互聯網全連接工廠安全自主可控平臺建設綜述

摘要：依據獨立自主的企業(yè)文化，明確安全管理理念，規(guī)劃出全面趨于完成的IT工業(yè)架構體系，保證以安全體系統(tǒng)管安全，注重體系+流程雙效發(fā)展，實現安全文化、人員職責、制度規(guī)章、風險督查等方面安全措施的有效制定與實施，最終形成零事故的安全穩(wěn)定的信息化環(huán)境。

關鍵詞：流程；工業(yè)安全；兩線三體系；5G；信息安全

doi：10.3969/J.ISSN.1672-7274.2023.02.062

中圖分類號：F 623，TP 3" " " " " " " "文獻標示碼：A" " " " " " " "文章編碼：1672-7274（2023）02-0-03

Overview of the Construction of an Internet Fully Connected Factory Security Autonomous and Controllable Platform

JIANG Ming

（Jiangsu Kangyuan Pharmaceutical Co.， Ltd.， Lian'yun'gang 222000， China）

Abstract： Based on the independent corporate culture， the concept of security management is clarified， and the IT industry architecture system that tends to be completed in an all-round way is planned to ensure the unified management of security by the security system， pay attention to the double effect development of system+process， form the effective formulation and implementation of security measures in terms of security culture， personnel responsibilities， rules and regulations， risk supervision， and ultimately achieve a safe and stable information environment with zero accidents .

Key words： process; industrial safety; two lines and three systems; 5G; information safety

1" 研究背景

本文項目建設的企業(yè)背景：一個集中藥研發(fā)、生產、銷售為一體的大型中藥企業(yè)，建有多個國家級科研平臺；作為國家技術創(chuàng)新示范企業(yè)、國家創(chuàng)新型試點企業(yè)、重要制造過程新技術重點實驗室等，承擔過藥物研發(fā)科技項目50余項[1]。

2" IT信息安全體系打造

2.1 體系建設

全面打造企業(yè)信息安全能力，建設兩線三體系：縱向防護線、橫向防護線，不斷完善信息安全管理體系（總綱、規(guī)范）、信息安全防護體系（安全設備）、信息安全保障體系（安全意識形態(tài)），全面打造信息安全能力，實現“保障為先、提升效率”的安全建設目標[2]。

2.2 安全防護兩線建設

對外網建立邊界安全防護體系，采用AD做核心鏈路負載，通過防火墻、入侵防護、防毒墻、AC設備做好外網的安全防護，防御來自外網的各項網絡攻擊，應對網絡、業(yè)務系統(tǒng)的多樣性、復雜性、開放性、終端分布的不均勻性。

在互聯網、數據中心、工作終端三種區(qū)域之間架設安全隔離設備（見圖1）。一要防范來自互聯網的病毒和攻擊進入工作終端區(qū)域；二要防范來自工作終端用戶的病毒和攻擊進入數據中心區(qū)域。可以將防火墻、防毒墻、網絡隔離閘等安全設備架設在數據中心與工作終端用戶之間。

（1）終端區(qū)域：將所有樓層接入交換機從原來的Cisco45xx核心交換機上剝離，另外增加2臺Cisco Nexus C92160核心交換機，部署為vPC雙機冗余模式，作為所有樓層接入交換機的核心交換機。

（2）分支機構/移動辦公區(qū)域：在分支機構中泰山路廠區(qū)仍然通過專線方式接入Cisco Nexus C92160核心交換機，其他分支機構和移動辦公用戶通過深信服SSL VPN設備建立VPN虛擬隧道接入Cisco Nexus C92160核心交換機。

（3）互聯網區(qū)域：互聯網經過深信服AD、趨勢防毒墻、深信服AC連接到Cisco Nexus 92160交換機，銥迅WAF由于需要保護網站系統(tǒng)，所以仍然放置在數據中心區(qū)域。

（4）數據中心區(qū)域：將終端區(qū)域的設備剝離以后，原來的2臺Cisco45xx交換機僅作為服務器接入核心交換機，數據中心區(qū)域中只有服務器和部分安全設備。

