常媛
國家藥品監(jiān)督管理局信息中心
陳鋒*
國家藥品監(jiān)督管理局信息中心
近年來《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《個人信息保護(hù)法》等一系列有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)先后出臺,網(wǎng)絡(luò)安全已經(jīng)成為社會治理、國家治理的重要議題。推進(jìn)藥品智慧監(jiān)管,必須筑牢數(shù)字安全屏障。探索藥品監(jiān)管領(lǐng)域信息安全風(fēng)險評估有效方法,加強(qiáng)信息安全風(fēng)險評估的研究和運(yùn)用勢在必行。
國際信息安全技術(shù)風(fēng)險管理標(biāo) 準(zhǔn)ISO/IEC 27005 在2018年更新了第三個版本,規(guī)范說明了一套風(fēng)險管理框架與方法,包含如何建立風(fēng)險管理的環(huán)境、如何識別和分析風(fēng)險、如何接受風(fēng)險、如何進(jìn)行監(jiān)控和審計等。
我國也在信息安全風(fēng)險管理方面積極探索,吸收各國研究成果,加以研究和轉(zhuǎn)化,目前已發(fā)布和轉(zhuǎn)化了多項標(biāo)準(zhǔn),如GB/T 31722—2015《信息技術(shù)安全技術(shù) 信息安全風(fēng)險管理》[1]、GB/T 20984—2007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》[2]、GB/T 31509—2015《信息安全技術(shù) 信息安全風(fēng)險評估實施指南》[3]、GB/T 33132—2016《信息安全技術(shù) 信息安全風(fēng)險處理指南》[4]。
實施這些標(biāo)準(zhǔn),為風(fēng)險管理的組織、管理、流程、評價等方面給出了指導(dǎo)和依據(jù),對信息安全保障體系的建設(shè)起到了持續(xù)性推動作用[5]。
信息安全風(fēng)險評估是一種對系統(tǒng)潛在風(fēng)險的發(fā)現(xiàn)和預(yù)防措施。通過評估各類信息資產(chǎn)(包括系統(tǒng)、硬件、應(yīng)用程序、數(shù)據(jù)、網(wǎng)絡(luò)等)的潛在威脅,確定可能影響這些威脅的風(fēng)險值及優(yōu)先級,向管理者提供科學(xué)合理的風(fēng)險防控和處置依據(jù)。
風(fēng)險評估過程遵循PDCA(計劃、實施、檢查和改進(jìn))循環(huán),首先要進(jìn)行規(guī)劃,在這個階段一般需要制定適合組織機(jī)構(gòu)的信息安全管理體系(Information Security Management Systems,ISMS)范圍和信息安全方針、制定實施計劃并確定實施要點(diǎn);實施階段要按照預(yù)定的方案去執(zhí)行風(fēng)險應(yīng)對計劃;檢查階段需衡量績效,并將績效同計劃進(jìn)行比較,以發(fā)現(xiàn)偏差或確定潛在的改進(jìn)點(diǎn);改進(jìn)階段可對已處置的風(fēng)險加以標(biāo)準(zhǔn)化,對尚未發(fā)現(xiàn)或無法處置的風(fēng)險可轉(zhuǎn)入下一個循環(huán)去解決。這4 個過程是周而復(fù)始逐步迭代并呈螺旋上升式發(fā)展的,需要根據(jù)法律法規(guī)、業(yè)務(wù)組織的實際情況、新的威脅及脆弱性的出現(xiàn)等原因持續(xù)迭代優(yōu)化。每循環(huán)一次,標(biāo)準(zhǔn)就要更高一些。
風(fēng)險評估一般遵守以下原則。
(1)標(biāo)準(zhǔn)性原則:評估信息系統(tǒng)的安全風(fēng)險,參照GB/T 20984—2007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》中規(guī)定的評估流程實施,對各階段的工作進(jìn)行評估。
(2)關(guān)鍵點(diǎn)原則:緊抓評估對象的核心業(yè)務(wù)關(guān)鍵點(diǎn),比如云平臺的基礎(chǔ)網(wǎng)絡(luò)環(huán)境、相關(guān)配套設(shè)施、核心數(shù)據(jù)庫、基礎(chǔ)業(yè)務(wù)模型等。
