常媛

國家藥品監(jiān)督管理局信息中心

陳鋒*

國家藥品監(jiān)督管理局信息中心

近年來《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《個人信息保護(hù)法》等一系列有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)先后出臺，網(wǎng)絡(luò)安全已經(jīng)成為社會治理、國家治理的重要議題。推進(jìn)藥品智慧監(jiān)管，必須筑牢數(shù)字安全屏障。探索藥品監(jiān)管領(lǐng)域信息安全風(fēng)險評估有效方法，加強(qiáng)信息安全風(fēng)險評估的研究和運(yùn)用勢在必行。

1 信息安全風(fēng)險評估方法研究

1.1 國內(nèi)外標(biāo)準(zhǔn)及規(guī)范

國際信息安全技術(shù)風(fēng)險管理標(biāo) 準(zhǔn)ISO/IEC 27005 在2018年更新了第三個版本，規(guī)范說明了一套風(fēng)險管理框架與方法，包含如何建立風(fēng)險管理的環(huán)境、如何識別和分析風(fēng)險、如何接受風(fēng)險、如何進(jìn)行監(jiān)控和審計等。

我國也在信息安全風(fēng)險管理方面積極探索，吸收各國研究成果，加以研究和轉(zhuǎn)化，目前已發(fā)布和轉(zhuǎn)化了多項標(biāo)準(zhǔn)，如GB/T 31722—2015《信息技術(shù)安全技術(shù) 信息安全風(fēng)險管理》[1]、GB/T 20984—2007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》[2]、GB/T 31509—2015《信息安全技術(shù) 信息安全風(fēng)險評估實施指南》[3]、GB/T 33132—2016《信息安全技術(shù) 信息安全風(fēng)險處理指南》[4]。

實施這些標(biāo)準(zhǔn)，為風(fēng)險管理的組織、管理、流程、評價等方面給出了指導(dǎo)和依據(jù)，對信息安全保障體系的建設(shè)起到了持續(xù)性推動作用[5]。

1.2 信息安全風(fēng)險評估原理

信息安全風(fēng)險評估是一種對系統(tǒng)潛在風(fēng)險的發(fā)現(xiàn)和預(yù)防措施。通過評估各類信息資產(chǎn)（包括系統(tǒng)、硬件、應(yīng)用程序、數(shù)據(jù)、網(wǎng)絡(luò)等）的潛在威脅，確定可能影響這些威脅的風(fēng)險值及優(yōu)先級，向管理者提供科學(xué)合理的風(fēng)險防控和處置依據(jù)。

風(fēng)險評估過程遵循PDCA（計劃、實施、檢查和改進(jìn)）循環(huán)，首先要進(jìn)行規(guī)劃，在這個階段一般需要制定適合組織機(jī)構(gòu)的信息安全管理體系（Information Security Management Systems，ISMS）范圍和信息安全方針、制定實施計劃并確定實施要點(diǎn)；實施階段要按照預(yù)定的方案去執(zhí)行風(fēng)險應(yīng)對計劃；檢查階段需衡量績效，并將績效同計劃進(jìn)行比較，以發(fā)現(xiàn)偏差或確定潛在的改進(jìn)點(diǎn)；改進(jìn)階段可對已處置的風(fēng)險加以標(biāo)準(zhǔn)化，對尚未發(fā)現(xiàn)或無法處置的風(fēng)險可轉(zhuǎn)入下一個循環(huán)去解決。這4 個過程是周而復(fù)始逐步迭代并呈螺旋上升式發(fā)展的，需要根據(jù)法律法規(guī)、業(yè)務(wù)組織的實際情況、新的威脅及脆弱性的出現(xiàn)等原因持續(xù)迭代優(yōu)化。每循環(huán)一次，標(biāo)準(zhǔn)就要更高一些。

風(fēng)險評估一般遵守以下原則。

（1）標(biāo)準(zhǔn)性原則：評估信息系統(tǒng)的安全風(fēng)險，參照GB/T 20984—2007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》中規(guī)定的評估流程實施，對各階段的工作進(jìn)行評估。

（2）關(guān)鍵點(diǎn)原則：緊抓評估對象的核心業(yè)務(wù)關(guān)鍵點(diǎn)，比如云平臺的基礎(chǔ)網(wǎng)絡(luò)環(huán)境、相關(guān)配套設(shè)施、核心數(shù)據(jù)庫、基礎(chǔ)業(yè)務(wù)模型等。

