刘磊 徐鑫 刘喜松 张承

摘要

通过分析生物医药企业生产过程执行系统（ MES）功能及通讯要求，结合国家现有工业控制系统信息安全标准，设计一套安全、稳定、可靠的工控网络安全体系。满足生产过程执行系统（ MES）的安全要求，并为企业下一步实现工业4.0打下良好的基础。

【关键词】生物医药企业 执行系统（ MES）设计

我公司是一家从事人用疫苗研究、生产和经营一体化的国有控股公司。现为响应国家两化融合号召，推动生产装备智能化和生产过程自动化加快建立现代化生产体系。准备建设生产过程执行系统（MES）提升企业信息化生产管理能力，提高企业核心竞争力。

1基本情况介绍

MES（Manufacturing Execution System）即制造企业生产过程执行系统在公司中起到承上启下的作用。对下需汇聚车间现有的SCADA系统、EMS系统、BMS系统及其它未建立系统的工控PLC现场关键工艺数据。对上需将汇聚数据整理分析后与企业上层管理系统ERP、储运部门WMS质量部门的文控系统进行数据对接。

由于公司发展方向和投产时间等原因，各车间信息化上的能力也各有差别，项目以第一个实施改造的乙肝车间为列，以此为基础设计企业标准为后续车间制定制统一、可靠、可扩容的接入标准。目前乙肝车间现有系统如下.

SCADA系统负责采集记录，车间内ZATE种子培养灌、发酵灌、收获灌、CIP制备系统、半成品一次纯化系统、灭菌消毒系统的关键工艺数据。

EMS环境在线监测系统，其主要功能是负责采集生产车间内各级别房间的环境信息，包括温度、湿度、房间压差的即时信息。

BMS系统，主要用于控制采集为生产车间提供辅助的能源设备，列如楼宇空调控制系统、纯化水注射用水的处理制备系统等。

分包装部分需要对现有车间内的洗烘灌联动线控制系统、灯检机控制系统、多功能盒装机包装线控制系统的相关数据进行采集。

此外还需要对生产过程中的一些设备数据进行采集。如摇床的环境数据、毒种保存的超低温冰箱数据、车间生产前的在线尘埃数子及浮游菌检测数据等。

2安全需求分析

生物疫苗制品企业的生产具有非常明显的特殊性，生物制品的工艺机理复杂，同样的操作条件也很难得到完全一样的操作结果，行业体现以配方为核心的生产模式，以离散式的工艺方式组织生产，生物制品的生产全过程要求有十分严格的批号记录，从原料、中间品到产品都需要记录，以便实现对物料的生产回溯和问题跟踪。为满足生产疫苗企业的特殊要求，此网络方案需要在工控传输效率、网络安全、数据安全、终端安全等方面重点关照。

内部网络防御需求：项目的主要数据数采集大部分来源于工控设备，而工控设备一般功能比较单一，抗干扰能力差。它们需要运行在一个安全、稳定、高效的网络中。

数据记录安全需求：由于疫苗生产要求的特殊性，在生产过程中所记录的关键数据是必须具有完整性、一致性的不能因为突发事件造成数据的误记和缺失。

内部终端设备安全需求：在车间现场因工作需要，存在大量的上位机与HMI触屏，这些设备有的通过内部网络联接工控设备，也有通过总线技术等其它方式联接设备或采集电极的。它们的运行状态也关系到系统的安全。

外部网络防御需求：MES系统除了对下的数据采集功能外，还需要对上与其它管理系统配合。这将不可避免的出现其它非生产部门人员通过公司办公网或外部网络对系统进行操作或数据交换。增加外部网络入侵系统可能性。

必要的远程接入安全需求：在日常的车间工作中免不了会出现第三方工程师远程调试维护设备的问题，但同时由于现场设备内可能存在关键数据或核心工艺配方，这就要求设计的网络架构既可以允许这种认可的外部接入操作，同时也能对这种操作安全可控，保证关键数据不会外泄。

