制藥企業工控網網絡安全體系建設的研究

田云 呂強 麻然

摘要：隨著信息技術不斷發展，網絡安全事件頻出，國家相關部門不斷加大網絡安全檢查力度。對于制藥企業而言，自動化、信息化技術在行業內快速發展。各類信息系統在藥企的各業務領域都得到普遍應用，穩定安全的企業信息網絡成了確保企業正常運行的重要條件。本文主要針對制藥企業工控網網絡安全體系的建設工作展開研究，提供一定的參考意見。

Abstract： With the continuous development of information technology and frequent network security incidents， relevant state departments continue to increase network security inspections. For pharmaceutical companies， automation and information technology are developing rapidly in the industry. Various information systems are widely used in various business fields of pharmaceutical companies， and a stable and secure corporate information network has become an important condition for ensuring the normal operation of enterprises. This article focuses on the research on the construction of the industrial control network security system of pharmaceutical companies， to provide certain reference opinions.

關鍵詞：制藥企業;網絡安全;等級保護;信息系統

Key words： pharmaceutical companies;network security;graded protection;information systems

中圖分類號：TP273;TP309? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1006-4311（2020）27-0150-02

0? 引言

近些年來，隨著信息技術的飛速發展，各類信息系統應用于各行各業，伴隨而來的各類網絡安全事件時有發生，國家相關部門也不斷加大了對網絡安全的檢查力度。《中華人民共和國網絡安全法》于2016年11月7日發布并自2017年6月1日起施行。該法是為了保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，制定的法律。而其中不可忽視的，是《網絡安全法》中所規定的等級保護制度，該制度對我國互聯網產業未來的發展提供了可靠的依據、標準以及保障。

我國于2008年發布《GB/T22239-2008信息安全技術 信息系統安全等級保護基本要求》簡稱為等保1.0。后隨著新技術的發展以及國家對于信息安全的重視，等級保護2.0《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》于2019年5月14日正式發布，并于2019年10月1日起正式實施，將我國目前的網絡安全情況施行等級保護，對信息系統進行等級劃分，并進行信息系統建設及安全防護。

1? 制藥企業工控網網絡安全體系建設原則

對于制藥企業而言，一般有一套獨立于辦公網的工控網，對于工控網網絡安全體系的建設應制定詳盡的安全規劃和建設方案，完善保護措施，滿足等級保護2.0的安全要求，在到達合規要求的同時，進一步增強網絡的抗攻擊的能力，滿足信息系統在物理、網絡、系統、應用、數據和管理各層面的安全需求，保證業務系統安全有序高效運轉。

從整體結構、網絡設備、安全設備等各個方面進行高可靠性的設計和建設;在設計系統安全架構時充分考慮靈活性和可擴展性;網絡安全設計將符合網絡安全法、網絡安全等級保護的要求，確保合規性;網絡安全體系建設的過程應具有良好的規范性，便于項目的跟蹤把控;方案設計的范圍和內容應整體全面，避免由于遺漏造成未來的安全隱患。

2? 制藥企業工控網網絡安全建設

對于制藥企業工控網絡的網絡安全建設，應對企業整體工控網絡結構進行規范化設計。工業互聯網包括網絡、平臺、安全三大體系。其中，網絡體系是基礎，平臺體系是核心，安全體系是保障。制藥企業需要建設滿足自動化、信息化需求的網絡安全體系，增強網絡、應用、數據、設施設備等的安全保障能力，辨識和防御各類網絡安全威脅，消除網絡安全風險，構建自動化、信息化發展的安全可靠環境。規范內部工控系統區域，承載了各類業務系統（如SCADA系統，MES系統等），增強網絡彈性和可擴展性。獨立設置安全管理區域，在符合等保要求的基礎上強化了安全管理的功能，并為后期安全建設提供擴展性和安全性。工控網網絡拓撲結構見圖1所示。工控網網絡安全功能設計主要可參考以下幾方面進行考慮：

2.1 安全隔離? 部署工業防火墻，以達到實時精準的工控協議指令級控制，對工控協議數據包進行快速有針對性的捕獲與深度解析，能夠檢測出數據包的有效內容特征、負載和可用匹配信息，如惡意軟件、具體數據和應用程序類型。低時延滿足實時性要求，采用高性能多核處理器，滿足工業現場低延時、高吞吐的數據處理要求。采用高可靠的軟硬件一體化架構，集成硬件加密引擎，為監控層系統和控制層系統數據加密傳輸提供了高安全性的保證，保證工業防火墻的可靠性。

2.2 安全監測與審計? 通過工控安全監測審計平臺，實現對多種針對工控系統攻擊行為的監測并告警，如針對工控協議的攻擊、針對TCP/IP協議層的攻擊等;對工控系統入侵行為進行檢測，如嘗試獲取管理員權限、可疑用戶名嘗試登陸、發現網絡木馬等;對工控系統關鍵事件行為進行檢測，如工程師站組態、操控指令修改等;通過對通信數據進行長時間的監聽，對工控協議進行解析，結合特定算法建立工控網絡的通信模型基線，將基線與當前協議通信行為進行對比，檢測偏離基線的行為并進行告警;持續監測統計關鍵網絡鏈路的流量，統計分析相關流量數據;支持對工控網絡通信記錄進行回溯，根據時間、IP地址、端口號、行為等條件查詢通信記錄，為工控系統的安全事故調查提供詳細依據。

