醫(yī)藥企業(yè)生產(chǎn)執(zhí)行系統(tǒng)(MES)網(wǎng)絡安全規(guī)劃設計

劉磊 徐鑫 劉喜松 張承

摘要

通過分析生物醫(yī)藥企業(yè)生產(chǎn)過程執(zhí)行系統(tǒng)（ MES）功能及通訊要求，結合國家現(xiàn)有工業(yè)控制系統(tǒng)信息安全標準，設計一套安全、穩(wěn)定、可靠的工控網(wǎng)絡安全體系。滿足生產(chǎn)過程執(zhí)行系統(tǒng)（ MES）的安全要求，并為企業(yè)下一步實現(xiàn)工業(yè)4.0打下良好的基礎。

【關鍵詞】生物醫(yī)藥企業(yè) 執(zhí)行系統(tǒng)（ MES）設計

我公司是一家從事人用疫苗研究、生產(chǎn)和經(jīng)營一體化的國有控股公司。現(xiàn)為響應國家兩化融合號召，推動生產(chǎn)裝備智能化和生產(chǎn)過程自動化加快建立現(xiàn)代化生產(chǎn)體系。準備建設生產(chǎn)過程執(zhí)行系統(tǒng)（MES）提升企業(yè)信息化生產(chǎn)管理能力，提高企業(yè)核心競爭力。

1基本情況介紹

MES（Manufacturing Execution System）即制造企業(yè)生產(chǎn)過程執(zhí)行系統(tǒng)在公司中起到承上啟下的作用。對下需匯聚車間現(xiàn)有的SCADA系統(tǒng)、EMS系統(tǒng)、BMS系統(tǒng)及其它未建立系統(tǒng)的工控PLC現(xiàn)場關鍵工藝數(shù)據(jù)。對上需將匯聚數(shù)據(jù)整理分析后與企業(yè)上層管理系統(tǒng)ERP、儲運部門WMS質量部門的文控系統(tǒng)進行數(shù)據(jù)對接。

由于公司發(fā)展方向和投產(chǎn)時間等原因，各車間信息化上的能力也各有差別，項目以第一個實施改造的乙肝車間為列，以此為基礎設計企業(yè)標準為后續(xù)車間制定制統(tǒng)一、可靠、可擴容的接入標準。目前乙肝車間現(xiàn)有系統(tǒng)如下.

SCADA系統(tǒng)負責采集記錄，車間內(nèi)ZATE種子培養(yǎng)灌、發(fā)酵灌、收獲灌、CIP制備系統(tǒng)、半成品一次純化系統(tǒng)、滅菌消毒系統(tǒng)的關鍵工藝數(shù)據(jù)。

EMS環(huán)境在線監(jiān)測系統(tǒng)，其主要功能是負責采集生產(chǎn)車間內(nèi)各級別房間的環(huán)境信息，包括溫度、濕度、房間壓差的即時信息。

BMS系統(tǒng)，主要用于控制采集為生產(chǎn)車間提供輔助的能源設備，列如樓宇空調(diào)控制系統(tǒng)、純化水注射用水的處理制備系統(tǒng)等。

分包裝部分需要對現(xiàn)有車間內(nèi)的洗烘灌聯(lián)動線控制系統(tǒng)、燈檢機控制系統(tǒng)、多功能盒裝機包裝線控制系統(tǒng)的相關數(shù)據(jù)進行采集。

此外還需要對生產(chǎn)過程中的一些設備數(shù)據(jù)進行采集。如搖床的環(huán)境數(shù)據(jù)、毒種保存的超低溫冰箱數(shù)據(jù)、車間生產(chǎn)前的在線塵埃數(shù)子及浮游菌檢測數(shù)據(jù)等。

2安全需求分析

生物疫苗制品企業(yè)的生產(chǎn)具有非常明顯的特殊性，生物制品的工藝機理復雜，同樣的操作條件也很難得到完全一樣的操作結果，行業(yè)體現(xiàn)以配方為核心的生產(chǎn)模式，以離散式的工藝方式組織生產(chǎn)，生物制品的生產(chǎn)全過程要求有十分嚴格的批號記錄，從原料、中間品到產(chǎn)品都需要記錄，以便實現(xiàn)對物料的生產(chǎn)回溯和問題跟蹤。為滿足生產(chǎn)疫苗企業(yè)的特殊要求，此網(wǎng)絡方案需要在工控傳輸效率、網(wǎng)絡安全、數(shù)據(jù)安全、終端安全等方面重點關照。

