CPhI制药荟2020年第一期直播课程于2月27日顺利开启，以新加坡NSHC副总裁、工控系统网安负责人Benjamin Lee先生为主讲嘉宾的国际专家团队就“工业4.0下的制药工控系统生产网络安全”这一主题展开了全面的论述，专家通过多个制药大企业的实际案例详细解析了药企可能存在的工控安全隐患，指导大家如何防范与评估。

       扫描下方二维码，回看直播视频

展商观看可联系carina.zhang@imsinoexpo.com

更多回放视频请点击：https://appp8f3vfgx8452.pc.xiaoe-tech.com/index

       在直播Q&A环节，学员结合实际工作，提出了很多问题，在此我们精选了几个比较有代表性的提问，邀请主讲嘉宾给出了文字版的解答。

       【生产网络安全Q&A】

       Q：如何做生产网络安全评测，结果是什么样的？

       答：整个生产网络安全解决是分成了几个步骤。首先是风险评估，发现漏洞和缺陷，接着是提供解决方案；然后是按照解决方案进行整改。整改结束后再进行一次风险评估，一确保整改是按照方案来执行的，以及对检测出的漏洞和风险都得以解决。同时，整个过程也就是从评估到整改都不会影响正常的生产。

       Q：做完测评后就可以了么？还有什么需要注意的么？

       答：首先，也是重中之重，就是需要再整个机构尤其是领导干部建立生产网络安全意识，需要进行必要的分级的和定期培训；第二，在公司内部建立相关机制，由生产网络安全的负责人和责任人（不需要专职，我们的经验是兼职就足够了）；第三，建立相关作业流程和规定，由负责人定期检查，同时请第三方在必要德时候（如每2-3年）再做一次风险评估；第四，按照所提出的整改方案认真执行。

       Q：刚刚提到的由于供应商影响，导致企业受到损失的案例，新加坡目前有工厂要求第三方供应商购买网络安全的责任保险吗？

       答：目前在欧洲已经开始有这方面的保险。但没有强制。据悉中国人寿已经在国内开展网络安全保险业务。而且做更进一步了。除了给予责任险以外，还将业务前移。与技术公司(如觅赐科技)一起从评估、提供解决方案，以及最终改进执行的一站式一条龙解决形式。

       Q：目前数字化解决方案的费用是否会很高？

       答：这个也是要看工厂的具体情况。根据我们的经验，通常整改的活动主要是针对漏洞，工控系统的接口和通讯，以及一些网络安全的缺陷。这里要强调一下的是，整个生产网络安全解决是分成了几个步骤。首先是风险评估，发现漏洞和缺陷，接着是提供解决方案；然后是按照解决方案进行整改。整改结束后再进行一次风险评估，一确保整改是按照方案来执行的，以及对检测出的漏洞和风险都得以解决。同时，整个过程也就是从评估到整改都不会影响正常的生产。除非出现极端情况，如车间的网络需要重做。所以费用是要看工厂的具体情况来定。但是比工控系统的投资要少很多。

       Q：能否举例说明一下对一个中型规模企业的典型漏洞检测的大致费用？

       答：这里要说明一下的是漏洞检测和风险评估是整个生产网络安全的一部分。其目的是是发现在生产过程中的的漏洞和风险，并提出整改方案。所以漏洞检测和风险评估是整个活动的第一步，也是基础。因此这个就是要看工厂的具体情况。根据我们的经验，通常整改的活动主要是针对漏洞，工控系统的接口和通讯，以及一些网络安全的缺陷。这里要强调一下的是，整个生产网络安全解决是分成了几个步骤。首先是风险评估，发现漏洞和缺陷，接着是提供解决方案；然后是按照解决方案进行整改。整改结束后再进行一次风险评估，以确保整改是按照方案来执行的，以及对检测出的漏洞和风险都得以解决。同时，整个过程也就是从评估到整改都不会影响正常的生产。除非出现极端情况，如车间的网络需要重做。所以费用是要看工厂的具体情况来定。但是比工控系统的投资要少很多。

       生产网络安全案例

       普遍错误的观点认为只有大型的跨国企业才面临网络安全的威胁。但统计显示中小企业已经成为攻击的主要目标因为他们是很容易被攻击的。

       根据保险公司Chubb所作的一项研究显示，全球超过一半的网络攻击是针对中小企业。在新加坡，由Carbon Black Singapore2019年3月的威胁报告显示，在2018年期间96%的本地企业成为网络安全的受害者。

       中小企业只有持续保持网络防范，便可使企业达到基本的网络安全以防范网络攻击，而不必去花费大量的钱财去投资最先进的技术。通过投资人员培训，更新技能，以及扎实的数据安全程序就可以达到其目的。

       在P&G内有这样一个简单而行之有效的概念即”跟踪数据“（FOLLOW THE DATA）。就是在数据流动的每一阶段都采取保护措施，数据都是加密的，并只在保密的渠道内分享数据。也就是说数据的分享是在控制下进行的，同时数据流动的整个过程都是可追溯的。

       网络安全可以成为供应链的一部分或者网络安全本身可以成为一个供应链。比如说，我们不再把网络安全作为成本或者是作为备用，而是作为一个持续的长期投资。

       网络安全是奢侈品的说法已经过时。现在，网络安全不仅已经成为运行业务和保护业务的先决条件，也是保护合作伙伴业务的先决条件。

       生产网络安全PPT精选