威斯尼斯人wns298(百度VIP认证)-Slota of Vegas

2024-03-26
威斯尼斯人wns298助力药企高效发展 加强医药制造工控安全
背景概述
药品作为百姓基本的生活健康保障资源,其质量一直是重中之重。国家关于药品行业GMP标准也在不断完善。然而,随着制药工业信息化的快速发展以及工业4.0时代的到来,工业化与信息化的融合趋势越来越明显,工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。未来为了提高生产效率和效益,工控网络会越来越开放,不可能完全的隔离,这就给制药工控系统网络安全防护带来了前所未有的挑战。

药品制造行业工控系统的智能化建设极有可能引入信息安全风险,且药品制造行业工控安全建设往往滞后于智能化、智慧化建设,无法应对日益增长的网络威胁,可能导致其遭受网络攻击而使生产停滞。因此需加快药品制造行业工控安全建设,保障药品制造行业工控系统安全稳定运行。

需求分析
01标准合规性需求
药品制造行业要加快完成工控安全防护体系的建设工作,使之符合《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《工业控制系统信息安全防护指南》及药品制造行业工控安全相关要求。

02业务安全性需求
从药品制造行业生产线、生产管理层等2个层面进行需求分析:

生产线
  • 有药品制造行业的工控系统种类较多,如疫苗线控制系统、稀释线控制系统、FMS、药监码系统等。这些系统在建设初期主要考虑易用性和快速部署,因此存在数据流向不清晰、隔离措施不完善、隔离强度不达标等问题,容易引发各跨网交换非授权访问风险以及系统间病毒横向传播风险。
  • 各工控系统的上位机、服务器等主机,可能存在系统及工控应用漏洞、管理员不允许打补丁、身份鉴别过于单一等情况;同时主机无针对已知、未知病毒的防护措施,容易发生误操作、非法攻击、勒索病毒感染等安全事件,药品制造企业迫切需要提升工控主机安全防御能力。
  • 各工控系统内部缺少对工业流量监测审计的手段,无法针对工控系统协议层面存在的恶意攻击、异常流量进行审计,更无法对工控指令攻击和控制参数篡改进行实时监测和告警,极易产生网络入侵事件,最终导致安全生产事故的发生。

生产管理层
生产管理层中运行着MES系统等重要业务系统。办公网层运行ERP、OA等系统,同时连接互联网。因此需加强边界安全、入侵检测、日志审计、终端保护、运维审计、态势分析等防护能力。

解决方案
针对药品制造企业的网络架构特点及相关标准规范要求,进行分层、分区、划域,各层次、区域之间采用合理的安全防护措施。

药品制造企业工控安全防护拓扑示意图
生产线
  • 疫苗线控制系统、稀释线控制系统,FMS、药监码系统。
  • 分别在各生产线及生产线分流程到厂区生产网边界部署工业防火墙。精准按域进行防护。
  • 采用工业应用审计系统对工控网络中的全流量通信、操作行为、异常行为等进行审计及预警;通过部署入侵检测系统实时监测工控网络异常流量,对异常的、入侵行为的数据进行检测和报警。
  • 在MES网部署的工控主机等部署工控主机卫士软件。以白名单方式阻止非法进程运行及非法USB等外设接入,防止工业主机被破坏。

生产管理层
  • 分别在生产管理层到办公网边界部署工业网闸。提升外联安全接入区隔离强度,实现接近于物理隔离的高安全隔离目标。
  • 在生产管理层操作员站、工程师站、服务器等部署工控主机卫士软件。以白名单方式阻止非法进程运行及非法USB等外设接入,防止工业主机被破坏。

安全管理中心
  • 建设药品制造企业安全管理中心,实现终端保护、运维安全管控、日志审计安全管理平台、态势感知等系统。在集团也需要建设态势感知系统与生产管理层安全管理中心联动。
  • 对工业生产全景进行安全态势感知、分析、预警及准入控制,并对异常报警行为形成工单分配给人工进行干预处理,同时与相应防护设备进行协同防御。

方案价值
满足标准合规性要求
符合《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019)、《工业控制系统信息安全防护指南》等药品制造企业工控安全相关政策、标准及监管要求。
构建药品制造企业体系化安全
通过强化药品制造企业区域内网络、主机及数据的安全防护,大大增强了药品制造企业的整体安全防护能力,确保强化药品制造企业生产可持续运营,构建边界安全、物联设备安全的纵深防护体系。
提升药品制造企业生产安全性
方案深度融合有药品制造企业工控设施,降低药品制造企业的安全运营风险,提高安全运维效率,为药品制造企业智能化、智慧化建设提供可靠的安全保障。
促进药品制造企业智能化发展
通过建设药品制造企业工控安全防护体系,可解决药品制造企业智能化建设过程中带来的信息安全风险,保障药品制造企业工控设施、智能化系统安全及设备可靠运转的目标。