雷东 蒋井明 刘大明

兰州生物制品研究所有限责任公司 甘肃 兰州 730046

引言

现阶段，生物制药企业在工业控制网络等保设计管理过程中需要首先参考《网络安全等级保护基本要求GB/T22239-2019》相关要求，并结合自身的运作管理需求，结合行之有效的管控方式、管控手段，建立起数据安全管理结构，完善整个体系中的各监测管理流程，同时优化网络体系中的各控制节点，保障数据信息安全。

1 工业控制网络的概念

在当今智能制造领域，企业需要依托成熟完善的工业控制网络体系，对经营运作流程、经营管理方式进行更加细致深入地优化改善，工业控制网络系统在交通、工业生产、电子商务等多个领域得到广泛使用，工业控制网络涉及较多的控制单元，如集散控制系统、分散控制系统、分布式控制系统，期间需要依托成熟完善的控制器局域网，结合载波监听、多路访问、冲突检测等专项控制手段、控制措施，整合多项协议数据单元，实现对整个体系中结构化、半结构化数据资料进行更加科学高效地管理控制。传统工业控制网络结合半双工通信机制可在两个方向进行数据传递，工业控制网络系统需要结合介质防控，实现设备之间的专项管理管制，在生产管理过程中，工作人员、技术人员需要严格把控自动控制装置之间的多项数据信息，如数据串行、多点通信，实现现场总线管理。

而在现场总线管理活动中则需要结合多样化的系统软件，如主态工具软件、设备功能软件、设备接口、通信软件、监控组态软件等，用户需要根据自身的实际使用需求来完成对各软件体系、软件系统的开发控制。最为关键的是，在工业控制系统中需要实现模拟数据编码，而常见的3种编码包含ASK、FSK、PSK，在互联网层、传输层、应用层实现对数据信息多维度、多层次地管理控制。总体来说，工业控制技术在当今数字化、信息化时代可实现对数据信息更加高效地管理、管制，对于实现智能化、柔性化生产具备较大的现实意义。在网络技术、开放式技术的加持下，传统的工业网络控制系统不再是以孤立的形式存在，依托完整全面的IT网络实现工业自动化控制是必然的发展趋势，但是在此期间相关企业单位在工业控制网络的设计管理环节则应当考虑其中潜在的控制安全风险问题，对其中诸如操作系统的漏洞、软件漏洞、RTOS漏洞、ODAY漏洞以及数据窃取、盗取等风险问题进行严格控制。

2 生物制药企业工业控制网络等保设计方案

2.1 安全设计的原则

保障工控安全是生物制药企业在当今自动化、数字化生产管理活动中的重点工作任务，具体来说，生物制药企业在生产管理活动中需要借助各项机密性的生产资料、生产文件，如专利、核心技术、各原材料的配方、工艺、生产加工流程进行专项控制，因此建立起实时高效的网络安全管理体系，保障生产资料的安全稳定对于实现工业企业的业务发展具备显著的功效[1]。在此期间，工业企业需要完善现有的网络架构，而相关网络架构需要承担起生物制药企业基本的业务管理需求，比如企业需要确保网络带宽能够满足企业后续产能扩张的生产管理需求，实现对关键线路点位的改善设计，满足数据交换以及数据安全管理的分段控制需求诉求；其次，数据信息数据管理也应当具备保密性，在数据传输、储存管理过程中，工业控制网络与外部网络的接触点位进一步增多，从而导致数据信息的发送、接收、储存存在较多的安全隐患点位，一旦信息遭受篡改或攻击，工业控制网络中的预测机制、预警机制应当发出基本警示的作用，快速反馈信息，保障数据安全。

