2022安全样板工程｜中电安科生物制药工控网络安全解决方案

杭州中电安科现代科技有限公司（简称“中电安科”）是国内领先的工控网络安全产品与解决方案提供商，聚焦工控网络安全产品的自主研发，覆盖安全审计、边界防护、安全管理、终端防护、云安全等工业网络安全产品体系，在满足网络安全法、等保2.0等合规性要求的前提下，将安全技术和产品与工业互联网平台、工业自动化系统深度融合，形成了一系列适用于各行业具有核心竞争力的工控网络安全产品与解决方案。

医药制造行业作为百姓基本的生活健康保障资源，其质量问题一直是重中之重。疫苗管理法的出台将疫苗管理上升到了国家安全的高度，同时也对疫苗的研制、生产、上市、流通以及监管提出了更深入的要求。MES项目的建设和规划，符合国药集团总体发展的布局，是新形势下和未来战略性发展的迫切需要。工业控制系统的网络化、智能化在提高生产效率和管理效率的同时，也为恶意攻击者增加了新的攻击途径，生产控制系统面临越来越多的安全威胁和挑战。

1.解决思路

工控网络安全防护方案不单单是一个技术问题，安全防护一定是从自身业务发展的需要出发而设计，符合整个企业的治理、风险和合规管理思路。工控安全体系的建设需结合企业的战略目标，明确组织职责、运作机制和流程，建立有效的管理循环，保证企业目标得以实现；建立自上而下的风险管理架构，从风险背景的建立到风险评估、风险响应和风险监测，使各个层级明确自身风险管理职责和风险管理流程；还需建立自身控制基线，满足当前对风险控制的要求，同时符合国家相关法律法规以及等级保护要求等，还需要满足自身企业的业务目标。而这些离不开合规的管理。

企业在两化融合的深入过程中，已经从最初的数据采集开始往“智能制造”“智慧工厂”方向发展，所以在设计安全防护方案时，需以动态的眼光对待工控网络安全问题，遵循“以治理为保障，以风险为导向，以合规为基线”的指导方针，既需要考虑当前企业工控网络安全现状，也需要考虑未来企业发展的需要。

2.产品部署

（1）边界防护。在各PLC控制系统之间部署工业防火墙，将各控制系统进行逻辑隔离，并设置严格的访问控制策略，通过基于IP、端口、协议等的访问控制策略，杜绝控制系统的非法访问，隔离网络攻击和病毒（包含工业病毒）的跨区域的串扰，保护工业环网的安全运行。

（2）监测审计。在各场站的工控系统分别部署监测引擎，对工控流量进行监测分析，识别出工控协议，并对其深度解析，同时将违规操作、非法操作和程序下载、IP变更、组态变更、PLC启停等关键事件，以及病毒、木马、黑客等攻击行为数据，传送到部署在调度中心的工控安全监测审计管理系统中。

（3）终端安全。本方案为解决以往不安装杀毒软件来保证主机设备正常运行的问题，在生产网各工控系统中的操作员站、工程师站以及服务器等工业主机上安装部署工控安全卫士，在调度中心部署工控终端防护系统。管理系统对工控安全卫士进行统一管理与监控，策略下发，异常报警等。

（4）安全运维。在调度中心部署运维堡垒机，进行集中账号管理、集中登录认证、集中用户授权和集中操作审计，实现对运维人员的操作行为审计，违规操作、非法访问等行为的有效监督，为事后追溯提供依据。

（5）配置管理。为了做好工业控制网络、工业主机和工业控制设备的安全配置的管理，本方案建立工业控制系统配置清单，明确配置管理责任人及职责；定期对配置清单进行配置审计；为所有重大配置变更制定变更计划并进行影响分析，定义配置变更审批流程，配置变更实施前，进行严格的安全测试。

（6）安全管理。制药控制系统在做好信息安全相关建设整改后，增强了网络安全性，但是也增加了一定的管理难度。因此，在调度中心部署安全管理平台，主要包括数据监测、日志收集和报警展示，大大降低运维管理难度和工作量。同时，可采集制药控制系统的主机设备、网络设备、安全、业务软件的日志进行统一留存和管理，运维管理人员可通过该平台监控全网的报警信息，发生安全事件后，可第一时间采取处置措施，提升制药行业安全防护整体水平。

实现了不同系统之间的逻辑隔离，解决了生产网各工控系统之间以及管理网与生产网之间的违规访问问题。

对监测引擎进行了统一监控与管理，实现了将监测引擎传送过来的异常数据进行统计分析，并告警显示。

同时，依据通讯流量进行节点网络拓扑动态生成、工控资产识别，实现了对工控网络的监测与审计，为事后提供追溯分析依据。

实现了对工业主机的进程白名单管理，对流量、USB口管控，有效抵御未知攻击，实现了工业主机安全防护与加固。

解决了远程运维行为无法监控问题，以及在访问系统资源时，操作记录无法安全审计、事后可追溯问题。

建立了工业控制系统配置清单，定期进行配置审计。

部署安全管理平台，主要包括数据监测、日志收集和报警展示，大大降低运维管理的工作难度和工作量，同时可采集制药控制系统的主机设备、网络设备、安全、业务软件的日志进行统一留存和管理。

中电安科提供的工控网络安全解决方案不仅满足了网络安全法框架下关键信息基础设施保护制度要求、网络安全等级保护制度要求以及防护指南等政策的有关要求，还从技术和管理“两手抓”，技术与管理并重，全面提高了安全管理水平的同时，实现了工控网络资产的可视化管理，从网络、终端、通信、数据、运维、管理等多个层面提供了完整的安全防护，支持近百种工业协议的深度解析，为该项目提供了极具行业竞争力的工控网络安全解决方案，解决了用户痛点，提升了企业制药安全防护整体水平。