(3)可控性原則:基于服務(wù)可控性、人員與信息可控性、過程可控性、工具可控性,實現(xiàn)業(yè)務(wù)鏈條安全可控。
(4)可恢復(fù)原則:提供系統(tǒng)或數(shù)據(jù)在突發(fā)事故后可以恢復(fù)的策略與方法,比如雙備份機(jī)制、定時備份策略等。
(5)微感知原則:系統(tǒng)運(yùn)行前可充分攻擊性測試,并及時備份環(huán)境與數(shù)據(jù)。運(yùn)行間隙檢測,核心業(yè)務(wù)只有微度感知,注意避開業(yè)務(wù)系統(tǒng)的訪問高峰,保障業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行。
信息安全風(fēng)險評估是一套迭代執(zhí)行的策略與機(jī)制,包括資產(chǎn)識別與分析、威脅識別與分析、脆弱性識別與分析、已有安全措施確認(rèn)、風(fēng)險值計算與分析、風(fēng)險處置等。
1.3.1 資產(chǎn)識別與分析
資產(chǎn)可分級分類評估,包括數(shù)據(jù)、服務(wù)、軟件、人員、硬件、環(huán)境、制度等,之后根據(jù)在業(yè)務(wù)和應(yīng)用流程中的重要程度為資產(chǎn)賦值。一般來說,需要從保密性、完整性、可用性3 個維度衡量每個資產(chǎn)的重要性,每個維度按照從一般到非常重要的順序,分別賦一個1~5 之間的自然數(shù)值,融合各維度與業(yè)務(wù)核心內(nèi)容的關(guān)系,加權(quán)計算得到資產(chǎn)的最終賦值結(jié)果。
1.3.2 威脅識別與分析
識別威脅通過威脅主體、來源、動機(jī)、途徑、發(fā)生的頻率及造成的影響等多種屬性進(jìn)行分類評估,找出潛在威脅。評估小組需要盡可能全面地列出資產(chǎn)受到的每類威脅,充分分析每類威脅對資產(chǎn)造成的可能后果,根據(jù)威脅的發(fā)生頻率,為每類威脅賦一個1~5 之間的自然數(shù)值。在實際的評估中,分析和賦值過程要充分吸收歷史統(tǒng)計標(biāo)準(zhǔn)和行業(yè)判斷標(biāo)準(zhǔn),與被評估方充分溝通并達(dá)成一致。
1.3.3 脆弱性識別與分析
脆弱性一般可從技術(shù)和管理2 個維度進(jìn)行識別:技術(shù)角度可用檢測工具,如相關(guān)安全檢測工具包、漏洞掃描、滲透測試等手段充分暴露資產(chǎn)的脆弱性;管理角度可用問卷調(diào)查、文檔查閱等方式發(fā)現(xiàn)。識別完成后,從高到低為每個資產(chǎn)的每類脆弱性賦一個1~5 之間的自然數(shù)值。
1.3.4 已有安全措施確認(rèn)
組織機(jī)構(gòu)或已制定相應(yīng)的安全措施,這些措施是否真正地降低了系統(tǒng)的脆弱性,抵御了威脅,需要及時進(jìn)行確認(rèn):對有效的安全措施繼續(xù)保持,對已過時的安全措施快速修正,以適應(yīng)當(dāng)前信息安全環(huán)境的需要。
1.3.5 風(fēng)險值計算與分析
每個資產(chǎn)面臨多個威脅,威脅可利用資產(chǎn)存在的某個脆弱性產(chǎn)生危害?;谔囟ǖ乃惴ǎ瑢Y產(chǎn)價值、威脅頻率、風(fēng)險度等進(jìn)行計算并得到每種組合的風(fēng)險值和風(fēng)險等級,從而對決策和處置提供參考。根據(jù)國內(nèi)現(xiàn)行標(biāo)準(zhǔn),一般采取矩陣法或相乘法確定風(fēng)險等級。根據(jù)風(fēng)險值的結(jié)果,結(jié)合業(yè)務(wù)實際需要,進(jìn)行風(fēng)險處置。
1.3.6 風(fēng)險處置
對風(fēng)險需進(jìn)行分類處置,制定風(fēng)險處理計劃,明確采取的安全措施、預(yù)期效果等。安全措施的選擇應(yīng)全面考慮到管理和技術(shù)層面。對不可接受的風(fēng)險采用了適當(dāng)安全措施后,可進(jìn)行再評估,以判斷殘余風(fēng)險是否已經(jīng)降低到可接受的水平。
以國家藥品監(jiān)督管理局(以下簡稱國家藥監(jiān)局)安全管理及運(yùn)營平臺為例,本文開展基于該平臺的信息安全風(fēng)險評估。