2.2 现场总线设计

工业控制网络需要实现对生物资料以及企业生产管理流程中人、机、料、法、环各种信息资料的综合处理控制，因此结合现场总线技术的使用是必不可少的，在工业网络设计过程中，相关企业单位应当致力于提升现场通信服务管理水平，结合数字化通信网络系统，在开放互联网络架构中实现现场设备的互联互通，在此期间相关单位应当对其中的结构与功能高度分散的系统进行严格管控，保证设备信息、设备资料的传输传递具备互操性、互换性，能够实现数据服务之间的有效对接。而为了保障现场总线技术能够发挥出实际价值和作用，企业单位也应当将其中的服务与协议关系进行全新定义，具体来说，数据服务与底层协议存在两种不同的管控重心以及不同的原理概念，在服务管理层面可完成细致深入地操作、管控，但是服务用户以及服务提供者均存在较大的差异，而协议是通信同层对等实体之间交换报文、分组格式以及意义的规则。在总线管理活动中，生物制药企业需要对其中的服务与协议进行科学高效地定义，将两者完全分离开来，在操作层面以及管理层面实现安全管控。

2.3 边界安全设计

边界安全设计是工业控制网络安全管理工作中的重点和要点，在边界安全管理过程中主要是实现边界隔离、访问控制，对外来入侵以及病毒进行实时高效地防范。最为关键的是，在边界安全设计过程中还需要完善现行安全审计机制。

在边界隔离控制环节，企业需要防范非法客户端对内部数据信息进行访问，为此企业可以结合授权管理模式，对外联访问的形式以及人员名单进行有效控制，保障企业在对外连接网络的过程中实现对内部网络系统的有效安全保护；针对入侵及病毒的威胁，可以对网络层面以及整个设备体系中的各结构组成部分进行细致深入地网络病毒查杀，对其中潜在的计算机主机感染风险进行有效控制；而为了彻底地解决网络隐患，企业则应当在工业控制网络安全设计过程中制定行之有效的追踪机制，对非法攻击、非法访问的行为采取有效的跟踪管控，及时采集数据信息，对其中关键数据信息的流入流出节点进行专项审计分析，实现网络攻击行为的高效评判，必要时则需要通知公安机关采取强制性的保障手段，给予非法入侵行为严厉的打击。

2.4 完善工业控制软件设计体系

工业软件自身的安全等级决定着工业企业在生产管理过程中的安全运作效率，生物制药企业在工业控制网络安全管理以及等保设计管理过程中应当尝试结合全新的软件工程技术，对其中的软件漏洞进行动态化、高效化地管制，在软件控制方面，生物制药企业需要结合嵌入式软件漏洞等相关技术，结合拟态工业控制器，实现对各项安全数据信息、安全算法更加高效地使用管控，为此生物制药企业可以结合针对CPS广义功能安全问题处理的控制技术，严格参照工业控制系统网络安全防护管理法则，完成对整个系统架构的构建和打造，参照工业现场协议管理标准，引入数字化模拟，复制拟态控制场景，还原安全管理结构，从而完成对关键软件应用的开发[2]。

除此之外，在工业软件设计过程中，生物制药企业也需要强化整个系统的防御机制，增强系统的学习功能，比如可以结合人工智能系统中的专家控制机制，使得整个工业控制网络软件系统具备基本的学习能力，能够应对常态化的网络攻击，并且对曾经遭受过的网络攻击行为进行专项记录，建立起安全管理台账，减轻在网络安全管理过程中的人力、物力、财力的投入。此外，在工业软件访问端口的设计层面，设计人员则需要参照网络密码管理架构，对其中密码应用的关键技术进行细致深入地管理控制，推动密码应用在工业软件体系中的落地推广，比如可以结合CPK组合方式，借助静态以及动态密匙，实现对整个工业控制网络系统安全问题以及访问权限问题的有效管控，从源头保障工业数据信息的安全。

