摘要：依據(jù)獨立自主的企業(yè)文化，明確安全管理理念，規(guī)劃出全面趨于完成的IT工業(yè)架構(gòu)體系，保證以安全體系統(tǒng)管安全，注重體系+流程雙效發(fā)展，實現(xiàn)安全文化、人員職責、制度規(guī)章、風險督查等方面安全措施的有效制定與實施，最終形成零事故的安全穩(wěn)定的信息化環(huán)境。

關鍵詞：流程；工業(yè)安全；兩線三體系；5G；信息安全

doi：10.3969/J.ISSN.1672-7274.2023.02.062

中圖分類號：F 623，TP 3" " " " " " " "文獻標示碼：A" " " " " " " "文章編碼：1672-7274（2023）02-0-03

Overview of the Construction of an Internet Fully Connected Factory Security Autonomous and Controllable Platform

JIANG Ming

（Jiangsu Kangyuan Pharmaceutical Co.， Ltd.， Lian'yun'gang 222000， China）

Abstract： Based on the independent corporate culture， the concept of security management is clarified， and the IT industry architecture system that tends to be completed in an all-round way is planned to ensure the unified management of security by the security system， pay attention to the double effect development of system+process， form the effective formulation and implementation of security measures in terms of security culture， personnel responsibilities， rules and regulations， risk supervision， and ultimately achieve a safe and stable information environment with zero accidents .

Key words： process; industrial safety; two lines and three systems; 5G; information safety

1" 研究背景

本文項目建設的企業(yè)背景：一個集中藥研發(fā)、生產(chǎn)、銷售為一體的大型中藥企業(yè)，建有多個國家級科研平臺；作為國家技術創(chuàng)新示范企業(yè)、國家創(chuàng)新型試點企業(yè)、重要制造過程新技術重點實驗室等，承擔過藥物研發(fā)科技項目50余項[1]。

2" IT信息安全體系打造

2.1 體系建設

全面打造企業(yè)信息安全能力，建設兩線三體系：縱向防護線、橫向防護線，不斷完善信息安全管理體系（總綱、規(guī)范）、信息安全防護體系（安全設備）、信息安全保障體系（安全意識形態(tài)），全面打造信息安全能力，實現(xiàn)“保障為先、提升效率”的安全建設目標[2]。

2.2 安全防護兩線建設

對外網(wǎng)建立邊界安全防護體系，采用AD做核心鏈路負載，通過防火墻、入侵防護、防毒墻、AC設備做好外網(wǎng)的安全防護，防御來自外網(wǎng)的各項網(wǎng)絡攻擊，應對網(wǎng)絡、業(yè)務系統(tǒng)的多樣性、復雜性、開放性、終端分布的不均勻性。

在互聯(lián)網(wǎng)、數(shù)據(jù)中心、工作終端三種區(qū)域之間架設安全隔離設備（見圖1）。一要防范來自互聯(lián)網(wǎng)的病毒和攻擊進入工作終端區(qū)域；二要防范來自工作終端用戶的病毒和攻擊進入數(shù)據(jù)中心區(qū)域?？梢詫⒎阑饓?、防毒墻、網(wǎng)絡隔離閘等安全設備架設在數(shù)據(jù)中心與工作終端用戶之間。

（1）終端區(qū)域：將所有樓層接入交換機從原來的Cisco45xx核心交換機上剝離，另外增加2臺Cisco Nexus C92160核心交換機，部署為vPC雙機冗余模式，作為所有樓層接入交換機的核心交換機。

（2）分支機構(gòu)/移動辦公區(qū)域：在分支機構(gòu)中泰山路廠區(qū)仍然通過專線方式接入Cisco Nexus C92160核心交換機，其他分支機構(gòu)和移動辦公用戶通過深信服SSL VPN設備建立VPN虛擬隧道接入Cisco Nexus C92160核心交換機。

（3）互聯(lián)網(wǎng)區(qū)域：互聯(lián)網(wǎng)經(jīng)過深信服AD、趨勢防毒墻、深信服AC連接到Cisco Nexus 92160交換機，銥迅WAF由于需要保護網(wǎng)站系統(tǒng)，所以仍然放置在數(shù)據(jù)中心區(qū)域。

（4）數(shù)據(jù)中心區(qū)域：將終端區(qū)域的設備剝離以后，原來的2臺Cisco45xx交換機僅作為服務器接入核心交換機，數(shù)據(jù)中心區(qū)域中只有服務器和部分安全設備。

另外增加2臺深信服AF NGAF2020防火墻配和2臺趨勢防毒墻，上述設備兩兩配置為HA模式，部署在兩套核心交換機之間。防火墻通過配置安全策略，僅向客戶端開放需要的IP地址和端口；防毒墻用來阻止來自其他所有區(qū)域的病毒和攻擊。