國家藥監(jiān)局安全管理及運(yùn)營平臺是對國家藥監(jiān)局服務(wù)器、網(wǎng)絡(luò)、安全設(shè)備進(jìn)行統(tǒng)一管理的平臺,解決安全管理及運(yùn)營從單點(diǎn)、分散狀態(tài)到平臺化、流程化,逐步進(jìn)入安全業(yè)務(wù)化、防御一體化,從而有效實現(xiàn)防外及安內(nèi),保障國家藥監(jiān)局信息安全。
2.1.1 藥品監(jiān)管信息安全基本面分析
明確信息安全風(fēng)險評估的范圍和對象,基于藥品監(jiān)管服務(wù)國家民生特性和安全要求,基本面分析首先明確信息安全風(fēng)險評估的范圍和對象、被評估對象的使命定位、業(yè)務(wù)范疇、組織結(jié)構(gòu)、管理制度、技術(shù)工具、運(yùn)營方式。國家、地區(qū)或藥品監(jiān)管行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)都是相關(guān)參考依據(jù)[6]。
以安全管理及運(yùn)營平臺為例,需要了解該平臺的安全需求、網(wǎng)絡(luò)結(jié)構(gòu)和控制措施,調(diào)研該平臺及所屬環(huán)境的安全防護(hù)措施及其落實情況等。由于該平臺涉及的資產(chǎn)種類及數(shù)目非常多,風(fēng)險評估對象采取基本覆蓋、同類抽樣原則進(jìn)行選取,覆蓋率不少于80%。本次風(fēng)險評估對象包括但不限于:被測系統(tǒng)、被測系統(tǒng)各類服務(wù)器、被測系統(tǒng)各類數(shù)據(jù)庫、物理機(jī)房、云平臺基礎(chǔ)設(shè)施環(huán)境、安全管理制度、人員等。
2.1.2 融智聚力成立風(fēng)險評估工作組
風(fēng)險評估實施團(tuán)隊,由本單位的分管領(lǐng)導(dǎo)、核心業(yè)務(wù)骨干、產(chǎn)學(xué)研信息安全專家顧問、平臺支持運(yùn)營技術(shù)團(tuán)隊等人員組成。
風(fēng)險評估工作組簽署保密協(xié)議,通過制度與技術(shù)培訓(xùn),達(dá)成共識,統(tǒng)一行動。實施前以列表形式準(zhǔn)備各類清單,實施中嚴(yán)格遵循國家藥監(jiān)局風(fēng)險評估工作制度,實施后嚴(yán)格遵守紀(jì)律,嚴(yán)謹(jǐn)處置風(fēng)險。
按照相關(guān)國家標(biāo)準(zhǔn),根據(jù)資產(chǎn)價值、脆弱性程度、威脅頻率和已有安全措施等指標(biāo),采用矩陣法或相乘法判定風(fēng)險等級[7],風(fēng)險等級認(rèn)定為1~5 之間的自然數(shù)值。以本次評估過程為例,部分資產(chǎn)的風(fēng)險值及風(fēng)險等級見表1。
所有資產(chǎn)的風(fēng)險值和風(fēng)險等級確定后,依據(jù)業(yè)界通用[中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心(原中國信息安全認(rèn)證中心)提供]的一種方法[8],可根據(jù)各個風(fēng)險等級的比例來判定整個系統(tǒng)或平臺的風(fēng)險等級。
由于國家藥監(jiān)局信息系統(tǒng)都部署在藥監(jiān)云平臺,因此,物理環(huán)境和網(wǎng)絡(luò)環(huán)境尤其重要??紤]到每種風(fēng)險的來源不同、重要程度不同、造成的影響不同,我們對系統(tǒng)或平臺的風(fēng)險等級的評判方式進(jìn)行了改進(jìn):將風(fēng)險來源分為物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、管理5 個維度,每個維度根據(jù)組織機(jī)構(gòu)的實際情況,賦予不同的權(quán)值,計算過程如下。
例如:F1(3)、F2(3)為風(fēng)險1、風(fēng)險2 的風(fēng)險等級,括號中的自然數(shù)為風(fēng)險等級賦值,屬于應(yīng)用安全層面;F3(3)、F4(2)、F5(4)為風(fēng)險3、風(fēng)險4、風(fēng)險5 的風(fēng)險等級賦值,屬于主機(jī)安全層面。那么應(yīng)用安全的風(fēng)險值為(四舍五入):
