制药企业对技术水平要求较高，这要求其具备强大的研发能力和技术创新能力，且创新药开发需要投入大量资源，包括资金、人力和时间，与此同时药品直接关系到人民健康和生命安全，因此制药企业必须遵守《药品管理法》《药品生产质量管理规范》等国家相关法律法规，并建立完善的质量控制体系，对原料采购、制剂生产、质量检验、包装、储存和运输等多个环节进行严格控制，确保产品质量和安全性。因此，制药企业如何在药品生产基地进行合理的网络布局和计算能力的建设，同时做好网络安全的防护工作，在降低企业整体支出成本的同时确保整个企业药品生产和办公业务的稳定可靠，是制药企业目前十分关心的且亟待解决的问题。

业务多样化导致复杂性增加：随着整个制药企业厂区内的业务增多，对网络服务的需求日益多样化，从基础的互联网接入到特定的业务应用支持，如视频会议等，这要求网络不仅要支持高带宽，还要具备灵活的服务分发能力，导致网络架构复杂，管理难度加大。

网络节点众多，维护困难：制药企业厂区传统网络包含大量物理设备，如交换机、路由器、接入点等，这些节点遍布厂区各个角落，配置和维护工作量巨大。一旦发生故障，定位与修复过程繁琐，影响业务连续性。

高昂的成本压力：随着业务扩展和技术迭代，频繁的硬件升级、能源消耗及人工维护成本不断攀升，尤其是当需要扩容或更新网络设施时，往往需要大规模的资金投入，给制药企业运营带来沉重负担。

计算资源方面：资源分配不均衡，不同部门对计算资源的需求差异较大，可能导致某些环节资源紧张，而其他部分资源闲置，影响整体效率；资源扩展能力有限，随着业务的增长，现有的计算资源可能无法满足需求。

数据管理方面：制药企业园区涉及大量的研发数据、生产数据、临床试验数据等，这些数据具有极高的商业价值和保密性，一旦泄露将给企业带来巨大损失；数据量的快速增长使得数据存储和备份的难度增加，需要大量的存储空间和高效的备份策略，否则可能导致数据丢失或损坏。

应用系统方面：系统兼容性差，园区内可能存在多个不同时期、不同厂商开发的应用系统，这些系统之间的兼容性问题可能导致数据交互困难，业务流程不畅；系统维护成本高，众多应用系统的维护需要专业的技术人员和大量的时间精力，包括系统升级、故障排除等，增加了企业运营成本。

数据安全风险：制药企业园区存储着大量敏感信息，如药物研发配方、临床试验数据等，可能由于内部人员疏忽泄露数据，外部攻击者也会通过网络攻击手段窃取数据；勒索软件攻击也是制药企业面临的一个严峻问题，攻击者通过加密企业数据，要求支付赎金才能恢复数据访问权限，这可能会导致企业的生产、研发等业务流程中断，造成巨大的经济损失。

网络攻击风险：制药企业的计算机系统和网络容易受到病毒、蠕虫、木马等恶意软件的攻击，在内部传播并破坏系统；与此同时APT攻击也广泛存在，攻击者会长期潜伏在企业网络中，逐步获取敏感信息，最终发起致命攻击。

人员安全意识淡薄：许多制药企业员工可能没有接受过系统的网络安全培训，对网络安全风险认识不足，增加了企业网络安全风险；此外也存在安全政策执行不力的情况，即使企业制定了网络安全政策，员工也未必严格遵守。

网络基础设施需求：制药企业内部的数据传输量较大，因此需要构建高速、稳定的骨干网络，如采用万兆以太网技术，确保核心交换机与各个部门的交换机之间能够实现高速的数据传输；同时为保证网络的可靠性，关键网络设备如核心交换机应采用冗余配置，以便在网络故障时能够快速恢复。

生产网络需求：在生产车间采用工业以太网技术连接生产设备、自动化控制系统等，实现生产数据的实时采集和传输，需具备高可靠性、抗干扰能力强等特点，以适应生产环境的复杂要求；同时要将生产网络隔离，在生产网络内部根据不同的生产区域和功能模块，划分VLAN实现网络流量的隔离和管理。

办公网络需求：为员工提供稳定、高速的办公网络，支持日常办公应用（如电子邮件、文件共享、办公软件等）和互联网访问；且随着企业远程办公和跨地区协作的需求增加，企业需要部署视频会议系统，支持高清视频会议、屏幕共享等功能。

计算资源需求：建立云计算平台，实现计算资源的虚拟化和动态调配，根据不同部门和项目的需求实时分配和调整资源，提高资源利用率；具备可扩展性的计算架构，能够方便地增加服务器、存储等硬件设备，以满足业务增长的需求。