2.3 數(shù)據(jù)防護

2.3.1 部署防毒墻、防病毒軟件等

針對行業(yè)中網(wǎng)絡DDOS攻擊、勒索病毒、SQL注入、暴力破解、數(shù)據(jù)泄密等網(wǎng)絡安全事件經(jīng)常發(fā)生，企業(yè)為保障公司的信息資產(chǎn)安全、業(yè)務系統(tǒng)安全穩(wěn)定運行，通過部署防毒墻、防病毒軟件等，確保數(shù)據(jù)中心區(qū)橫向的病毒防御以及虛擬化補丁防御，實現(xiàn)“高效預防，高效檢測，快速處理”。

部署兩套VPLEX Metro主機，分別放置在行管樓機房及固體制劑機房內(nèi)，以提升存儲的管理能力及業(yè)務處理能力，并保障存儲資源兩地雙活（見圖2）。另購DELL EMC Unity 400存儲放置在固體制劑機房內(nèi)，用于存放生產(chǎn)業(yè)務數(shù)據(jù)，并與行管樓機房的VNX5400-022存儲中的業(yè)務通過VPLEX Metro做鏡像，實現(xiàn)存儲的高可用性以及I/O的處理能力。

2.3.2 建立數(shù)據(jù)容災平臺

首先，通過CDP支撐內(nèi)部虛擬化平臺備份，甚至可以實現(xiàn)業(yè)務應急接管，實現(xiàn)任意毫秒級的數(shù)據(jù)回退。在做數(shù)據(jù)備份的同時，還支持歸檔日志的備份，如果因人為誤操作把數(shù)據(jù)庫或者表數(shù)據(jù)誤刪除，可以基于Oracle等數(shù)據(jù)庫自帶日志進行圖形化操作，按照秒級、分鐘級、小時級將數(shù)據(jù)重構(gòu)到數(shù)據(jù)庫任意節(jié)點中；CDM副本管理可以在備份海量小文件數(shù)據(jù)的同時，將備份時間長、容量大的數(shù)據(jù)可以通過永久增量方式備份，定期做數(shù)據(jù)合成，在恢復的時候可以結(jié)合響應節(jié)點進行，縮短備份窗口，增加底層存儲空間利用率；對現(xiàn)有虛擬化文件可以實現(xiàn)基于源端的去重刪除功能，重刪比可以達到90%以上。

其次，該平臺可以通過LAN-FR EE備份數(shù)據(jù)組成SAN專用網(wǎng)絡通道，備份數(shù)據(jù)在專用網(wǎng)絡通道傳輸，比在普通的以太網(wǎng)上傳輸效率會更高，解決企業(yè)研發(fā)、生產(chǎn)、質(zhì)量、管理、營銷時的不同網(wǎng)絡物理或邏輯隔離情況下，可通過一個平臺同時備份這些隔離數(shù)據(jù)。通過多線程、多通道可以同時對文件、數(shù)據(jù)、虛擬化、數(shù)據(jù)庫進行實時備份，極大地釋放整個備份平臺的空間。

最后，通過預先寫好的腳本，在備份當天數(shù)據(jù)后，并自動備份到異地數(shù)據(jù)災備甚至可實現(xiàn)業(yè)務容災。

2.4 園區(qū)核心網(wǎng)絡建設

2.4.1 建立以水針車間為核心的生產(chǎn)網(wǎng)絡中心

在水針車間機房新增一臺辦公網(wǎng)三層匯聚交換機和兩臺生產(chǎn)網(wǎng)匯聚交換機（兩臺堆疊），以作為水針車間為核心的生產(chǎn)網(wǎng)絡中心，三臺核心交換機分別與行管樓核心N92160和固體制劑核心N92160進行連接，并形成廠區(qū)整體的環(huán)網(wǎng)體系。此環(huán)網(wǎng)的建立，優(yōu)化整體的網(wǎng)絡傳輸性能，減少整個園區(qū)各體系之間廣播傳播，提升網(wǎng)絡架構(gòu)穩(wěn)定性，實現(xiàn)生產(chǎn)、辦公業(yè)務雙活，提升整體業(yè)務的冗余性。

為水針車間所有用戶接入點位重新分布網(wǎng)絡，并架設二層網(wǎng)管交換進行數(shù)據(jù)交換，相關地址信息按照三層網(wǎng)絡改造IP地址規(guī)劃表進行配置，辦公和生產(chǎn)的接入交換機分別與水針的三臺核心交換機連接。以上改造可實現(xiàn)故障快速可查、功能職責明確、辦公和生產(chǎn)業(yè)務物理隔離的網(wǎng)絡架。

2.4.2 5G專網(wǎng)建設

受5G高頻、信號覆蓋距離有限等因素影響，需要在園區(qū)建立落地站兩個，位于北側(cè)距離最近車間100～300 m，在該站點增加3臺5G AAU，角度分別為70°、140°、280°。

在南側(cè)距離辦公區(qū)域350 m設置3臺5G AAU，角度分別為330°、90°、190°；在行政辦公樓樓頂安裝5臺AAU，其中3臺角度分別為340°、20°、90°，2臺從天井往樓宇內(nèi)部覆蓋，相互斜打，角度分別為0°、180°。

