医药装备制造业，作为一个涵盖医疗设备、医用耗材、药品生产设备等领域的产业，其网络安全问题备受关注。随着医疗设备和制药设备的智能化和网络化发展，这些设备通常需要与医院信息系统或云端进行连接，以实现数据共享、远程监控等功能，但这也为网络攻击提供了漏洞和跳板。工控安全方面的风险主要包括网络攻击、数据泄露、恶意软件和供应链风险。黑客可能通过网络攻击远程控制设备，导致数据篡改或设备运行异常，严重威胁医疗流程和患者安全；此外，泄露患者健康信息或商业机密、设备受到恶意软件感染以及供应链中的安全漏洞都是潜在的威胁。

此外在制造现场的车间内，存在许多数控机床，而数控机床等工控设备所面临的安全挑战不容忽视。这些设备通过网络连接到生产系统、监控系统或者重要业务服务器，为黑客提供了潜在的攻击入口，可能导致远程控制、篡改生产指令或加工参数，对生产安全造成威胁。同时，控制系统软件存在的安全漏洞和数据存储的商业机密泄露风险也增加了安全隐患。因此，企业需要实施全面的网络安全策略，包括设备安全设计、网络隔离、漏洞修补和员工安全培训，以确保工控设备和生产数据的安全可靠。

图1 医药装备制造集群车间

二

医药装备制造业车间需求分析

在当前网络安全背景下，医药装备制造业亟需加强网络安全保障，以应对不断增长的网络威胁。医药装备制造业所需部署的安全防护产品包括工控主机卫士、APT攻击检测及防护设备以及工业防火墙等，在保障医药装备制造业网络安全方面发挥着关键作用。

在实际制造车间中，数控机床、上位机等工控设备是医药装备制造过程的重要组成部分。这些设备通过网络与生产计算机或监控系统相连，以实现加工任务的接收和生产状态的监控。然而，这也为网络攻击提供了潜在的入口。网络攻击者可以利用各种漏洞和攻击手法，远程操控数控机床、篡改加工参数或者植入恶意软件，从而对医药装备制造过程造成严重影响。

在这种情况下，医药装备制造业迫切需要加强网络安全防护，保障生产过程的安全可靠性。工控主机卫士、APT攻击检测及防护设备以及工业防火墙等产品的应用成为了至关重要的一环。

边界安全防护需求

1）不同车间之间未划分安全域，无任何访问控制措施，非法攻击容易以上层网络为跳板，对生产网进行攻击，进而影响车间数控机床正常运行，一旦某车间工控网络中的数控机床感染了病毒或者而已软件，就有可能横向扩散威胁至其他车间；

