新闻中心
NEWS CENTER
解决方案 | 中电安科工控安全解决方案为制药行业保驾护航
作为百姓基本的生活健康保障资源,药品的质量一直是重中之重,国家关于药品行业GMP标准也不断的完善,但也应该看到,随着制药工业信息化的快速发展以及工业互联网时代的到来,工业化与信息化的融合趋势越来越明显,工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。未来为了提高生产效率和效益,工控网络开放度进一步提升,安全边界的减弱,制药工控系统网络安全防护面临新的挑战。
1►业务逻辑架构
目前制药行业工厂整体网络架构如下:
图1 制药行业工厂整体网络架构
制药企业的工控系统的核心是SCADA系统和MES系统,目前多数制药企业的主要工作是用于制药数据的采集和分析。SCADA系统实现数据的采集和分析,上层系统也会将相应的指令下发给PLC系统。
2►行业风险分析
网络隔离不合理:
从系统管理的角度出发,MES系统与SCADA系统通过防火墙进行了逻辑隔离,在这些连接过程中,采用了传统的IT防火墙进行防护,但是无法对工控网络各PLC系统间做到有效的防护。
工控系统普遍存在漏洞:
由于工控系统大多以满足工业生产为前提,并没有太多考虑自身的系统安全问题,工控设备普遍存在漏洞。
缺乏审计监测机制:
控制中心没有部署安全监控设备,无法及时发现、告警控制网内的非法数据流量和异常操作行为。缺少控制系统安全审计机制。独立的安全审计人员应当定期检查和验证系统日志记录,并主动判断安全控制措施是否充分。未针对其工控系统建立信息安全审计机制,造成无法及时发现、追溯系统内部或源于网络的信息安全事件。
安全运维问题:
对于现场生产控制系统通过远程桌面方式的运维,缺乏完善的运维审计机制;对运维人员的操作过程没有记录、审计,不能发现越权访问、异常操作等行为。发生生产事故后,需要大量时间确定问题,无法及时有效地解决问题,追溯手段。
3►防护思路
制药企业的工控网络安全防护方案不单单是一个技术问题,不是一两套安全产品设备所能解决的。制药企业的安全防护一定是站在制药自身业务发展的需要而进行设计的,符合整个企业的治理、风险和合规管理思路。
· 组织治理:企业在建设工控安全体系时结合企业的战略目标,明确组织职责、运作机制和流程,建立有效的管理循环,保证企业目标得以实现。
· 风险管理:从风险背景的建立开始,到开展风险评估工作、进行风险响应和风险监测,建立自上而下的风险管理架构能够帮助企业各个层级明确自身的风险管理职责和风险管理流程,有利于企业认知的信息安全风险。
· 合规管理:企业通过建立自身控制基线,满足当前对风险控制的要求,同时符合国家相关法律法规要求以及等级保护要求等,基线的建立除了要满足相关的监管要求外,还需要满足自身企业的业务目标,而这些离不开合规的管理。
制药企业在两化融合的深入过程中,已经开始从最初的数据采集开始往“智能制造”“智慧工厂”方向发展,设计安全防护方案需以动态的视角来对待工控网络安全问题。工控网络安全防护措施的设计遵循“以治理为保障、以风险为导向、以合规为基线”作为指导方针来建设公共安全,既需要考虑当前制药企业的工控网络安全现状,也需要考虑未来制药发展的需要。
4►方案设计
解决方案安全架构设计如下:
图2 解决方案安全架构设计
边界防护
在各PLC控制系统之间部署工控防火墙,实现不同系统之间的逻辑隔离,解决生产网各工控系统之间以及管理网与生产网之间的违规访问与边界防护。
入侵检测
在网络关键节点处通过入侵检测进行入侵攻击行为的检测识别,发现并防止网络攻击行为,尤其对基于工业控制漏洞、工业控制异常指令、恶意代码以及关键事件进行及时告警,避免入侵行为或疑似入侵攻击的行为发生。
监测审计
在各控制系统分别部署监测引擎,监测引擎对工控流量进行监测分析,识别出工控协议,并对工控协议深度解析,同时将违规操作、非法操作和程序下载、IP变更、组态变更、PLC启停等关键事件以及病毒、木马、黑客等攻击行为进行统一监控与管理。依据通讯流量进行节点网络拓扑动态生成,工控资产识别,实现对工控网络的监测与审计,为事后提供追溯分析依据。
终端安全
为保证主机设备的正常运行,制药控制系统的操作员站和工程师站基本不安装杀毒软件,导致主机设备可能存在未被发现的恶意代码程序且无法抵御病毒、木马等恶意代码的入侵。
数据库安全
在安全管理中心内部署数据库审计系统,通过数据库审计系统全面审计在使用数据库过程中的访问过程,对于越权访问、异常数据库操作以及对数据库关键数据或进行关键指令操作过程实现全面审计和告警。
安全运维
部署运维堡垒机,进行集中账号管理、集中登录认证、集中用户授权和集中操作审计。实现对运维人员的操作行为审计,违规操作、非法访问等行为的有效监督,为事后追溯提供依据。
安全管理
部署安全管理平台实现对工控防火墙、工控安全监测审计管理系统、终端安全管理系统、堡垒机等安全产品以及交换机的统一管理与监控。包括数据监测、日志收集和报警展示,降低运维管理的工作难度和工作量、采集制药控制系统的主机设备、网络设备、安全、业务软件的日志进行统一留存和管理。
5►客户价值
· 全面提升制药行业网络安全防护管理的合规性,符合国家主管部门、行业监管部门的管理要求以及工控安全防护要求。
· 全面提升制药行业生产网络的整体安全性,确保设备、系统、网络的可靠性、稳定性和安全性,为保障民生保驾护航。
· 全面改进制药行业业务人员的安全水平和安全意识,提升安全管理水平、工作效率和管理效率。
杭州中电安科现代科技有限公司
杭州中电安科现代科技有限公司(简称“中电安科”)成立于2016年,是国内领先的工控网络安全产品与解决方案提供商。公司聚焦工控网络安全产品的自主研发,覆盖安全审计、边界防护、安全管理、终端防护、云安全等全域的工业网络安全产品体系,持续深耕电力、石油石化、交通、智能制造、矿业开采、港口码头、军队军工等重要关键信息基础设施行业,为用户提供具有核心竞争力的工控网络安全解决方案及服务,获得了行业用户的广泛认可。自2021年起,公司相继获中国电科、中国中车、国家电网等央企旗下产业基金战略投资,正式进入网络安全“国家队”。
专注工控安全
护航关基民生
lanxum-sec.com
400-606-8226
渠道合作:李经理 18505541506
技术咨询:齐经理 15010390956
相关新闻
版权所有 © 2021 杭州中电安科现代科技有限公司