摘 要 Abstract
如何筑牢藥品監管領域信息安全防線,提高化解風險挑戰能力,是藥品監管領域不斷面臨的挑戰�����。通過研究信息安全風險管理法律法規與國內外標準,分析風險評估原則,探索藥品監管領域信息安全風險評估過程、風險評估模型,提出基于風險評估的藥品監管領域信息安全方案�。逐步完善藥品監管領域信息安全風險管理流程�,探索創新基于云平臺的風險評估模型和方法論��,建立基于風險評估的安全協同防護體系,保障藥品監管安全健康發展。
How to build a solid defense line of information security in the field of drug supervision and improve the ability to resolve risks and challenges is a constant challenge in the field of drug supervision and administration. By studying the laws and regulations as well as domestic and foreign standards on information security risk management, and analyzing the risk assessment principles, information security risk assessment process and risk assessment model in the field of drug supervision were explored, and information security scheme based on risk assessment was proposed. To gradually improve the information security risk management process in the field of drug supervision, explore and innovate the risk assessment model and methodology based on cloud platform, establish a safety collaborative protection system based on risk assessment, and ensure the safe and healthy development of drug supervision.
關鍵詞 Key words
信息安全���;風險評估���;評估模型����;云平臺;防護體系
information security; risk assessment; assessment model; cloud platform; protection system
近年來《網絡安全法》《數據安全法》《關鍵信息基礎設施安全保護條例》《個人信息保護法》等一系列有關網絡安全的法律法規先后出臺,網絡安全已經成為社會治理����、國家治理的重要議題����。推進藥品智慧監管,必須筑牢數字安全屏障����。探索藥品監管領域信息安全風險評估有效方法�����,加強信息安全風險評估的研究和運用勢在必行�。
1 信息安全風險評估方法研究
1.1 國內外標準及規范
國際信息安全技術風險管理標準ISO/IEC 27005 在2018 年更新了第三個版本,規范說明了一套風險管理框架與方法�,包含如何建立風險管理的環境����、如何識別和分析風險、如何接受風險�、如何進行監控和審計等����。
我國也在信息安全風險管理方面積極探索,吸收各國研究成果�����,加以研究和轉化��,目前已發布和轉化了多項標準�,如GB/T31722―2015《信息技術 安全技術 信息安全風險管理》[1]�、GB/T 20984―2007《信息安全技術 信息安全風險評估規范》[2]、GB/T 31509―2015《信息安全技術 信息安全風險評估實施指南》[3]���、GB/T 33132―2016《信息安全技術 信息安全風險處理指南》[4]。
實施這些標準����,為風險管理的組織��、管理、流程�、評價等方面給出了指導和依據�,對信息安全保障體系的建設起到了持續性推動作用[5]�����。
1.2 信息安全風險評估原理
信息安全風險評估是一種對系統潛在風險的發現和預防措施����。通過評估各類信息資產(包括系統、硬件�、應用程序���、數據、網絡等)的潛在威脅���,確定可能影響這些威脅的風險值及優先級,向管理者提供科學合理的風險防控和處置依據�����。
