基于網絡安全等級保護2.0要求的生產過程質量追溯體系建設分析

劉磊 徐鑫 張承 劉喜松

摘要：本文通過比較網絡安全等級保護2.0與1.0版本的變化，總結分析最新等保要求中的工控網絡的安全需求，以此為參考設計企業新建生產過程質量追溯體系中的安全防護策略。

關鍵詞：等級保護2.0;生產質量追溯;工控網絡安全

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9416（2019）07-0189-02

1 項目背景

本項目所描述的系統用于乙肝疫苗車間，是國藥集團建立生產信息化追溯系統的試點化建設項目。旨在通過系統的實施，建立以電子批記錄為基礎，為疫苗生產和流通提供全程信息化追溯。項目以乙肝疫苗車間生產線為基礎，實施MES和SCADA系統，從上游的發酵培養，純化，滅活配制，半成品，到下游的分裝和外包裝。通過本項目的實施，實現電子化批記錄，確保疫苗生產的可追溯性。

2 等級保護概念

網絡安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護[1]。

2.1 等保2.0變化

隨著5G時代的來臨，越來越多的新技術、新科技運用到了社會的方方面面，網絡安全等級保護的范圍也緊跟著時代步伐，針對現在主流的云計算、平臺大數據、萬物互聯、AI智造、工業4.0等領域進行全覆蓋。所以等保2.0的主要變化是在安全要求上在滿足通用要求的基礎上還要針對云計算，萬物互聯、工業智能制造控制等新興領域，滿足有針對性的擴展安全要求。

2.2 等保2.0三級要求

在等保2.0中有一項改變，很多人都會忽視，就是等保2.0強化了對公民、法人和其他組織合法權益的保護。等保1.0中，對“公民、法人和其他組織”權益遭到特別嚴重侵害時，確定的保護等級為二級。而在等保2.0中，等級確定為三級。

3 項目安全要求

本項目致在建立疫苗生產企業從投料生產到包裝發貨的全程生產質量信息追溯管理，由于疫苗產品的特殊屬性，如若系統受到攻擊或干擾造成信息丟失或篡改，都會使“公民、法人和其他組織”權益遭到特別嚴重侵害，因此本項目等保要求應定位于等保2.0三級項目。項目涉及大量生產制品中的工業控制，按照等保2.0中的安全要求規定，除應具備通用安全要求外，還應針對工業控制獨有的特點，滿足相關的工業控制安全擴展要求。

3.1 工控制系統安全通用要求

安全通用要求細分為技術要求和管理要求。兩者合計10大類，如圖1所示。

（1）技術要求。通用技術要求其主要思路是針對具有共性化保護需求的對象提出的，也是就說不論保護對象以何種表式出現，都因滿足這些安全要求。（2）管理要求。管理要求主要是希望通過“機構”、“制度”和“人員”三要素的管理來保障技術要求的正常執行，同時還應考慮在系統建設、改造過程中的運維要求和設備管控要求。

3.2 工業控制系統安全擴展要求

工業控制系統其范圍涵蓋較廣，可以說在工業制造上用到的所有智能系統都屬于工業控系統。其中近年來最常見的幾種綜合性系統有數據采集與監視控制系統（SCADA）、生產制造管理系統（MES）等。這些綜合系統大量運用大數據、云計算、AI、物聯網等新興技術，因此除了通用的安全要求外，還需要有針對性的擴展要求。

4 項目安全擴展要求策略方案

工業控制系統安全擴展要求是針對現場控制層和現場設備層提出的特殊安全要求，它們與安全通用要求一起構成針對工業控制系統的完整安全要求。

4.1 系統功能架構

項目總體系統架構分為五個層次。（1）自動化及儀表層，該層為企業的生產系統、公用系統、實驗室系統及儀器儀表等物理基礎設施。（2）監控層，監控層主要提供數據采集及監控一體化平臺，實現全廠生產設備及公用系統的數據采集及存儲，并在此基礎上實現全廠生產及系統運行監控。（3）制造管理層，制造管理層面向生產過程，建設的系統覆蓋生產基地的生產運行與管理、設備管理、倉儲管理、質量保證和質量控制、能源管理等方面的業務，實現生產制造的集成化管理，實現生產的智能化。（4）企業管理層，企業管理層面向公司的經營管理，覆蓋公司的產供銷以及供應鏈業務，實現經營管控一體化。（5）智能決策層，在自動化與信息化基礎上，信息技術與制造管理技術深度融合，匯聚各個業務系統的數據，利用大數據分析技術實現分析決策的智能化。

4.2 網絡總體物理架構

項目園區網絡的物理架構如圖2所示。

該組網結構按功能模塊以星型分層拓撲劃分，關鍵節點使用雙網環型設計，確保主要網絡的可靠性，保障采集傳輸數據的完整，同時此網絡結構可以很清晰的區分各功能區域，有利于后期擴展和維護。各功能區之間設立網絡防護設備，可以更好的對內部網絡進行安全防護，并可通過堡壘機支持業務上的分支聯調、公司內部遠程接入以及外部受權用戶訪問、技術支持等需求。

4.3 通訊傳輸

項目計劃采用工業通訊網關，支持多種廠家PLC（SIEMENS、艾默生DeltaV、Rockwell AB、Schneider、OMRON、三菱等）以及能夠支持主流標準協議，如 Profinet，ModBus TCP/IP，OPC DA，OPC UA、BACnet、IEC103等，并支持以OPC、MODBUS TCP等方式發布數據，用于采集現場設備的數據信息，并在工業環網和底層設備間形成隔離，有效提高網絡安全性。

4.4 訪問控制

項目計劃采用立思辰Opa1000-OAB31堡壘機，立思辰工控堡壘機系統是一款針對云主機、云數據庫、網絡設備等運維權限管理的工具。它能解決國家對醫藥企業系統的運維管控及安全審計要求，并可以對工控網內部環境狀態信息進行監控收集，提供身份鑒別、用戶權限分配、高危端口管理等功能，在安全管理的要求下滿足了車間的外聯需求。

4.5 無線控制

項目需在車間內部布置WIFI覆蓋，同時考慮到無線網絡將與工控網連接，也需要對無線網絡進行安全管控。項目計劃使用集中式無線管理，通過控制器（AC）對項目中的AP進行管理。涉及到的安全功能都是由AC和AP聯合使用共同完成，AC完成安全策略，如移動管理、身份驗證、VLAN劃分、射頻資源管理和數據包轉發等。AP完成使用功能，如無線信號響應、數據加密解密、數據傳輸確認、空口數據優先級管理等。無線控制管理器和轉換器之間通常使用CAPWAP隧道協議進行通訊。CAPWAP協議是基于UDP的應用層協議，協議傳遞的信息分為兩類，即控制信息和數據信息[2]。CAPWAP信息在AP與AC間交互時可以使用DTLS加密機制，保證通信的安全性。

5 結語

隨著國家對疫苗藥物生產質量管控要求的進一步提升，及企業自身對降能增效提高企業核心競爭力的目標不斷前行，安全可靠的智能生產管控系統將完全融入到工業控制管理的各個環節。但是由于行業的特殊性，疫苗制藥企業的生產制造工控系統的信息安全關系著社會秩序、公共利益、國家安全和穩定。這就要求在每一個藥企系統建設前都要根據現行的國家網絡安全等保要求逐項核對制定安全策略，以保障系統的安全可靠。

參考文獻

[1] 夏冰.網絡安全法和網絡安全等級保護2.0[M].電子工業出版社，2017.

[2] 孫春雨.無線網絡技術教程[M].機械工業出版社，2018.