另外增加2臺深信服AF NGAF2020防火墻配和2臺趨勢防毒墻，上述設備兩兩配置為HA模式，部署在兩套核心交換機之間。防火墻通過配置安全策略，僅向客戶端開放需要的IP地址和端口；防毒墻用來阻止來自其他所有區(qū)域的病毒和攻擊。

2.3 數據防護

2.3.1 部署防毒墻、防病毒軟件等

針對行業(yè)中網絡DDOS攻擊、勒索病毒、SQL注入、暴力破解、數據泄密等網絡安全事件經常發(fā)生，企業(yè)為保障公司的信息資產安全、業(yè)務系統(tǒng)安全穩(wěn)定運行，通過部署防毒墻、防病毒軟件等，確保數據中心區(qū)橫向的病毒防御以及虛擬化補丁防御，實現“高效預防，高效檢測，快速處理”。

部署兩套VPLEX Metro主機，分別放置在行管樓機房及固體制劑機房內，以提升存儲的管理能力及業(yè)務處理能力，并保障存儲資源兩地雙活（見圖2）。另購DELL EMC Unity 400存儲放置在固體制劑機房內，用于存放生產業(yè)務數據，并與行管樓機房的VNX5400-022存儲中的業(yè)務通過VPLEX Metro做鏡像，實現存儲的高可用性以及I/O的處理能力。

2.3.2 建立數據容災平臺

首先，通過CDP支撐內部虛擬化平臺備份，甚至可以實現業(yè)務應急接管，實現任意毫秒級的數據回退。在做數據備份的同時，還支持歸檔日志的備份，如果因人為誤操作把數據庫或者表數據誤刪除，可以基于Oracle等數據庫自帶日志進行圖形化操作，按照秒級、分鐘級、小時級將數據重構到數據庫任意節(jié)點中；CDM副本管理可以在備份海量小文件數據的同時，將備份時間長、容量大的數據可以通過永久增量方式備份，定期做數據合成，在恢復的時候可以結合響應節(jié)點進行，縮短備份窗口，增加底層存儲空間利用率；對現有虛擬化文件可以實現基于源端的去重刪除功能，重刪比可以達到90%以上。

其次，該平臺可以通過LAN-FR EE備份數據組成SAN專用網絡通道，備份數據在專用網絡通道傳輸，比在普通的以太網上傳輸效率會更高，解決企業(yè)研發(fā)、生產、質量、管理、營銷時的不同網絡物理或邏輯隔離情況下，可通過一個平臺同時備份這些隔離數據。通過多線程、多通道可以同時對文件、數據、虛擬化、數據庫進行實時備份，極大地釋放整個備份平臺的空間。

最后，通過預先寫好的腳本，在備份當天數據后，并自動備份到異地數據災備甚至可實現業(yè)務容災。

2.4 園區(qū)核心網絡建設

2.4.1 建立以水針車間為核心的生產網絡中心

在水針車間機房新增一臺辦公網三層匯聚交換機和兩臺生產網匯聚交換機（兩臺堆疊），以作為水針車間為核心的生產網絡中心，三臺核心交換機分別與行管樓核心N92160和固體制劑核心N92160進行連接，并形成廠區(qū)整體的環(huán)網體系。此環(huán)網的建立，優(yōu)化整體的網絡傳輸性能，減少整個園區(qū)各體系之間廣播傳播，提升網絡架構穩(wěn)定性，實現生產、辦公業(yè)務雙活，提升整體業(yè)務的冗余性。

為水針車間所有用戶接入點位重新分布網絡，并架設二層網管交換進行數據交換，相關地址信息按照三層網絡改造IP地址規(guī)劃表進行配置，辦公和生產的接入交換機分別與水針的三臺核心交換機連接。以上改造可實現故障快速可查、功能職責明確、辦公和生產業(yè)務物理隔離的網絡架。

2.4.2 5G專網建設

受5G高頻、信號覆蓋距離有限等因素影響，需要在園區(qū)建立落地站兩個，位于北側距離最近車間100～300 m，在該站點增加3臺5G AAU，角度分別為70°、140°、280°。

在南側距離辦公區(qū)域350 m設置3臺5G AAU，角度分別為330°、90°、190°；在行政辦公樓樓頂安裝5臺AAU，其中3臺角度分別為340°、20°、90°，2臺從天井往樓宇內部覆蓋，相互斜打，角度分別為0°、180°。

