一、概述
作为百姓基本的生活健康保障资源,药品的质量一直是重中之重,国家关于药品行业GMP标准也不断的完善,但也应该看到,随着制药工业信息化的快速发展以及工业4.0时代的到来,工业化与信息化的融合趋势越来越明显,工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。未来为了提高生产效率和效益,工控网络会越来越开放,不可能完全的隔离,这就给制药工控系统网络安全防护带来了挑战。
“制药配方”是制药行业的核心资产。制药“配方”控制在微量的合理范围,是一大挑战。随着信息技术、自动化技术(两化融合)在制药行业中的高速推进,加强已知设备漏洞防护能力,使药品从研发,生产到流通都能够自动、严格地按照工艺条件进行,确保制药流程的万无一失。如何解决“配方”在生产流通中的安全问题已成为企业面临的严峻挑战,受到越来越多的企业的关注,并且得到了国家的高度重视。
二、制药企业控制网络简介
针对制药企业工艺机理复杂、不确定因素多、生产计划性强、生产调度管理繁琐、批号管理严格等特殊性,制药MES系统将企业体制、运行模式等有效结合,通过对企业生产组织与管理模式进行变革、重组等方式来实施,核心管理工作是对制药企业工单管理、工艺路线管理、物料管理、容器管理、生产过程控制管理和现场数据采集等。
图1:制药企业MES流程
图2 制药企业MES控制网络拓扑图
三、工控安全方案设计
3.1 设计依据
《关于加强工业控制系统信息安全管理的通知》(工信部协[2010]451号文)
《工业控制系统信息安全防护能力评估方法》(工信部信软〔2017〕188号文)
《工业控制系统系统信息安全防护指南》(工信软函〔2016〕338号)
《GB/T 22239-2008信息安全等级保护基本要求》
3.2 防护思路
3.2.1 开展工控安全评估
提升企业整体工控安全管理水平和抗风险能力,保障业务持续安全运行,按照最新的工控安全评估标准,通过风险评估工具,结合综合采取问卷、访谈、现场生产环境检查、控制网络梳理、网络安全环境检查,控制网络数据收集及分析,已有安全防护设备策略核查,工业控制设备及专用软件渗透测试等多种方式。从健全统一的工控信息安全策略体系、工控安全组织管理体系、工控安全技术和工控运行体系,有效的工控安全监管体系、工控安全防护体系、工控安全应急机制、工控安全运维体系几个层面进行,发现安全问题。
在已有工控安全技术评估的基础上进行工控安全管理调研,展开综合风险评估(包含技术性分析与管理性分析),针对当前保障机制下存在的问题和安全薄弱环节,以体系化的思路提交整改策略、整改报告及形成建设研究实践成果。
3.2.2 开展工控安全体系建设:
完善工控安全组织架构:
1、在对现有工控系统管理及运维组织进行充分调研的基础上,完善现有工控管理及运维组织机构中的安全管理职责,提出现有各级组织架构中的专/兼安全角色设置及人员的配备建议;
2、根据各个分公司的实际,提出设立工控安全专业技术支持部门的相关建议要求;
3、明确各级组织机构中人员能力的需求。
完善工控安全管理制度:
1、完善现有工控系统设计、建设、验收相关制度,明确在工控系统建设阶段对工控安全方面的要求。确保工控系统从建设阶段起就符合相关安全标准,避免在系统建成后进行大量的安全防护改造;
2、完善工控安全运维的管理制度,指导日常运行维护工作,包含日常软件和硬件运行状况监控、机房环境监控、设备及物理环境巡查、定期对软件和硬件进行巡检、移动介质管理等,以预防为主,规范系统运维操作行为,提高运维人员的安全意识,避免系统运维中的各种风险,降低故障发生的概率,保障工控系统的正常运行;
3、建立工控系统安全状况监测、报告、及应急管理的相关管理制度。以保证能及时发现、报告并处理病毒木马、端口扫描、暴力破解、异常流量、异常指令、工业控制系统协议包伪造等网络攻击或异常行为;通过对主流工业控制协议进行深度分析和过滤,阻断不符合协议标准结构的数据包及内容,限制违法操作;保证当遭受安全威胁导致工业控制系统出现异常或故障时,能立即采取紧急防护措施,防止事态扩大,按规定流程,对工控安全事件进行上报;能够通过定期对工业控制系统的应急响应演练提高处置异常事件的能力。
制定工控安全技术标准规范:
1、收集并提供相关国家、行业级现有的标准、规范、制度,做为制定相关技术标准和规范的重要参考和依据;
