田云 吕强 麻然

摘要：随着信息技术不断发展，网络安全事件频出，国家相关部门不断加大网络安全检查力度。对于制药企业而言，自动化、信息化技术在行业内快速发展。各类信息系统在药企的各业务领域都得到普遍应用，稳定安全的企业信息网絡成了确保企业正常运行的重要条件。本文主要针对制药企业工控网网络安全体系的建设工作展开研究，提供一定的参考意见。

Abstract： With the continuous development of information technology and frequent network security incidents， relevant state departments continue to increase network security inspections. For pharmaceutical companies， automation and information technology are developing rapidly in the industry. Various information systems are widely used in various business fields of pharmaceutical companies， and a stable and secure corporate information network has become an important condition for ensuring the normal operation of enterprises. This article focuses on the research on the construction of the industrial control network security system of pharmaceutical companies， to provide certain reference opinions.

关键词：制药企业;网络安全;等级保护;信息系统

Key words： pharmaceutical companies;network security;graded protection;information systems

中图分类号：TP273;TP309                                文献标识码：A                                  文章编号：1006-4311（2020）27-0150-02

0  引言

近些年来，随着信息技术的飞速发展，各类信息系统应用于各行各业，伴随而来的各类网络安全事件时有发生，国家相关部门也不断加大了对网络安全的检查力度。《中华人民共和国网络安全法》于2016年11月7日发布并自2017年6月1日起施行。该法是为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定的法律。而其中不可忽视的，是《网络安全法》中所规定的等级保护制度，该制度对我国互联网产业未来的发展提供了可靠的依据、标准以及保障。

我国于2008年发布《GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求》简称为等保1.0。后随着新技术的发展以及国家对于信息安全的重视，等级保护2.0《GB/T22239-2019信息安全技术网络安全等级保护基本要求》于2019年5月14日正式发布，并于2019年10月1日起正式实施，将我国目前的网络安全情况施行等级保护，对信息系统进行等级划分，并进行信息系统建设及安全防护。

1  制药企业工控网网络安全体系建设原则

对于制药企业而言，一般有一套独立于办公网的工控网，对于工控网网络安全体系的建设应制定详尽的安全规划和建设方案，完善保护措施，满足等级保护2.0的安全要求，在到达合规要求的同时，进一步增强网络的抗攻击的能力，满足信息系统在物理、网络、系统、应用、数据和管理各层面的安全需求，保证业务系统安全有序高效运转。

从整体结构、网络设备、安全设备等各个方面进行高可靠性的设计和建设;在设计系统安全架构时充分考虑灵活性和可扩展性;网络安全设计将符合网络安全法、网络安全等级保护的要求，确保合规性;网络安全体系建设的过程应具有良好的规范性，便于项目的跟踪把控;方案设计的范围和内容应整体全面，避免由于遗漏造成未来的安全隐患。

2  制药企业工控网网络安全建设

对于制药企业工控网络的网络安全建设，应对企业整体工控网络结构进行规范化设计。工业互联网包括网络、平台、安全三大体系。其中，网络体系是基础，平台体系是核心，安全体系是保障。制药企业需要建设满足自动化、信息化需求的网络安全体系，增强网络、应用、数据、设施设备等的安全保障能力，辨识和防御各类网络安全威胁，消除网络安全风险，构建自动化、信息化发展的安全可靠环境。规范内部工控系统区域，承载了各类业务系统（如SCADA系统，MES系统等），增强网络弹性和可扩展性。独立设置安全管理区域，在符合等保要求的基础上强化了安全管理的功能，并为后期安全建设提供扩展性和安全性。工控网网络拓扑结构见图1所示。工控网网络安全功能设计主要可参考以下几方面进行考虑：

2.1 安全隔离  部署工业防火墙，以达到实时精准的工控协议指令级控制，对工控协议数据包进行快速有针对性的捕获与深度解析，能够检测出数据包的有效内容特征、负载和可用匹配信息，如恶意软件、具体数据和应用程序类型。低时延满足实时性要求，采用高性能多核处理器，满足工业现场低延时、高吞吐的数据处理要求。采用高可靠的软硬件一体化架构，集成硬件加密引擎，为监控层系统和控制层系统数据加密传输提供了高安全性的保证，保证工业防火墙的可靠性。

2.2 安全监测与审计  通过工控安全监测审计平台，实现对多种针对工控系统攻击行为的监测并告警，如针对工控协议的攻击、针对TCP/IP协议层的攻击等;对工控系统入侵行为进行检测，如尝试获取管理员权限、可疑用户名尝试登陆、发现网络木马等;对工控系统关键事件行为进行检测，如工程师站组态、操控指令修改等;通过对通信数据进行长时间的监听，对工控协议进行解析，结合特定算法建立工控网络的通信模型基线，将基线与当前协议通信行为进行对比，检测偏离基线的行为并进行告警;持续监测统计关键网络链路的流量，统计分析相关流量数据;支持对工控网络通信记录进行回溯，根据时间、IP地址、端口号、行为等条件查询通信记录，为工控系统的安全事故调查提供详细依据。