宏站AAU上聯BBU和A路由，放置在電信機房內，而企業(yè)園區(qū)內AAU上聯BBU和B路由，放置在企業(yè)行政辦公樓三樓機房內，與固體制劑車間上聯BBU共享機架安裝。

通過園區(qū)外2個落地站，園區(qū)內2個樓頂站，可以有效解決企業(yè)園區(qū)內室外5G覆蓋問題，并且由于園區(qū)內樓頂站距離車間距離近，5G信號可以穿透到車間，避免車間內因QCELL故障導致5G信號變弱，提高5G網絡保障能力。通過將A路由、BBU下沉到核心機房，形成光纜環(huán)形保護，避免園區(qū)外圍施工導致AAU光纜中。

2.4.3 生產管理層建設

首先，在用戶和服務器之間打造一個工業(yè)安全控制中心，在工業(yè)安全控制中心中部署工業(yè)防火墻、日志審計、數據庫審計、防毒墻、安全態(tài)勢感知、虛擬化殺毒墻，確保用戶訪問生產服務工程時的數據安全。

其次，用戶經常需要在辦公網絡內訪問生產網絡中的業(yè)務平臺，如MES、APS、DCS、SCADA等及時掌握系統(tǒng)、設備的運行情況，但是辦公網和設備網是完全物理隔離的，為了解決互通問題，在DMZ區(qū)域部署工業(yè)應用虛擬化架構Citrix，所有后臺應用系統(tǒng)部署在數據中心服務器上，所有應用客戶端在交付平臺上運行，終端僅接收交付平臺上應用運行的屏幕畫面，從而解決辦公網用戶訪問工控系統(tǒng)，實現業(yè)務訪問同時數據不落地。

最后，在用戶端安裝工業(yè)終端安全防護軟件，系統(tǒng)、程序和病毒防護策略運行均通過工業(yè)安全終端統(tǒng)一下發(fā)，嚴格控制U盤、網絡數據的收發(fā)傳輸、操作日志收集、工業(yè)網絡病毒阻攔等，實現對產品設計、專利、核心代碼等資料1對1精準管理，嚴格管控，降低核心文件資料被誤傳、外傳的風險。

2.4.4 過程監(jiān)控層

在加強管理同時，注重實際安全工作，強調安全自查工作，積極主動參與網絡安全保障系列活動，做好自查、攻防演練及漏洞掃描等工作，進一步提升工控過程監(jiān)控層信息化建設的服務水平、技術標準及推廣維護力度。通過針對工控區(qū)域各終端的威脅分析，部署終端工業(yè)安全衛(wèi)士、態(tài)勢感知、網絡版病毒客戶端、AD驗證、統(tǒng)一身份授權、零信任等手段，有效進行風險防控。

2.4.5 控制層管控

智能安全管控：通過生產區(qū)物理隔離，保證各生產線的穩(wěn)定運行。融合5G智慧園區(qū)應用場景，進行生產作業(yè)區(qū)的智能化監(jiān)控。設立工業(yè)設備態(tài)勢感知系統(tǒng)，實現工業(yè)終端的風險預警。

3" 結束語

本著利益最大化、性能最優(yōu)化、安全最全化的工業(yè)云架構新特點，以信息安全體系為核心目標建立安全管理中心、安全運用中心，形成可防御、可檢測、可響應、可預測的全生命周期的IT/OT融合工業(yè)防護體系；孵化出動態(tài)防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控的安全能力。依托上述能力，在未來的企業(yè)數轉智改過程中，逐步實現資產可見、網絡可見、行為可見、事件可見；讓外面的非法數據進不來，企業(yè)內部合法數據拿不走，生產數據改不了，非授權文件看不懂，出來問題跑不了，安全架構打不垮，實現行為過程可審查的最終目標。■

參考文獻

[1] 工業(yè)和信息化部電信研究院．云計算白皮書（2012）[R]．工業(yè)和信息化部電信研究院，2012.

[2] 工業(yè)和信息化部電信研究院.政府在云計算發(fā)展中的作用[J]．數據通信，2012（4）：52-53.