2、工控系统物理安全相关标准规范;主要包括对物理安全区域划分、出入控制、安全区域内人员活动控制,对生产机房建设、进入、运行管理的规范。对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施的等方面的规范及要求;
3、制订工控系统网络安全相关标准规范;主要对工业控制系统网络设备及硬件、网络结构、网络边界、通信特别是无线通信连接等方面,制订符合安全要求的技术规范及标准,明确网络安全策略的技术规范、网络“白环境”建立、网络接入端口的管理的技术要求等,以规范工控网络的建设、运维工作;
4、制订工控系统系统安全相关标准规范;制订对工控系统平台的硬件、软件的安全方面技术要求,明确工控系统平台在安全基线配置方面的要求,明确对系统平台在病毒防护补丁管理方面的技术要求,明确系统安全监测与审计的技术标准等;
5、制订工控系统数据安全相关标准规范;主要明确工控系统在数据存储与传输方面的保护要求,制订数据的分级管理标准;明确对工艺参数、配置文件、设备运行数据、生产数据、控制指令等关键数据的备份与恢复标准;明确对安全评估数据、现场组态开发数据、系统联调数据、现场变更测试数据、应急演练数据等测试数据的保护要求;以保护工控系统数据安全。
3.2.3 开展安全防护建设:
通过前期的评估,针对工控系统现状,对现场发现的工控安全隐患,优先对急迫、重大系统隐患进行治理,其次解决工控安全管理制度问题,最后解决一般性问题。
急迫需求:网络安全、主机安全、已知漏洞防护、生产安全应急预警;
重要需求:管理制度;
一般性需求:物理安全;
工控安全建设第一要务,以保障生产安全稳定运行为前提。重大隐患整改,尽量不对生产系统现有网络作任何更改,在保持现有生产状态和连接的前提下,对网络边界进行防护,增加安全审计功能,并对主机进行加固。
整改按照工信部《工业控制系统信息安全防护指南》的要求,结合工控等级保护要求,结合各个制药公司的实际,执行如下原则:
保留原有安全措施,增加工控安全防护手段,保护生产控制网络安全;
规范层次:生产操作层,过程控制层,现场设备层;
规范边界:内、外联网边界,生产控制网边界;
规范服务区域:生产监控区域,过程控制区域,生产设备区域;
规范网络:生产监控网络,过程控制网络,底层设备。
根据工业控制系统网络结构、区域划分、网络设备、服务器及上位机设备的现状,结合工控系统运行环境相对稳定固化,系统更新频率较低的特点。采用基于“白名单”机制的工业控制系统工控安全“白环境”解决方案,通过对工控网络流量、工程师站工作状态等进行监控,收集并分析工控网络数据及软件运行状态,建立工控系统正常工作环境下的安全状态基线和模型,进而构筑工控安全“白环境”,确保:
只有可信任的设备,才能接入工控网络;
只有可信任的消息,才能在工控网络上传输;
只有可信任的软件,才允许被执行;
针对各层级和区域之间的网络采取安全隔离和访问控制措施,防止用户的越权访问和非法入侵行为;
对工控网络中的服务器、实时数据库、生产调度系统等主机进行加固,保障主机及其运行数据的安全;
提供安全数据交换介质,杜绝移动存储介质“滥用”的安全隐患,保障工控主机间数据交换安全;
提供工控网络操作行为监测审计功能,帮助企业建立网络监测审计机制;
对各层级网络中的安全设备或系统进行集中管理,实现全局配置、集中监控、统一管理,提高管理人员的工作效率,降低企业的人员投入成本。
3.3 安全防护落地
工业防火墙:在OPC服务器与接入交换机之间部署工业防火墙。工业防火墙不但继承了传统防火墙的包过滤、状态检测、代理检测、代理服务等主要功能,并结合工业控制网络的特点,对工业控制数据包进行过滤,主要手段有白名单机制、工业协议深度解析等,白名单机制是指通过学习获取到工业控制系统中传输的协议,支持到使用的类和方法,收集所有传输协议,阻止其他异常流量,对于安全级别高的信息网,可使用工业控制协议测试模式和只读模式,传输不影响正常业务流量传输。
主机卫士:在OPC服务器上部署工控主机卫士,用于OPC服务器的自身安全防护。工控主机卫士采用“白名单”管理技术,通过对数据采集和分析,其内置智能学习模块会自动生成工业控制软件正常行为的白名单,与现网中的实时传输数据进行比较、匹配、判断。如果发现其用户节点的行为不符合白名单中的行为特征,其主机安全防护系统将会对此行为进行阻断或告警,以此避免主机网络受到未知漏洞威胁,同时还可以有效的阻止操作人员异常操作带来的危害。
