醫藥企業生產執行系統(MES)網絡安全規劃設計

劉磊 徐鑫 劉喜松 張承

摘要

通過分析生物醫藥企業生產過程執行系統（ MES）功能及通訊要求，結合國家現有工業控制系統信息安全標準，設計一套安全、穩定、可靠的工控網絡安全體系。滿足生產過程執行系統（ MES）的安全要求，并為企業下一步實現工業4.0打下良好的基礎。

【關鍵詞】生物醫藥企業 執行系統（ MES）設計

我公司是一家從事人用疫苗研究、生產和經營一體化的國有控股公司。現為響應國家兩化融合號召，推動生產裝備智能化和生產過程自動化加快建立現代化生產體系。準備建設生產過程執行系統（MES）提升企業信息化生產管理能力，提高企業核心競爭力。

1基本情況介紹

MES（Manufacturing Execution System）即制造企業生產過程執行系統在公司中起到承上啟下的作用。對下需匯聚車間現有的SCADA系統、EMS系統、BMS系統及其它未建立系統的工控PLC現場關鍵工藝數據。對上需將匯聚數據整理分析后與企業上層管理系統ERP、儲運部門WMS質量部門的文控系統進行數據對接。

由于公司發展方向和投產時間等原因，各車間信息化上的能力也各有差別，項目以第一個實施改造的乙肝車間為列，以此為基礎設計企業標準為后續車間制定制統一、可靠、可擴容的接入標準。目前乙肝車間現有系統如下.

SCADA系統負責采集記錄，車間內ZATE種子培養灌、發酵灌、收獲灌、CIP制備系統、半成品一次純化系統、滅菌消毒系統的關鍵工藝數據。

EMS環境在線監測系統，其主要功能是負責采集生產車間內各級別房間的環境信息，包括溫度、濕度、房間壓差的即時信息。

BMS系統，主要用于控制采集為生產車間提供輔助的能源設備，列如樓宇空調控制系統、純化水注射用水的處理制備系統等。

分包裝部分需要對現有車間內的洗烘灌聯動線控制系統、燈檢機控制系統、多功能盒裝機包裝線控制系統的相關數據進行采集。

此外還需要對生產過程中的一些設備數據進行采集。如搖床的環境數據、毒種保存的超低溫冰箱數據、車間生產前的在線塵埃數子及浮游菌檢測數據等。

2安全需求分析

生物疫苗制品企業的生產具有非常明顯的特殊性，生物制品的工藝機理復雜，同樣的操作條件也很難得到完全一樣的操作結果，行業體現以配方為核心的生產模式，以離散式的工藝方式組織生產，生物制品的生產全過程要求有十分嚴格的批號記錄，從原料、中間品到產品都需要記錄，以便實現對物料的生產回溯和問題跟蹤。為滿足生產疫苗企業的特殊要求，此網絡方案需要在工控傳輸效率、網絡安全、數據安全、終端安全等方面重點關照。

內部網絡防御需求：項目的主要數據數采集大部分來源于工控設備，而工控設備一般功能比較單一，抗干擾能力差。它們需要運行在一個安全、穩定、高效的網絡中。

數據記錄安全需求：由于疫苗生產要求的特殊性，在生產過程中所記錄的關鍵數據是必須具有完整性、一致性的不能因為突發事件造成數據的誤記和缺失。

內部終端設備安全需求：在車間現場因工作需要，存在大量的上位機與HMI觸屏，這些設備有的通過內部網絡聯接工控設備，也有通過總線技術等其它方式聯接設備或采集電極的。它們的運行狀態也關系到系統的安全。

外部網絡防御需求：MES系統除了對下的數據采集功能外，還需要對上與其它管理系統配合。這將不可避免的出現其它非生產部門人員通過公司辦公網或外部網絡對系統進行操作或數據交換。增加外部網絡入侵系統可能性。

必要的遠程接入安全需求：在日常的車間工作中免不了會出現第三方工程師遠程調試維護設備的問題，但同時由于現場設備內可能存在關鍵數據或核心工藝配方，這就要求設計的網絡架構既可以允許這種認可的外部接入操作，同時也能對這種操作安全可控，保證關鍵數據不會外泄。