內(nèi)部網(wǎng)絡防御需求：項目的主要數(shù)據(jù)數(shù)采集大部分來源于工控設備，而工控設備一般功能比較單一，抗干擾能力差。它們需要運行在一個安全、穩(wěn)定、高效的網(wǎng)絡中。

數(shù)據(jù)記錄安全需求：由于疫苗生產(chǎn)要求的特殊性，在生產(chǎn)過程中所記錄的關鍵數(shù)據(jù)是必須具有完整性、一致性的不能因為突發(fā)事件造成數(shù)據(jù)的誤記和缺失。

內(nèi)部終端設備安全需求：在車間現(xiàn)場因工作需要，存在大量的上位機與HMI觸屏，這些設備有的通過內(nèi)部網(wǎng)絡聯(lián)接工控設備，也有通過總線技術等其它方式聯(lián)接設備或采集電極的。它們的運行狀態(tài)也關系到系統(tǒng)的安全。

外部網(wǎng)絡防御需求：MES系統(tǒng)除了對下的數(shù)據(jù)采集功能外，還需要對上與其它管理系統(tǒng)配合。這將不可避免的出現(xiàn)其它非生產(chǎn)部門人員通過公司辦公網(wǎng)或外部網(wǎng)絡對系統(tǒng)進行操作或數(shù)據(jù)交換。增加外部網(wǎng)絡入侵系統(tǒng)可能性。

必要的遠程接入安全需求：在日常的車間工作中免不了會出現(xiàn)第三方工程師遠程調(diào)試維護設備的問題，但同時由于現(xiàn)場設備內(nèi)可能存在關鍵數(shù)據(jù)或核心工藝配方，這就要求設計的網(wǎng)絡架構既可以允許這種認可的外部接入操作，同時也能對這種操作安全可控，保證關鍵數(shù)據(jù)不會外泄。

3邏輯網(wǎng)絡設計

當MES系統(tǒng)投入使用后便對原有的車間現(xiàn)場控制系統(tǒng)功能和部分公司信息管理系統(tǒng)功能進行了融合，實現(xiàn)了辦公網(wǎng)絡和控制網(wǎng)絡的數(shù)據(jù)交換。使原有的各工控系統(tǒng)不再獨立運行，要與公司其它網(wǎng)絡內(nèi)的系統(tǒng)及互聯(lián)網(wǎng)進行進行數(shù)據(jù)通訊。這使得公司的工控網(wǎng)絡或工控設備很容易遇到來自其它網(wǎng)絡或互聯(lián)網(wǎng)的病毒、木馬、蓄意破壞人員的惡意惡攻擊。

通過了解安全需求分析，MES系統(tǒng)的安全網(wǎng)絡決定使用三層架構，二層防護的體系。把公司的信息系統(tǒng)按一定規(guī)則分層、分域、分等級。確保內(nèi)部工控網(wǎng)絡設備操作、控制的排他性和唯一性。

第一層是統(tǒng)計分析生產(chǎn)計劃、財務成本、物料管理、質量控制、辦公協(xié)同的計劃管理層。第二層制造執(zhí)行層（MES系統(tǒng)）主要是對生產(chǎn)計劃按工藝進行車間內(nèi)二次排產(chǎn)，統(tǒng)計生產(chǎn)工藝各流程的運行狀態(tài)和關鍵參數(shù)變化，實現(xiàn)對車間內(nèi)生產(chǎn)過程的整體管控。第三層是車間內(nèi)各自動化設備，主要是按己授權生產(chǎn)配方執(zhí)行加工作業(yè)，并記錄實時數(shù)據(jù)。

第一層防護的目的是防止辦公網(wǎng)絡或互聯(lián)網(wǎng)與MES系統(tǒng)發(fā)生數(shù)據(jù)交換時可能面對的各種威脅，列如阻擋非授權訪問行為（包括未授權或權限不夠的越權操作），對惡意的篡改數(shù)據(jù)和操作及時阻止，對惡意代碼（網(wǎng)絡病毒）進行過濾保護。同時在數(shù)據(jù)交換的整個過程都要接受記錄、監(jiān)控和審計。方便事件的審計追蹤功能實現(xiàn)。

