医药行业工控制系统网络安全解决方案产品升级，医疗行业网络安全解决方案。

医药行业解决方案

行业背景

随着信息技术、自动化技术在制药行业中的快速推广应用。以MES和SCADA为代表的制造系统和监控系统得到了广泛的应用。信息化、自动化的两化融合推动了制药企业网络系统的发展，但同时以自动化设备为主的工业控制网络和管理信息网络的融合，也使制药企业工业控制系统暴露在更多的安全威胁之下。因此，为了保障生产安全和信息安全，制药企业需加强重要的工业控制设备漏洞防护能力，以及工控网络安全防护能力，使药品从研发、生产到流通都能够自动、严格地按照工艺条件进行，确保制药流程的万无一失。

解决方案

木链科技结合《GB/T22239-2019信息安全技术网络安全等级保护基本要求》和《工业控制系统信息安全防护指南》等相关文件的要求，结合用户现场系统实际情况，形成了医药行业解决方案：

安全区域划分

根据医药生产工艺特点和生产业务功能等因素，协助用户梳理系统整体网络架构，将工控网络分为过程监控层和现场控制层，并根据业务子系统做进一步划分，将医药工控网络化为8个安全域，其中一个为本次安全建设单独设立的安全管理中心，以此来对医药工控网络进行完善安全防护。

边界安全防护

医药行业工业控制网络应与办公网络做安全隔离，通过部署单项隔离网闸实现双，同时使用工业防火墙对工业控制网络中的不同安全域之间进行隔离防护，并设置双向最小授权策略限制不同安全域之间的访问。

流量监测审计

在过程监控层核心交换机上旁路部署工控安全审计平台，通过接受镜像的网络流量，实现对关键位置核心流量的实时监控，有效分析异常流量与违规操作，快速准确识别外部攻击行为引起的安全问题，为发生安全事件后的分析溯源提供依据。

主机安全加固

在位于过程监控层的工程师站、操作员站和服务器上以及现场控制层上的控制站上安装主机卫士软件，建立恶意代码入侵防护体系，有效保障系统终端的安全性，USB设备管控功能能够有效防止USB设备使用过程中带来的安全隐患。

运维过程安全

在安全管理中心部署工控运维审计管理平台，统一访问入口，集中权限控制，实现运维操作的集中化、规范化管理；对接入行为维护进行统一管理，进行帐号管理、身份认证和授权。

定期安全评估

部署一台工控安全威胁评估系统，定期对工控资产进行风险评估、测试和漏洞扫描，排查风险。

统一安全管理

在安全管理中心部署综合管理平台，通过独立组网实现对网络中安全设备的集中管理，实现安全策略统一配置，对安全日志和安全事件等数据进行收集；基于全网安全事件的关联分析，实现对安全态势的预测。

数据安全防护

工控系统中的敏感信息以及所有远程传输数据需要进行加密存储和传输，通过在数据库前部署数据库审计系统，实现数据库操作行为审计。

医药行业解决方案设备部署示意图