（3）可控性原則：基于服務(wù)可控性、人員與信息可控性、過程可控性、工具可控性，實現(xiàn)業(yè)務(wù)鏈條安全可控。

（4）可恢復(fù)原則：提供系統(tǒng)或數(shù)據(jù)在突發(fā)事故后可以恢復(fù)的策略與方法，比如雙備份機(jī)制、定時備份策略等。

（5）微感知原則：系統(tǒng)運(yùn)行前可充分攻擊性測試，并及時備份環(huán)境與數(shù)據(jù)。運(yùn)行間隙檢測，核心業(yè)務(wù)只有微度感知，注意避開業(yè)務(wù)系統(tǒng)的訪問高峰，保障業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行。

1.3 信息安全風(fēng)險評估方法

信息安全風(fēng)險評估是一套迭代執(zhí)行的策略與機(jī)制，包括資產(chǎn)識別與分析、威脅識別與分析、脆弱性識別與分析、已有安全措施確認(rèn)、風(fēng)險值計算與分析、風(fēng)險處置等。

1.3.1 資產(chǎn)識別與分析

資產(chǎn)可分級分類評估，包括數(shù)據(jù)、服務(wù)、軟件、人員、硬件、環(huán)境、制度等，之后根據(jù)在業(yè)務(wù)和應(yīng)用流程中的重要程度為資產(chǎn)賦值。一般來說，需要從保密性、完整性、可用性3 個維度衡量每個資產(chǎn)的重要性，每個維度按照從一般到非常重要的順序，分別賦一個1～5 之間的自然數(shù)值，融合各維度與業(yè)務(wù)核心內(nèi)容的關(guān)系，加權(quán)計算得到資產(chǎn)的最終賦值結(jié)果。

1.3.2 威脅識別與分析

識別威脅通過威脅主體、來源、動機(jī)、途徑、發(fā)生的頻率及造成的影響等多種屬性進(jìn)行分類評估，找出潛在威脅。評估小組需要盡可能全面地列出資產(chǎn)受到的每類威脅，充分分析每類威脅對資產(chǎn)造成的可能后果，根據(jù)威脅的發(fā)生頻率，為每類威脅賦一個1～5 之間的自然數(shù)值。在實際的評估中，分析和賦值過程要充分吸收歷史統(tǒng)計標(biāo)準(zhǔn)和行業(yè)判斷標(biāo)準(zhǔn)，與被評估方充分溝通并達(dá)成一致。

1.3.3 脆弱性識別與分析

脆弱性一般可從技術(shù)和管理2 個維度進(jìn)行識別：技術(shù)角度可用檢測工具，如相關(guān)安全檢測工具包、漏洞掃描、滲透測試等手段充分暴露資產(chǎn)的脆弱性；管理角度可用問卷調(diào)查、文檔查閱等方式發(fā)現(xiàn)。識別完成后，從高到低為每個資產(chǎn)的每類脆弱性賦一個1～5 之間的自然數(shù)值。

1.3.4 已有安全措施確認(rèn)

組織機(jī)構(gòu)或已制定相應(yīng)的安全措施，這些措施是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅，需要及時進(jìn)行確認(rèn)：對有效的安全措施繼續(xù)保持，對已過時的安全措施快速修正，以適應(yīng)當(dāng)前信息安全環(huán)境的需要。

1.3.5 風(fēng)險值計算與分析

每個資產(chǎn)面臨多個威脅，威脅可利用資產(chǎn)存在的某個脆弱性產(chǎn)生危害?；谔囟ǖ乃惴ǎ瑢Y產(chǎn)價值、威脅頻率、風(fēng)險度等進(jìn)行計算并得到每種組合的風(fēng)險值和風(fēng)險等級，從而對決策和處置提供參考。根據(jù)國內(nèi)現(xiàn)行標(biāo)準(zhǔn)，一般采取矩陣法或相乘法確定風(fēng)險等級。根據(jù)風(fēng)險值的結(jié)果，結(jié)合業(yè)務(wù)實際需要，進(jìn)行風(fēng)險處置。

1.3.6 風(fēng)險處置

對風(fēng)險需進(jìn)行分類處置，制定風(fēng)險處理計劃，明確采取的安全措施、預(yù)期效果等。安全措施的選擇應(yīng)全面考慮到管理和技術(shù)層面。對不可接受的風(fēng)險采用了適當(dāng)安全措施后，可進(jìn)行再評估，以判斷殘余風(fēng)險是否已經(jīng)降低到可接受的水平。

