雷東 蔣井明 劉大明

蘭州生物制品研究所有限責(zé)任公司 甘肅 蘭州 730046

引言

現(xiàn)階段，生物制藥企業(yè)在工業(yè)控制網(wǎng)絡(luò)等保設(shè)計(jì)管理過程中需要首先參考《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T22239-2019》相關(guān)要求，并結(jié)合自身的運(yùn)作管理需求，結(jié)合行之有效的管控方式、管控手段，建立起數(shù)據(jù)安全管理結(jié)構(gòu)，完善整個(gè)體系中的各監(jiān)測(cè)管理流程，同時(shí)優(yōu)化網(wǎng)絡(luò)體系中的各控制節(jié)點(diǎn)，保障數(shù)據(jù)信息安全。

1 工業(yè)控制網(wǎng)絡(luò)的概念

在當(dāng)今智能制造領(lǐng)域，企業(yè)需要依托成熟完善的工業(yè)控制網(wǎng)絡(luò)體系，對(duì)經(jīng)營運(yùn)作流程、經(jīng)營管理方式進(jìn)行更加細(xì)致深入地優(yōu)化改善，工業(yè)控制網(wǎng)絡(luò)系統(tǒng)在交通、工業(yè)生產(chǎn)、電子商務(wù)等多個(gè)領(lǐng)域得到廣泛使用，工業(yè)控制網(wǎng)絡(luò)涉及較多的控制單元，如集散控制系統(tǒng)、分散控制系統(tǒng)、分布式控制系統(tǒng)，期間需要依托成熟完善的控制器局域網(wǎng)，結(jié)合載波監(jiān)聽、多路訪問、沖突檢測(cè)等專項(xiàng)控制手段、控制措施，整合多項(xiàng)協(xié)議數(shù)據(jù)單元，實(shí)現(xiàn)對(duì)整個(gè)體系中結(jié)構(gòu)化、半結(jié)構(gòu)化數(shù)據(jù)資料進(jìn)行更加科學(xué)高效地管理控制。傳統(tǒng)工業(yè)控制網(wǎng)絡(luò)結(jié)合半雙工通信機(jī)制可在兩個(gè)方向進(jìn)行數(shù)據(jù)傳遞，工業(yè)控制網(wǎng)絡(luò)系統(tǒng)需要結(jié)合介質(zhì)防控，實(shí)現(xiàn)設(shè)備之間的專項(xiàng)管理管制，在生產(chǎn)管理過程中，工作人員、技術(shù)人員需要嚴(yán)格把控自動(dòng)控制裝置之間的多項(xiàng)數(shù)據(jù)信息，如數(shù)據(jù)串行、多點(diǎn)通信，實(shí)現(xiàn)現(xiàn)場(chǎng)總線管理。

而在現(xiàn)場(chǎng)總線管理活動(dòng)中則需要結(jié)合多樣化的系統(tǒng)軟件，如主態(tài)工具軟件、設(shè)備功能軟件、設(shè)備接口、通信軟件、監(jiān)控組態(tài)軟件等，用戶需要根據(jù)自身的實(shí)際使用需求來完成對(duì)各軟件體系、軟件系統(tǒng)的開發(fā)控制。最為關(guān)鍵的是，在工業(yè)控制系統(tǒng)中需要實(shí)現(xiàn)模擬數(shù)據(jù)編碼，而常見的3種編碼包含ASK、FSK、PSK，在互聯(lián)網(wǎng)層、傳輸層、應(yīng)用層實(shí)現(xiàn)對(duì)數(shù)據(jù)信息多維度、多層次地管理控制?？傮w來說，工業(yè)控制技術(shù)在當(dāng)今數(shù)字化、信息化時(shí)代可實(shí)現(xiàn)對(duì)數(shù)據(jù)信息更加高效地管理、管制，對(duì)于實(shí)現(xiàn)智能化、柔性化生產(chǎn)具備較大的現(xiàn)實(shí)意義。在網(wǎng)絡(luò)技術(shù)、開放式技術(shù)的加持下，傳統(tǒng)的工業(yè)網(wǎng)絡(luò)控制系統(tǒng)不再是以孤立的形式存在，依托完整全面的IT網(wǎng)絡(luò)實(shí)現(xiàn)工業(yè)自動(dòng)化控制是必然的發(fā)展趨勢(shì)，但是在此期間相關(guān)企業(yè)單位在工業(yè)控制網(wǎng)絡(luò)的設(shè)計(jì)管理環(huán)節(jié)則應(yīng)當(dāng)考慮其中潛在的控制安全風(fēng)險(xiǎn)問題，對(duì)其中諸如操作系統(tǒng)的漏洞、軟件漏洞、RTOS漏洞、ODAY漏洞以及數(shù)據(jù)竊取、盜取等風(fēng)險(xiǎn)問題進(jìn)行嚴(yán)格控制。

