重庆某制药股份有限公司是一家集药品研发、生产和销售于一体的国家重点高新技术企业、深交所A股上市公司，建有全自动智能中药提取生产线和现代化仓储物流中心，并全面实行MES、BMS、EMS、SCADA、DCS等人工智能系统，其生产基地被国家发改委、国家工信部列为全国药品生产智能制造示范工厂。

该项目以等级保护2.0标准体系为基础，《工业互联网企业网络安全分类分级防护系列规范（试行）》为响应要求，结合制药工厂工控系统、网络实际情况，在安全防护手段具体落地上，针对工业控制系统安全、工业生产网络与管理网络安全、工业数据安全等，构建一体化综合防御体系。

制药生产车间生产网工控系统包括SCADA服务器、WinCC服务器，MES系统等，用户早期考虑到整体车间工业协议统一性，整体建设采用西门子SIMATIC PCS 7等控制设备，工业生产网络拓扑如下图所示：

从工业控制系统的网络结构划分和当前安全防护状况来看，制药生产车间工控系统存在以下系统安全风险： 

• 生产网工作站风险

1. 生产环境中的工作站缺少有效的安全防护措施，工作站大量使用老旧Window操作系统版本且存在大量安全漏洞，由于生产控制网络的封闭性，不能及时对这些高危安全漏洞进行漏洞补丁修复；更为重要的是生产控制系统对业务实时性要求极高，不能接受因升级漏洞补丁的操作引起可能造成控制系统指令下发故障导致停机等生产业务中断的风险。

2. 部分工作站安装有杀毒软件，其病毒库也严重过期，不能检测出主机上的恶意代码，也无法提供完整的安全防护抵御恶意代码感染；杀毒软件与工控软件之间不兼容，导致工控软件被隔离，影响正常运行；工作站缺乏对软件安装执行的控制，部分工作站上发现与生产无关的软件。

3. 多个工作站上开启默认共享端口或直接关闭系统防火墙，存在通过恶意攻击感染单台工作站后，通过扫描探测等方式横向扩散到整个生产网的风险。

4. 生产环境中的工作站缺少外设管控措施，大量工作站存在USB插拔记录，移动介质在管理网和生产网之间交叉使用，难免会感染病毒或恶意代码，进而导致生产系统受到攻击，造成不可预知的风险。 

• 生产区网络通信风险

生产网络内缺少安全审计设备，无法对网络中的攻击行为、数据流量、重要操作等进行监测审计，不能对工控协议S7通信报文进行采集与深度解析,在发生工控通信基线的异常行为时没有告警机制，一旦出现安全事故无法回溯。

• 生产区域边界风险

制药生产车间存在多条生产线，将生产网划分为对应的多个区域，这些区域边界都缺少必要的边界防范措施，生产网各个车间区域内的工控系统通过无线的方式接入工业网络中，不能对从生产网内部或外部发起的已知/未知攻击行为进行实时检测和响应。

• 生产网安全管理风险

生产网中没有建立统一的运维管理平台，无法对运维过程中的日志、操作过程进行记录和审计，缺乏有效的监测和报警措施，这将导致工控出现问题时得不到及时排查。

此次方案设计参考等保 2.0标准体系中所要求的一个中心三重防护标准，在制药生产车间工控系统网络内建立起“白环境防护体系”，进而构筑工业控制系统的网络安全“白环境”，确保：

• 只有可信任的设备，才允许接入工控网络；
• 只有可信任的消息，才允许在工控网络上传输；
• 只有可信任的软件，才允许被执行。

制药生产车间工控系统网络安全解决方案具体设计如下图所示：

对工业控制系统按照区域划分、边界防护、内部监测、主机防护的方式，实现不同区域边界的隔离访问控制措施、外部和内部的攻击检测、工控机的安全防护、初步建立网络安全管理体系、网络和主机设备的基线加固等要求，达到能够抵御一般网络攻击，防护恶意代码的能力，全面提升生产网工控系统的安全性，保证生产业务的高效、安全、稳定运行，具体措施如下：

• 生产网工作站安全

在工控系统的主机站上部署工控主机卫士，基于“白名单”管理技术，通过对数据采集和分析，内置的智能学习模块会自动生成工业控制软件正常行为的白名单，在程序执行时会与白名单库进行比较、匹配、判断，若发现其不符合白名单中的特征，将会对此程序执行进行阻断或告警，避免受到已知或未知攻击；通过外设管控、安全基线功能可以有效的阻止操作人员异常操作带来的安全隐患。

• 生产网络通信安全

通过工业防火墙对工控系统中的控制器的有效防护，建立基于工控协议深度解析的白名单的访问机制，实现系统与上位机、控制器之间的逻辑隔离、报文过滤、访问控制，开启异常报文检测与异常流量检测功能，防止land攻击、Teardrop攻击、Ping of death以及各种Flood攻击导致的网络或工控系统的瘫痪。

• 生产网络区域边界安全

根据工业制造生产控制系统的特点，通过工业防火墙将制药生产车间划分为多个生产安全域，实现逻辑隔离及访问控制，对数据包的目的地址、传输层协议、应用层协议、端口等信息执行访问控制规则，允许正常业务数据通过，禁止非法的连接请求，以保障不同安全域之间的数据交互安全。

• 生产网管理安全

在生产网的安全管理中心部署统一安全管理平台，对工控系统中的工业防火墙、工控主机卫士等进行集中管理，包括安全策略配置、设备状态监控、网络拓扑管理以及安全事件的集中管控，可实现对全网中各安全设备、系统及主机的统一配置、全面监控、实时告警、流量分析等，反映整个生产网络的安全运行状况和威胁情况，发挥整体防护能力，提升安全运维和安全事件的响应效率。

• 《中华人民共和国网络安全法》
• GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》；
• GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》；
• 《工业控制系统信息安全防护指南》 工信软函〔2016〕338号；
• 《工业和信息化部关于开展2018年工业控制系统信息安全检查工作的通知》（工信厅信软函【2017】642号）； 
• 《十部门关于印发加强工业互联网安全工作的指导意见的通知》工信部联网安〔2019〕168号。

本方案以白名单技术为基础，构建工控网络安全“白环境”，能够有效的保障工控网中系统、通信、应用等各层面安全，提高工控网络安全防护能力和水平，保障生产业务稳定运行。

满足GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》安全计算环境的相关技术要求，解决的等级保护高风险项，等保三级的安全防护能力。

满足《工业互联网企业网络安全分类分级管理指南（试行）》（工信厅网安函〔2020〕302号：附件2）网络安全等级二级评定的安全防护要求。