2 藥品監(jiān)管信息安全風(fēng)險評估過程探索

以國家藥品監(jiān)督管理局（以下簡稱國家藥監(jiān)局）安全管理及運(yùn)營平臺為例，本文開展基于該平臺的信息安全風(fēng)險評估。

國家藥監(jiān)局安全管理及運(yùn)營平臺是對國家藥監(jiān)局服務(wù)器、網(wǎng)絡(luò)、安全設(shè)備進(jìn)行統(tǒng)一管理的平臺，解決安全管理及運(yùn)營從單點(diǎn)、分散狀態(tài)到平臺化、流程化，逐步進(jìn)入安全業(yè)務(wù)化、防御一體化，從而有效實現(xiàn)防外及安內(nèi)，保障國家藥監(jiān)局信息安全。

2.1 面向業(yè)務(wù)融合的信息安全評測思路

2.1.1 藥品監(jiān)管信息安全基本面分析

明確信息安全風(fēng)險評估的范圍和對象，基于藥品監(jiān)管服務(wù)國家民生特性和安全要求，基本面分析首先明確信息安全風(fēng)險評估的范圍和對象、被評估對象的使命定位、業(yè)務(wù)范疇、組織結(jié)構(gòu)、管理制度、技術(shù)工具、運(yùn)營方式。國家、地區(qū)或藥品監(jiān)管行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)都是相關(guān)參考依據(jù)[6]。

以安全管理及運(yùn)營平臺為例，需要了解該平臺的安全需求、網(wǎng)絡(luò)結(jié)構(gòu)和控制措施，調(diào)研該平臺及所屬環(huán)境的安全防護(hù)措施及其落實情況等。由于該平臺涉及的資產(chǎn)種類及數(shù)目非常多，風(fēng)險評估對象采取基本覆蓋、同類抽樣原則進(jìn)行選取，覆蓋率不少于80%。本次風(fēng)險評估對象包括但不限于：被測系統(tǒng)、被測系統(tǒng)各類服務(wù)器、被測系統(tǒng)各類數(shù)據(jù)庫、物理機(jī)房、云平臺基礎(chǔ)設(shè)施環(huán)境、安全管理制度、人員等。

2.1.2 融智聚力成立風(fēng)險評估工作組

風(fēng)險評估實施團(tuán)隊，由本單位的分管領(lǐng)導(dǎo)、核心業(yè)務(wù)骨干、產(chǎn)學(xué)研信息安全專家顧問、平臺支持運(yùn)營技術(shù)團(tuán)隊等人員組成。

風(fēng)險評估工作組簽署保密協(xié)議，通過制度與技術(shù)培訓(xùn)，達(dá)成共識，統(tǒng)一行動。實施前以列表形式準(zhǔn)備各類清單，實施中嚴(yán)格遵循國家藥監(jiān)局風(fēng)險評估工作制度，實施后嚴(yán)格遵守紀(jì)律，嚴(yán)謹(jǐn)處置風(fēng)險。

2.2 五維一體藥品監(jiān)管信息風(fēng)險分析模型初探

按照相關(guān)國家標(biāo)準(zhǔn)，根據(jù)資產(chǎn)價值、脆弱性程度、威脅頻率和已有安全措施等指標(biāo)，采用矩陣法或相乘法判定風(fēng)險等級[7]，風(fēng)險等級認(rèn)定為1～5 之間的自然數(shù)值。以本次評估過程為例，部分資產(chǎn)的風(fēng)險值及風(fēng)險等級見表1。

所有資產(chǎn)的風(fēng)險值和風(fēng)險等級確定后，依據(jù)業(yè)界通用[中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（原中國信息安全認(rèn)證中心）提供]的一種方法[8]，可根據(jù)各個風(fēng)險等級的比例來判定整個系統(tǒng)或平臺的風(fēng)險等級。

由于國家藥監(jiān)局信息系統(tǒng)都部署在藥監(jiān)云平臺，因此，物理環(huán)境和網(wǎng)絡(luò)環(huán)境尤其重要?？紤]到每種風(fēng)險的來源不同、重要程度不同、造成的影響不同，我們對系統(tǒng)或平臺的風(fēng)險等級的評判方式進(jìn)行了改進(jìn)：將風(fēng)險來源分為物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、管理5 個維度，每個維度根據(jù)組織機(jī)構(gòu)的實際情況，賦予不同的權(quán)值，計算過程如下。

