摘  要  Abstract

 

如何筑牢药品监管领域信息安全防线，提高化解风险挑战能力，是药品监管领域不断面临的挑战。通过研究信息安全风险管理法律法规与国内外标准，分析风险评估原则，探索药品监管领域信息安全风险评估过程、风险评估模型，提出基于风险评估的药品监管领域信息安全方案。逐步完善药品监管领域信息安全风险管理流程，探索创新基于云平台的风险评估模型和方法论，建立基于风险评估的安全协同防护体系，保障药品监管安全健康发展。

 

How to build a solid defense line of information security in the field of drug supervision and improve the ability to resolve risks and challenges is a constant challenge in the field of drug supervision and administration. By studying the laws and regulations as well as domestic and foreign standards on information security risk management, and analyzing the risk assessment principles, information security risk assessment process and risk assessment model in the field of drug supervision were explored, and information security scheme based on risk assessment was proposed. To gradually improve the information security risk management process in the field of drug supervision, explore and innovate the risk assessment model and methodology based on cloud platform, establish a safety collaborative protection system based on risk assessment, and ensure the safe and healthy development of drug supervision.

 

关键词 Key words

 

信息安全；风险评估；评估模型；云平台；防护体系

 

information security; risk assessment; assessment model; cloud platform; protection system

 

近年来《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》等一系列有关网络安全的法律法规先后出台，网络安全已经成为社会治理、国家治理的重要议题。推进药品智慧监管，必须筑牢数字安全屏障。探索药品监管领域信息安全风险评估有效方法，加强信息安全风险评估的研究和运用势在必行。

 

1 信息安全风险评估方法研究

 

1.1 国内外标准及规范

 

国际信息安全技术风险管理标准ISO/IEC 27005 在2018 年更新了第三个版本，规范说明了一套风险管理框架与方法，包含如何建立风险管理的环境、如何识别和分析风险、如何接受风险、如何进行监控和审计等。

 

我国也在信息安全风险管理方面积极探索，吸收各国研究成果，加以研究和转化，目前已发布和转化了多项标准，如GB/T31722―2015《信息技术　安全技术　信息安全风险管理》[1]、GB/T 20984―2007《信息安全技术　信息安全风险评估规范》[2]、GB/T 31509―2015《信息安全技术　信息安全风险评估实施指南》[3]、GB/T 33132―2016《信息安全技术　信息安全风险处理指南》[4]。

 

实施这些标准，为风险管理的组织、管理、流程、评价等方面给出了指导和依据，对信息安全保障体系的建设起到了持续性推动作用[5]。

 

1.2 信息安全风险评估原理

 

信息安全风险评估是一种对系统潜在风险的发现和预防措施。通过评估各类信息资产（包括系统、硬件、应用程序、数据、网络等）的潜在威胁，确定可能影响这些威胁的风险值及优先级，向管理者提供科学合理的风险防控和处置依据。

 

风险评估过程遵循PDCA（计划、实施、检查和改进）循环，首先要进行规划，在这个阶段一般需要制定适合组织机构的信息安全管理体系（Information Security Management Systems，ISMS）范围和信息安全方针、制定实施计划并确定实施要点；实施阶段要按照预定的方案去执行风险应对计划；检查阶段需衡量绩效，并将绩效同计划进行比较，以发现偏差或确定潜在的改进点；改进阶段可对已处置的风险加以标准化，对尚未发现或无法处置的风险可转入下一个循环去解决。这4 个过程是周而复始逐步迭代并呈螺旋上升式发展的，需要根据法律法规、业务组织的实际情况、新的威胁及脆弱性的出现等原因持续迭代优化。每循环一次，标准就要更高一些。

 

风险评估一般遵守以下原则。

 

（1） 标准性原则：评估信息系统的安全风险，参照GB/T20984―2007《信息安全技术　信息安全风险评估规范》中规定的评估流程实施，对各阶段的工作进行评估。

 

（2）关键点原则：紧抓评估对象的核心业务关键点，比如云平台的基础网络环境、相关配套设施、核心数据库、基础业务模型等。

 