2 生物制藥企業(yè)工業(yè)控制網(wǎng)絡(luò)等保設(shè)計(jì)方案

2.1 安全設(shè)計(jì)的原則

保障工控安全是生物制藥企業(yè)在當(dāng)今自動(dòng)化、數(shù)字化生產(chǎn)管理活動(dòng)中的重點(diǎn)工作任務(wù)，具體來說，生物制藥企業(yè)在生產(chǎn)管理活動(dòng)中需要借助各項(xiàng)機(jī)密性的生產(chǎn)資料、生產(chǎn)文件，如專利、核心技術(shù)、各原材料的配方、工藝、生產(chǎn)加工流程進(jìn)行專項(xiàng)控制，因此建立起實(shí)時(shí)高效的網(wǎng)絡(luò)安全管理體系，保障生產(chǎn)資料的安全穩(wěn)定對(duì)于實(shí)現(xiàn)工業(yè)企業(yè)的業(yè)務(wù)發(fā)展具備顯著的功效[1]。在此期間，工業(yè)企業(yè)需要完善現(xiàn)有的網(wǎng)絡(luò)架構(gòu)，而相關(guān)網(wǎng)絡(luò)架構(gòu)需要承擔(dān)起生物制藥企業(yè)基本的業(yè)務(wù)管理需求，比如企業(yè)需要確保網(wǎng)絡(luò)帶寬能夠滿足企業(yè)后續(xù)產(chǎn)能擴(kuò)張的生產(chǎn)管理需求，實(shí)現(xiàn)對(duì)關(guān)鍵線路點(diǎn)位的改善設(shè)計(jì)，滿足數(shù)據(jù)交換以及數(shù)據(jù)安全管理的分段控制需求訴求；其次，數(shù)據(jù)信息數(shù)據(jù)管理也應(yīng)當(dāng)具備保密性，在數(shù)據(jù)傳輸、儲(chǔ)存管理過程中，工業(yè)控制網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的接觸點(diǎn)位進(jìn)一步增多，從而導(dǎo)致數(shù)據(jù)信息的發(fā)送、接收、儲(chǔ)存存在較多的安全隱患點(diǎn)位，一旦信息遭受篡改或攻擊，工業(yè)控制網(wǎng)絡(luò)中的預(yù)測(cè)機(jī)制、預(yù)警機(jī)制應(yīng)當(dāng)發(fā)出基本警示的作用，快速反饋信息，保障數(shù)據(jù)安全。

2.2 現(xiàn)場(chǎng)總線設(shè)計(jì)

工業(yè)控制網(wǎng)絡(luò)需要實(shí)現(xiàn)對(duì)生物資料以及企業(yè)生產(chǎn)管理流程中人、機(jī)、料、法、環(huán)各種信息資料的綜合處理控制，因此結(jié)合現(xiàn)場(chǎng)總線技術(shù)的使用是必不可少的，在工業(yè)網(wǎng)絡(luò)設(shè)計(jì)過程中，相關(guān)企業(yè)單位應(yīng)當(dāng)致力于提升現(xiàn)場(chǎng)通信服務(wù)管理水平，結(jié)合數(shù)字化通信網(wǎng)絡(luò)系統(tǒng)，在開放互聯(lián)網(wǎng)絡(luò)架構(gòu)中實(shí)現(xiàn)現(xiàn)場(chǎng)設(shè)備的互聯(lián)互通，在此期間相關(guān)單位應(yīng)當(dāng)對(duì)其中的結(jié)構(gòu)與功能高度分散的系統(tǒng)進(jìn)行嚴(yán)格管控，保證設(shè)備信息、設(shè)備資料的傳輸傳遞具備互操性、互換性，能夠?qū)崿F(xiàn)數(shù)據(jù)服務(wù)之間的有效對(duì)接。而為了保障現(xiàn)場(chǎng)總線技術(shù)能夠發(fā)揮出實(shí)際價(jià)值和作用，企業(yè)單位也應(yīng)當(dāng)將其中的服務(wù)與協(xié)議關(guān)系進(jìn)行全新定義，具體來說，數(shù)據(jù)服務(wù)與底層協(xié)議存在兩種不同的管控重心以及不同的原理概念，在服務(wù)管理層面可完成細(xì)致深入地操作、管控，但是服務(wù)用戶以及服務(wù)提供者均存在較大的差異，而協(xié)議是通信同層對(duì)等實(shí)體之間交換報(bào)文、分組格式以及意義的規(guī)則。在總線管理活動(dòng)中，生物制藥企業(yè)需要對(duì)其中的服務(wù)與協(xié)議進(jìn)行科學(xué)高效地定義，將兩者完全分離開來，在操作層面以及管理層面實(shí)現(xiàn)安全管控。