数据管理需求：建立严格的数据访问权限管理制度，确保只有授权人员能够访问和操作敏感数据；建立高效的数据存储和备份，提供大容量、高可靠的数据存储服务，制定完善的备份策略，包括定期备份、异地备份等，确保数据的安全性和可恢复性。

应用系统需求：通过中间件等技术实现不同应用系统之间的集成，打破信息孤岛，实现数据的共享和业务流程的协同；选择易于维护和管理的应用系统，提高系统的可维护性，降低维护成本。

数据安全防护体系建设：建立完善的数据备份系统，定期备份重要数据，并将备份数据存储在异地；实施细粒度的访问控制策略，根据员工的工作职责和权限级别，严格限制对数据的访问。

网络攻击防范体系建设：部署防火墙、入侵检测系统等安全设备，进行边界访问控制，实时监测网络流量中的异常行为和攻击迹象，保护企业网络免受恶意攻击；安装企业级和工业级的防病毒软件，对企业内部的计算机系统和网络进行全面扫描，及时发现和清除病毒、恶意软件等威胁。

人员安全意识提升：制定全面的网络安全培训计划，对所有员工进行网络安全知识培训，包括网络安全基础知识、数据安全意识、安全操作规程等内容；加强网络安全政策的宣传，确保员工清楚了解企业的网络安全要求和规定，同时建立安全政策监督机制，对违反安全的行为严肃处理，提高员工自觉性。

综上所述，制药企业的网络、计算、安全一体化建设需求点主要体现在多方面，共同构成了制药企业发展的独特环境和挑战。本文将通过某制药企业新建药厂“生产网+办公网+设备网”的建设需求，描述威努特一站式解决方案如何助力制药企业“网络+计算+安全”一体化建设。

以下为针对该制药企业新建厂区生产网、办公网、设备网以及整个厂区“网络+计算+安全”的建设示意图，接下来将针对网络、计算、安全三个部分分别进行具体的建设方案介绍。

图2 制药企业新建厂区生产网建设方案示意图

图3 制药企业新建厂区办公网建设方案示意图

图4 制药企业新建厂区设备网建设方案示意图

图5 制药企业新建厂区“网络+计算+安全”一体化建设方案示意图

国家当前将千兆光网作为新基建的重点部署方向之一，工信部在《“十四五”信息通信行业发展规划》中提出，要全面部署千兆光纤网络等新一代通信网络基础设施，要求运营商加快千兆光纤网络的建设，推动智慧城市的建设和发展。基于此，威努特以各药品生产车间、质检楼、综合楼、总控中心、仓库等车间和楼宇为单元，以OLT、分光器和ONU作为网络通信的核心组件，同时搭配全光汇聚交换机、接入交换机入室以及室外工业交换机等多种组网方案，适应该企业多场景的组网建设需求，确保稳定且高效的网络连接。

核心层是网络架构的中心，负责高速数据传输和关键业务的路由。整个园区核心交换机采用威努特WES8500系列框式交换机，采用业界先进的分布式多级交换矩阵架构，搭载自主知识产权的软件平台，融合了IPv6、MPLS VPN、网络安全、流量分析、虚拟化等多种网络业务，结合不间断升级、冗余保护等多种高可靠性技术，从而保证了不间断通信能力。生产网、办公网和设备网的核心推荐采用威努特WES6300-H系列机架式交换机。以WES6300-H-6X48GS为例，该系列交换机具备48个千兆/百兆自适应光口，6个万兆/千兆自适应光口，可满足该制药企业全光纤部署的需求，同时具备高性能处理器和大容量缓存，可以确保数据传输的稳定性和可靠性。

图6 威努特核心层网络产品外观图

汇聚层负责数据的集中处理和分发。该制药企业园区存在两种情况：针对生产车间、质检楼、综合楼、总控中心、仓库等车间和楼宇，使用光线路终端OLT。例如WGP6300-4X4GS4C16GP-HV这款16口GPON口OLT设备，支持4个千兆SFP+4个千兆Combo+4个万兆SFP+，高效的带宽利用率和以太网业务支持能力可为制药企业提供可靠的业务质量保证，同时还具备高达1:128的分光比，支持不同类型ONU的混合组网。针对质检楼和综合楼等存在千兆网络不足以支持的高并发、高带宽业务场景以及室外监控场景，推荐使用全光汇聚交换机进行组网。以WES6300-4X8C16GS-HV为例，该产品基于新一代的高性能硬件和软件平台，支持强大的ACL、1:1和N:1 VLAN交换、运营级QoS、万兆以太环网等功能，能够满足高带宽场景的应用需求。

