摘 要 Abstract
如何筑牢藥品監(jiān)管領(lǐng)域信息安全防線,提高化解風險挑戰(zhàn)能力,是藥品監(jiān)管領(lǐng)域不斷面臨的挑戰(zhàn)���。通過研究信息安全風險管理法律法規(guī)與國內(nèi)外標準��,分析風險評估原則����,探索藥品監(jiān)管領(lǐng)域信息安全風險評估過程��、風險評估模型���,提出基于風險評估的藥品監(jiān)管領(lǐng)域信息安全方案�。逐步完善藥品監(jiān)管領(lǐng)域信息安全風險管理流程���,探索創(chuàng)新基于云平臺的風險評估模型和方法論����,建立基于風險評估的安全協(xié)同防護體系�����,保障藥品監(jiān)管安全健康發(fā)展��。
How to build a solid defense line of information security in the field of drug supervision and improve the ability to resolve risks and challenges is a constant challenge in the field of drug supervision and administration. By studying the laws and regulations as well as domestic and foreign standards on information security risk management, and analyzing the risk assessment principles, information security risk assessment process and risk assessment model in the field of drug supervision were explored, and information security scheme based on risk assessment was proposed. To gradually improve the information security risk management process in the field of drug supervision, explore and innovate the risk assessment model and methodology based on cloud platform, establish a safety collaborative protection system based on risk assessment, and ensure the safe and healthy development of drug supervision.
關(guān)鍵詞 Key words
信息安全�����;風險評估�;評估模型;云平臺����;防護體系
information security; risk assessment; assessment model; cloud platform; protection system
近年來《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎設施安全保護條例》《個人信息保護法》等一系列有關(guān)網(wǎng)絡安全的法律法規(guī)先后出臺,網(wǎng)絡安全已經(jīng)成為社會治理��、國家治理的重要議題���。推進藥品智慧監(jiān)管��,必須筑牢數(shù)字安全屏障����。探索藥品監(jiān)管領(lǐng)域信息安全風險評估有效方法���,加強信息安全風險評估的研究和運用勢在必行���。
1 信息安全風險評估方法研究
1.1 國內(nèi)外標準及規(guī)范
國際信息安全技術(shù)風險管理標準ISO/IEC 27005 在2018 年更新了第三個版本,規(guī)范說明了一套風險管理框架與方法,包含如何建立風險管理的環(huán)境�、如何識別和分析風險、如何接受風險����、如何進行監(jiān)控和審計等。
我國也在信息安全風險管理方面積極探索�,吸收各國研究成果,加以研究和轉(zhuǎn)化�����,目前已發(fā)布和轉(zhuǎn)化了多項標準�,如GB/T31722―2015《信息技術(shù) 安全技術(shù) 信息安全風險管理》[1]、GB/T 20984―2007《信息安全技術(shù) 信息安全風險評估規(guī)范》[2]����、GB/T 31509―2015《信息安全技術(shù) 信息安全風險評估實施指南》[3]、GB/T 33132―2016《信息安全技術(shù) 信息安全風險處理指南》[4]�。
