雷東 蔣井明 劉大明

蘭州生物制品研究所有限責任公司 甘肅 蘭州 730046

引言

現(xiàn)階段，生物制藥企業(yè)在工業(yè)控制網(wǎng)絡等保設計管理過程中需要首先參考《網(wǎng)絡安全等級保護基本要求GB/T22239-2019》相關要求，并結(jié)合自身的運作管理需求，結(jié)合行之有效的管控方式、管控手段，建立起數(shù)據(jù)安全管理結(jié)構(gòu)，完善整個體系中的各監(jiān)測管理流程，同時優(yōu)化網(wǎng)絡體系中的各控制節(jié)點，保障數(shù)據(jù)信息安全。

1 工業(yè)控制網(wǎng)絡的概念

在當今智能制造領域，企業(yè)需要依托成熟完善的工業(yè)控制網(wǎng)絡體系，對經(jīng)營運作流程、經(jīng)營管理方式進行更加細致深入地優(yōu)化改善，工業(yè)控制網(wǎng)絡系統(tǒng)在交通、工業(yè)生產(chǎn)、電子商務等多個領域得到廣泛使用，工業(yè)控制網(wǎng)絡涉及較多的控制單元，如集散控制系統(tǒng)、分散控制系統(tǒng)、分布式控制系統(tǒng)，期間需要依托成熟完善的控制器局域網(wǎng)，結(jié)合載波監(jiān)聽、多路訪問、沖突檢測等專項控制手段、控制措施，整合多項協(xié)議數(shù)據(jù)單元，實現(xiàn)對整個體系中結(jié)構(gòu)化、半結(jié)構(gòu)化數(shù)據(jù)資料進行更加科學高效地管理控制。傳統(tǒng)工業(yè)控制網(wǎng)絡結(jié)合半雙工通信機制可在兩個方向進行數(shù)據(jù)傳遞，工業(yè)控制網(wǎng)絡系統(tǒng)需要結(jié)合介質(zhì)防控，實現(xiàn)設備之間的專項管理管制，在生產(chǎn)管理過程中，工作人員、技術人員需要嚴格把控自動控制裝置之間的多項數(shù)據(jù)信息，如數(shù)據(jù)串行、多點通信，實現(xiàn)現(xiàn)場總線管理。

而在現(xiàn)場總線管理活動中則需要結(jié)合多樣化的系統(tǒng)軟件，如主態(tài)工具軟件、設備功能軟件、設備接口、通信軟件、監(jiān)控組態(tài)軟件等，用戶需要根據(jù)自身的實際使用需求來完成對各軟件體系、軟件系統(tǒng)的開發(fā)控制。最為關鍵的是，在工業(yè)控制系統(tǒng)中需要實現(xiàn)模擬數(shù)據(jù)編碼，而常見的3種編碼包含ASK、FSK、PSK，在互聯(lián)網(wǎng)層、傳輸層、應用層實現(xiàn)對數(shù)據(jù)信息多維度、多層次地管理控制。總體來說，工業(yè)控制技術在當今數(shù)字化、信息化時代可實現(xiàn)對數(shù)據(jù)信息更加高效地管理、管制，對于實現(xiàn)智能化、柔性化生產(chǎn)具備較大的現(xiàn)實意義。在網(wǎng)絡技術、開放式技術的加持下，傳統(tǒng)的工業(yè)網(wǎng)絡控制系統(tǒng)不再是以孤立的形式存在，依托完整全面的IT網(wǎng)絡實現(xiàn)工業(yè)自動化控制是必然的發(fā)展趨勢，但是在此期間相關企業(yè)單位在工業(yè)控制網(wǎng)絡的設計管理環(huán)節(jié)則應當考慮其中潛在的控制安全風險問題，對其中諸如操作系統(tǒng)的漏洞、軟件漏洞、RTOS漏洞、ODAY漏洞以及數(shù)據(jù)竊取、盜取等風險問題進行嚴格控制。

