药品制造行业工控系统安全解决方案软件开发，药品制造行业工控系统安全解决方案有哪些。

药品制造行业安全解决方案

背景介绍

作为百姓基本的生活健康保障资源，药品的质量一直是重中之重，国家关于药品行业GMP标准也不断的完善，但也应该看到，随着制药工业信息化的快速发展以及工业4.0时代的到来，工业化与信息化的融合趋势越来越明显，工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。未来为了提高生产效率和效益，工控网络会越来越开放，不可能完全的隔离，这就给制药工控系统网络安全防护带来了挑战。

安全挑战

制药企业的工控系统的核心是SCADA系统和MES系统，目前多数制药企业的主要工作是用于制药数据的采集和分析。下图是制药工厂工控网络示意图，实现数据的采集和分析，上层系统也会将相应的指令下发给PLC系统。从制药企业工控网络示意图中可看出，药企主要问题和风险如下：

网络隔离不合理：从系统管理的角度出发，MES系统与SCADA系统通过防火墙进行了逻辑隔离，在这些连接过程中，采用了传统的IT防火墙进行防护，但是无法对工控网络各PLC系统间做到有效的防护。

工控系统普遍存在漏洞：由于工控系统大多以满足工业生产为前提，并没有太多考虑自身的系统安全问题，工控设备普遍存在漏洞。以下三图为知名企业产品存在的漏洞情况。

缺乏审计监测机制：控制中心没有部署安全监控设备，无法及时发现、告警控制网内的非法数据流量和异常操作行为。缺少控制系统安全审计机制。

非法接入问题：工控系统在日常生产运营和维护中，为了工作的便捷性，经常私自将笔记本、手机（热点）、ipad等设备接入到生产网络中，还存在非法外联现象。

安全运维问题：现场生产控制系统的日常运营和维护过程中，目前主要通过远程桌面方式进行运维，缺乏完善的运维审计机制，对运维人员的操作过程没有记录、审计，不能发现越权访问、异常操作等行为。

操作人员缺乏信息安全意识：控系统的操作人员往往不是IT人员，而是生产调度人员，这也使得工控终端缺乏传统IT的管控，使其成为外部威胁的可能接入点，如USB接口、维修连接、笔记本电脑等。

缺乏专业的安全人才：制药企业的信息化人员不足已经成为公认的事实，而专业的信息安全人员更是缺乏，更不用说既懂工控业务又懂信息安全的专业人员，这也使得专业的网络安全设备缺乏维护。

典型部署

监测审计

在控制系统交换机上旁路部署工控安全监测审计系统，对网络内传输的流量进行采集、分析和处理，结合特定的安全策略，对异常操作、攻击等行为进行事中告警、事后审计。

入侵检测

在核心交换机旁路部署入侵检测系统，对流量进行特征提取并与规则库进行匹配，快速有效识别出工业控制网络中存在的异常、攻击行为。

边界防护

在各生产业务系统间冗余部署工控防火墙，实现区域边界防护；生产网和企业网之间部署工业网闸。

运维管控

在安全管理区部署运维堡垒机，实现设备远程运维操作的全面审计和行为管控，满足远程运维管控要求。

终端防护

在操作员站、工程师站上部署终端防护系统客户端，实现终端安全加固、进程白名单管控和USB移动介质管控。

安全管理平台

在安全管理区部署安全管理平台（含日志审计），对安全设备、网络设备、主机设备的日志和告警进行归一化采集和关联分析，展现安全态势和预警，全面提升安全防护效率和安全管理能力。

客户价值

全面提升制药行业网络安全防护管理的合规性，符合国家主管部门、行业监管部门的管理要求以及工控安全防护要求。

提升制药行业生产网络的整体安全性，确保设备、系统、网络的可靠性、稳定性和安全性，为保障民生保驾护航。

全面改进制药行业业务人员的安全水平和安全意识，提升安全管理水平、工作效率和管理效率。