2.3 邊界安全設(shè)計(jì)

邊界安全設(shè)計(jì)是工業(yè)控制網(wǎng)絡(luò)安全管理工作中的重點(diǎn)和要點(diǎn)，在邊界安全管理過程中主要是實(shí)現(xiàn)邊界隔離、訪問控制，對(duì)外來入侵以及病毒進(jìn)行實(shí)時(shí)高效地防范。最為關(guān)鍵的是，在邊界安全設(shè)計(jì)過程中還需要完善現(xiàn)行安全審計(jì)機(jī)制。

在邊界隔離控制環(huán)節(jié)，企業(yè)需要防范非法客戶端對(duì)內(nèi)部數(shù)據(jù)信息進(jìn)行訪問，為此企業(yè)可以結(jié)合授權(quán)管理模式，對(duì)外聯(lián)訪問的形式以及人員名單進(jìn)行有效控制，保障企業(yè)在對(duì)外連接網(wǎng)絡(luò)的過程中實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的有效安全保護(hù)；針對(duì)入侵及病毒的威脅，可以對(duì)網(wǎng)絡(luò)層面以及整個(gè)設(shè)備體系中的各結(jié)構(gòu)組成部分進(jìn)行細(xì)致深入地網(wǎng)絡(luò)病毒查殺，對(duì)其中潛在的計(jì)算機(jī)主機(jī)感染風(fēng)險(xiǎn)進(jìn)行有效控制；而為了徹底地解決網(wǎng)絡(luò)隱患，企業(yè)則應(yīng)當(dāng)在工業(yè)控制網(wǎng)絡(luò)安全設(shè)計(jì)過程中制定行之有效的追蹤機(jī)制，對(duì)非法攻擊、非法訪問的行為采取有效的跟蹤管控，及時(shí)采集數(shù)據(jù)信息，對(duì)其中關(guān)鍵數(shù)據(jù)信息的流入流出節(jié)點(diǎn)進(jìn)行專項(xiàng)審計(jì)分析，實(shí)現(xiàn)網(wǎng)絡(luò)攻擊行為的高效評(píng)判，必要時(shí)則需要通知公安機(jī)關(guān)采取強(qiáng)制性的保障手段，給予非法入侵行為嚴(yán)厲的打擊。

2.4 完善工業(yè)控制軟件設(shè)計(jì)體系

工業(yè)軟件自身的安全等級(jí)決定著工業(yè)企業(yè)在生產(chǎn)管理過程中的安全運(yùn)作效率，生物制藥企業(yè)在工業(yè)控制網(wǎng)絡(luò)安全管理以及等保設(shè)計(jì)管理過程中應(yīng)當(dāng)嘗試結(jié)合全新的軟件工程技術(shù)，對(duì)其中的軟件漏洞進(jìn)行動(dòng)態(tài)化、高效化地管制，在軟件控制方面，生物制藥企業(yè)需要結(jié)合嵌入式軟件漏洞等相關(guān)技術(shù)，結(jié)合擬態(tài)工業(yè)控制器，實(shí)現(xiàn)對(duì)各項(xiàng)安全數(shù)據(jù)信息、安全算法更加高效地使用管控，為此生物制藥企業(yè)可以結(jié)合針對(duì)CPS廣義功能安全問題處理的控制技術(shù)，嚴(yán)格參照工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)管理法則，完成對(duì)整個(gè)系統(tǒng)架構(gòu)的構(gòu)建和打造，參照工業(yè)現(xiàn)場(chǎng)協(xié)議管理標(biāo)準(zhǔn)，引入數(shù)字化模擬，復(fù)制擬態(tài)控制場(chǎng)景，還原安全管理結(jié)構(gòu)，從而完成對(duì)關(guān)鍵軟件應(yīng)用的開發(fā)[2]。