2 生物制藥企業(yè)工業(yè)控制網(wǎng)絡等保設計方案

2.1 安全設計的原則

保障工控安全是生物制藥企業(yè)在當今自動化、數(shù)字化生產(chǎn)管理活動中的重點工作任務，具體來說，生物制藥企業(yè)在生產(chǎn)管理活動中需要借助各項機密性的生產(chǎn)資料、生產(chǎn)文件，如專利、核心技術、各原材料的配方、工藝、生產(chǎn)加工流程進行專項控制，因此建立起實時高效的網(wǎng)絡安全管理體系，保障生產(chǎn)資料的安全穩(wěn)定對于實現(xiàn)工業(yè)企業(yè)的業(yè)務發(fā)展具備顯著的功效[1]。在此期間，工業(yè)企業(yè)需要完善現(xiàn)有的網(wǎng)絡架構(gòu)，而相關網(wǎng)絡架構(gòu)需要承擔起生物制藥企業(yè)基本的業(yè)務管理需求，比如企業(yè)需要確保網(wǎng)絡帶寬能夠滿足企業(yè)后續(xù)產(chǎn)能擴張的生產(chǎn)管理需求，實現(xiàn)對關鍵線路點位的改善設計，滿足數(shù)據(jù)交換以及數(shù)據(jù)安全管理的分段控制需求訴求；其次，數(shù)據(jù)信息數(shù)據(jù)管理也應當具備保密性，在數(shù)據(jù)傳輸、儲存管理過程中，工業(yè)控制網(wǎng)絡與外部網(wǎng)絡的接觸點位進一步增多，從而導致數(shù)據(jù)信息的發(fā)送、接收、儲存存在較多的安全隱患點位，一旦信息遭受篡改或攻擊，工業(yè)控制網(wǎng)絡中的預測機制、預警機制應當發(fā)出基本警示的作用，快速反饋信息，保障數(shù)據(jù)安全。

2.2 現(xiàn)場總線設計

工業(yè)控制網(wǎng)絡需要實現(xiàn)對生物資料以及企業(yè)生產(chǎn)管理流程中人、機、料、法、環(huán)各種信息資料的綜合處理控制，因此結(jié)合現(xiàn)場總線技術的使用是必不可少的，在工業(yè)網(wǎng)絡設計過程中，相關企業(yè)單位應當致力于提升現(xiàn)場通信服務管理水平，結(jié)合數(shù)字化通信網(wǎng)絡系統(tǒng)，在開放互聯(lián)網(wǎng)絡架構(gòu)中實現(xiàn)現(xiàn)場設備的互聯(lián)互通，在此期間相關單位應當對其中的結(jié)構(gòu)與功能高度分散的系統(tǒng)進行嚴格管控，保證設備信息、設備資料的傳輸傳遞具備互操性、互換性，能夠?qū)崿F(xiàn)數(shù)據(jù)服務之間的有效對接。而為了保障現(xiàn)場總線技術能夠發(fā)揮出實際價值和作用，企業(yè)單位也應當將其中的服務與協(xié)議關系進行全新定義，具體來說，數(shù)據(jù)服務與底層協(xié)議存在兩種不同的管控重心以及不同的原理概念，在服務管理層面可完成細致深入地操作、管控，但是服務用戶以及服務提供者均存在較大的差異，而協(xié)議是通信同層對等實體之間交換報文、分組格式以及意義的規(guī)則。在總線管理活動中，生物制藥企業(yè)需要對其中的服務與協(xié)議進行科學高效地定義，將兩者完全分離開來，在操作層面以及管理層面實現(xiàn)安全管控。

2.3 邊界安全設計

邊界安全設計是工業(yè)控制網(wǎng)絡安全管理工作中的重點和要點，在邊界安全管理過程中主要是實現(xiàn)邊界隔離、訪問控制，對外來入侵以及病毒進行實時高效地防范。最為關鍵的是，在邊界安全設計過程中還需要完善現(xiàn)行安全審計機制。

在邊界隔離控制環(huán)節(jié)，企業(yè)需要防范非法客戶端對內(nèi)部數(shù)據(jù)信息進行訪問，為此企業(yè)可以結(jié)合授權(quán)管理模式，對外聯(lián)訪問的形式以及人員名單進行有效控制，保障企業(yè)在對外連接網(wǎng)絡的過程中實現(xiàn)對內(nèi)部網(wǎng)絡系統(tǒng)的有效安全保護；針對入侵及病毒的威脅，可以對網(wǎng)絡層面以及整個設備體系中的各結(jié)構(gòu)組成部分進行細致深入地網(wǎng)絡病毒查殺，對其中潛在的計算機主機感染風險進行有效控制；而為了徹底地解決網(wǎng)絡隱患，企業(yè)則應當在工業(yè)控制網(wǎng)絡安全設計過程中制定行之有效的追蹤機制，對非法攻擊、非法訪問的行為采取有效的跟蹤管控，及時采集數(shù)據(jù)信息，對其中關鍵數(shù)據(jù)信息的流入流出節(jié)點進行專項審計分析，實現(xiàn)網(wǎng)絡攻擊行為的高效評判，必要時則需要通知公安機關采取強制性的保障手段，給予非法入侵行為嚴厲的打擊。