例如：F1（3）、F2（3）為風(fēng)險1、風(fēng)險2 的風(fēng)險等級，括號中的自然數(shù)為風(fēng)險等級賦值，屬于應(yīng)用安全層面；F3（3）、F4（2）、F5（4）為風(fēng)險3、風(fēng)險4、風(fēng)險5 的風(fēng)險等級賦值，屬于主機(jī)安全層面。那么應(yīng)用安全的風(fēng)險值為（四舍五入）：

故應(yīng)用安全的風(fēng)險等級為中。

主機(jī)安全的風(fēng)險值為（四舍五入）：

故主機(jī)安全的風(fēng)險等級為中。

參考以上計算方法，并根據(jù)安全管理及運(yùn)營平臺實際情況，物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和管理安全的風(fēng)險等級見圖1。

圖1 安全管理及運(yùn)營平臺安全五爪圖

該平臺每個層面的風(fēng)險值分別為物理安全C物理=1，權(quán)值為20%；網(wǎng)絡(luò)安全C網(wǎng)絡(luò)=1，權(quán)值為30%；主機(jī)安全C主機(jī)=3，權(quán)值為20%；應(yīng)用安全C應(yīng)用=3，權(quán)值為20%；管理安全C管理=2，權(quán)值為10%。故該平臺風(fēng)險值為（四舍五入）：

故該平臺風(fēng)險等級為低。

該計算模型為基于目前通用方法的進(jìn)一步探索和改進(jìn)，可以清晰地了解到整個平臺的風(fēng)險等級和各安全維度的風(fēng)險值，組織機(jī)構(gòu)可根據(jù)實際情況確定各維度的占比（權(quán)值），從而有目標(biāo)地采取針對性強(qiáng)的改進(jìn)措施。

2.3 藥品監(jiān)管信息安全風(fēng)險評估實驗成果

風(fēng)險評估實驗過程中，我們做了大量的調(diào)研，結(jié)合相關(guān)標(biāo)準(zhǔn)及實際，明確了《資產(chǎn)調(diào)查表》《威脅調(diào)查表》《脆弱性和安全措施調(diào)查問卷》《系統(tǒng)調(diào)研報告》等調(diào)研表的模板；在分析設(shè)計階段，編寫了《信息安全風(fēng)險評估方案》《實施計劃》《滲透測試計劃》等；在實施階段，完成了《安全管理及運(yùn)營平臺資產(chǎn)分析報告》《安全管理及運(yùn)營平臺威脅分析報告》《安全管理及運(yùn)營平臺脆弱性分析報告》《已有安全措施分析報告》《漏洞掃描報告》等，覆蓋了每個資產(chǎn)、每類威脅及脆弱性并進(jìn)行了賦值；在出具結(jié)論階段，確定了《風(fēng)險評估報告》。

實驗結(jié)果表明，通過對國家藥監(jiān)局安全管理及運(yùn)營平臺進(jìn)行風(fēng)險分析，共發(fā)現(xiàn)信息安全風(fēng)險145個，其中物理安全風(fēng)險45 個、管理安全風(fēng)險33 個、網(wǎng)絡(luò)安全風(fēng)險30 個、應(yīng)用安全風(fēng)險21 個、主機(jī)安全風(fēng)險16 個，提供了風(fēng)險處理的建議及整改措施建議等，為系統(tǒng)的安全提升提供了科學(xué)依據(jù)。

3 基于風(fēng)險評估的藥品監(jiān)管信息安全防護(hù)體系的思考

風(fēng)險評估不僅是具體的方法、工具，更是一個過程、一個體系，完善的風(fēng)險管理體系應(yīng)當(dāng)包括相應(yīng)的組織架構(gòu)、業(yè)務(wù)和技術(shù)體系。遵循“提前規(guī)劃、運(yùn)行實施、監(jiān)測評審、持續(xù)改進(jìn)”的原則，確保國家藥監(jiān)局網(wǎng)絡(luò)空間安全不斷完善。

3.1 常態(tài)度量風(fēng)險，提升安全價值

開展信息安全風(fēng)險評估是信息安全保障的“助推器”，是精準(zhǔn)防范風(fēng)險的“指向標(biāo)”。相關(guān)部門需負(fù)起主體責(zé)任，按制度不斷推動安全風(fēng)險評估工作常態(tài)化。

