制藥企業(yè)工控網(wǎng)網(wǎng)絡(luò)安全體系建設(shè)的研究

田云 呂強(qiáng) 麻然

摘要：隨著信息技術(shù)不斷發(fā)展，網(wǎng)絡(luò)安全事件頻出，國家相關(guān)部門不斷加大網(wǎng)絡(luò)安全檢查力度。對于制藥企業(yè)而言，自動(dòng)化、信息化技術(shù)在行業(yè)內(nèi)快速發(fā)展。各類信息系統(tǒng)在藥企的各業(yè)務(wù)領(lǐng)域都得到普遍應(yīng)用，穩(wěn)定安全的企業(yè)信息網(wǎng)絡(luò)成了確保企業(yè)正常運(yùn)行的重要條件。本文主要針對制藥企業(yè)工控網(wǎng)網(wǎng)絡(luò)安全體系的建設(shè)工作展開研究，提供一定的參考意見。

Abstract： With the continuous development of information technology and frequent network security incidents， relevant state departments continue to increase network security inspections. For pharmaceutical companies， automation and information technology are developing rapidly in the industry. Various information systems are widely used in various business fields of pharmaceutical companies， and a stable and secure corporate information network has become an important condition for ensuring the normal operation of enterprises. This article focuses on the research on the construction of the industrial control network security system of pharmaceutical companies， to provide certain reference opinions.

關(guān)鍵詞：制藥企業(yè);網(wǎng)絡(luò)安全;等級(jí)保護(hù);信息系統(tǒng)

Key words： pharmaceutical companies;network security;graded protection;information systems

中圖分類號(hào)：TP273;TP309? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號(hào)：1006-4311（2020）27-0150-02

0? 引言

近些年來，隨著信息技術(shù)的飛速發(fā)展，各類信息系統(tǒng)應(yīng)用于各行各業(yè)，伴隨而來的各類網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，國家相關(guān)部門也不斷加大了對網(wǎng)絡(luò)安全的檢查力度?！吨腥A人民共和國網(wǎng)絡(luò)安全法》于2016年11月7日發(fā)布并自2017年6月1日起施行。該法是為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展，制定的法律。而其中不可忽視的，是《網(wǎng)絡(luò)安全法》中所規(guī)定的等級(jí)保護(hù)制度，該制度對我國互聯(lián)網(wǎng)產(chǎn)業(yè)未來的發(fā)展提供了可靠的依據(jù)、標(biāo)準(zhǔn)以及保障。

我國于2008年發(fā)布《GB/T22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》簡稱為等保1.0。后隨著新技術(shù)的發(fā)展以及國家對于信息安全的重視，等級(jí)保護(hù)2.0《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》于2019年5月14日正式發(fā)布，并于2019年10月1日起正式實(shí)施，將我國目前的網(wǎng)絡(luò)安全情況施行等級(jí)保護(hù)，對信息系統(tǒng)進(jìn)行等級(jí)劃分，并進(jìn)行信息系統(tǒng)建設(shè)及安全防護(hù)。

1? 制藥企業(yè)工控網(wǎng)網(wǎng)絡(luò)安全體系建設(shè)原則

對于制藥企業(yè)而言，一般有一套獨(dú)立于辦公網(wǎng)的工控網(wǎng)，對于工控網(wǎng)網(wǎng)絡(luò)安全體系的建設(shè)應(yīng)制定詳盡的安全規(guī)劃和建設(shè)方案，完善保護(hù)措施，滿足等級(jí)保護(hù)2.0的安全要求，在到達(dá)合規(guī)要求的同時(shí)，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的抗攻擊的能力，滿足信息系統(tǒng)在物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)和管理各層面的安全需求，保證業(yè)務(wù)系統(tǒng)安全有序高效運(yùn)轉(zhuǎn)。

從整體結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等各個(gè)方面進(jìn)行高可靠性的設(shè)計(jì)和建設(shè);在設(shè)計(jì)系統(tǒng)安全架構(gòu)時(shí)充分考慮靈活性和可擴(kuò)展性;網(wǎng)絡(luò)安全設(shè)計(jì)將符合網(wǎng)絡(luò)安全法、網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求，確保合規(guī)性;網(wǎng)絡(luò)安全體系建設(shè)的過程應(yīng)具有良好的規(guī)范性，便于項(xiàng)目的跟蹤把控;方案設(shè)計(jì)的范圍和內(nèi)容應(yīng)整體全面，避免由于遺漏造成未來的安全隱患。