2.4 完善工業(yè)控制軟件設計體系

工業(yè)軟件自身的安全等級決定著工業(yè)企業(yè)在生產(chǎn)管理過程中的安全運作效率，生物制藥企業(yè)在工業(yè)控制網(wǎng)絡安全管理以及等保設計管理過程中應當嘗試結(jié)合全新的軟件工程技術，對其中的軟件漏洞進行動態(tài)化、高效化地管制，在軟件控制方面，生物制藥企業(yè)需要結(jié)合嵌入式軟件漏洞等相關技術，結(jié)合擬態(tài)工業(yè)控制器，實現(xiàn)對各項安全數(shù)據(jù)信息、安全算法更加高效地使用管控，為此生物制藥企業(yè)可以結(jié)合針對CPS廣義功能安全問題處理的控制技術，嚴格參照工業(yè)控制系統(tǒng)網(wǎng)絡安全防護管理法則，完成對整個系統(tǒng)架構(gòu)的構(gòu)建和打造，參照工業(yè)現(xiàn)場協(xié)議管理標準，引入數(shù)字化模擬，復制擬態(tài)控制場景，還原安全管理結(jié)構(gòu)，從而完成對關鍵軟件應用的開發(fā)[2]。

除此之外，在工業(yè)軟件設計過程中，生物制藥企業(yè)也需要強化整個系統(tǒng)的防御機制，增強系統(tǒng)的學習功能，比如可以結(jié)合人工智能系統(tǒng)中的專家控制機制，使得整個工業(yè)控制網(wǎng)絡軟件系統(tǒng)具備基本的學習能力，能夠應對常態(tài)化的網(wǎng)絡攻擊，并且對曾經(jīng)遭受過的網(wǎng)絡攻擊行為進行專項記錄，建立起安全管理臺賬，減輕在網(wǎng)絡安全管理過程中的人力、物力、財力的投入。此外，在工業(yè)軟件訪問端口的設計層面，設計人員則需要參照網(wǎng)絡密碼管理架構(gòu)，對其中密碼應用的關鍵技術進行細致深入地管理控制，推動密碼應用在工業(yè)軟件體系中的落地推廣，比如可以結(jié)合CPK組合方式，借助靜態(tài)以及動態(tài)密匙，實現(xiàn)對整個工業(yè)控制網(wǎng)絡系統(tǒng)安全問題以及訪問權(quán)限問題的有效管控，從源頭保障工業(yè)數(shù)據(jù)信息的安全。

并且在系統(tǒng)軟件設計管理過程中也需要適當?shù)亟Y(jié)合供應鏈數(shù)據(jù)安全管控模型，同時借助區(qū)塊鏈技術，構(gòu)建成熟完善的安全管理架構(gòu)，結(jié)合邊緣服務系統(tǒng)的設計理念、設計思想，完善邊緣控制。總體來說，在工業(yè)軟件安全設計管理過程中，生物制藥企業(yè)需要參照自身的功能使用需求，對其中的安全保障架構(gòu)、安全保障協(xié)議、安全保障密匙以及加密組合結(jié)構(gòu)進行細致深入地管理。結(jié)合行之有效的數(shù)據(jù)算法，構(gòu)建起成熟高效的工業(yè)控制網(wǎng)絡軟件體系，對其中的系統(tǒng)應用進行安全管理、安全控制。