實施這些標準,為風險管理的組織���、管理�、流程�����、評價等方面給出了指導和依據(jù)����,對信息安全保障體系的建設起到了持續(xù)性推動作用[5]。
1.2 信息安全風險評估原理
信息安全風險評估是一種對系統(tǒng)潛在風險的發(fā)現(xiàn)和預防措施�。通過評估各類信息資產(chǎn)(包括系統(tǒng)、硬件����、應用程序、數(shù)據(jù)�、網(wǎng)絡等)的潛在威脅,確定可能影響這些威脅的風險值及優(yōu)先級��,向管理者提供科學合理的風險防控和處置依據(jù)����。
風險評估過程遵循PDCA(計劃、實施��、檢查和改進)循環(huán)��,首先要進行規(guī)劃�����,在這個階段一般需要制定適合組織機構(gòu)的信息安全管理體系(Information Security Management Systems,ISMS)范圍和信息安全方針��、制定實施計劃并確定實施要點�;實施階段要按照預定的方案去執(zhí)行風險應對計劃;檢查階段需衡量績效�,并將績效同計劃進行比較,以發(fā)現(xiàn)偏差或確定潛在的改進點��;改進階段可對已處置的風險加以標準化���,對尚未發(fā)現(xiàn)或無法處置的風險可轉(zhuǎn)入下一個循環(huán)去解決�。這4 個過程是周而復始逐步迭代并呈螺旋上升式發(fā)展的�,需要根據(jù)法律法規(guī)、業(yè)務組織的實際情況�、新的威脅及脆弱性的出現(xiàn)等原因持續(xù)迭代優(yōu)化。每循環(huán)一次��,標準就要更高一些���。
風險評估一般遵守以下原則�����。
(1) 標準性原則:評估信息系統(tǒng)的安全風險�,參照GB/T20984―2007《信息安全技術(shù) 信息安全風險評估規(guī)范》中規(guī)定的評估流程實施,對各階段的工作進行評估�。
(2)關(guān)鍵點原則:緊抓評估對象的核心業(yè)務關(guān)鍵點,比如云平臺的基礎網(wǎng)絡環(huán)境����、相關(guān)配套設施�、核心數(shù)據(jù)庫、基礎業(yè)務模型等����。
(3)可控性原則:基于服務可控性、人員與信息可控性��、過程可控性�����、工具可控性��,實現(xiàn)業(yè)務鏈條安全可控�����。
(4)可恢復原則:提供系統(tǒng)或數(shù)據(jù)在突發(fā)事故后可以恢復的策略與方法,比如雙備份機制�、定時備份策略等。
(5)微感知原則:系統(tǒng)運行前可充分攻擊性測試����,并及時備份環(huán)境與數(shù)據(jù)。運行間隙檢測�,核心業(yè)務只有微度感知,注意避開業(yè)務系統(tǒng)的訪問高峰�����,保障業(yè)務系統(tǒng)穩(wěn)定運行����。
1.3 信息安全風險評估方法
信息安全風險評估是一套迭代執(zhí)行的策略與機制,包括資產(chǎn)識別與分析�����、威脅識別與分析�����、脆弱性識別與分析��、已有安全措施確認、風險值計算與分析�����、風險處置等�����。
1.3.1 資產(chǎn)識別與分析
資產(chǎn)可分級分類評估��,包括數(shù)據(jù)��、服務����、軟件�、人員、硬件�、環(huán)境、制度等����,之后根據(jù)在業(yè)務和應用流程中的重要程度為資產(chǎn)賦值。一般來說����,需要從保密性��、完整性���、可用性3 個維度衡量每個資產(chǎn)的重要性,每個維度按照從一般到非常重要的順序����,分別賦一個1~5 之間的自然數(shù)值,融合各維度與業(yè)務核心內(nèi)容的關(guān)系��,加權(quán)計算得到資產(chǎn)的最終賦值結(jié)果�����。
1.3.2 威脅識別與分析
識別威脅通過威脅主體�����、來源����、動機、途徑、發(fā)生的頻率及造成的影響等多種屬性進行分類評估�����,找出潛在威脅�。評估小組需要盡可能全面地列出資產(chǎn)受到的每類威脅,充分分析每類威脅對資產(chǎn)造成的可能后果�,根據(jù)威脅的發(fā)生頻率,為每類威脅賦一個1~5 之間的自然數(shù)值����。在實際的評估中,分析和賦值過程要充分吸收歷史統(tǒng)計標準和行業(yè)判斷標準�,與被評估方充分溝通并達成一致。