2.3 工控网络安全管控  部署工控安全管控平台，及时发现、报告并处理工业控制系统中的网络攻击或异常行为，通过统一调度安全预警、安全监测、安全防护和应急处置，确保工控系统网络信息安全。实现资产安全状况的统一管理和安全风险的智能分析，使企业的利益受损风险降低。通过部署该平台，可以对工业控制系统资产进行全局管理，帮助用户梳理工控资产，资产间的访问关系，网络中的工业行为等，尤其可对部署在系统中的安全防护类设备进行统一配置。平台通过数据采集的方式，从安全分析、环境管理和安全审计三个维度出发，达到对工业控制系统网络安全状态的全方面监控，实现对所属工控安全设备的统一集中管理，提升运维人员工作效率，降低出错风险。

2.4 工控主机安全管理  部署工控安全主机卫士，通过建立可信应用程序白名单，只允许受信任的进程启动，对其他进程可以进行仅记录或阻断并记录处理。同时集成双反病毒引擎，病毒、木馬文件本地高识别率，抵御专门针对工控环境和Windows的病毒及其未知变种。实时抵御勒索病毒、阻断挖矿病毒运行，检测并及时安装正式发布的系统补丁，抵御黑客攻击。对终端的CPU、内存、磁盘及网络入站、出站流量进行监控，并在达到用户配置的阈值时及时发出告警，防止系统资源耗尽。通过登录防护、网络防护、外设管理等功能对系统账号登录进行安全管理，防止对终端服务器上端口进行恶意探测，并有效防止用户在业务系统上违规运行不合规程序和违规使用移动存储介质。

2.5 工控系统漏洞发现  部署工控漏洞扫描平台，针对工业控制系统网络环境中存在的设备进行漏洞检测的专业设备，通过对设备信息、漏洞信息的分析，让工控系统管理者全面掌握当前系统中的设备使用情况、设备分布情况、漏洞分布情况、漏洞风险趋势等内容。从而实现对重点区域或者高危区域进行有针对性的重点整治的目的。

2.6 APT攻击预警和防御  部署未知威胁分析系统（APT预警），提供一套整体的覆盖多种区域的APT深度威胁分析方案，基于关键区域入口的旁路镜像流量分析，可以实现WEB、邮件、文件三个维度多个层次的APT攻击检测。

2.7 工控安全运维审计  部署堡垒机系统，实现单点登录、多种认证服务等功能。通过对个人身份以及资源、账号的统一管理建立对应关系，实现个人对资源的统一授权，并对授权人员的操作进行记录和分析，以实现事前规划预防、事中实时监管、违规及时响应、事后合规报告、事件追踪回顾，加强企业内部操作行为监督，确保系统正常运行。

2.8 工控综合日志审计  部署日志审计系统，实现安全设备、网络设备等日志的统一管理及安全事件的发现、收集、分析、统计等功能。日志审计系统将安全管理员从复杂的设备配置和海量日志信息中解脱出来，把精力专注于发现和处理各种重要安全事件;同时又将各自独立的安全设备组成为一个有机的整体，及时发现安全风险、安全事件，并结合安全策略和安全知识的管理，提供多种安全响应机制。

2.9 工控系统数据库审计  部署数据库审计系统，全面监管对数据库的访问，有效识别越权操作等行为，同时对不当行为进行追溯记录;针对敏感数据，对其访问行为轨迹进行追踪，当出现敏感数据泄漏事件后能及时发现;识别数据库的配置弱点、发现数据库相关漏洞，并提供解决方案;为数据库安全管理提供依据。

3  结语

本文主要阐述了在当今信息技术不断发展，网络安全事件频出，网络安全形势日趋严峻的时代背景下，制药企业各业务领域在自动化、信息化方面快速发展，稳定安全的企业信息网络成了确保企业正常运行的重要条件。结合最新的信息安全技术网络安全等级保护基本要求，对制药企业工控网网络安全体系的建设设计要点进行了探讨，对制药企业工控网络安全体系建设，构建工业自动化、信息化发展的安全可靠环境提供一定的参考意见。

参考文献：

[1]陈平，王步放，张海洋.中央企业信息安全应急响应建设规划[J].电子技术与软件工程，2020（5）.

[2]徐润泽.浅谈工业控制系统网络安全防护[J].科学与信息化，2020（3）.

[3]陈钦华.实践企业信息安全等保建设[J].网络安全和信息化，2019（4）.