故應(yīng)用安全的風(fēng)險等級為中。
主機(jī)安全的風(fēng)險值為(四舍五入):
故主機(jī)安全的風(fēng)險等級為中。
參考以上計算方法,并根據(jù)安全管理及運(yùn)營平臺實際情況,物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和管理安全的風(fēng)險等級見圖1。
圖1 安全管理及運(yùn)營平臺安全五爪圖
該平臺每個層面的風(fēng)險值分別為物理安全C物理=1,權(quán)值為20%;網(wǎng)絡(luò)安全C網(wǎng)絡(luò)=1,權(quán)值為30%;主機(jī)安全C主機(jī)=3,權(quán)值為20%;應(yīng)用安全C應(yīng)用=3,權(quán)值為20%;管理安全C管理=2,權(quán)值為10%。故該平臺風(fēng)險值為(四舍五入):
故該平臺風(fēng)險等級為低。
該計算模型為基于目前通用方法的進(jìn)一步探索和改進(jìn),可以清晰地了解到整個平臺的風(fēng)險等級和各安全維度的風(fēng)險值,組織機(jī)構(gòu)可根據(jù)實際情況確定各維度的占比(權(quán)值),從而有目標(biāo)地采取針對性強(qiáng)的改進(jìn)措施。
風(fēng)險評估實驗過程中,我們做了大量的調(diào)研,結(jié)合相關(guān)標(biāo)準(zhǔn)及實際,明確了《資產(chǎn)調(diào)查表》《威脅調(diào)查表》《脆弱性和安全措施調(diào)查問卷》《系統(tǒng)調(diào)研報告》等調(diào)研表的模板;在分析設(shè)計階段,編寫了《信息安全風(fēng)險評估方案》《實施計劃》《滲透測試計劃》等;在實施階段,完成了《安全管理及運(yùn)營平臺資產(chǎn)分析報告》《安全管理及運(yùn)營平臺威脅分析報告》《安全管理及運(yùn)營平臺脆弱性分析報告》《已有安全措施分析報告》《漏洞掃描報告》等,覆蓋了每個資產(chǎn)、每類威脅及脆弱性并進(jìn)行了賦值;在出具結(jié)論階段,確定了《風(fēng)險評估報告》。
實驗結(jié)果表明,通過對國家藥監(jiān)局安全管理及運(yùn)營平臺進(jìn)行風(fēng)險分析,共發(fā)現(xiàn)信息安全風(fēng)險145個,其中物理安全風(fēng)險45 個、管理安全風(fēng)險33 個、網(wǎng)絡(luò)安全風(fēng)險30 個、應(yīng)用安全風(fēng)險21 個、主機(jī)安全風(fēng)險16 個,提供了風(fēng)險處理的建議及整改措施建議等,為系統(tǒng)的安全提升提供了科學(xué)依據(jù)。
風(fēng)險評估不僅是具體的方法、工具,更是一個過程、一個體系,完善的風(fēng)險管理體系應(yīng)當(dāng)包括相應(yīng)的組織架構(gòu)、業(yè)務(wù)和技術(shù)體系。遵循“提前規(guī)劃、運(yùn)行實施、監(jiān)測評審、持續(xù)改進(jìn)”的原則,確保國家藥監(jiān)局網(wǎng)絡(luò)空間安全不斷完善。
開展信息安全風(fēng)險評估是信息安全保障的“助推器”,是精準(zhǔn)防范風(fēng)險的“指向標(biāo)”。相關(guān)部門需負(fù)起主體責(zé)任,按制度不斷推動安全風(fēng)險評估工作常態(tài)化。
信息化的快速發(fā)展,帶來網(wǎng)絡(luò)威脅的不斷升級。安全場景的變化,業(yè)務(wù)環(huán)境的變化都會引入新的安全風(fēng)險,目前的方式方法對安全風(fēng)險的識別和評估相對靜態(tài),手段大都依賴人工,無法做到全域持續(xù)評估,實時動態(tài)響應(yīng)。因此需要探索一種全新的動態(tài)風(fēng)險評估模式,比如建設(shè)自動化自適應(yīng)風(fēng)險評估平臺,實時驗證防御體系中的各類安全手段、控制措施的有效性,并通過實戰(zhàn)化攻擊模擬技術(shù),構(gòu)建可彈性擴(kuò)展的專項評估場景,隨時度量網(wǎng)絡(luò)安全風(fēng)險,全面提升安全防御體系對抗能力,從而整體提升安全運(yùn)營效率。