風險評估過程遵循PDCA(計劃����、實施��、檢查和改進)循環�����,首先要進行規劃��,在這個階段一般需要制定適合組織機構的信息安全管理體系(Information Security Management Systems,ISMS)范圍和信息安全方針、制定實施計劃并確定實施要點;實施階段要按照預定的方案去執行風險應對計劃�;檢查階段需衡量績效����,并將績效同計劃進行比較,以發現偏差或確定潛在的改進點;改進階段可對已處置的風險加以標準化��,對尚未發現或無法處置的風險可轉入下一個循環去解決���。這4 個過程是周而復始逐步迭代并呈螺旋上升式發展的�����,需要根據法律法規���、業務組織的實際情況����、新的威脅及脆弱性的出現等原因持續迭代優化�����。每循環一次��,標準就要更高一些����。
風險評估一般遵守以下原則�。
(1) 標準性原則:評估信息系統的安全風險,參照GB/T20984―2007《信息安全技術 信息安全風險評估規范》中規定的評估流程實施��,對各階段的工作進行評估���。
(2)關鍵點原則:緊抓評估對象的核心業務關鍵點�,比如云平臺的基礎網絡環境、相關配套設施�、核心數據庫���、基礎業務模型等�����。
(3)可控性原則:基于服務可控性、人員與信息可控性、過程可控性����、工具可控性,實現業務鏈條安全可控。
(4)可恢復原則:提供系統或數據在突發事故后可以恢復的策略與方法�,比如雙備份機制�����、定時備份策略等��。
(5)微感知原則:系統運行前可充分攻擊性測試,并及時備份環境與數據��。運行間隙檢測,核心業務只有微度感知����,注意避開業務系統的訪問高峰�,保障業務系統穩定運行。
1.3 信息安全風險評估方法
信息安全風險評估是一套迭代執行的策略與機制�,包括資產識別與分析�����、威脅識別與分析���、脆弱性識別與分析、已有安全措施確認���、風險值計算與分析、風險處置等�����。
1.3.1 資產識別與分析
資產可分級分類評估,包括數據��、服務�、軟件�����、人員、硬件��、環境、制度等���,之后根據在業務和應用流程中的重要程度為資產賦值。一般來說,需要從保密性�����、完整性��、可用性3 個維度衡量每個資產的重要性���,每個維度按照從一般到非常重要的順序����,分別賦一個1~5 之間的自然數值�,融合各維度與業務核心內容的關系�,加權計算得到資產的最終賦值結果。
1.3.2 威脅識別與分析
識別威脅通過威脅主體��、來源、動機�����、途徑����、發生的頻率及造成的影響等多種屬性進行分類評估���,找出潛在威脅。評估小組需要盡可能全面地列出資產受到的每類威脅,充分分析每類威脅對資產造成的可能后果,根據威脅的發生頻率�����,為每類威脅賦一個1~5 之間的自然數值���。在實際的評估中��,分析和賦值過程要充分吸收歷史統計標準和行業判斷標準�,與被評估方充分溝通并達成一致�。
1.3.3 脆弱性識別與分析
脆弱性一般可從技術和管理2 個維度進行識別:技術角度可用檢測工具,如相關安全檢測工具包�����、漏洞掃描����、滲透測試等手段充分暴露資產的脆弱性;管理角度可用問卷調查、文檔查閱等方式發現�。識別完成后�����,從高到低為每個資產的每類脆弱性賦一個1~5 之間的自然數值。
1.3.4 已有安全措施確認
組織機構或已制定相應的安全措施,這些措施是否真正地降低了系統的脆弱性��,抵御了威脅�,需要及時進行確認:對有效的安全措施繼續保持��,對已過時的安全措施快速修正��,以適應當前信息安全環境的需要。
1.3.5 風險值計算與分析
每個資產面臨多個威脅�,威脅可利用資產存在的某個脆弱性產生危害���?���;谔囟ǖ乃惴?����,對資產價值����、威脅頻率��、風險度等進行計算并得到每種組合的風險值和風險等級�,從而對決策和處置提供參考。根據國內現行標準�����,一般采取矩陣法或相乘法確定風險等級����。根據風險值的結果,結合業務實際需要�,進行風險處置���。
1.3.6 風險處置
對風險需進行分類處置,制定風險處理計劃���,明確采取的安全措施、預期效果等���。安全措施的選擇應全面考慮到管理和技術層面。對不可接受的風險采用了適當安全措施后���,可進行再評估,以判斷殘余風險是否已經降低到可接受的水平。
2 藥品監管信息安全風險評估過程探索
以國家藥品監督管理局(以下簡稱國家藥監局)安全管理及運營平臺為例,本文開展基于該平臺的信息安全風險評估。