3逻辑网络设计

当MES系统投入使用后便对原有的车间现场控制系统功能和部分公司信息管理系统功能进行了融合，实现了办公网络和控制网络的数据交换。使原有的各工控系统不再独立运行，要与公司其它网络内的系统及互联网进行进行数据通讯。这使得公司的工控网络或工控设备很容易遇到来自其它网络或互联网的病毒、木马、蓄意破坏人员的恶意恶攻击。

通過了解安全需求分析，MES系统的安全网络决定使用三层架构，二层防护的体系。把公司的信息系统按一定规则分层、分域、分等级。确保内部工控网络设备操作、控制的排他性和唯一性。

第一层是统计分析生产计划、财务成本、物料管理、质量控制、办公协同的计划管理层。第二层制造执行层（MES系统）主要是对生产计划按工艺进行车间内二次排产，统计生产工艺各流程的运行状态和关键参数变化，实现对车间内生产过程的整体管控。第三层是车间内各自动化设备，主要是按己授权生产配方执行加工作业，并记录实时数据。

第一层防护的目的是防止办公网络或互联网与MES系统发生数据交换时可能面对的各种威胁，列如阻挡非授权访问行为（包括未授权或权限不够的越权操作），对恶意的篡改数据和操作及时阻止，对恶意代码（网络病毒）进行过滤保护。同时在数据交换的整个过程都要接受记录、监控和审计。方便事件的审计追踪功能实现。

第二层防护是指将工业级防火墙部署在MES层和车间工控设备层之间，依靠先进的工业级防火墙来保障车间工控设备层网络的通信安全，使网络故障可以控制在一个较小的区域内不会影响到其它设备。如图1所示。

4系统安全的技术

4.1安全域划分

安全域一般指的是在一个共用网络系统内的多个系统，如果它们有着相同或近似的安全保护需求，并且它们在运行或数据交换时彼此信任、互相关联并可通用相同的安全防护策略，那么把这些相同安全需求的系统所在网络区域划分在一起统一进行安全部署。该区域称为安全域。通过合理的划分安全域可以在保证安全需求的同时节省安全设备的投入，提高安全设置效率。

根据上述的需求分析，项目以MES系统采集和管理分析的两大功能对网络进行划分，首先分别划分为外部办公网络安全域和内部工控网络安全域两大块。其次按采集数据对生产工艺的影响程度对工控网络安全域进行二次划分，划分为SCADA安全域、分包装安全域、辅助系统安全域三部分。

4.2安全域边界防护及防火墙部署

网络安全域划分完后，根据安全域划分共分几个主要边界，它们是外部办公网络与内部工控网络边界、内部工控网络生产工艺术域与分其它系统边界、内部工控网络分包装安全域与其它系统边界、内部工控网络辅助系统与其它域边界。确认边界后在各个边界联接处部署防火墙，并根据各边界内的实际安全需求制定安全策略。

4.3系统异常行为检测

由于疫苗企业对生产数据要求的特殊性，生产关键数据是不允许因为设备的突发事件而影响数据的完整性和连续性的。这就需要在网络设计之初就要将可能出现的网络设备原因考虑进去，而系统异常行为检测技术就能很好的预防由于网络设备的突发事件引起的数据不完整。

4.4系统安全通信及密钥管理

面向MES系统的密钥管理工具有一定的特殊性，这是由实际的运行需求限制决定的。协议需要至少满足三点：密钥更新、组播通信、协议的高效性。这里可以参考使用SCADA中常出现的KDC和ASKMA协议来实现组群密钥管理和安全组播。

5物理网络设计

由于疫苗生产企业对工艺数据的特殊要求，为保障车间生产数据的完整性，在车间工控网部分按照车间工艺流程采用环型网络，在生产和办公楼宇之间采用星型双路双备网络。这样即可以满足设备数据完整性的要求，又不会对现有网络大改造影响其它车间运行。如图2所示。

6结束语

本网络架构的设计致在为现有疫苗生产企业进行管理信息化、网络化提升提供具有防御纵深的安全的网络。并在保证新系统平台功能和数据安全的条件下，为后续其它车间改造提供灵活稳定的接入条件，为企业节省二次升级改造成本。

参考文献

[1]姚羽，工业控制网络安全技术与实践[M].机械工业出版社，2018，01： 79-91.