并且在系统软件设计管理过程中也需要适当地结合供应链数据安全管控模型，同时借助区块链技术，构建成熟完善的安全管理架构，结合边缘服务系统的设计理念、设计思想，完善边缘控制。总体来说，在工业软件安全设计管理过程中，生物制药企业需要参照自身的功能使用需求，对其中的安全保障架构、安全保障协议、安全保障密匙以及加密组合结构进行细致深入地管理。结合行之有效的数据算法，构建起成熟高效的工业控制网络软件体系，对其中的系统应用进行安全管理、安全控制。

3 生物制药企业工业控制网络安全的应用实践

3.1 监测管控

生物制药企业结合工业控制网络系统可实现对整个生产流程、生产细节部位实时高效地监督、管理、管控，在此期间，相关企业单位需要部署监管平台，对其中的安全产品进行统一高效地管理，可结合网络控制体系，收集各设备、各流程在运作过程中的各项数据信息，建起专项日志管理体系，使得平台系统能够实现集中控制、统一部署，保证数据安全、设备安全[3]。因此利用工业控制软件，结合工业控制网络系统，可实现对整个管理日志、生产细节的统一高效控制。除此之外，工程人员、技术人员也需要部署工业主机卫士软件，对企业中的操作站、操作节点进行高效化管控，对其中的PE文件，加固策略以及安全管理级别进行有效设置，防止病毒、木马等恶意软件的非法利用，实现对整个运作周期、运作流程的安全保障。在工业控制网络体系中，操作站、工程人员以及各项服务器、机构均应当实现有效串接、衔接，在全监督管理过程中发挥出协同合作的作用，比如设置白名单、黑名单，对整个运行过程进行安全检测、安全控制，保证整个系统的运作具备稳定性、全面性。

3.2 全流量解析

生物制药企业中的网络流量一直作为工控系统通信的重要隐形参数，如缺少相应的流量检测能力很难在日常的网络安全管理中发现应用或内部流量攻击所引起的生产事故。因此基于等保的相关合规要求用户需要确保网络环境中的流量资源满足当前的生产业务通讯要求，同时需要实时的监控其资源变化的状态，及时的发现流量的资源异常，异常包括：具体协议、具体主机、具体的链路等。在保障及监控网络流量的同时，工控系统还需要借助镜像流量进行深入的解析，已发现应用层以上的安全威胁，特别是基于工业私有协议（如“modbus，OPC,S7等”）的安全风险，工业协议本身存在着其私有性和高风险特性，一旦被攻击者篡改，相关的工控设备将直接被攻击者控制并产生非常严重的后果。因此需要对现有工控网络中的指令集进行检测、审计并形成基于生产业务的指令级基线，通过流量中审计记录形成的安全基线可以形成全流量的白环境，实现对于内部流量的全面安全监控。

3.3 安全态势感知

安全态势感知是工业控制网络系统在运作过程中的核心要素，在此期间，生物制药企业需要对核心交换机进行精细化、精益化地管理，对其中的安全设备、安全日志进行核查分析，完成关联控制、安全预测、预警，从另一个层面，结合安全态势感知系统，可实现对整个工业控制网络体系中的各项设备信息进行主动扫描，对其中潜在的漏洞隐患问题进行有效识别，同时也能够通过模拟量控制，对整个生物制药管理流程中所涉及的关键资源支出、流入的节点进行关联分析，实现综合控制，并且也可通过对现有的生产体系、业务流程、安全管理架构、安全数据、安全资料的专项控制，结合可视化管理模式、管理方法有效预测未知攻击，并且也可分析、量化现行管理运作系统中存在的低效率、高能耗的问题点。总体来说，工业控制网络系统所具备的态势感知功能相对较为强劲，可对生物制药企业中出现的各个网络节点以及网络安全风险问题实施有效地管理管制。

4 结束语

总体来说，生物制药企业工业控制网络等保设计、安全管理、安全控制涉及较多的流程。在安全管理过程中，生物制药企业应当尝试优化现行管理结构，同时保障各管理组织能够正常高效地运作，结合行之有效的控制方法，提高整个体系的综合运作水平。