3邏輯網絡設計

當MES系統投入使用后便對原有的車間現場控制系統功能和部分公司信息管理系統功能進行了融合，實現了辦公網絡和控制網絡的數據交換。使原有的各工控系統不再獨立運行，要與公司其它網絡內的系統及互聯網進行進行數據通訊。這使得公司的工控網絡或工控設備很容易遇到來自其它網絡或互聯網的病毒、木馬、蓄意破壞人員的惡意惡攻擊。

通過了解安全需求分析，MES系統的安全網絡決定使用三層架構，二層防護的體系。把公司的信息系統按一定規則分層、分域、分等級。確保內部工控網絡設備操作、控制的排他性和唯一性。

第一層是統計分析生產計劃、財務成本、物料管理、質量控制、辦公協同的計劃管理層。第二層制造執行層（MES系統）主要是對生產計劃按工藝進行車間內二次排產，統計生產工藝各流程的運行狀態和關鍵參數變化，實現對車間內生產過程的整體管控。第三層是車間內各自動化設備，主要是按己授權生產配方執行加工作業，并記錄實時數據。

第一層防護的目的是防止辦公網絡或互聯網與MES系統發生數據交換時可能面對的各種威脅，列如阻擋非授權訪問行為（包括未授權或權限不夠的越權操作），對惡意的篡改數據和操作及時阻止，對惡意代碼（網絡病毒）進行過濾保護。同時在數據交換的整個過程都要接受記錄、監控和審計。方便事件的審計追蹤功能實現。

第二層防護是指將工業級防火墻部署在MES層和車間工控設備層之間，依靠先進的工業級防火墻來保障車間工控設備層網絡的通信安全，使網絡故障可以控制在一個較小的區域內不會影響到其它設備。如圖1所示。

4系統安全的技術

4.1安全域劃分

安全域一般指的是在一個共用網絡系統內的多個系統，如果它們有著相同或近似的安全保護需求，并且它們在運行或數據交換時彼此信任、互相關聯并可通用相同的安全防護策略，那么把這些相同安全需求的系統所在網絡區域劃分在一起統一進行安全部署。該區域稱為安全域。通過合理的劃分安全域可以在保證安全需求的同時節省安全設備的投入，提高安全設置效率。

根據上述的需求分析，項目以MES系統采集和管理分析的兩大功能對網絡進行劃分，首先分別劃分為外部辦公網絡安全域和內部工控網絡安全域兩大塊。其次按采集數據對生產工藝的影響程度對工控網絡安全域進行二次劃分，劃分為SCADA安全域、分包裝安全域、輔助系統安全域三部分。

4.2安全域邊界防護及防火墻部署

網絡安全域劃分完后，根據安全域劃分共分幾個主要邊界，它們是外部辦公網絡與內部工控網絡邊界、內部工控網絡生產工藝術域與分其它系統邊界、內部工控網絡分包裝安全域與其它系統邊界、內部工控網絡輔助系統與其它域邊界。確認邊界后在各個邊界聯接處部署防火墻，并根據各邊界內的實際安全需求制定安全策略。

4.3系統異常行為檢測

由于疫苗企業對生產數據要求的特殊性，生產關鍵數據是不允許因為設備的突發事件而影響數據的完整性和連續性的。這就需要在網絡設計之初就要將可能出現的網絡設備原因考慮進去，而系統異常行為檢測技術就能很好的預防由于網絡設備的突發事件引起的數據不完整。

4.4系統安全通信及密鑰管理

面向MES系統的密鑰管理工具有一定的特殊性，這是由實際的運行需求限制決定的。協議需要至少滿足三點：密鑰更新、組播通信、協議的高效性。這里可以參考使用SCADA中常出現的KDC和ASKMA協議來實現組群密鑰管理和安全組播。

5物理網絡設計

由于疫苗生產企業對工藝數據的特殊要求，為保障車間生產數據的完整性，在車間工控網部分按照車間工藝流程采用環型網絡，在生產和辦公樓宇之間采用星型雙路雙備網絡。這樣即可以滿足設備數據完整性的要求，又不會對現有網絡大改造影響其它車間運行。如圖2所示。

6結束語

本網絡架構的設計致在為現有疫苗生產企業進行管理信息化、網絡化提升提供具有防御縱深的安全的網絡。并在保證新系統平臺功能和數據安全的條件下，為后續其它車間改造提供靈活穩定的接入條件，為企業節省二次升級改造成本。

參考文獻

[1]姚羽，工業控制網絡安全技術與實踐[M].機械工業出版社，2018，01： 79-91.