結合授權管理模式，對外聯訪問的形式以及人員名單進行有效控制，保障企業在對外連接網絡的過程中實現對內部網絡系統的有效安全保護；針對入侵及病毒的威脅，可以對網絡層面以及整個設備體系中的各結構組成部分進行細致深入地網絡病毒查殺，對其中潛在的計算機主機感染風險進行有效控制；而為了徹底地解決網絡隱患，企業則應當在工業控制網絡安全設計過程中制定行之有效的追蹤機制，對非法攻擊、非法訪問的行為采取有效的跟蹤管控，及時采集數據信息，對其中關鍵數據信息的流入流出節點進行專項審計分析，實現網絡攻擊行為的高效評判，必要時則需要通知公安機關采取強制性的保障手段，給予非法入侵行為嚴厲的打擊。

2.4 完善工業控制軟件設計體系

工業軟件自身的安全等級決定著工業企業在生產管理過程中的安全運作效率，生物制藥企業在工業控制網絡安全管理以及等保設計管理過程中應當嘗試結合全新的軟件工程技術，對其中的軟件漏洞進行動態化、高效化地管制，在軟件控制方面，生物制藥企業需要結合嵌入式軟件漏洞等相關技術，結合擬態工業控制器，實現對各項安全數據信息、安全算法更加高效地使用管控，為此生物制藥企業可以結合針對CPS廣義功能安全問題處理的控制技術，嚴格參照工業控制系統網絡安全防護管理法則，完成對整個系統架構的構建和打造，參照工業現場協議管理標準，引入數字化模擬，復制擬態控制場景，還原安全管理結構，從而完成對關鍵軟件應用的開發[2]。

除此之外，在工業軟件設計過程中，生物制藥企業也需要強化整個系統的防御機制，增強系統的學習功能，比如可以結合人工智能系統中的專家控制機制，使得整個工業控制網絡軟件系統具備基本的學習能力，能夠應對常態化的網絡攻擊，并且對曾經遭受過的網絡攻擊行為進行專項記錄，建立起安全管理臺賬，減輕在網絡安全管理過程中的人力、物力、財力的投入。此外，在工業軟件訪問端口的設計層面，設計人員則需要參照網絡密碼管理架構，對其中密碼應用的關鍵技術進行細致深入地管理控制，推動密碼應用在工業軟件體系中的落地推廣，比如可以結合CPK組合方式，借助靜態以及動態密匙，實現對整個工業控制網絡系統安全問題以及訪問權限問題的有效管控，從源頭保障工業數據信息的安全。

并且在系統軟件設計管理過程中也需要適當地結合供應鏈數據安全管控模型，同時借助區塊鏈技術，構建成熟完善的安全管理架構，結合邊緣服務系統的設計理念、設計思想，完善邊緣控制。總體來說，在工業軟件安全設計管理過程中，生物制藥企業需要參照自身的功能使用需求，對其中的安全保障架構、安全保障協議、安全保障密匙以及加密組合結構進行細致深入地管理。結合行之有效的數據算法，構建起成熟高效的工業控制網絡軟件體系，對其中的系統應用進行安全管理、安全控制。

3 生物制藥企業工業控制網絡安全的應用實踐

3.1 監測管控

生物制藥企業結合工業控制網絡系統可實現對整個生產流程、生產細節部位實時高效地監督、管理、管控，在此期間，相關企業單位需要部署監管平臺，對其中的安全產品進行統一高效地管理，可結合網絡控制體系，收集各設備、各流程在運作過程中的各項數據信息，建起專項日志管理體系，使得平臺系統能夠實現集中控制、統一部署，保證數據安全、設備安全[3]。因此利用工業控制軟件，結合工業控制網絡系統，可實現對整個管理日志、生產細節的統一高效控制。除此之外，工程人員、技術人員也需要部署工業主機衛士軟件，對企業中的操作站、操作節點進行高效化管控，對其中的PE文件，加固策略以及安全管理級別進行有效設置，防止病毒、木馬等惡意軟件的非法利用，實現對整個運作周期、運作流程的安全保障。在工業控制網絡體系中，操作站、工程人員以及各項服務器、機構均應當實現有效串接、銜接，在全監督管理過程中發揮出協同合作的作用，比如設置白名單、黑名單，對整個運行過程進行安全檢測、安全控制，保證整個系統的運作具備穩定性、全面性。

3.2 全流量解析

生物制藥企業中的網絡流量一直作為工控系統通信的重要隱形參數，如缺少相應的流量檢測能力很難在日常的網絡安全管理中發現應用或內部流量攻擊所引起的生產事故。因此基于等保的相關合規要求用戶需要確保網絡環境中的流量資源滿足當前的生產業務通訊要求，同時需要實時的監控其資源變化的狀態，及時的發現流量的資源異常，異常包括：具體協議、具體主機、具體的鏈路等。在保障及監控網絡流量的同時，工控系統還需要借助鏡像流量進行深入的解析，已發現應用層以上的安全威脅，特別是基于工業私有協議（如“modbus，OPC,S7等”）的安全風險，工業協議本身存在著其私有性和高風險特性，一旦被攻擊者篡改，相關的工控設備將直接被攻擊者控制并產生非常嚴重的后果。因此需要對現有工控網絡中的指令集進行檢測、審計并形成基于生產業務的指令級基線，通過流量中審計記錄形成的安全基線可以形成全流量的白環境，實現對于內部流量的全面安全監控。

3.3 安全態勢感知

安全態勢感知是工業控制網絡系統在運作過程中的核心要素，在此期間，生物制藥企業需要對核心交換機進行精細化、精益化地管理，對其中的安全設備、安全日志進行核查分析，完成關聯控制、安全預測、預警，從另一個層面，結合安全態勢感知系統，可實現對整個工業控制網絡體系中的各項設備信息進行主動掃描，對其中潛在的漏洞隱患問題進行有效識別，同時也能夠通過模擬量控制，對整個生物制藥管理流程中所涉及的關鍵資源支出、流入的節點進行關聯分析，實現綜合控制，并且也可通過對現有的生產體系、業務流程、安全管理架構、安全數據、安全資料的專項控制，結合可視化管理模式、管理方法有效預測未知攻擊，并且也可分析、量化現行管理運作系統中存在的低效率、高能耗的問題點。總體來說，工業控制網絡系統所具備的態勢感知功能相對較為強勁，可對生物制藥企業中出現的各個網絡節點以及網絡安全風險問題實施有效地管理管制。

4 結束語

總體來說，生物制藥企業工業控制網絡等保設計、安全管理、安全控制涉及較多的流程。在安全管理過程中，生物制藥企業應當嘗試優化現行管理結構，同時保障各管理組織能夠正常高效地運作，結合行之有效的控制方法，提高整個體系的綜合運作水平。