2? 制藥企業(yè)工控網(wǎng)網(wǎng)絡(luò)安全建設(shè)

對于制藥企業(yè)工控網(wǎng)絡(luò)的網(wǎng)絡(luò)安全建設(shè)，應(yīng)對企業(yè)整體工控網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行規(guī)范化設(shè)計(jì)。工業(yè)互聯(lián)網(wǎng)包括網(wǎng)絡(luò)、平臺(tái)、安全三大體系。其中，網(wǎng)絡(luò)體系是基礎(chǔ)，平臺(tái)體系是核心，安全體系是保障。制藥企業(yè)需要建設(shè)滿足自動(dòng)化、信息化需求的網(wǎng)絡(luò)安全體系，增強(qiáng)網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、設(shè)施設(shè)備等的安全保障能力，辨識(shí)和防御各類網(wǎng)絡(luò)安全威脅，消除網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，構(gòu)建自動(dòng)化、信息化發(fā)展的安全可靠環(huán)境。規(guī)范內(nèi)部工控系統(tǒng)區(qū)域，承載了各類業(yè)務(wù)系統(tǒng)（如SCADA系統(tǒng)，MES系統(tǒng)等），增強(qiáng)網(wǎng)絡(luò)彈性和可擴(kuò)展性。獨(dú)立設(shè)置安全管理區(qū)域，在符合等保要求的基礎(chǔ)上強(qiáng)化了安全管理的功能，并為后期安全建設(shè)提供擴(kuò)展性和安全性。工控網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見圖1所示。工控網(wǎng)網(wǎng)絡(luò)安全功能設(shè)計(jì)主要可參考以下幾方面進(jìn)行考慮：

2.1 安全隔離? 部署工業(yè)防火墻，以達(dá)到實(shí)時(shí)精準(zhǔn)的工控協(xié)議指令級(jí)控制，對工控協(xié)議數(shù)據(jù)包進(jìn)行快速有針對性的捕獲與深度解析，能夠檢測出數(shù)據(jù)包的有效內(nèi)容特征、負(fù)載和可用匹配信息，如惡意軟件、具體數(shù)據(jù)和應(yīng)用程序類型。低時(shí)延滿足實(shí)時(shí)性要求，采用高性能多核處理器，滿足工業(yè)現(xiàn)場低延時(shí)、高吞吐的數(shù)據(jù)處理要求。采用高可靠的軟硬件一體化架構(gòu)，集成硬件加密引擎，為監(jiān)控層系統(tǒng)和控制層系統(tǒng)數(shù)據(jù)加密傳輸提供了高安全性的保證，保證工業(yè)防火墻的可靠性。

2.2 安全監(jiān)測與審計(jì)? 通過工控安全監(jiān)測審計(jì)平臺(tái)，實(shí)現(xiàn)對多種針對工控系統(tǒng)攻擊行為的監(jiān)測并告警，如針對工控協(xié)議的攻擊、針對TCP/IP協(xié)議層的攻擊等;對工控系統(tǒng)入侵行為進(jìn)行檢測，如嘗試獲取管理員權(quán)限、可疑用戶名嘗試登陸、發(fā)現(xiàn)網(wǎng)絡(luò)木馬等;對工控系統(tǒng)關(guān)鍵事件行為進(jìn)行檢測，如工程師站組態(tài)、操控指令修改等;通過對通信數(shù)據(jù)進(jìn)行長時(shí)間的監(jiān)聽，對工控協(xié)議進(jìn)行解析，結(jié)合特定算法建立工控網(wǎng)絡(luò)的通信模型基線，將基線與當(dāng)前協(xié)議通信行為進(jìn)行對比，檢測偏離基線的行為并進(jìn)行告警;持續(xù)監(jiān)測統(tǒng)計(jì)關(guān)鍵網(wǎng)絡(luò)鏈路的流量，統(tǒng)計(jì)分析相關(guān)流量數(shù)據(jù);支持對工控網(wǎng)絡(luò)通信記錄進(jìn)行回溯，根據(jù)時(shí)間、IP地址、端口號(hào)、行為等條件查詢通信記錄，為工控系統(tǒng)的安全事故調(diào)查提供詳細(xì)依據(jù)。