2.3 工控網絡安全管控? 部署工控安全管控平臺，及時發現、報告并處理工業控制系統中的網絡攻擊或異常行為，通過統一調度安全預警、安全監測、安全防護和應急處置，確保工控系統網絡信息安全。實現資產安全狀況的統一管理和安全風險的智能分析，使企業的利益受損風險降低。通過部署該平臺，可以對工業控制系統資產進行全局管理，幫助用戶梳理工控資產，資產間的訪問關系，網絡中的工業行為等，尤其可對部署在系統中的安全防護類設備進行統一配置。平臺通過數據采集的方式，從安全分析、環境管理和安全審計三個維度出發，達到對工業控制系統網絡安全狀態的全方面監控，實現對所屬工控安全設備的統一集中管理，提升運維人員工作效率，降低出錯風險。

2.4 工控主機安全管理? 部署工控安全主機衛士，通過建立可信應用程序白名單，只允許受信任的進程啟動，對其他進程可以進行僅記錄或阻斷并記錄處理。同時集成雙反病毒引擎，病毒、木馬文件本地高識別率，抵御專門針對工控環境和Windows的病毒及其未知變種。實時抵御勒索病毒、阻斷挖礦病毒運行，檢測并及時安裝正式發布的系統補丁，抵御黑客攻擊。對終端的CPU、內存、磁盤及網絡入站、出站流量進行監控，并在達到用戶配置的閾值時及時發出告警，防止系統資源耗盡。通過登錄防護、網絡防護、外設管理等功能對系統賬號登錄進行安全管理，防止對終端服務器上端口進行惡意探測，并有效防止用戶在業務系統上違規運行不合規程序和違規使用移動存儲介質。

2.5 工控系統漏洞發現? 部署工控漏洞掃描平臺，針對工業控制系統網絡環境中存在的設備進行漏洞檢測的專業設備，通過對設備信息、漏洞信息的分析，讓工控系統管理者全面掌握當前系統中的設備使用情況、設備分布情況、漏洞分布情況、漏洞風險趨勢等內容。從而實現對重點區域或者高危區域進行有針對性的重點整治的目的。

2.6 APT攻擊預警和防御? 部署未知威脅分析系統（APT預警），提供一套整體的覆蓋多種區域的APT深度威脅分析方案，基于關鍵區域入口的旁路鏡像流量分析，可以實現WEB、郵件、文件三個維度多個層次的APT攻擊檢測。

2.7 工控安全運維審計? 部署堡壘機系統，實現單點登錄、多種認證服務等功能。通過對個人身份以及資源、賬號的統一管理建立對應關系，實現個人對資源的統一授權，并對授權人員的操作進行記錄和分析，以實現事前規劃預防、事中實時監管、違規及時響應、事后合規報告、事件追蹤回顧，加強企業內部操作行為監督，確保系統正常運行。

2.8 工控綜合日志審計? 部署日志審計系統，實現安全設備、網絡設備等日志的統一管理及安全事件的發現、收集、分析、統計等功能。日志審計系統將安全管理員從復雜的設備配置和海量日志信息中解脫出來，把精力專注于發現和處理各種重要安全事件;同時又將各自獨立的安全設備組成為一個有機的整體，及時發現安全風險、安全事件，并結合安全策略和安全知識的管理，提供多種安全響應機制。

2.9 工控系統數據庫審計? 部署數據庫審計系統，全面監管對數據庫的訪問，有效識別越權操作等行為，同時對不當行為進行追溯記錄;針對敏感數據，對其訪問行為軌跡進行追蹤，當出現敏感數據泄漏事件后能及時發現;識別數據庫的配置弱點、發現數據庫相關漏洞，并提供解決方案;為數據庫安全管理提供依據。

3? 結語

本文主要闡述了在當今信息技術不斷發展，網絡安全事件頻出，網絡安全形勢日趨嚴峻的時代背景下，制藥企業各業務領域在自動化、信息化方面快速發展，穩定安全的企業信息網絡成了確保企業正常運行的重要條件。結合最新的信息安全技術網絡安全等級保護基本要求，對制藥企業工控網網絡安全體系的建設設計要點進行了探討，對制藥企業工控網絡安全體系建設，構建工業自動化、信息化發展的安全可靠環境提供一定的參考意見。

參考文獻：

[1]陳平，王步放，張海洋.中央企業信息安全應急響應建設規劃[J].電子技術與軟件工程，2020（5）.

[2]徐潤澤.淺談工業控制系統網絡安全防護[J].科學與信息化，2020（3）.

[3]陳欽華.實踐企業信息安全等保建設[J].網絡安全和信息化，2019（4）.