浏览量:0
创建时间:2021-07-14 19:32

药业研发企业信息安全建设实践与经验

前一个:
后一个:

一、需求分析

 
1.1  信息安全定义


信息安全是一个常态化的话题,也是行业IT需要日常面对的方面。信息安全没有绝对的安全,都是相对而言的,广义来讲包括两个方面:
 

  • 物理安全:指网络系统中各通信、计算机设备及相关设施等有形物品的保护,使他们不受到雨水淋湿、人为等灾害。
  • 逻辑安全:包含信息完整性、保密性以及可用性等等。物理安全和逻辑安全都非常重要,任何一方面没有保护的情况下,网络安全就会受到影响。


1.2  信息安全种类

 

药企在快速搭建持续支撑业务发展的信息化体系过程中,也在不断细化信息安全体系的认知和实践。结合企业的业务,将信息安全划分为以下5个种类:
 

  • 设备安全:包含机房数据中心核心区域的设备设施安全,例如UPS、精密空调、动环监控等;
  • 网络安全:包含企业内信息传输网络,企业内部骨干网络的访问安全,网络互连的高可用性,例如防火墙、负载均衡、防病毒等安全系统;日常态势感知系统,这是利用态势感知平台,将网络安全设备如防火墙、负载均衡等设备的终端安全,采用集中管理的方式进行的安全通道式管理;
  • 系统安全:保证公司业务系统的连续性,包含系统的高可用性、业务数据的安全性,例如企业云、服务器监控系统等;
  • 数据安全:包含公司信息系统数据库管理、结构化与非结构化数据管理,例如DMS、数据库审计系统等等;
  • 管理安全:根据公司风险评估,确定管理需求,划分安全边界后通过信息化手段和相应配套的管理制度给予执行。

 

以上的前四点安全分类,绝大部分企业是可以做到的。研发是药品整个生命周期中的初始阶段,药物新品种的研发与公司的经营息息相关,价值极其重要,所以,研发的信息安全,需要一套管理安全体系及配套的管理制度来一起实现 

 

 

1.3  风险识别


风险识别是做信息安全的前提,因此,药企需要紧密结合业务形式,切割关键场景,找寻风险点:
 

  • 主动泄密:研发人员计算机内储存大量在研文档,文件流动无法监控。具体表现为:人员离职文件交接不清、研发文件拷贝私用、离职前大量删除文件、文件肆意打印、文件肆意上传等;
  • 设备滥用:移动存储设备不受限,肆意拷贝,无记录可追溯。具体表现为:文件拷贝后不可追溯、U盘等存储肆意使用、笔记本等外接终端风险;
  • 网络威胁:网络攻击或木马攻击窃取后内容暴露。具体表现为:文件受病毒木马感染、办公网实验网互传;
  • 安全意识:员工计算机数据缺乏有效管理,存在安全风险,计算机操作频繁复制粘贴、外发等,无清晰的内容边界。具体表现为:复制粘贴滥用、文件外发渠道过多、数据无法集中管理、无安全意识增加风险。


二、方案思路

 

2.1  整体设计思路

 

IT部门细致研究业务场景,划分清楚边界再制定相应管理策略并实施。针对于药企研究院内部,各部门之间的分工很细,部门职能也是不同的,部门之间有大量需要协作和传递的工作,所以,研究院内部可以是信息透明的,可以划分在同一信息边界,研究院内部文件经加密传输。例如:在药品注册节点的前一年内,注册部就需要准备相应的注册资料,需要和药理部、实验室等各部门做大量的数据交互,因此,在同一信息边界内的话,可以兼顾传输安全性和业务便利性。
 

在边界之内的信息传输和交互是安全的,一旦跨出信息边界,就需要走相应的管理流程了,需要加解密以增强安全管控,也需要通过相应的信息化手段,如增加解密次数管控等,实现与外部组织之间的协同与合作。

 


2.2  信息安全体系
 

信息安全体系主要分为三个维度来建设:
 

  • ”:对于信息传输渠道和方式的集中管理,主要涉及账号、共享、终端、文件、备份等;
  • ”:主要是文档加密,包括文件加解密、剪贴板禁用、日志记录、即时通讯、准入控制等;
  • ”:主要是监控审计,例如网络监控、打印内容、邮件内容、文件记录、设备管控等。

 


2.3  实施方式


信息安全的实施过程中,我们将技术角度与管理角度并重、管理先行的方式来推进。

 

推行信息安全的过程中,先通过管理角度制定相应制度之后再去推动,是一种比较高效的策略。通过编写《网络安全管理制度》和《数据内容管理制度》进行管理行为要求作为参考,配合系统进行实施。在有了管理制度之后,再做技术角度的实施,通过域控、文件、加密、监控、即时通讯等系统,进行系统搭建,技术上实现管、控、查的系统功能。
 

需要指出的是:技术与管理两者是相辅相成的,在具体执行的过程需要同步,但是管理的需求、管理点,一定要在制度上有体现,才能高效推进。

 

三、实施计划
 

整体的研发信息安全项目,总共分为三期来实施的:
 

  • 项目一期:( 2018.10-2019.10 ),2019年5月上线运行,根据研发楼现有环境单独设计方案。项目试运行5个月后,将安全日志归档和信息安全报告机制建立起来。
  • 项目二期:(2020.2-2021.1),2020年2月启动产品选型测试,重点测试私有云盘、准入控制产品;2020年9月启动网络测试,重点测试网络隔离和终端云桌面产品;2021年1月实现研发楼入驻时具备系统试运行条件,试运行5个月后完成制度修订和安全机制。
  • 项目三期:(2021.3-至今),根据项目二期正式上线5个月后,视情况可启动项目三期,向总部和生产中心进行延伸。

 

四、解决方案

 