2.3 工控網(wǎng)絡(luò)安全管控? 部署工控安全管控平臺(tái)，及時(shí)發(fā)現(xiàn)、報(bào)告并處理工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)攻擊或異常行為，通過統(tǒng)一調(diào)度安全預(yù)警、安全監(jiān)測、安全防護(hù)和應(yīng)急處置，確保工控系統(tǒng)網(wǎng)絡(luò)信息安全。實(shí)現(xiàn)資產(chǎn)安全狀況的統(tǒng)一管理和安全風(fēng)險(xiǎn)的智能分析，使企業(yè)的利益受損風(fēng)險(xiǎn)降低。通過部署該平臺(tái)，可以對工業(yè)控制系統(tǒng)資產(chǎn)進(jìn)行全局管理，幫助用戶梳理工控資產(chǎn)，資產(chǎn)間的訪問關(guān)系，網(wǎng)絡(luò)中的工業(yè)行為等，尤其可對部署在系統(tǒng)中的安全防護(hù)類設(shè)備進(jìn)行統(tǒng)一配置。平臺(tái)通過數(shù)據(jù)采集的方式，從安全分析、環(huán)境管理和安全審計(jì)三個(gè)維度出發(fā)，達(dá)到對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全狀態(tài)的全方面監(jiān)控，實(shí)現(xiàn)對所屬工控安全設(shè)備的統(tǒng)一集中管理，提升運(yùn)維人員工作效率，降低出錯(cuò)風(fēng)險(xiǎn)。

2.4 工控主機(jī)安全管理? 部署工控安全主機(jī)衛(wèi)士，通過建立可信應(yīng)用程序白名單，只允許受信任的進(jìn)程啟動(dòng)，對其他進(jìn)程可以進(jìn)行僅記錄或阻斷并記錄處理。同時(shí)集成雙反病毒引擎，病毒、木馬文件本地高識(shí)別率，抵御專門針對工控環(huán)境和Windows的病毒及其未知變種。實(shí)時(shí)抵御勒索病毒、阻斷挖礦病毒運(yùn)行，檢測并及時(shí)安裝正式發(fā)布的系統(tǒng)補(bǔ)丁，抵御黑客攻擊。對終端的CPU、內(nèi)存、磁盤及網(wǎng)絡(luò)入站、出站流量進(jìn)行監(jiān)控，并在達(dá)到用戶配置的閾值時(shí)及時(shí)發(fā)出告警，防止系統(tǒng)資源耗盡。通過登錄防護(hù)、網(wǎng)絡(luò)防護(hù)、外設(shè)管理等功能對系統(tǒng)賬號(hào)登錄進(jìn)行安全管理，防止對終端服務(wù)器上端口進(jìn)行惡意探測，并有效防止用戶在業(yè)務(wù)系統(tǒng)上違規(guī)運(yùn)行不合規(guī)程序和違規(guī)使用移動(dòng)存儲(chǔ)介質(zhì)。

2.5 工控系統(tǒng)漏洞發(fā)現(xiàn)? 部署工控漏洞掃描平臺(tái)，針對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)環(huán)境中存在的設(shè)備進(jìn)行漏洞檢測的專業(yè)設(shè)備，通過對設(shè)備信息、漏洞信息的分析，讓工控系統(tǒng)管理者全面掌握當(dāng)前系統(tǒng)中的設(shè)備使用情況、設(shè)備分布情況、漏洞分布情況、漏洞風(fēng)險(xiǎn)趨勢等內(nèi)容。從而實(shí)現(xiàn)對重點(diǎn)區(qū)域或者高危區(qū)域進(jìn)行有針對性的重點(diǎn)整治的目的。