國家藥監局安全管理及運營平臺是對國家藥監局服務器、網絡、安全設備進行統一管理的平臺����,解決安全管理及運營從單點�、分散狀態到平臺化、流程化�����,逐步進入安全業務化、防御一體化����,從而有效實現防外及安內�����,保障國家藥監局信息安全��。
2.1 面向業務融合的信息安全評測思路
2.1.1 藥品監管信息安全基本面分析
明確信息安全風險評估的范圍和對象,基于藥品監管服務國家民生特性和安全要求���,基本面分析首先明確信息安全風險評估的范圍和對象����、被評估對象的使命定位�����、業務范疇���、組織結構、管理制度�����、技術工具���、運營方式。國家、地區或藥品監管行業的相關政策、法律��、法規和標準都是相關參考依據[6]�。
以安全管理及運營平臺為例�,需要了解該平臺的安全需求����、網絡結構和控制措施�,調研該平臺及所屬環境的安全防護措施及其落實情況等����。由于該平臺涉及的資產種類及數目非常多,風險評估對象采取基本覆蓋、同類抽樣原則進行選取, 覆蓋率不少于80%����。本次風險評估對象包括但不限于:被測系統、被測系統各類服務器、被測系統各類數據庫�����、物理機房�、云平臺基礎設施環境、安全管理制度、人員等��。
2.1.2 融智聚力成立風險評估工作組
風險評估實施團隊�,由本單位的分管領導���、核心業務骨干����、產學研信息安全專家顧問、平臺支持運營技術團隊等人員組成���。
風險評估工作組簽署保密協議,通過制度與技術培訓����,達成共識�,統一行動��。實施前以列表形式準備各類清單���,實施中嚴格遵循國家藥監局風險評估工作制度�����,實施后嚴格遵守紀律,嚴謹處置風險�。
2.2 五維一體藥品監管信息風險分析模型初探
按照相關國家標準����,根據資產價值、脆弱性程度���、威脅頻率和已有安全措施等指標����,采用矩陣法或相乘法判定風險等級[7],風險等級認定為1~5 之間的自然數值。以本次評估過程為例��,部分資產的風險值及風險等級見表1����。
所有資產的風險值和風險等級確定后���,依據業界通用[ 中國網絡安全審查技術與認證中心(原中國信息安全認證中心)提供]的一種方法[8]�����,可根據各個風險等級的比例來判定整個系統或平臺的風險等級��。
由于國家藥監局信息系統都部署在藥監云平臺�����,因此�����,物理環境和網絡環境尤其重要�����??紤]到每種風險的來源不同、重要程度不同��、造成的影響不同,我們對系統或平臺的風險等級的評判方式進行了改進:將風險來源分為物理��、網絡��、主機、應用�����、管理5 個維度���,每個維度根據組織機構的實際情況���,賦予不同的權值�����,計算過程如下�����。
例如:F1(3)�、F2(3)為風險1����、風險2 的風險等級����,括號中的自然數為風險等級賦值,屬于應用安全層面�;F3(3)�、F4(2)�、F5(4)為風險3�、風險4���、風險5 的風險等級賦值����,屬于主機安全層面。那么應用安全的風險值為(四舍五入):
故應用安全的風險等級為中����。
主機安全的風險值為(四舍五入):
故主機安全的風險等級為中�。
參考以上計算方法��,并根據安全管理及運營平臺實際情況�,物理安全���、網絡安全��、主機安全�、應用安全和管理安全的風險等級見圖1�。
該平臺每個層面的風險值分別為物理安全C 物理=1,權值為20% �����;網絡安全C網絡=1����,權值為30% ��;主機安全C主機=3����,權值為20% �;應用安全C應用=3�����,權值為20% ;管理安全C管理=2��,權值為10%。故該平臺風險值為(四舍五入):
故該平臺風險等級為低�����。
該計算模型為基于目前通用方法的進一步探索和改進�,可以清晰地了解到整個平臺的風險等級和各安全維度的風險值���,組織機構可根據實際情況確定各維度的占比(權值),從而有目標地采取針對性強的改進措施。
2.3 藥品監管信息安全風險評估實驗成果
風險評估實驗過程中,我們做了大量的調研�����,結合相關標準及實際����,明確了《資產調查表》《威脅調查表》《脆弱性和安全措施調查問卷》《系統調研報告》等調研表的模板�����;在分析設計階段,編寫了《信息安全風險評估方案》《實施計劃》《滲透測試計劃》等;在實施階段��,完成了《安全管理及運營平臺資產分析報告》《安全管理及運營平臺威脅分析報告》《安全管理及運營平臺脆弱性分析報告》《已有安全措施分析報告》《漏洞掃描報告》等��,覆蓋了每個資產、每類威脅及脆弱性并進行了賦值;在出具結論階段���,確定了《風險評估報告》���。