要做好風(fēng)險評估和管理,必須建設(shè)一套科學(xué)合理的風(fēng)險評估體系。
(1)從政策法規(guī)上:風(fēng)險管理當(dāng)前的相關(guān)標(biāo)準(zhǔn)和規(guī)范已無法完全適應(yīng)當(dāng)今的安全形勢,需要不斷研究與實踐,探索與等級保護(hù)、密碼評測、云計算技術(shù)[9]等相融合的風(fēng)險評估方式方法。同時,國家對于數(shù)據(jù)安全的要求提升到了一個前所未有的高度,密集出臺了相關(guān)法律法規(guī),在此基礎(chǔ)上需要結(jié)合國家藥監(jiān)局藥品、醫(yī)療器械、化妝品、電子政務(wù)的實際業(yè)務(wù)需求,不斷研究數(shù)據(jù)安全風(fēng)險和保護(hù),融入風(fēng)險評估方法,以適應(yīng)當(dāng)前的安全形勢變化。
(2)從技術(shù)架構(gòu)上:相關(guān)國家標(biāo)準(zhǔn)并未給出從定性到定量的方法論,需要根據(jù)業(yè)務(wù)組織的實際需要,不斷探索和改進(jìn)適合自身的評估模型。比如,可將資產(chǎn)、數(shù)據(jù)根據(jù)重要性進(jìn)行分級分類管理,在計算中賦予不同的權(quán)重;結(jié)合業(yè)務(wù)場景與攻擊場景,對威脅進(jìn)行分類,并在風(fēng)險計算模型中進(jìn)行權(quán)重的動態(tài)調(diào)整。
高層領(lǐng)導(dǎo)、各部門需將風(fēng)險管理思想和風(fēng)險評估意識融入日常信息安全管理中,尤其是制定重要時期的網(wǎng)絡(luò)安全保障的決策過程中,逐步將風(fēng)險評估工作常態(tài)化,并將風(fēng)險評估成果落到實處[10]。
網(wǎng)絡(luò)攻擊行為日益復(fù)雜,形勢愈加嚴(yán)峻,作為國家藥品智慧監(jiān)管建設(shè)“領(lǐng)頭羊”,需要構(gòu)建科學(xué)防護(hù)體系、完善安全管理策略、提供整體有效的網(wǎng)絡(luò)信息安全解決方案。運(yùn)用風(fēng)險評估手段,一是提升動態(tài)防御能力。運(yùn)用風(fēng)險評估結(jié)果,結(jié)合大數(shù)據(jù)、人工智能等技術(shù),基于國家藥監(jiān)局網(wǎng)絡(luò)安全大數(shù)據(jù)分析平臺,構(gòu)建安全態(tài)勢感知體系。二是提升主動防御能力。及時發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的薄弱環(huán)節(jié),并充分運(yùn)用網(wǎng)絡(luò)安全威脅情報中心的數(shù)據(jù),從而采取針對性強(qiáng)的安全措施,未雨綢繆。三是提升縱深防御能力。及時判別業(yè)務(wù)環(huán)境的薄弱點(diǎn),采用分區(qū)分域分業(yè)務(wù)隔離機(jī)制,分層分級布防。四是提升精準(zhǔn)防護(hù)能力。以藥監(jiān)云平臺各業(yè)務(wù)系統(tǒng)風(fēng)險類型、分布狀況為要點(diǎn),對目標(biāo)系統(tǒng)的安全形勢做進(jìn)一步有效深入地探測,更深層次地發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)[11]。五是提升藥品監(jiān)管系統(tǒng)整體防護(hù)能力,提升系統(tǒng)韌性與對抗能力,在緊急威脅中采用雙備份策略及時保障主營業(yè)務(wù)穩(wěn)定運(yùn)行。六是提升聯(lián)防聯(lián)控能力。構(gòu)建藥品監(jiān)管網(wǎng)絡(luò)安全聯(lián)防聯(lián)控體系,對內(nèi)與兄弟及省市單位協(xié)助,處處設(shè)防,及時預(yù)警;對外與中央網(wǎng)信辦、公安部、工業(yè)和信息化部、國家信息中心等多方協(xié)助,構(gòu)建部門協(xié)同、數(shù)據(jù)暢通、威脅感知、智能決策的全方位多層次藥品監(jiān)管信息安全體系,匯聚向上向善各方力量,筑牢國家藥品監(jiān)管網(wǎng)絡(luò)安全屏障。