1.3.3 脆弱性識別與分析
脆弱性一般可從技術(shù)和管理2 個維度進行識別:技術(shù)角度可用檢測工具�����,如相關(guān)安全檢測工具包��、漏洞掃描���、滲透測試等手段充分暴露資產(chǎn)的脆弱性;管理角度可用問卷調(diào)查���、文檔查閱等方式發(fā)現(xiàn)����。識別完成后,從高到低為每個資產(chǎn)的每類脆弱性賦一個1~5 之間的自然數(shù)值����。
1.3.4 已有安全措施確認
組織機構(gòu)或已制定相應的安全措施,這些措施是否真正地降低了系統(tǒng)的脆弱性����,抵御了威脅,需要及時進行確認:對有效的安全措施繼續(xù)保持�,對已過時的安全措施快速修正,以適應當前信息安全環(huán)境的需要�。
1.3.5 風險值計算與分析
每個資產(chǎn)面臨多個威脅,威脅可利用資產(chǎn)存在的某個脆弱性產(chǎn)生危害���?�;谔囟ǖ乃惴?�,對資產(chǎn)價值��、威脅頻率����、風險度等進行計算并得到每種組合的風險值和風險等級,從而對決策和處置提供參考����。根據(jù)國內(nèi)現(xiàn)行標準,一般采取矩陣法或相乘法確定風險等級����。根據(jù)風險值的結(jié)果,結(jié)合業(yè)務實際需要���,進行風險處置���。
1.3.6 風險處置
對風險需進行分類處置,制定風險處理計劃��,明確采取的安全措施����、預期效果等�����。安全措施的選擇應全面考慮到管理和技術(shù)層面。對不可接受的風險采用了適當安全措施后��,可進行再評估��,以判斷殘余風險是否已經(jīng)降低到可接受的水平���。
2 藥品監(jiān)管信息安全風險評估過程探索
以國家藥品監(jiān)督管理局(以下簡稱國家藥監(jiān)局)安全管理及運營平臺為例���,本文開展基于該平臺的信息安全風險評估。
國家藥監(jiān)局安全管理及運營平臺是對國家藥監(jiān)局服務器���、網(wǎng)絡����、安全設備進行統(tǒng)一管理的平臺��,解決安全管理及運營從單點����、分散狀態(tài)到平臺化、流程化����,逐步進入安全業(yè)務化���、防御一體化,從而有效實現(xiàn)防外及安內(nèi)�,保障國家藥監(jiān)局信息安全。
2.1 面向業(yè)務融合的信息安全評測思路
2.1.1 藥品監(jiān)管信息安全基本面分析
明確信息安全風險評估的范圍和對象�����,基于藥品監(jiān)管服務國家民生特性和安全要求���,基本面分析首先明確信息安全風險評估的范圍和對象����、被評估對象的使命定位�、業(yè)務范疇、組織結(jié)構(gòu)�����、管理制度�����、技術(shù)工具����、運營方式。國家��、地區(qū)或藥品監(jiān)管行業(yè)的相關(guān)政策��、法律��、法規(guī)和標準都是相關(guān)參考依據(jù)[6]����。
以安全管理及運營平臺為例,需要了解該平臺的安全需求����、網(wǎng)絡結(jié)構(gòu)和控制措施,調(diào)研該平臺及所屬環(huán)境的安全防護措施及其落實情況等�����。由于該平臺涉及的資產(chǎn)種類及數(shù)目非常多����,風險評估對象采取基本覆蓋、同類抽樣原則進行選取���, 覆蓋率不少于80%�。本次風險評估對象包括但不限于:被測系統(tǒng)、被測系統(tǒng)各類服務器�����、被測系統(tǒng)各類數(shù)據(jù)庫��、物理機房���、云平臺基礎設施環(huán)境���、安全管理制度、人員等�。
2.1.2 融智聚力成立風險評估工作組
風險評估實施團隊,由本單位的分管領(lǐng)導��、核心業(yè)務骨干��、產(chǎn)學研信息安全專家顧問�����、平臺支持運營技術(shù)團隊等人員組成。
風險評估工作組簽署保密協(xié)議�,通過制度與技術(shù)培訓,達成共識���,統(tǒng)一行動。實施前以列表形式準備各類清單����,實施中嚴格遵循國家藥監(jiān)局風險評估工作制度,實施后嚴格遵守紀律���,嚴謹處置風險���。
2.2 五維一體藥品監(jiān)管信息風險分析模型初探
按照相關(guān)國家標準,根據(jù)資產(chǎn)價值��、脆弱性程度�、威脅頻率和已有安全措施等指標,采用矩陣法或相乘法判定風險等級[7]����,風險等級認定為1~5 之間的自然數(shù)值。以本次評估過程為例�,部分資產(chǎn)的風險值及風險等級見表1。