除此之外，在工業(yè)軟件設(shè)計(jì)過程中，生物制藥企業(yè)也需要強(qiáng)化整個(gè)系統(tǒng)的防御機(jī)制，增強(qiáng)系統(tǒng)的學(xué)習(xí)功能，比如可以結(jié)合人工智能系統(tǒng)中的專家控制機(jī)制，使得整個(gè)工業(yè)控制網(wǎng)絡(luò)軟件系統(tǒng)具備基本的學(xué)習(xí)能力，能夠應(yīng)對(duì)常態(tài)化的網(wǎng)絡(luò)攻擊，并且對(duì)曾經(jīng)遭受過的網(wǎng)絡(luò)攻擊行為進(jìn)行專項(xiàng)記錄，建立起安全管理臺(tái)賬，減輕在網(wǎng)絡(luò)安全管理過程中的人力、物力、財(cái)力的投入。此外，在工業(yè)軟件訪問端口的設(shè)計(jì)層面，設(shè)計(jì)人員則需要參照網(wǎng)絡(luò)密碼管理架構(gòu)，對(duì)其中密碼應(yīng)用的關(guān)鍵技術(shù)進(jìn)行細(xì)致深入地管理控制，推動(dòng)密碼應(yīng)用在工業(yè)軟件體系中的落地推廣，比如可以結(jié)合CPK組合方式，借助靜態(tài)以及動(dòng)態(tài)密匙，實(shí)現(xiàn)對(duì)整個(gè)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)安全問題以及訪問權(quán)限問題的有效管控，從源頭保障工業(yè)數(shù)據(jù)信息的安全。

并且在系統(tǒng)軟件設(shè)計(jì)管理過程中也需要適當(dāng)?shù)亟Y(jié)合供應(yīng)鏈數(shù)據(jù)安全管控模型，同時(shí)借助區(qū)塊鏈技術(shù)，構(gòu)建成熟完善的安全管理架構(gòu)，結(jié)合邊緣服務(wù)系統(tǒng)的設(shè)計(jì)理念、設(shè)計(jì)思想，完善邊緣控制?？傮w來說，在工業(yè)軟件安全設(shè)計(jì)管理過程中，生物制藥企業(yè)需要參照自身的功能使用需求，對(duì)其中的安全保障架構(gòu)、安全保障協(xié)議、安全保障密匙以及加密組合結(jié)構(gòu)進(jìn)行細(xì)致深入地管理。結(jié)合行之有效的數(shù)據(jù)算法，構(gòu)建起成熟高效的工業(yè)控制網(wǎng)絡(luò)軟件體系，對(duì)其中的系統(tǒng)應(yīng)用進(jìn)行安全管理、安全控制。

3 生物制藥企業(yè)工業(yè)控制網(wǎng)絡(luò)安全的應(yīng)用實(shí)踐

3.1 監(jiān)測(cè)管控

生物制藥企業(yè)結(jié)合工業(yè)控制網(wǎng)絡(luò)系統(tǒng)可實(shí)現(xiàn)對(duì)整個(gè)生產(chǎn)流程、生產(chǎn)細(xì)節(jié)部位實(shí)時(shí)高效地監(jiān)督、管理、管控，在此期間，相關(guān)企業(yè)單位需要部署監(jiān)管平臺(tái)，對(duì)其中的安全產(chǎn)品進(jìn)行統(tǒng)一高效地管理，可結(jié)合網(wǎng)絡(luò)控制體系，收集各設(shè)備、各流程在運(yùn)作過程中的各項(xiàng)數(shù)據(jù)信息，建起專項(xiàng)日志管理體系，使得平臺(tái)系統(tǒng)能夠?qū)崿F(xiàn)集中控制、統(tǒng)一部署，保證數(shù)據(jù)安全、設(shè)備安全[3]。因此利用工業(yè)控制軟件，結(jié)合工業(yè)控制網(wǎng)絡(luò)系統(tǒng)，可實(shí)現(xiàn)對(duì)整個(gè)管理日志、生產(chǎn)細(xì)節(jié)的統(tǒng)一高效控制。除此之外，工程人員、技術(shù)人員也需要部署工業(yè)主機(jī)衛(wèi)士軟件，對(duì)企業(yè)中的操作站、操作節(jié)點(diǎn)進(jìn)行高效化管控，對(duì)其中的PE文件，加固策略以及安全管理級(jí)別進(jìn)行有效設(shè)置，防止病毒、木馬等惡意軟件的非法利用，實(shí)現(xiàn)對(duì)整個(gè)運(yùn)作周期、運(yùn)作流程的安全保障。在工業(yè)控制網(wǎng)絡(luò)體系中，操作站、工程人員以及各項(xiàng)服務(wù)器、機(jī)構(gòu)均應(yīng)當(dāng)實(shí)現(xiàn)有效串接、銜接，在全監(jiān)督管理過程中發(fā)揮出協(xié)同合作的作用，比如設(shè)置白名單、黑名單，對(duì)整個(gè)運(yùn)行過程進(jìn)行安全檢測(cè)、安全控制，保證整個(gè)系統(tǒng)的運(yùn)作具備穩(wěn)定性、全面性。