（3）可控性原则：基于服务可控性、人员与信息可控性、过程可控性、工具可控性，实现业务链条安全可控。

 

（4）可恢复原则：提供系统或数据在突发事故后可以恢复的策略与方法，比如双备份机制、定时备份策略等。

 

（5）微感知原则：系统运行前可充分攻击性测试，并及时备份环境与数据。运行间隙检测，核心业务只有微度感知，注意避开业务系统的访问高峰，保障业务系统稳定运行。

 

1.3 信息安全风险评估方法

 

信息安全风险评估是一套迭代执行的策略与机制，包括资产识别与分析、威胁识别与分析、脆弱性识别与分析、已有安全措施确认、风险值计算与分析、风险处置等。

 

1.3.1 资产识别与分析

 

资产可分级分类评估，包括数据、服务、软件、人员、硬件、环境、制度等，之后根据在业务和应用流程中的重要程度为资产赋值。一般来说，需要从保密性、完整性、可用性3 个维度衡量每个资产的重要性，每个维度按照从一般到非常重要的顺序，分别赋一个1~5 之间的自然数值，融合各维度与业务核心内容的关系，加权计算得到资产的最终赋值结果。

 

1.3.2 威胁识别与分析

 

识别威胁通过威胁主体、来源、动机、途径、发生的频率及造成的影响等多种属性进行分类评估，找出潜在威胁。评估小组需要尽可能全面地列出资产受到的每类威胁，充分分析每类威胁对资产造成的可能后果，根据威胁的发生频率，为每类威胁赋一个1~5 之间的自然数值。在实际的评估中，分析和赋值过程要充分吸收历史统计标准和行业判断标准，与被评估方充分沟通并达成一致。

 

1.3.3 脆弱性识别与分析

 

脆弱性一般可从技术和管理2 个维度进行识别：技术角度可用检测工具，如相关安全检测工具包、漏洞扫描、渗透测试等手段充分暴露资产的脆弱性；管理角度可用问卷调查、文档查阅等方式发现。识别完成后，从高到低为每个资产的每类脆弱性赋一个1~5 之间的自然数值。

 

1.3.4 已有安全措施确认

 

组织机构或已制定相应的安全措施，这些措施是否真正地降低了系统的脆弱性，抵御了威胁，需要及时进行确认：对有效的安全措施继续保持，对已过时的安全措施快速修正，以适应当前信息安全环境的需要。

 

1.3.5 风险值计算与分析

 

每个资产面临多个威胁，威胁可利用资产存在的某个脆弱性产生危害。基于特定的算法，对资产价值、威胁频率、风险度等进行计算并得到每种组合的风险值和风险等级，从而对决策和处置提供参考。根据国内现行标准，一般采取矩阵法或相乘法确定风险等级。根据风险值的结果，结合业务实际需要，进行风险处置。

 

1.3.6 风险处置

 

对风险需进行分类处置，制定风险处理计划，明确采取的安全措施、预期效果等。安全措施的选择应全面考虑到管理和技术层面。对不可接受的风险采用了适当安全措施后，可进行再评估，以判断残余风险是否已经降低到可接受的水平。

 

2 药品监管信息安全风险评估过程探索

 

以国家药品监督管理局（以下简称国家药监局）安全管理及运营平台为例，本文开展基于该平台的信息安全风险评估。

 

国家药监局安全管理及运营平台是对国家药监局服务器、网络、安全设备进行统一管理的平台，解决安全管理及运营从单点、分散状态到平台化、流程化，逐步进入安全业务化、防御一体化，从而有效实现防外及安内，保障国家药监局信息安全。

 

2.1 面向业务融合的信息安全评测思路

 

2.1.1 药品监管信息安全基本面分析

 

明确信息安全风险评估的范围和对象，基于药品监管服务国家民生特性和安全要求，基本面分析首先明确信息安全风险评估的范围和对象、被评估对象的使命定位、业务范畴、组织结构、管理制度、技术工具、运营方式。国家、地区或药品监管行业的相关政策、法律、法规和标准都是相关参考依据[6]。

 