實驗結果表明����,通過對國家藥監局安全管理及運營平臺進行風險分析����,共發現信息安全風險145個�����,其中物理安全風險45 個���、管理安全風險33 個、網絡安全風險30 個�����、應用安全風險21 個�、主機安全風險16 個���,提供了風險處理的建議及整改措施建議等�,為系統的安全提升提供了科學依據����。
3 基于風險評估的藥品監管信息安全防護體系的思考
風險評估不僅是具體的方法���、工具,更是一個過程�����、一個體系��,完善的風險管理體系應當包括相應的組織架構����、業務和技術體系。遵循“提前規劃�����、運行實施、監測評審�����、持續改進”的原則����,確保國家藥監局網絡空間安全不斷完善����。
3.1 常態度量風險,提升安全價值
開展信息安全風險評估是信息安全保障的“助推器”���,是精準防范風險的“指向標”。相關部門需負起主體責任��,按制度不斷推動安全風險評估工作常態化��。
信息化的快速發展���,帶來網絡威脅的不斷升級����。安全場景的變化����,業務環境的變化都會引入新的安全風險,目前的方式方法對安全風險的識別和評估相對靜態,手段大都依賴人工�,無法做到全域持續評估�����,實時動態響應。因此需要探索一種全新的動態風險評估模式,比如建設自動化自適應風險評估平臺��,實時驗證防御體系中的各類安全手段����、控制措施的有效性,并通過實戰化攻擊模擬技術,構建可彈性擴展的專項評估場景����,隨時度量網絡安全風險,全面提升安全防御體系對抗能力,從而整體提升安全運營效率�。
3.2 推進業務融合����,建設評估體系
要做好風險評估和管理,必須建設一套科學合理的風險評估體系。
(1)從政策法規上:風險管理當前的相關標準和規范已無法完全適應當今的安全形勢�,需要不斷研究與實踐�,探索與等級保護�����、密碼評測����、云計算技術[9] 等相融合的風險評估方式方法。同時,國家對于數據安全的要求提升到了一個前所未有的高度�,密集出臺了相關法律法規��,在此基礎上需要結合國家藥監局藥品、醫療器械、化妝品、電子政務的實際業務需求���,不斷研究數據安全風險和保護��,融入風險評估方法�����,以適應當前的安全形勢變化。
(2)從技術架構上:相關國家標準并未給出從定性到定量的方法論���,需要根據業務組織的實際需要,不斷探索和改進適合自身的評估模型���。比如���,可將資產�、數據根據重要性進行分級分類管理��,在計算中賦予不同的權重�����;結合業務場景與攻擊場景���,對威脅進行分類��,并在風險計算模型中進行權重的動態調整。
高層領導�����、各部門需將風險管理思想和風險評估意識融入日常信息安全管理中,尤其是制定重要時期的網絡安全保障的決策過程中����,逐步將風險評估工作常態化��,并將風險評估成果落到實處[10]�����。
3.3 迭代智慧監管、筑牢安全屏障
網絡攻擊行為日益復雜����,形勢愈加嚴峻�����,作為國家藥品智慧監管建設“領頭羊”,需要構建科學防護體系、完善安全管理策略�����、提供整體有效的網絡信息安全解決方案��。運用風險評估手段��,一是提升動態防御能力。運用風險評估結果,結合大數據、人工智能等技術���,基于國家藥監局網絡安全大數據分析平臺����,構建安全態勢感知體系。二是提升主動防御能力����。及時發現網絡環境中的薄弱環節,并充分運用網絡安全威脅情報中心的數據���,從而采取針對性強的安全措施�,未雨綢繆�。三是提升縱深防御能力��。及時判別業務環境的薄弱點���,采用分區分域分業務隔離機制�����,分層分級布防����。四是提升精準防護能力��。以藥監云平臺各業務系統風險類型���、分布狀況為要點,對目標系統的安全形勢做進一步有效深入地探測�,更深層次地發現系統最脆弱的環節[11]�。五是提升藥品監管系統整體防護能力, 提升系統韌性與對抗能力�,在緊急威脅中采用雙備份策略及時保障主營業務穩定運行��。六是提升聯防聯控能力��。構建藥品監管網絡安全聯防聯控體系,對內與兄弟及省市單位協助�����,處處設防��,及時預警;對外與中央網信辦����、公安部、工業和信息化部、國家信息中心等多方協助���,構建部門協同�、數據暢通、威脅感知、智能決策的全方位多層次藥品監管信息安全體系�����,匯聚向上向善各方力量�,筑牢國家藥品監管網絡安全屏障。
引用本文
常媛���,陳鋒*.藥品監管領域信息安全風險評估探索[J].中國食品藥品監管.2022.08(223):74-79.
