医药企业如何建立信息安全体系,防止信息泄露?
为什么要关注医药企业的信息安全?
近年来,在“互联网+”浪潮的席卷下,医药行业的信息化建设也开始驶入快车道。事实上,医药行业是一个最需要进行信息化建设和改造的行业,以药物临床试验为例,需要大样本量、高精细度的数据提供支持。传统方法是手动记录数据、纸质文件存档数据,而在信息化技术和互联网技术的加持下,如今已有不少医药企业开始采用信息化的方式进行数据采集、处理、分析及存储,这极大地提高了医药企业的研发和运营效率。技术的进步,带来了效率的提升,却也埋下了数据安全的隐患。尤其是其他行业不时爆出的信息泄露事件,向医药行业敲响了信息安全的警钟。医药作为关乎民生与健康的重要行业,在巨大商业利益的驱使下,医药企业的数据库面临来自内部威胁和外部威胁的双重包夹。一旦发生数据泄露,不仅影响医药企业的公众形象,给医药企业造成重大经济损失,甚至还会损害患者的个人利益。
2018年4月,习总书记在全国网络安全和信息化工作会议上指出,“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障”。随着国家关于网络安全相关法律法规的不断出台,数据安全的责任主体愈加明确,越来越多的医药企业开始关注并重视网络及信息安全。
本文,我们将对医药企业信息安全建设思路进行探讨,并给出药企信息化建设过程中信息安全建设的设计与落地建议的思考,帮助医药行业信息系统稳定运行。
01。药企信息建设的安全框架
“以人为本、技术驱动”,设计安全框架时不能仅考虑技术实现或仅考虑管理策略,我们认为两者是相辅相成缺一不可的,所以本文会通过“安全管理”、“安全技术”“安全合规”、“安全运营”四个维度来阐述整体安全建设思路。下图是我们梳理的医药企业信息安全体系建设图,供大家参考。
医药企业信息安全体系建设图
安全管理:架构明确,全员参与
02.安全管理是一个从上至下、全员参与、持续建设、不断完善的过程。医药企业要明确安全建设的决心,在公司管理层推动下,设立合理的安全组织架构:
**设立“安全管理委员会”,由公司管理层担任委员长,指导和决策公司整体安全建设方针;
**设立“安全执行组”,由安全和运维部门人员担任组长,下发和解释安全方针;
**设立“安全推动组”,由各部门安全接口人组成,落地安全方针至本部门。
这种从上而下的推动过程,可以有效的将安全方针贯彻执行,避免了“只喊口号不落地”的困境。我们都知道任何系统都是由人来维护的,所以针对“人”的管理是安全建设的重中之重。医药企业应该有完善的制度建设、SOP落地推动、遵循权限最小化原则申请和开通权限、各维度的例行化安全审计等等,通过安全管理的落地来引导和推动安全技术的落地。
03.安全技术:五大维度,全面保障参考等级保护要求,我们将从“数据安全”、“网络安全”、“主机安全”、“应用安全”、“物理安全”五个维度来描述安全技术在各维度中的融入。安全技术或安全产品方案在医药企业中的实施,其深度和广度并不是一成不变的,它需要结合企业的实际情况,磨合出一套适合企业现状的技术方法论。
关于数据安全在数据为王的时代,数据已经成为医药企业的核心资产之一,如何有效的进行数据保护,就变成了医药企业最关心的问题。我们建议医药企业在做数据资产的保护时,先要对数据进行分级分类,如级别可设置为“绝密”、“机密”、“秘密”、“内部公开”、“外部公开”五个等级,根据重要性原则将不同的类别数据匹配至不同的等级,最后针对分级分类后的数据开展不同力度的安全保护措施。我们这里想借信息安全三要素(保密性Confidentiality、完整性Integrity、可用性Availability,简称CIA)这三个维度,重点对数据安全进行阐述。
保密性
数据保密性指数据仅在授权范围内使用,确保不会造成非授权的访问或泄露,假设当发生数据被泄露,非授权用户也无法读懂被泄露的数据。从数据加密存储角度考虑,对于密码类不需要明文使用的敏感数据,我们建议使用SHA-2 + SALT的方式进行加密存储,对于用户身份信息等敏感数据,建议选择对称加密算法进行加密,而对称加密算法最重要的一点是考虑如何有效管理密钥,我们分享一张我们团队关于密钥分发管理的架构设计图,通过二层密钥管理实现密钥安全使用和分发:
密钥分发管理架构设计图
从数据授权访问角度考虑,我们建议使用堡垒机+跳板机的模式对数据进行访问管理,做到最小化授权、所有操作行为可审计;从桌面数据防泄密角度考虑,我们建议医药企业梳理出可泄露途径,针对可泄露途径选择性实施桌面DLP、网络DLP或者对指定文档加密。