宏站AAU上聯(lián)BBU和A路由，放置在電信機房內(nèi)，而企業(yè)園區(qū)內(nèi)AAU上聯(lián)BBU和B路由，放置在企業(yè)行政辦公樓三樓機房內(nèi)，與固體制劑車間上聯(lián)BBU共享機架安裝。

通過園區(qū)外2個落地站，園區(qū)內(nèi)2個樓頂站，可以有效解決企業(yè)園區(qū)內(nèi)室外5G覆蓋問題，并且由于園區(qū)內(nèi)樓頂站距離車間距離近，5G信號可以穿透到車間，避免車間內(nèi)因QCELL故障導致5G信號變?nèi)酰岣?G網(wǎng)絡保障能力。通過將A路由、BBU下沉到核心機房，形成光纜環(huán)形保護，避免園區(qū)外圍施工導致AAU光纜中。

2.4.3 生產(chǎn)管理層建設

首先，在用戶和服務器之間打造一個工業(yè)安全控制中心，在工業(yè)安全控制中心中部署工業(yè)防火墻、日志審計、數(shù)據(jù)庫審計、防毒墻、安全態(tài)勢感知、虛擬化殺毒墻，確保用戶訪問生產(chǎn)服務工程時的數(shù)據(jù)安全。

其次，用戶經(jīng)常需要在辦公網(wǎng)絡內(nèi)訪問生產(chǎn)網(wǎng)絡中的業(yè)務平臺，如MES、APS、DCS、SCADA等及時掌握系統(tǒng)、設備的運行情況，但是辦公網(wǎng)和設備網(wǎng)是完全物理隔離的，為了解決互通問題，在DMZ區(qū)域部署工業(yè)應用虛擬化架構(gòu)Citrix，所有后臺應用系統(tǒng)部署在數(shù)據(jù)中心服務器上，所有應用客戶端在交付平臺上運行，終端僅接收交付平臺上應用運行的屏幕畫面，從而解決辦公網(wǎng)用戶訪問工控系統(tǒng)，實現(xiàn)業(yè)務訪問同時數(shù)據(jù)不落地。

最后，在用戶端安裝工業(yè)終端安全防護軟件，系統(tǒng)、程序和病毒防護策略運行均通過工業(yè)安全終端統(tǒng)一下發(fā)，嚴格控制U盤、網(wǎng)絡數(shù)據(jù)的收發(fā)傳輸、操作日志收集、工業(yè)網(wǎng)絡病毒阻攔等，實現(xiàn)對產(chǎn)品設計、專利、核心代碼等資料1對1精準管理，嚴格管控，降低核心文件資料被誤傳、外傳的風險。

2.4.4 過程監(jiān)控層

在加強管理同時，注重實際安全工作，強調(diào)安全自查工作，積極主動參與網(wǎng)絡安全保障系列活動，做好自查、攻防演練及漏洞掃描等工作，進一步提升工控過程監(jiān)控層信息化建設的服務水平、技術標準及推廣維護力度。通過針對工控區(qū)域各終端的威脅分析，部署終端工業(yè)安全衛(wèi)士、態(tài)勢感知、網(wǎng)絡版病毒客戶端、AD驗證、統(tǒng)一身份授權(quán)、零信任等手段，有效進行風險防控。

2.4.5 控制層管控

智能安全管控：通過生產(chǎn)區(qū)物理隔離，保證各生產(chǎn)線的穩(wěn)定運行。融合5G智慧園區(qū)應用場景，進行生產(chǎn)作業(yè)區(qū)的智能化監(jiān)控。設立工業(yè)設備態(tài)勢感知系統(tǒng)，實現(xiàn)工業(yè)終端的風險預警。

3" 結(jié)束語

本著利益最大化、性能最優(yōu)化、安全最全化的工業(yè)云架構(gòu)新特點，以信息安全體系為核心目標建立安全管理中心、安全運用中心，形成可防御、可檢測、可響應、可預測的全生命周期的IT/OT融合工業(yè)防護體系；孵化出動態(tài)防御、主動防御、縱深防御、精準防護、整體防控、聯(lián)防聯(lián)控的安全能力。依托上述能力，在未來的企業(yè)數(shù)轉(zhuǎn)智改過程中，逐步實現(xiàn)資產(chǎn)可見、網(wǎng)絡可見、行為可見、事件可見；讓外面的非法數(shù)據(jù)進不來，企業(yè)內(nèi)部合法數(shù)據(jù)拿不走，生產(chǎn)數(shù)據(jù)改不了，非授權(quán)文件看不懂，出來問題跑不了，安全架構(gòu)打不垮，實現(xiàn)行為過程可審查的最終目標。■

參考文獻

[1] 工業(yè)和信息化部電信研究院．云計算白皮書（2012）[R]．工業(yè)和信息化部電信研究院，2012.

[2] 工業(yè)和信息化部電信研究院.政府在云計算發(fā)展中的作用[J]．數(shù)據(jù)通信，2012（4）：52-53.