以安全管理及运营平台为例，需要了解该平台的安全需求、网络结构和控制措施，调研该平台及所属环境的安全防护措施及其落实情况等。由于该平台涉及的资产种类及数目非常多，风险评估对象采取基本覆盖、同类抽样原则进行选取， 覆盖率不少于80%。本次风险评估对象包括但不限于：被测系统、被测系统各类服务器、被测系统各类数据库、物理机房、云平台基础设施环境、安全管理制度、人员等。

 

2.1.2 融智聚力成立风险评估工作组

 

风险评估实施团队，由本单位的分管领导、核心业务骨干、产学研信息安全专家顾问、平台支持运营技术团队等人员组成。

 

风险评估工作组签署保密协议，通过制度与技术培训，达成共识，统一行动。实施前以列表形式准备各类清单，实施中严格遵循国家药监局风险评估工作制度，实施后严格遵守纪律，严谨处置风险。

 

2.2 五维一体药品监管信息风险分析模型初探

 

按照相关国家标准，根据资产价值、脆弱性程度、威胁频率和已有安全措施等指标，采用矩阵法或相乘法判定风险等级[7]，风险等级认定为1~5 之间的自然数值。以本次评估过程为例，部分资产的风险值及风险等级见表1。

 

 

所有资产的风险值和风险等级确定后，依据业界通用[ 中国网络安全审查技术与认证中心（原中国信息安全认证中心）提供]的一种方法[8]，可根据各个风险等级的比例来判定整个系统或平台的风险等级。

 

由于国家药监局信息系统都部署在药监云平台，因此，物理环境和网络环境尤其重要。考虑到每种风险的来源不同、重要程度不同、造成的影响不同，我们对系统或平台的风险等级的评判方式进行了改进：将风险来源分为物理、网络、主机、应用、管理5 个维度，每个维度根据组织机构的实际情况，赋予不同的权值，计算过程如下。

 

例如：F1（3）、F2（3）为风险1、风险2 的风险等级，括号中的自然数为风险等级赋值，属于应用安全层面；F3（3）、F4（2）、F5（4）为风险3、风险4、风险5 的风险等级赋值，属于主机安全层面。那么应用安全的风险值为（四舍五入）：

 

 

故应用安全的风险等级为中。

 

主机安全的风险值为（四舍五入）：

 

 

故主机安全的风险等级为中。

 

参考以上计算方法，并根据安全管理及运营平台实际情况，物理安全、网络安全、主机安全、应用安全和管理安全的风险等级见图1。

 

 

该平台每个层面的风险值分别为物理安全C 物理=1，权值为20% ；网络安全C网络=1，权值为30% ；主机安全C主机=3，权值为20% ；应用安全C应用=3，权值为20% ；管理安全C管理=2，权值为10%。故该平台风险值为（四舍五入）：

 

 

故该平台风险等级为低。

 

该计算模型为基于目前通用方法的进一步探索和改进，可以清晰地了解到整个平台的风险等级和各安全维度的风险值，组织机构可根据实际情况确定各维度的占比（权值），从而有目标地采取针对性强的改进措施。

 

2.3 药品监管信息安全风险评估实验成果

 

风险评估实验过程中，我们做了大量的调研，结合相关标准及实际，明确了《资产调查表》《威胁调查表》《脆弱性和安全措施调查问卷》《系统调研报告》等调研表的模板；在分析设计阶段，编写了《信息安全风险评估方案》《实施计划》《渗透测试计划》等；在实施阶段，完成了《安全管理及运营平台资产分析报告》《安全管理及运营平台威胁分析报告》《安全管理及运营平台脆弱性分析报告》《已有安全措施分析报告》《漏洞扫描报告》等，覆盖了每个资产、每类威胁及脆弱性并进行了赋值；在出具结论阶段，确定了《风险评估报告》。

 

实验结果表明，通过对国家药监局安全管理及运营平台进行风险分析，共发现信息安全风险145个，其中物理安全风险45 个、管理安全风险33 个、网络安全风险30 个、应用安全风险21 个、主机安全风险16 个，提供了风险处理的建议及整改措施建议等，为系统的安全提升提供了科学依据。