所有資產(chǎn)的風險值和風險等級確定后,依據(jù)業(yè)界通用[ 中國網(wǎng)絡安全審查技術(shù)與認證中心(原中國信息安全認證中心)提供]的一種方法[8]�,可根據(jù)各個風險等級的比例來判定整個系統(tǒng)或平臺的風險等級。
由于國家藥監(jiān)局信息系統(tǒng)都部署在藥監(jiān)云平臺���,因此�����,物理環(huán)境和網(wǎng)絡環(huán)境尤其重要��?�?紤]到每種風險的來源不同����、重要程度不同��、造成的影響不同����,我們對系統(tǒng)或平臺的風險等級的評判方式進行了改進:將風險來源分為物理、網(wǎng)絡����、主機、應用、管理5 個維度���,每個維度根據(jù)組織機構(gòu)的實際情況���,賦予不同的權(quán)值,計算過程如下���。
例如:F1(3)、F2(3)為風險1���、風險2 的風險等級����,括號中的自然數(shù)為風險等級賦值����,屬于應用安全層面;F3(3)�、F4(2)、F5(4)為風險3���、風險4�����、風險5 的風險等級賦值����,屬于主機安全層面。那么應用安全的風險值為(四舍五入):
故應用安全的風險等級為中��。
主機安全的風險值為(四舍五入):
故主機安全的風險等級為中��。
參考以上計算方法����,并根據(jù)安全管理及運營平臺實際情況,物理安全���、網(wǎng)絡安全���、主機安全、應用安全和管理安全的風險等級見圖1��。
該平臺每個層面的風險值分別為物理安全C 物理=1��,權(quán)值為20% �;網(wǎng)絡安全C網(wǎng)絡=1�,權(quán)值為30% ����;主機安全C主機=3,權(quán)值為20% ���;應用安全C應用=3��,權(quán)值為20% �;管理安全C管理=2�����,權(quán)值為10%�����。故該平臺風險值為(四舍五入):
故該平臺風險等級為低����。
該計算模型為基于目前通用方法的進一步探索和改進��,可以清晰地了解到整個平臺的風險等級和各安全維度的風險值�����,組織機構(gòu)可根據(jù)實際情況確定各維度的占比(權(quán)值),從而有目標地采取針對性強的改進措施����。
2.3 藥品監(jiān)管信息安全風險評估實驗成果
風險評估實驗過程中,我們做了大量的調(diào)研����,結(jié)合相關(guān)標準及實際,明確了《資產(chǎn)調(diào)查表》《威脅調(diào)查表》《脆弱性和安全措施調(diào)查問卷》《系統(tǒng)調(diào)研報告》等調(diào)研表的模板���;在分析設計階段�,編寫了《信息安全風險評估方案》《實施計劃》《滲透測試計劃》等���;在實施階段�����,完成了《安全管理及運營平臺資產(chǎn)分析報告》《安全管理及運營平臺威脅分析報告》《安全管理及運營平臺脆弱性分析報告》《已有安全措施分析報告》《漏洞掃描報告》等��,覆蓋了每個資產(chǎn)���、每類威脅及脆弱性并進行了賦值����;在出具結(jié)論階段��,確定了《風險評估報告》�。
實驗結(jié)果表明,通過對國家藥監(jiān)局安全管理及運營平臺進行風險分析�,共發(fā)現(xiàn)信息安全風險145個,其中物理安全風險45 個����、管理安全風險33 個、網(wǎng)絡安全風險30 個����、應用安全風險21 個�����、主機安全風險16 個��,提供了風險處理的建議及整改措施建議等���,為系統(tǒng)的安全提升提供了科學依據(jù)�����。
3 基于風險評估的藥品監(jiān)管信息安全防護體系的思考
風險評估不僅是具體的方法����、工具,更是一個過程����、一個體系,完善的風險管理體系應當包括相應的組織架構(gòu)�、業(yè)務和技術(shù)體系。遵循“提前規(guī)劃�、運行實施、監(jiān)測評審�、持續(xù)改進”的原則,確保國家藥監(jiān)局網(wǎng)絡空間安全不斷完善�����。
3.1 常態(tài)度量風險����,提升安全價值
開展信息安全風險評估是信息安全保障的“助推器”,是精準防范風險的“指向標”����。相關(guān)部門需負起主體責任�����,按制度不斷推動安全風險評估工作常態(tài)化�。