完整性
数据完整性我们指确保数据在使用和传输过程中,原始数据不被未授权访问、篡改或破坏,保障数据的唯一性。从数据传输角度考虑,我们建议应使用有加密传输功能的协议或保障唯一性的方法,如https、vpn、token等,确保传输数据加密或防止恶意重放;从数据审计角度考虑,我们建议日志至少满足存储6个月以上,审计应该变成一个常态化的过程,通过出具周报、月报等审计报告的模式,逐步完善审计策略、逐步对发现的问题进行事件响应。
可用性
数据可用性我们指确保授权用户可以及时有效获取相应数据,当发生灾难事故时,有能力及时恢复数据,确保能及时提供服务。从数据灾备角度考虑,我们建议医药企业应该明确建立数据备份机制以及数据定期恢复演练。我们可以根据药企的实际情况,考虑建设同城灾备、异地灾备、两地三中心等建设方案。两地三中心是在有一定条件基础上比较推荐的容灾方案,即同城双活的基础上,再建设异地灾备中心,确保数据的完整可用。
网络安全
基于权限最小化原则,医药企业应合理管理网络边界,所有的对外出口均仅因业务需要,且发布过程需要经安全部门审批验证其安全性和合理性,当发生业务需要但是违背安全原则的情况时,安全部门应协同业务部门沟通“安全例外”方案,共同出具其他辅助性措施以加强例外情况的相对安全性。针对网络层的安全事件,药企可考虑部署态势感知类产品,全面知晓网络间安全动态,将风险和隐患控制在最小范围。
主机安全
安全部门应提供合理的安全基线版本如操作系统基线配置、中间件基线配置、数据库基线配置、安全开发基线标准等,运维和开发将系统发布上线前需满足的安全基线要求,同时需建立基线巡检机制,当发现未满足基线要求或新出高危补丁时,需及时提出整改意见。
应用安全
微软曾提出建立SDL(Security Development Lifecycle)的管理模式,即安全开发生命周期的管理,要求项目在立项初期即融入安全因素,在立项、测试、发布、响应的各环节均有安全参与,并且经安全评估项目符合安全要求后,才可发布上线,这是因为事前的修复成本要远远低于事后修复;同时安全团队需要定期对应用进行漏洞扫描和手工渗透测试。我们建议针对线上应用上线WAF(Web Application Firewall),可有效抵御绝大部分针对WEB应用的攻击。每个企业情况不同,所以需要磨合出一套符合自身企业的SDL管理措施。
物理安全
出于自建机房的成本和云环境的便利性考虑,我们不在本文中扩展物理安全的具体要求,如有机房建设需求,可参考《电子信息系统机房设计规范》(GB 50174-2008)。
安全合规:应满足所在国或地区的相关法规要求
根据企业业务地区覆盖不同,企业应满足相关国家、地区法律法规要求,如《中华人民共和国网络安全法》、《GDPR》、《HIPPA》、《CFR part 11》等;同时为了提升安全合规性,可考虑参照ISO27000系列、等级保护、可信云等认证要求进行建设并且获取相应资质;相关的系统设备验证可以参考GAMP5指南等等。
安全运营:谨记木桶原理
安全建设的评估遵循木桶理论,即安全水平的高低取决于安全最薄弱的环节,所以安全需要一个持续运营的过程,通过“风险识别”、 “风险处置”、“风险监控”、“措施优化”形成一个闭环,持续提升企业整体信息安全水平。
关于尊龙凯时信息安全团队
尊龙凯时信息安全团队以“保障用户数据安全”为核心目标,在数据收集、数据传输、数据存储、数据使用、数据销毁的生命周期中,执行严格的数据安全治理整体方案。我们坚持“事前预警”、“事中处置”、“事后响应”的原则进行安全管理。基于SDL和GAMP5方法论对软件产品进行验证;在相关产品系统(如EDC, ETMF等)的设计和实施中,基于权限最小化原则分配和管理;基于网络隔离、堡垒机、VPN、DDOS防护、漏洞扫描、WAF、数据库审计等安全产品和方案提升防护能力;基于“两地三中心”的架构保障系统稳定运行;基于自动化的设计、开发、运维、监控、响应能力建立完善的安全监控响应体系。
目前尊龙凯时获得ISO9001、ISO27001、ISO20000-1认证、公安部等级保护三级认证和可信云企业级 SaaS 认证。在完善的信息安全管理体系、成熟的运营机制、优质的产品和服务的支撑下,坚守“让好药触手可及”的使命,助力加快新药研发和上市步伐,促进药品可及性、保障患者用药安全!