3.2 全流量解析

生物制藥企業(yè)中的網(wǎng)絡(luò)流量一直作為工控系統(tǒng)通信的重要隱形參數(shù)，如缺少相應(yīng)的流量檢測(cè)能力很難在日常的網(wǎng)絡(luò)安全管理中發(fā)現(xiàn)應(yīng)用或內(nèi)部流量攻擊所引起的生產(chǎn)事故。因此基于等保的相關(guān)合規(guī)要求用戶需要確保網(wǎng)絡(luò)環(huán)境中的流量資源滿足當(dāng)前的生產(chǎn)業(yè)務(wù)通訊要求，同時(shí)需要實(shí)時(shí)的監(jiān)控其資源變化的狀態(tài)，及時(shí)的發(fā)現(xiàn)流量的資源異常，異常包括：具體協(xié)議、具體主機(jī)、具體的鏈路等。在保障及監(jiān)控網(wǎng)絡(luò)流量的同時(shí)，工控系統(tǒng)還需要借助鏡像流量進(jìn)行深入的解析，已發(fā)現(xiàn)應(yīng)用層以上的安全威脅，特別是基于工業(yè)私有協(xié)議（如“modbus，OPC,S7等”）的安全風(fēng)險(xiǎn)，工業(yè)協(xié)議本身存在著其私有性和高風(fēng)險(xiǎn)特性，一旦被攻擊者篡改，相關(guān)的工控設(shè)備將直接被攻擊者控制并產(chǎn)生非常嚴(yán)重的后果。因此需要對(duì)現(xiàn)有工控網(wǎng)絡(luò)中的指令集進(jìn)行檢測(cè)、審計(jì)并形成基于生產(chǎn)業(yè)務(wù)的指令級(jí)基線，通過流量中審計(jì)記錄形成的安全基線可以形成全流量的白環(huán)境，實(shí)現(xiàn)對(duì)于內(nèi)部流量的全面安全監(jiān)控。

3.3 安全態(tài)勢(shì)感知

安全態(tài)勢(shì)感知是工業(yè)控制網(wǎng)絡(luò)系統(tǒng)在運(yùn)作過程中的核心要素，在此期間，生物制藥企業(yè)需要對(duì)核心交換機(jī)進(jìn)行精細(xì)化、精益化地管理，對(duì)其中的安全設(shè)備、安全日志進(jìn)行核查分析，完成關(guān)聯(lián)控制、安全預(yù)測(cè)、預(yù)警，從另一個(gè)層面，結(jié)合安全態(tài)勢(shì)感知系統(tǒng)，可實(shí)現(xiàn)對(duì)整個(gè)工業(yè)控制網(wǎng)絡(luò)體系中的各項(xiàng)設(shè)備信息進(jìn)行主動(dòng)掃描，對(duì)其中潛在的漏洞隱患問題進(jìn)行有效識(shí)別，同時(shí)也能夠通過模擬量控制，對(duì)整個(gè)生物制藥管理流程中所涉及的關(guān)鍵資源支出、流入的節(jié)點(diǎn)進(jìn)行關(guān)聯(lián)分析，實(shí)現(xiàn)綜合控制，并且也可通過對(duì)現(xiàn)有的生產(chǎn)體系、業(yè)務(wù)流程、安全管理架構(gòu)、安全數(shù)據(jù)、安全資料的專項(xiàng)控制，結(jié)合可視化管理模式、管理方法有效預(yù)測(cè)未知攻擊，并且也可分析、量化現(xiàn)行管理運(yùn)作系統(tǒng)中存在的低效率、高能耗的問題點(diǎn)?？傮w來說，工業(yè)控制網(wǎng)絡(luò)系統(tǒng)所具備的態(tài)勢(shì)感知功能相對(duì)較為強(qiáng)勁，可對(duì)生物制藥企業(yè)中出現(xiàn)的各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)以及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問題實(shí)施有效地管理管制。

4 結(jié)束語

總體來說，生物制藥企業(yè)工業(yè)控制網(wǎng)絡(luò)等保設(shè)計(jì)、安全管理、安全控制涉及較多的流程。在安全管理過程中，生物制藥企業(yè)應(yīng)當(dāng)嘗試優(yōu)化現(xiàn)行管理結(jié)構(gòu)，同時(shí)保障各管理組織能夠正常高效地運(yùn)作，結(jié)合行之有效的控制方法，提高整個(gè)體系的綜合運(yùn)作水平。