药企研发信息安全管理项目,设置常规的管控要求,即上面介绍到的“管”、“控”、“查”,除了这些标准的管理要求之外,也需要设置相应的预案措施和审计措施等作为补充,才能形成全面落地的管理方案。

 

4.1  集中管理的——“管”

前面介绍到了,集中管理的要素很多,真正要做到集中管理的话,首先就要分析清楚管理的内容:

 

  • 认人”:对于“人”的管理,主要以账号管理为抓手,做好账号的集中管理认证,以用户名为最小管理单元,登陆账号新建、停用、调整远程集中管控;
  • 认物”:对于“文件”的管理,将所有的文件放置于文件服务器中(加入到域中)。用于研究院在研发文件管理,日常资料编写以及文件共享,方便大家查阅及编写资料,同时也防止个人私自共享行为。文件主要以源文件为主,方便对于异常等情况的追踪可查。

 


4.2  文档加密——“控”

 

文档加密的方法比较简单,基本是在驱动层加密、应用层加密,或者驱动层+应用层的加密,但是企业一定要考虑清楚需要“管”的是什么。以下是企业管理制度中的几条核心要求:
 

  • 圈定加密范围:研究院范围全部人员文件(office、文本、图片等办公文件)加密;
  • 剪贴板(100字符内可复制)禁用,截图只对加密系统有效;
  • 部门总监以上人员具有解密权限,其余人员需进行审批,支持手机审批。

4.3   监控审计——“查”
 

通过桌面审计系统的实施,实现以下功能:
 

  • 系统对研发中心局域网内计算机采用7*24小时监控;
  • 监控策略:计算机软硬件变更、文件操作、网站访问、邮件发送、即时聊天、打印内容、屏幕录像,移动存储设备;
  • 非授信USB设备全面禁止使用,已授信U盘需在信息部备案注册,保证研发信息安全体系内实现电子文件可追踪;
  • 信息部负责U盘授信权限管理,综合管理部负责授信U盘实物管理;
  • 研发中心会议室内公用电脑可正常打开加密文件,但外部人员U盘不可用,外部人员文件导入后即自动加密。


4.4 预案措施
 

以上三点主要涉及的是标准化的实施方式,在遇到特殊、意外情况时候,则需要制定相应的手段来解决,即制定预案措施。
 

  • 急需外发文件:正常情况下,由部门总监解密本部门申请;遇到意外紧急时,申请人可以发送邮件至信息部的同时抄送部门总监,在邮件正文中写明申请原因,信息部在特殊解密主机(受控主机),解密后回复邮件给申请人,特殊解密记录定期公示。此处需要强调的是,这个途径是紧急时候的权宜之计,信息部可以有途径解决,但是授权的依然是部门总监。
  • 远程加密办公:这类情况在今年是最为常见的,如研究院员工需出差办公或在家办公的。解决办法是在受控环境搭建一台受控主机(虚拟机),申请人发邮件给信息部申请,信息部按需求开通远程主机使用权限。


4.5  审计措施
 

在安全管理推行的过程中,为了减少推行阻力、打消业务部门的疑虑,我们在系统中建立了一个审计账户,并将其交给研究院自己管理,主要用来约束管理员在实际操作动作并形成操作日志。系统试运行稳定后,信息部人员查阅日志的权限将会被取消,只保留加密及桌管设置权限,同时系统自身也会有审计追踪,可监督管理员操作行为,同时管理员登陆日志定期公示。

 

4.6  二期方案

 

二期方案在一期的基础上做一些重点的布局和优化,主要在终端和文件、准入控制两方面,主要包括:

  • 终端和文件:云桌面(个人办公文件不存本机)、用户管理模式(多人共用一台主机)、私有云盘(用户文件目录和账号绑定,应对疫情风险);
  • 准入控制:防止未授权设备私联网络,防止资源外泄。

 

除了以上介绍的一期方案、二期方案中的技术和管理手段之外,我们还有后期的跟踪管理手段,主要包含三个方面:

  • 安全日志归档:每月定时导出所有操作及特权行为日志,方便未来发生安全事故时追溯行为使用;
  • 信息安全报告:定期将研究院每月日志按不同角度分析,特权行为公示;
  • 信息安全制度:根据研究院管理方式的调整,及时完善信息安全制度。

 

五、经验分享

   
5.1  达成效果
 

实施研发信息安全项目之后,对于风险点的针对性管理,体现出了预期的效果:
 

  • 针对主动泄密:实现了已加密文件外流不可读、文件操作有记录、文件流动系统可追溯;
  • 针对设备滥用:实现了仅能用授信设备、操作记录可追溯、授信设备领用有流程;
  • 针对网络威胁:实现了文件加密后可防御病毒、存在漏洞的软件已禁用、PC行为规范降低安全风险;
  • 针对安全意识:规范了员工PC操作行为、特殊权限有流程、复制粘贴、屏幕拷贝等操作禁用、文件传送使用专业软件边界确定。

 


5.2  经验教训
 

综上,此次研发信息安全项目能够顺利实施,也总结了一些实践经验和心得,其中的一些关键点,也是实施其他数字化项目的经验。因为信息技术永远只是一种手段,重要的是要有体系化的方法论来配套才能高效的落地推行,才能体现出预期的效果。例如:
 

  • 高层支持:公司一定要认识到信息安全的确实风险,对信息安全工作给予足够的支持,项目推进才能有力;
  • 制度为先:管理安全的核心在于制度管控,信息化知识制度履行的工具,因此一定要在制度中明确管控点和流程;
  • 安全性&易用性:没有绝对的安全,安全性和易用性永远是成反比的,因此要根据公司管理需要,在安全性和易用性中找到平衡点。
关于我们
产品服务
解决方案
客户案例
技术讲堂
联系方式