边界入侵检测:对制药控制系统的网络入侵行为进行检测,确保第一时间发现入侵及恶意行为,保障制药控制系统的安全。入侵检测系统,在控制网入口交换机处部署入侵检测系统。
监测审计:对制药控制系统中可能存在的攻击行为、数据流量、重要操作等进行监测审计,用于事后回溯和网络分析。工控监测与审计系统,通过交换机端口镜像功能,以网络旁路的方式部署。
运维审计:对制药控制系统的运维进行统一的管理、授权,确保所有的运维、管理操作均满足等级保护身份鉴别、访问控制、操作审计的要求。运维管理平台:在制药控制系统网络交换机上部署运维管理平台。
安全产品统一管理:对制药控制系统中的相关安全产品进行统一的管理及运维,信息安全管理人员可以通过统一安全管理平台对整个工业控制网内信息安全情况进行统一实时的监控,在第一时间内发现网络安全问题,实现工控风险的动态监测。统一安全管理平台,用于网络内工控监测与审计系统、工业防火墙、工控主机卫士进行统一管理及维护。
四、解决问题
阻止来自外部系统攻击行为;阻止来自不同区域之间的越权访问;阻止病毒、恶意软件扩散和入侵攻击,保护控制系统安全运行;阻止非授权设备的接入;保证仅是该子系统支持的协议通过防火墙。
实时监测工控网络中的恶意攻击、误操作、违规操作、非法设备接入,帮助客户及时采取应对措施,避免发生安全事件;详实记录一切网络通信流量,包括网络连接、网络协议、网络会话、工控协议指令等,为安全事故调查取证提供技术支撑。
实时检测来自外部互联网恶意行为,以及蠕虫、病毒等恶意软件的的入侵,帮助客户及时采取应对措施,避免发生安全事件;通过网络入侵检测分析,并形成图形化的日志报表,帮助安全管理员实时展现工控网络中潜在的安全威胁。
阻止非授权软件或进程的安装和运行,防止恶意代码攻击“0-day” 漏洞的利用;避免升级病毒库,变被动为主动;防止移动介质在使用过程中将病毒带入工控网络并扩散;杜绝信息非法窃取、数据和系统遭受非法破坏的行为发生。
阻止非授权用户访问网络、安全设备;阻止非授权的用户远程维护服务器、工作站、网络设备、安全设备等;对远程运维操作行为进行监测、审计,阻止误操作、恶意操作;全程记录运维操作行为,为安全事件的追踪溯源提供证据。
五、总结:
安全防护建设整体符合国家相关政策和标准要求,实现了管理区和生产区的逻辑隔离和边界防护,有效避免了来自信息网络的安全隐患对生产控制网络的威胁;实现了生产区域内各业务系统之间的逻辑隔离和安全防护,阻止来自区域之间的越权访问,入侵攻击和非法访问;实现了对上位机、工程师站、各系统服务器系统的安全加固,通过白名单机制构建安全基线,防止病毒木马、恶意软件对系统的破坏;实现了对整体网络的入侵检测及审计,及时发现网络或系统中是否存在违反安全策略的行为和被攻击的迹象;实现了对现有工业设备的漏洞扫描,及时发现存在的安全漏洞并给出解决方法;实现了对所有工控安全防护设备及系统的统一管理,降低运维管理成本。
工业控制系统信息安全建设分阶段实施,可将因安全建设所带来的对企业生产所造成的影响降至最低。可为企业安全建设节约一次性投入成本。
工业控制系统信息安全建设分阶段实施,首要解决当前急迫且重要的问题-边界防护:办公网与生产网物理隔离,数据单向访问,入侵检测,区域边界网络流量监控,访问控制策略,既解了客户的燃眉之急,又为后续安全建设提供了建设实施经验,有了一定安全经验积累。
六、公司简介
威努特是唯一 一家涉及工控安全全生命周期产品的厂家,我们提供工控安全风险评估服务,产品涉及工控漏洞扫描、工控漏洞挖掘、安全基线核查、工控安全风险分析系统等产品;提供咨询服务,帮助企业制定工控安全顶层规划。推出制度建设服务,威努特多次参加国家级、省级、行业级标准的制定,可以为客户提供定制版工控安全管理制度。提供整体工控安全解决方案,和实施建设服务,安全防护产品涉及事前、事中、事后全过程,提供工控态势感知、工控威胁检测、工控网络安全防护、工控主机安全防护、工控网络安全审计、工控安全管理等产品。并依据工控生产特点,顺应两化融合趋势,陆续推出工控单向隔离网关、工控安全运维、工控主机加固等产品;
契合时代发展,抢占工控安全制高点不断推陈出新,开发出适用于工业特点的---工业雷达,为科研机构、安全主管部门提供技术分析工具。
生产安全集中监测平台---帮助大型企业、集团公司,全面提升工业控制网络的建设与维护能力;全面的需求分析能力;态势感知能力;安全分析与检查能力;安全监控能力;安全上线能力。
共有条评论 网友评论