第二層防護是指將工業(yè)級防火墻部署在MES層和車間工控設備層之間，依靠先進的工業(yè)級防火墻來保障車間工控設備層網(wǎng)絡的通信安全，使網(wǎng)絡故障可以控制在一個較小的區(qū)域內(nèi)不會影響到其它設備。如圖1所示。

4系統(tǒng)安全的技術

4.1安全域劃分

安全域一般指的是在一個共用網(wǎng)絡系統(tǒng)內(nèi)的多個系統(tǒng)，如果它們有著相同或近似的安全保護需求，并且它們在運行或數(shù)據(jù)交換時彼此信任、互相關聯(lián)并可通用相同的安全防護策略，那么把這些相同安全需求的系統(tǒng)所在網(wǎng)絡區(qū)域劃分在一起統(tǒng)一進行安全部署。該區(qū)域稱為安全域。通過合理的劃分安全域可以在保證安全需求的同時節(jié)省安全設備的投入，提高安全設置效率。

根據(jù)上述的需求分析，項目以MES系統(tǒng)采集和管理分析的兩大功能對網(wǎng)絡進行劃分，首先分別劃分為外部辦公網(wǎng)絡安全域和內(nèi)部工控網(wǎng)絡安全域兩大塊。其次按采集數(shù)據(jù)對生產(chǎn)工藝的影響程度對工控網(wǎng)絡安全域進行二次劃分，劃分為SCADA安全域、分包裝安全域、輔助系統(tǒng)安全域三部分。

4.2安全域邊界防護及防火墻部署

網(wǎng)絡安全域劃分完后，根據(jù)安全域劃分共分幾個主要邊界，它們是外部辦公網(wǎng)絡與內(nèi)部工控網(wǎng)絡邊界、內(nèi)部工控網(wǎng)絡生產(chǎn)工藝術域與分其它系統(tǒng)邊界、內(nèi)部工控網(wǎng)絡分包裝安全域與其它系統(tǒng)邊界、內(nèi)部工控網(wǎng)絡輔助系統(tǒng)與其它域邊界。確認邊界后在各個邊界聯(lián)接處部署防火墻，并根據(jù)各邊界內(nèi)的實際安全需求制定安全策略。

4.3系統(tǒng)異常行為檢測

由于疫苗企業(yè)對生產(chǎn)數(shù)據(jù)要求的特殊性，生產(chǎn)關鍵數(shù)據(jù)是不允許因為設備的突發(fā)事件而影響數(shù)據(jù)的完整性和連續(xù)性的。這就需要在網(wǎng)絡設計之初就要將可能出現(xiàn)的網(wǎng)絡設備原因考慮進去，而系統(tǒng)異常行為檢測技術就能很好的預防由于網(wǎng)絡設備的突發(fā)事件引起的數(shù)據(jù)不完整。

4.4系統(tǒng)安全通信及密鑰管理

面向MES系統(tǒng)的密鑰管理工具有一定的特殊性，這是由實際的運行需求限制決定的。協(xié)議需要至少滿足三點：密鑰更新、組播通信、協(xié)議的高效性。這里可以參考使用SCADA中常出現(xiàn)的KDC和ASKMA協(xié)議來實現(xiàn)組群密鑰管理和安全組播。

5物理網(wǎng)絡設計

由于疫苗生產(chǎn)企業(yè)對工藝數(shù)據(jù)的特殊要求，為保障車間生產(chǎn)數(shù)據(jù)的完整性，在車間工控網(wǎng)部分按照車間工藝流程采用環(huán)型網(wǎng)絡，在生產(chǎn)和辦公樓宇之間采用星型雙路雙備網(wǎng)絡。這樣即可以滿足設備數(shù)據(jù)完整性的要求，又不會對現(xiàn)有網(wǎng)絡大改造影響其它車間運行。如圖2所示。

6結束語

本網(wǎng)絡架構的設計致在為現(xiàn)有疫苗生產(chǎn)企業(yè)進行管理信息化、網(wǎng)絡化提升提供具有防御縱深的安全的網(wǎng)絡。并在保證新系統(tǒng)平臺功能和數(shù)據(jù)安全的條件下，為后續(xù)其它車間改造提供靈活穩(wěn)定的接入條件，為企業(yè)節(jié)省二次升級改造成本。

參考文獻

[1]姚羽，工業(yè)控制網(wǎng)絡安全技術與實踐[M].機械工業(yè)出版社，2018，01： 79-91.