图7 威努特汇聚层网络产品外观图

接入层主要负责各类终端设备的接入。针对生产车间、质检楼、综合楼、总控中心、仓库等车间和楼宇，使用光网络单元ONU。以WGP3200-P-1GP24G-HV为例，该设备支持POE供电，有24个GE口，配合OLT设备可实现高达1:128的分光比；同时设备具备VLAN隔离功能，如部署在生产车间，可同时给生产网网络面板、办公网电话机和设备网监控摄像头连接使用，还可以给监控摄像头、无线AP进行供电，大大节约成本。针对质检楼和综合楼等存在高并发情况、需要高带宽业务的场景，推荐使用接入交换机入室。以三层接入交换机WES6300-2GS8G-HV为例，具备2个千兆/百兆自适应光口+8个千兆/百兆自适应电口，支持所有端口线速转发，满足了用户对高带宽的需求。针对室外监控场景，推荐使用耐高温、防风沙的工业级接入交换机。以WIS3200-PE-4GS8G-2LV为例，可以支持8个千兆PoE电口+4个千兆光口，通过无风扇散热电路设计、宽范围工作环境温度、高IP防护等级等技术，提供了耐高/低温、防静电等卓越的工业级品质，更能满足室外监控环境中需要多端口数为无线AP提供POE供电的场景。

图8 威努特接入层网络产品外观图

针对交换机、OLT和ONU的统一管理，威努特可提供专用的WNT-NSMS网络管理软件。该产品结合了完整的网管功能、强大的扩展能力以及易用性，具有良好的伸缩特性，可以适用于任意规模的网络系统；同时具备图形化的综合网络管理（包括故障管理、性能管理、配置管理、安全管理等）、支持基于端口的流量分析、拓扑结构显示等功能，可对全部网络设备进行配置和监视，便于厂区人员运维，大大降低人力成本。

该制药企业在其新建厂区综合楼需要搭建承载关键业务和重要数据的数据中心，传统的数据中心架构需要大量的服务器、存储设备和网络设备，不仅占用空间大，而且能耗高，同时由于各业务系统独立部署，资源无法共享，导致运维管理不便、资源浪费严重，因此该企业具有搭建超融合平台的需求，力图打造一个以数据中心为核心，辐射各制药车间生产环节的统一云平台架构，为药品生产提供稳定可靠、智能协同的云端支持。对此威努特提供自主研发的高性能服务器和超融合软件，为制药企业的数据中心搭载提供有力支撑。

针对数据中心计算底座，威努特G3261系列蛟龙服务器是针对企业级市场需求，自主研发的一款双路通用机架式服务器，适用范围十分广泛，如大数据分析、虚拟化、超融合云计算、中小型数据库等，非常适于作为制药企业数据中心搭建的硬件基础。此外威努特还开发了基于国产化鲲鹏CPU的G3263鲲鹏服务器，是满足自主可控需求的ARM架构产品，计算性能高、访存带宽和IO扩展能力强，并支持硬件虚拟化功能，能够满足复杂应用场景下的性能需求。除此以外，威努特鲲鹏服务器一体机还搭载了威努特防勒索软件，帮助用户快速处置安全问题，构建安全防护系统，保护关键业务不被破坏、关键数据不被窃取。

图9 威努特鲲鹏系列服务器外观图

在高性能服务器作为硬件的基础上，威努特还提供了具备轻量化、分布式特点的超融合系统，以计算、存储、网络等资源的虚拟化能力为基石，通过开放性与融合性兼具的云架构进行整合，构建出综合性的超融合管理平台，能够为该制药企业提供统一的管理、运营和维护界面，充分满足客户对集中化管理的需求。

搭建好该制药企业新建厂区的网络和计算平台后，安全建设便显得必不可少，依据等保“一个中心，三重防护”，从安全区域边界、安全通信网络、安全计算环境和安全管理中心进行建设，确保整个厂区网络IT&OT系统的安全。威努特针对该制药企业新建厂区提供的整体安全防护方案如下：

在生产网边界部署工控安全隔离与信息交换系统，在整个企业厂区网络边界以及超融合平台所在的数据中心出口部署第二代防火墙，在企业厂区网络边界透明串接部署上网行为审计系统，在厂区核心交换机旁挂部署入侵检测系统，确保区域边界的防护和网络间的通信传输。




