医药企业生产执行系统网络安全规划设计.docxVIP

医药企业生产执行系统（岫肉网络安全规划设计作者：刘磊徐鑫刘喜松张承来源：《电子技术与软件工程》2018年第24期图1:系统二层防护二屋防推..由嵋（阔尼无LtmMi就WK、.F/ 图1:系统二层防护 二屋防推 .. 由嵋（阔 尼无LtmMi就 WK、 .F/ 翊尼晴?:?＜在株 1悻当炉囹 1悻当炉 囹2：物理网给架构 摘要 通过分析生物医药企业生产过程执行系统（MES）功能及通讯要求，结合国家现有工业控制系统信息安全标准，设计一套安全、稳定、可靠的工控网络安全体系。满足生产过程执行系统（MES）的安全要求，并为企业下一步实现工业4.0打下良好的基础。 【关键词】生物医药企业执行系统（MES）设计 我公司是一家从事人用疫苗研究、生产和经营一体化的国有控股公司。现为响应国家两化融合号召，推动生产装备智能化和生产过程自动化加快建立现代化生产体系。准备建设生产过程执行系统（MES）提升企业信息化生产管理能力，提高企业核心竞争力。 1基本情况介绍 MES（ManufacturingExecutionSystem）即制造企业生产过程执行系统在公司中起到承上启下的作用。对下需汇聚车间现有的SCADA系统、EMS系统、BMS系统及其它未建立系统的工控PLC现场关键工艺数据。对上需将汇聚数据整理分析后与企业上层管理系统ERP、储运部门WMS质量部门的文控系统进行数据对接。 由于公司发展方向和投产时间等原因，各车间信息化上的能力也各有差别，项目以第一个实施改造的乙肝车间为列，以此为基础设计企业标准为后续车间制定制统一、可靠、可扩容的接入标准。目前乙肝车间现有系统如下. SCADA系统负责采集记录，车间内ZATE种子培养灌、发酵灌、收获灌、CIP制备系统、半成品一次纯化系统、灭菌消毒系统的关键工艺数据。 EMS环境在线监测系统，其主要功能是负责采集生产车间内各级别房间的环境信息，包括温度、湿度、房间压差的即时信息。 BMS系统，主要用于控制采集为生产车间提供辅助的能源设备，列如楼宇空调控制系统、纯化水注射用水的处理制备系统等。 分包装部分需要对现有车间内的洗烘灌联动线控制系统、灯检机控制系统、多功能盒装机包装线控制系统的相关数据进行采集。 此外还需要对生产过程中的一些设备数据进行采集。如摇床的环境数据、毒种保存的超低温冰箱数据、车间生产前的在线尘埃数子及浮游菌检测数据等。 2安全需求分析 生物疫苗制品企业的生产具有非常明显的特殊性，生物制品的工艺机理复杂，同样的操作条件也很难得到完全一样的操作结果，行业体现以配方为核心的生产模式，以离散式的工艺方式组织生产，生物制品的生产全过程要求有十分严格的批号记录，从原料、中间品到产品都需要记录，以便实现对物料的生产回溯和问题跟踪。为满足生产疫苗企业的特殊要求，此网络方案需要在工控传输效率、网络安全、数据安全、终端安全等方面重点关照。 内部网络防御需求：项目的主要数据数采集大部分来源于工控设备，而工控设备一般功能比较单一，抗干扰能力差。它们需要运行在一个安全、稳定、高效的网络中。 数据记录安全需求：由于疫苗生产要求的特殊性，在生产过程中所记录的关键数据是必须具有完整性、一致性的不能因为突发事件造成数据的误记和缺失。 内部终端设备安全需求：在车间现场因工作需要，存在大量的上位机与HMI触屏，这些设备有的通过内部网络联接工控设备，也有通过总线技术等其它方式联接设备或采集电极的。它们的运行状态也关系到系统的安全。 外部网络防御需求:MES系统除了对下的数据采集功能外，还需要对上与其它管理系统配合。这将不可避免的出现其它非生产部门人员通过公司办公网或外部网络对系统进行操作或数据交换。增加外部网络入侵系统可能性。 必要的远程接入安全需求：在日常的车间工作中免不了会出现第三方工程师远程调试维护设备的问题，但同时由于现场设备内可能存在关键数据或核心工艺配方，这就要求设计的网络架构既可以允许这种认可的外部接入操作，同时也能对这种操作安全可控，保证关键数据不会外泄。 3逻辑网络设计 当MES系统投入使用后便对原有的车间现场控制系统功能和部分公司信息管理系统功能进行了融合，实现了办公网络和控制网络的数据交换。使原有的各工控系统不再独立运行，要与公司其它网络内的系统及互联网进行进行数据通讯。这使得公司的工控网络或工控设备很容易遇到来自其它网络或互联网的病毒、木马、蓄意破坏人员的恶意恶攻击。 通遏了解安全需求分析，MES系统的安全网络决定使用三层架构，二层防护的体系。把公司的信息系统按一定规则分层、分域、分等级。确保内部工控网络设备操作、控制的排他性和唯一性。 第一层是统计分析生产计划、财务成本、物料管理、质量控制、办公协同的计划管理层。第二层制造执行层（MES系统）主要是对生产计划按工艺进行车间内二次排产，统计生产工艺各流程的运行