2）车间出口边界无法对恶意代码进行检测和清除；

3）车间人员或第三方外来人员均可接入内网，接入无身份鉴别技术，这对实际车间网络管理带来的极大的挑战。

主机安全防护需求

1）数控机床、服务器身份认证机制简单，未对其进行复杂度设置、密码更换周期未设置、登录失败处理的设置；

3）关键业务服务器内配置文件缺乏访问控制手段，一旦遭到不法分子攻击或人员误操作，会造成关键业务配置文件被破坏，影响生产运行；

4）数控机床、服务器仍然开放不需要的系统服务、默认共享和高危端口，容易被不法份子利用；

5）数控机床、服务器缺乏有效的已知和未知病毒的防护措施，一旦出现病毒入侵行为，无法有效防范；

6）数控机床、服务器缺乏有效的移动介质管控手段，病毒、木马容易通过移动介质“摆渡”进入生产系统。

未知攻击检测需求

1）生产网的不同车间之间边界无法进行网络攻击检测，并无法对攻击源IP、攻击类型、攻击目标、攻击时间，无法在发生严重入侵事件时应提供报警；

2）车间内部缺乏东西向流量分析能力，针对APT攻击无法提供防护能力，发生安全事件中无法提前预警，发生安全事件后无法提供溯源能力。

图2 医药装备制药业现场数控机床

三

威努特医药装备制造车间

解决方案

北京威努特技术有限公司针对医药装备制造业的特点，并结合实际制造车间情况，提供了持续守护，安全稳定的解决方案。

图3 威努特医药装备制造业车间安全建设方案图

威努特医药装备制造业车间安全解决方案针对实际车间网络架构，并根据制造企业当前的网络安全现状并结合工控系统运行环境相对稳定，系统更新频率较低的特点，按照工业和信息化部印发的《工业控制系统信息安全防护指南》关于工控主机安全软件的选择与管理中的要求，提出基于“白名单”机制的工业控制系统网络安全“白环境”解决方案，通过对工控系统网络流量、数控机床状态等进行监控，收集并分析数控机床工控数据及软件运行状态，建立工控系统正常工作环境下的安全状态基线和模型，进而构筑工控安全“白环境”防护理念。

边界安全防护方案

在车间出口边界部署威努特工业防火墙，区分出不同车间之间的安全域，通过访问控制和工业协议深度解析技术，建立车间制造业务通信白名单，有效检测到系统网络中的通信异常和协议异常并加以阻止，进行车间之间的有效隔离，强化系统安全域边界访问控制能力，避免数控机床被攻击。

图4 威努特工业交换机设备图

主机安全防护方案

在车间内数控机床一体的HMI上及服务器上软件部署威努特工控主机卫士，进行可执行程序管理，防止病毒木马等恶意程序感染，采用与传统防病毒软件不同的轻量级“白名单”机制，系统资源占用小，不影响数控机床及服务器的正常使用，可有效阻止工控恶意程序在数控机床及重要MES服务器上的执行、扩散通过截取系统调用实现对文件、目录、进程、注册表和服务的强制访问控制，结合文件和服务的完整性检测、防缓冲区溢出等功能，将普通操作系统透明提升为安全操作系统；产品具有用户身份鉴别、访问权限控制、外设控制、完整性校验、日志审计等功能。

图5 威努特工控主机卫士

在车间内放置部署移动介质安检站，针对常见数据摆渡手段的移动介质进行管控，存储介质经安检站查杀后自动生成病毒查杀标记，结合工控主机卫士对病毒查杀标记进行验证，无杀毒标记的介质将被阻止读取，实现读写控制、病毒查杀、杀毒校验一体的移动介质综合管控方案，保证车间现场违规使用移动介质导致病毒及恶意代码程序的侵扰，通过技术手段实现企业移动存储介质的闭环管理，降低企业安全管理人员投入，支撑企业安全管理制度的有效落地。

未知攻击检测方案

在车间汇聚交换机旁路部署高级威胁检测系统，对生产网东西向的网络流量进行实时分析，通过利用沙箱、多AV病毒检测、流量基因检测和文件基因检测等先进技术对恶意样本、恶意流量、行为异常等威胁进行重点识别，弥补车间网络内自身业务系统脆弱的不足，保护车间网络安全。

四

威努特医药装备制造业

解决方案应用

项目背景

某医药装备制造企业正在进行数控机床联网改造，将之前的各个生产车间的数控机床由最初的U盘拷贝图纸到单台设备的独立生产方式，改变为机床设备联网生产，但是由于之前生产网部分机床在单机使用时已经感染病毒，机床联机后，网络中的病毒开始传播并造成部分机床蓝屏重启，影响生产，为了解决这个问题，威努特受邀进行方案设计和测试，以期望提高车间内工业控制系统信息安全的整体防护水平，验证参与测试工控安全防护产品的安全防护效果，共同探索工业控制系统安全防护建设。

威努特高级威胁检测系统实测

经过测试，威努特高级威胁检测系统，准确定位出车间安全问题所在：统计测试时间段内的数据，共检测到总体安全事件26897次，其中主要的热点事件为永恒之蓝和勒索病毒，攻击目的基本可以确认为：“勒索”。

攻击行为基本集中在安全漏洞利用、远程控制和攻击尝试为主，同时存在多次非法外联尝试和横向威胁，最终定位出两台发生问题的数控机床设备。

车间安全建设

最终根据测试情况，并基于实际方案的认可，客户最终采用了威努特8台防火墙，150点工控主机卫士，3台移动介质安检站，覆盖全厂在7个车间，构建企业整体医药装备制造网络安全防护建设。

五

文章小结