在制药车间的操作员站、工程师站等工控机上部署工控主机卫士防毒软件，确保工业主机运行环境的安全，提供主机安全加固和软件黑白名单管理、移动介质的严格管控。




在厂区核心交换机旁挂部署统一安全管理平台、日志审计与分析系统和安全运维管理系统，确保厂区资产可视化，安全设备的集中管理，日志的统一收集，运维的集中管控。

以下将通过这张表格，详细列出推荐的安全产品及其功能，展现它们如何共同作用于制药企业厂区的网络安全策略中，确保IT&OT系统坚不可摧。

表1 威努特安全产品推荐清单

整个厂区主干网络链路设计采用双链路链接，厂区双核心交换机之间采用虚拟化集群和负载均衡方式部署，将虚拟化与链路聚合结合，实现链路保护与负载分担，当上层冗余设备中某一台失效，流量可正常通过未失效设备传输，确保厂区网络通信不中断。

在制药厂区运用PON无源光纤网络技术，以其独特的无源光网络结构设计，大幅减少对有源设备的依赖，不仅简化了网络结构，更显著降低了网络的维护成本和操作复杂性，其核心优势体现在以下几个方面：

网通过简化网络层级，实现更为简便、高效的运维管理；

一次性部署后，网络容量可随需求平滑升级，而无需重新布线；

仅需一根光纤，便可承载所有业务需求，实现高效数据传输；

轻量化设计节省空间，使用寿命长，且支持长达20公里的超远传输距离；

相较于传统网络，PON技术可使成本降低47%，可节省大量运营成本。

图10 PON优势：扁平化网络架构简易运维

图11 PON优势：一根光纤承载所有业务

威努特多样化的组网方案可以匹配客户不同场景的需求，针对客户整体简化架构的诉求，在厂区绝大部分场景下采用PON无源光纤网络技术，降低网络维护成本；针对高并发、高带宽业务需求，采用传统的核心—汇聚—接入交换机组网架构，并使用接入交换机全光入室；针对大量室外监控场景，采用宽范围工作环境温度、高IP防护等级的工业交换机部署，也能满足室外监控环境中为无线AP提供POE供电的需求。

威努特提供的WNT-NSMS网络管理软件可以提供强大的统一管理能力，管理能力覆盖核心交换机、汇聚交换机、接入交换机，以及PON无源光纤网络OLT光线路终端和ONU光网络单元，便于厂区人员统一进行策略配置管理。

威努特超融合系统提供了一个集中的管理界面，管理员可以通过该界面轻松地对计算、存储、网络等所有硬件资源以及虚拟机、容器等虚拟资源进行统一的监控、配置和管理，无需在多个不同的管理工具和界面之间切换，大大简化管理工作流程，提高管理效率。

威努特超融合系统将计算、存储、网络等资源整合到一个统一的系统中，实现对各业务部门系统资源的整合利用，提高资源利用率，避免为新增业务系统单独购置服务器，降低服务器硬件、网络、能耗、空间等方面的投入。

图12 ALL IN ONE的超融合架构化解传统IT架构的弊端

威努特超融合系统将计算、存储、网络等资源进行深度融合，形成一个统一的资源池。所有的数据都可以存储在这个资源池中，不同业务系统之间的数据可以实现共享和互通，消除异构化系统之间的隔阂，提高业务系统稳定性，为后续药企新业务上线提供充足云计算资源。

图13 软硬件解耦大幅提升硬件服务器的资源利用率

威努特超融合系统的资源虚拟化特性使得计算、存储和网络资源能够根据应用系统的需求进行动态分配和调整。这种灵活性确保了应用系统在建设和运行过程中能够始终获得足够的资源支持，避免因资源不足而导致的项目延误。

制药企业生产车间自动化程度高，方案覆盖办公&生产网络边界、主机、工控设备、工控组态软件等全方位安全的纵深防护，包含检测、防护、响应、审计的全过程，实现药厂网络的全方位安全防护，确保了厂区业务的连续性和稳定性，大大降低了因网络故障导致的业务中断风险。

通过自主知识产权的安全防护产品配合“白环境”的工控安全解决方案，可以帮助制药企业解决生产车间工业控制系统网络安全防护工作。方案实施无需改造现有工业网络和频繁升级工控系统，安全设备符合工控环境标准，可深度解析工控协议和操作行为，技术先进可靠。

图14 基于“白环境”的“纵深安全防护技术体系”设计图

方案设计遵循等保“一个中心、三重防护”技术路线，可确保在提升制药企业园区OT&IT系统安全防护能力的同时，满足国家层面、行业层面的合规性建设要求。

在新时代背景下，构建一套全面的网络安全管理体系，是推动制药企业迈向智能化转型的必然要求。依托工业互联网技术的迅猛发展，威努特致力于打造一个集安全性、高效性和创新性为一体的网络安全典范，为企业生产安全保驾护航。