 

3 基于风险评估的药品监管信息安全防护体系的思考

 

风险评估不仅是具体的方法、工具，更是一个过程、一个体系，完善的风险管理体系应当包括相应的组织架构、业务和技术体系。遵循“提前规划、运行实施、监测评审、持续改进”的原则，确保国家药监局网络空间安全不断完善。

 

3.1 常态度量风险，提升安全价值

 

开展信息安全风险评估是信息安全保障的“助推器”，是精准防范风险的“指向标”。相关部门需负起主体责任，按制度不断推动安全风险评估工作常态化。

 

信息化的快速发展，带来网络威胁的不断升级。安全场景的变化，业务环境的变化都会引入新的安全风险，目前的方式方法对安全风险的识别和评估相对静态，手段大都依赖人工，无法做到全域持续评估，实时动态响应。因此需要探索一种全新的动态风险评估模式，比如建设自动化自适应风险评估平台，实时验证防御体系中的各类安全手段、控制措施的有效性，并通过实战化攻击模拟技术，构建可弹性扩展的专项评估场景，随时度量网络安全风险，全面提升安全防御体系对抗能力，从而整体提升安全运营效率。

 

3.2 推进业务融合，建设评估体系

 

要做好风险评估和管理，必须建设一套科学合理的风险评估体系。

 

（1）从政策法规上：风险管理当前的相关标准和规范已无法完全适应当今的安全形势，需要不断研究与实践，探索与等级保护、密码评测、云计算技术[9] 等相融合的风险评估方式方法。同时，国家对于数据安全的要求提升到了一个前所未有的高度，密集出台了相关法律法规，在此基础上需要结合国家药监局药品、医疗器械、化妆品、电子政务的实际业务需求，不断研究数据安全风险和保护，融入风险评估方法，以适应当前的安全形势变化。

 

（2）从技术架构上：相关国家标准并未给出从定性到定量的方法论，需要根据业务组织的实际需要，不断探索和改进适合自身的评估模型。比如，可将资产、数据根据重要性进行分级分类管理，在计算中赋予不同的权重；结合业务场景与攻击场景，对威胁进行分类，并在风险计算模型中进行权重的动态调整。

 

高层领导、各部门需将风险管理思想和风险评估意识融入日常信息安全管理中，尤其是制定重要时期的网络安全保障的决策过程中，逐步将风险评估工作常态化，并将风险评估成果落到实处[10]。

 

3.3 迭代智慧监管、筑牢安全屏障

 

网络攻击行为日益复杂，形势愈加严峻，作为国家药品智慧监管建设“领头羊”，需要构建科学防护体系、完善安全管理策略、提供整体有效的网络信息安全解决方案。运用风险评估手段，一是提升动态防御能力。运用风险评估结果，结合大数据、人工智能等技术，基于国家药监局网络安全大数据分析平台，构建安全态势感知体系。二是提升主动防御能力。及时发现网络环境中的薄弱环节，并充分运用网络安全威胁情报中心的数据，从而采取针对性强的安全措施，未雨绸缪。三是提升纵深防御能力。及时判别业务环境的薄弱点，采用分区分域分业务隔离机制，分层分级布防。四是提升精准防护能力。以药监云平台各业务系统风险类型、分布状况为要点，对目标系统的安全形势做进一步有效深入地探测，更深层次地发现系统最脆弱的环节[11]。五是提升药品监管系统整体防护能力, 提升系统韧性与对抗能力，在紧急威胁中采用双备份策略及时保障主营业务稳定运行。六是提升联防联控能力。构建药品监管网络安全联防联控体系，对内与兄弟及省市单位协助，处处设防，及时预警；对外与中央网信办、公安部、工业和信息化部、国家信息中心等多方协助，构建部门协同、数据畅通、威胁感知、智能决策的全方位多层次药品监管信息安全体系，汇聚向上向善各方力量，筑牢国家药品监管网络安全屏障。

 

引用本文

 

常媛，陈锋＊.药品监管领域信息安全风险评估探索[J].中国食品药品监管.2022.08（223）：74-79.