2.6 APT攻擊預(yù)警和防御? 部署未知威脅分析系統(tǒng)（APT預(yù)警），提供一套整體的覆蓋多種區(qū)域的APT深度威脅分析方案，基于關(guān)鍵區(qū)域入口的旁路鏡像流量分析，可以實(shí)現(xiàn)WEB、郵件、文件三個(gè)維度多個(gè)層次的APT攻擊檢測。

2.7 工控安全運(yùn)維審計(jì)? 部署堡壘機(jī)系統(tǒng)，實(shí)現(xiàn)單點(diǎn)登錄、多種認(rèn)證服務(wù)等功能。通過對個(gè)人身份以及資源、賬號(hào)的統(tǒng)一管理建立對應(yīng)關(guān)系，實(shí)現(xiàn)個(gè)人對資源的統(tǒng)一授權(quán)，并對授權(quán)人員的操作進(jìn)行記錄和分析，以實(shí)現(xiàn)事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)管、違規(guī)及時(shí)響應(yīng)、事后合規(guī)報(bào)告、事件追蹤回顧，加強(qiáng)企業(yè)內(nèi)部操作行為監(jiān)督，確保系統(tǒng)正常運(yùn)行。

2.8 工控綜合日志審計(jì)? 部署日志審計(jì)系統(tǒng)，實(shí)現(xiàn)安全設(shè)備、網(wǎng)絡(luò)設(shè)備等日志的統(tǒng)一管理及安全事件的發(fā)現(xiàn)、收集、分析、統(tǒng)計(jì)等功能。日志審計(jì)系統(tǒng)將安全管理員從復(fù)雜的設(shè)備配置和海量日志信息中解脫出來，把精力專注于發(fā)現(xiàn)和處理各種重要安全事件;同時(shí)又將各自獨(dú)立的安全設(shè)備組成為一個(gè)有機(jī)的整體，及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)、安全事件，并結(jié)合安全策略和安全知識(shí)的管理，提供多種安全響應(yīng)機(jī)制。

2.9 工控系統(tǒng)數(shù)據(jù)庫審計(jì)? 部署數(shù)據(jù)庫審計(jì)系統(tǒng)，全面監(jiān)管對數(shù)據(jù)庫的訪問，有效識(shí)別越權(quán)操作等行為，同時(shí)對不當(dāng)行為進(jìn)行追溯記錄;針對敏感數(shù)據(jù)，對其訪問行為軌跡進(jìn)行追蹤，當(dāng)出現(xiàn)敏感數(shù)據(jù)泄漏事件后能及時(shí)發(fā)現(xiàn);識(shí)別數(shù)據(jù)庫的配置弱點(diǎn)、發(fā)現(xiàn)數(shù)據(jù)庫相關(guān)漏洞，并提供解決方案;為數(shù)據(jù)庫安全管理提供依據(jù)。

3? 結(jié)語

本文主要闡述了在當(dāng)今信息技術(shù)不斷發(fā)展，網(wǎng)絡(luò)安全事件頻出，網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻的時(shí)代背景下，制藥企業(yè)各業(yè)務(wù)領(lǐng)域在自動(dòng)化、信息化方面快速發(fā)展，穩(wěn)定安全的企業(yè)信息網(wǎng)絡(luò)成了確保企業(yè)正常運(yùn)行的重要條件。結(jié)合最新的信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求，對制藥企業(yè)工控網(wǎng)網(wǎng)絡(luò)安全體系的建設(shè)設(shè)計(jì)要點(diǎn)進(jìn)行了探討，對制藥企業(yè)工控網(wǎng)絡(luò)安全體系建設(shè)，構(gòu)建工業(yè)自動(dòng)化、信息化發(fā)展的安全可靠環(huán)境提供一定的參考意見。

參考文獻(xiàn)：

[1]陳平，王步放，張海洋.中央企業(yè)信息安全應(yīng)急響應(yīng)建設(shè)規(guī)劃[J].電子技術(shù)與軟件工程，2020（5）.

[2]徐潤澤.淺談工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)[J].科學(xué)與信息化，2020（3）.

[3]陳欽華.實(shí)踐企業(yè)信息安全等保建設(shè)[J].網(wǎng)絡(luò)安全和信息化，2019（4）.