信息化的快速發(fā)展����,帶來網(wǎng)絡威脅的不斷升級。安全場景的變化�,業(yè)務環(huán)境的變化都會引入新的安全風險,目前的方式方法對安全風險的識別和評估相對靜態(tài)�,手段大都依賴人工,無法做到全域持續(xù)評估�,實時動態(tài)響應。因此需要探索一種全新的動態(tài)風險評估模式��,比如建設自動化自適應風險評估平臺���,實時驗證防御體系中的各類安全手段、控制措施的有效性�,并通過實戰(zhàn)化攻擊模擬技術(shù),構(gòu)建可彈性擴展的專項評估場景��,隨時度量網(wǎng)絡安全風險,全面提升安全防御體系對抗能力���,從而整體提升安全運營效率�����。
3.2 推進業(yè)務融合���,建設評估體系
要做好風險評估和管理,必須建設一套科學合理的風險評估體系�。
(1)從政策法規(guī)上:風險管理當前的相關(guān)標準和規(guī)范已無法完全適應當今的安全形勢,需要不斷研究與實踐�,探索與等級保護、密碼評測��、云計算技術(shù)[9] 等相融合的風險評估方式方法��。同時�,國家對于數(shù)據(jù)安全的要求提升到了一個前所未有的高度,密集出臺了相關(guān)法律法規(guī)��,在此基礎上需要結(jié)合國家藥監(jiān)局藥品�、醫(yī)療器械、化妝品、電子政務的實際業(yè)務需求����,不斷研究數(shù)據(jù)安全風險和保護,融入風險評估方法����,以適應當前的安全形勢變化。
(2)從技術(shù)架構(gòu)上:相關(guān)國家標準并未給出從定性到定量的方法論���,需要根據(jù)業(yè)務組織的實際需要��,不斷探索和改進適合自身的評估模型�����。比如���,可將資產(chǎn)、數(shù)據(jù)根據(jù)重要性進行分級分類管理��,在計算中賦予不同的權(quán)重�����;結(jié)合業(yè)務場景與攻擊場景���,對威脅進行分類����,并在風險計算模型中進行權(quán)重的動態(tài)調(diào)整��。
高層領(lǐng)導�、各部門需將風險管理思想和風險評估意識融入日常信息安全管理中,尤其是制定重要時期的網(wǎng)絡安全保障的決策過程中����,逐步將風險評估工作常態(tài)化,并將風險評估成果落到實處[10]�����。
3.3 迭代智慧監(jiān)管�、筑牢安全屏障
網(wǎng)絡攻擊行為日益復雜,形勢愈加嚴峻�,作為國家藥品智慧監(jiān)管建設“領(lǐng)頭羊”,需要構(gòu)建科學防護體系�����、完善安全管理策略、提供整體有效的網(wǎng)絡信息安全解決方案����。運用風險評估手段,一是提升動態(tài)防御能力�����。運用風險評估結(jié)果�,結(jié)合大數(shù)據(jù)、人工智能等技術(shù)����,基于國家藥監(jiān)局網(wǎng)絡安全大數(shù)據(jù)分析平臺,構(gòu)建安全態(tài)勢感知體系�。二是提升主動防御能力。及時發(fā)現(xiàn)網(wǎng)絡環(huán)境中的薄弱環(huán)節(jié)�,并充分運用網(wǎng)絡安全威脅情報中心的數(shù)據(jù),從而采取針對性強的安全措施��,未雨綢繆����。三是提升縱深防御能力。及時判別業(yè)務環(huán)境的薄弱點����,采用分區(qū)分域分業(yè)務隔離機制����,分層分級布防����。四是提升精準防護能力�。以藥監(jiān)云平臺各業(yè)務系統(tǒng)風險類型、分布狀況為要點�����,對目標系統(tǒng)的安全形勢做進一步有效深入地探測���,更深層次地發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)[11]����。五是提升藥品監(jiān)管系統(tǒng)整體防護能力, 提升系統(tǒng)韌性與對抗能力�����,在緊急威脅中采用雙備份策略及時保障主營業(yè)務穩(wěn)定運行����。六是提升聯(lián)防聯(lián)控能力�����。構(gòu)建藥品監(jiān)管網(wǎng)絡安全聯(lián)防聯(lián)控體系���,對內(nèi)與兄弟及省市單位協(xié)助,處處設防���,及時預警��;對外與中央網(wǎng)信辦��、公安部��、工業(yè)和信息化部���、國家信息中心等多方協(xié)助,構(gòu)建部門協(xié)同��、數(shù)據(jù)暢通����、威脅感知���、智能決策的全方位多層次藥品監(jiān)管信息安全體系,匯聚向上向善各方力量���,筑牢國家藥品監(jiān)管網(wǎng)絡安全屏障�。
引用本文
常媛�����,陳鋒*.藥品監(jiān)管領(lǐng)域信息安全風險評估探索[J].中國食品藥品監(jiān)管.2022.08(223):74-79.
京公網(wǎng)安備11010802046783號