3 生物制藥企業(yè)工業(yè)控制網(wǎng)絡安全的應用實踐

3.1 監(jiān)測管控

生物制藥企業(yè)結(jié)合工業(yè)控制網(wǎng)絡系統(tǒng)可實現(xiàn)對整個生產(chǎn)流程、生產(chǎn)細節(jié)部位實時高效地監(jiān)督、管理、管控，在此期間，相關企業(yè)單位需要部署監(jiān)管平臺，對其中的安全產(chǎn)品進行統(tǒng)一高效地管理，可結(jié)合網(wǎng)絡控制體系，收集各設備、各流程在運作過程中的各項數(shù)據(jù)信息，建起專項日志管理體系，使得平臺系統(tǒng)能夠?qū)崿F(xiàn)集中控制、統(tǒng)一部署，保證數(shù)據(jù)安全、設備安全[3]。因此利用工業(yè)控制軟件，結(jié)合工業(yè)控制網(wǎng)絡系統(tǒng)，可實現(xiàn)對整個管理日志、生產(chǎn)細節(jié)的統(tǒng)一高效控制。除此之外，工程人員、技術人員也需要部署工業(yè)主機衛(wèi)士軟件，對企業(yè)中的操作站、操作節(jié)點進行高效化管控，對其中的PE文件，加固策略以及安全管理級別進行有效設置，防止病毒、木馬等惡意軟件的非法利用，實現(xiàn)對整個運作周期、運作流程的安全保障。在工業(yè)控制網(wǎng)絡體系中，操作站、工程人員以及各項服務器、機構(gòu)均應當實現(xiàn)有效串接、銜接，在全監(jiān)督管理過程中發(fā)揮出協(xié)同合作的作用，比如設置白名單、黑名單，對整個運行過程進行安全檢測、安全控制，保證整個系統(tǒng)的運作具備穩(wěn)定性、全面性。

3.2 全流量解析

生物制藥企業(yè)中的網(wǎng)絡流量一直作為工控系統(tǒng)通信的重要隱形參數(shù)，如缺少相應的流量檢測能力很難在日常的網(wǎng)絡安全管理中發(fā)現(xiàn)應用或內(nèi)部流量攻擊所引起的生產(chǎn)事故。因此基于等保的相關合規(guī)要求用戶需要確保網(wǎng)絡環(huán)境中的流量資源滿足當前的生產(chǎn)業(yè)務通訊要求，同時需要實時的監(jiān)控其資源變化的狀態(tài)，及時的發(fā)現(xiàn)流量的資源異常，異常包括：具體協(xié)議、具體主機、具體的鏈路等。在保障及監(jiān)控網(wǎng)絡流量的同時，工控系統(tǒng)還需要借助鏡像流量進行深入的解析，已發(fā)現(xiàn)應用層以上的安全威脅，特別是基于工業(yè)私有協(xié)議（如“modbus，OPC,S7等”）的安全風險，工業(yè)協(xié)議本身存在著其私有性和高風險特性，一旦被攻擊者篡改，相關的工控設備將直接被攻擊者控制并產(chǎn)生非常嚴重的后果。因此需要對現(xiàn)有工控網(wǎng)絡中的指令集進行檢測、審計并形成基于生產(chǎn)業(yè)務的指令級基線，通過流量中審計記錄形成的安全基線可以形成全流量的白環(huán)境，實現(xiàn)對于內(nèi)部流量的全面安全監(jiān)控。

3.3 安全態(tài)勢感知

安全態(tài)勢感知是工業(yè)控制網(wǎng)絡系統(tǒng)在運作過程中的核心要素，在此期間，生物制藥企業(yè)需要對核心交換機進行精細化、精益化地管理，對其中的安全設備、安全日志進行核查分析，完成關聯(lián)控制、安全預測、預警，從另一個層面，結(jié)合安全態(tài)勢感知系統(tǒng)，可實現(xiàn)對整個工業(yè)控制網(wǎng)絡體系中的各項設備信息進行主動掃描，對其中潛在的漏洞隱患問題進行有效識別，同時也能夠通過模擬量控制，對整個生物制藥管理流程中所涉及的關鍵資源支出、流入的節(jié)點進行關聯(lián)分析，實現(xiàn)綜合控制，并且也可通過對現(xiàn)有的生產(chǎn)體系、業(yè)務流程、安全管理架構(gòu)、安全數(shù)據(jù)、安全資料的專項控制，結(jié)合可視化管理模式、管理方法有效預測未知攻擊，并且也可分析、量化現(xiàn)行管理運作系統(tǒng)中存在的低效率、高能耗的問題點?？傮w來說，工業(yè)控制網(wǎng)絡系統(tǒng)所具備的態(tài)勢感知功能相對較為強勁，可對生物制藥企業(yè)中出現(xiàn)的各個網(wǎng)絡節(jié)點以及網(wǎng)絡安全風險問題實施有效地管理管制。

4 結(jié)束語

總體來說，生物制藥企業(yè)工業(yè)控制網(wǎng)絡等保設計、安全管理、安全控制涉及較多的流程。在安全管理過程中，生物制藥企業(yè)應當嘗試優(yōu)化現(xiàn)行管理結(jié)構(gòu)，同時保障各管理組織能夠正常高效地運作，結(jié)合行之有效的控制方法，提高整個體系的綜合運作水平。