信息化的快速發(fā)展，帶來網(wǎng)絡(luò)威脅的不斷升級。安全場景的變化，業(yè)務(wù)環(huán)境的變化都會引入新的安全風(fēng)險，目前的方式方法對安全風(fēng)險的識別和評估相對靜態(tài)，手段大都依賴人工，無法做到全域持續(xù)評估，實時動態(tài)響應(yīng)。因此需要探索一種全新的動態(tài)風(fēng)險評估模式，比如建設(shè)自動化自適應(yīng)風(fēng)險評估平臺，實時驗證防御體系中的各類安全手段、控制措施的有效性，并通過實戰(zhàn)化攻擊模擬技術(shù)，構(gòu)建可彈性擴(kuò)展的專項評估場景，隨時度量網(wǎng)絡(luò)安全風(fēng)險，全面提升安全防御體系對抗能力，從而整體提升安全運(yùn)營效率。

3.2 推進(jìn)業(yè)務(wù)融合，建設(shè)評估體系

要做好風(fēng)險評估和管理，必須建設(shè)一套科學(xué)合理的風(fēng)險評估體系。

（1）從政策法規(guī)上：風(fēng)險管理當(dāng)前的相關(guān)標(biāo)準(zhǔn)和規(guī)范已無法完全適應(yīng)當(dāng)今的安全形勢，需要不斷研究與實踐，探索與等級保護(hù)、密碼評測、云計算技術(shù)[9]等相融合的風(fēng)險評估方式方法。同時，國家對于數(shù)據(jù)安全的要求提升到了一個前所未有的高度，密集出臺了相關(guān)法律法規(guī)，在此基礎(chǔ)上需要結(jié)合國家藥監(jiān)局藥品、醫(yī)療器械、化妝品、電子政務(wù)的實際業(yè)務(wù)需求，不斷研究數(shù)據(jù)安全風(fēng)險和保護(hù)，融入風(fēng)險評估方法，以適應(yīng)當(dāng)前的安全形勢變化。

（2）從技術(shù)架構(gòu)上：相關(guān)國家標(biāo)準(zhǔn)并未給出從定性到定量的方法論，需要根據(jù)業(yè)務(wù)組織的實際需要，不斷探索和改進(jìn)適合自身的評估模型。比如，可將資產(chǎn)、數(shù)據(jù)根據(jù)重要性進(jìn)行分級分類管理，在計算中賦予不同的權(quán)重；結(jié)合業(yè)務(wù)場景與攻擊場景，對威脅進(jìn)行分類，并在風(fēng)險計算模型中進(jìn)行權(quán)重的動態(tài)調(diào)整。

高層領(lǐng)導(dǎo)、各部門需將風(fēng)險管理思想和風(fēng)險評估意識融入日常信息安全管理中，尤其是制定重要時期的網(wǎng)絡(luò)安全保障的決策過程中，逐步將風(fēng)險評估工作常態(tài)化，并將風(fēng)險評估成果落到實處[10]。

3.3 迭代智慧監(jiān)管、筑牢安全屏障

網(wǎng)絡(luò)攻擊行為日益復(fù)雜，形勢愈加嚴(yán)峻，作為國家藥品智慧監(jiān)管建設(shè)“領(lǐng)頭羊”，需要構(gòu)建科學(xué)防護(hù)體系、完善安全管理策略、提供整體有效的網(wǎng)絡(luò)信息安全解決方案。運(yùn)用風(fēng)險評估手段，一是提升動態(tài)防御能力。運(yùn)用風(fēng)險評估結(jié)果，結(jié)合大數(shù)據(jù)、人工智能等技術(shù)，基于國家藥監(jiān)局網(wǎng)絡(luò)安全大數(shù)據(jù)分析平臺，構(gòu)建安全態(tài)勢感知體系。二是提升主動防御能力。及時發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的薄弱環(huán)節(jié)，并充分運(yùn)用網(wǎng)絡(luò)安全威脅情報中心的數(shù)據(jù)，從而采取針對性強(qiáng)的安全措施，未雨綢繆。三是提升縱深防御能力。及時判別業(yè)務(wù)環(huán)境的薄弱點(diǎn)，采用分區(qū)分域分業(yè)務(wù)隔離機(jī)制，分層分級布防。四是提升精準(zhǔn)防護(hù)能力。以藥監(jiān)云平臺各業(yè)務(wù)系統(tǒng)風(fēng)險類型、分布狀況為要點(diǎn)，對目標(biāo)系統(tǒng)的安全形勢做進(jìn)一步有效深入地探測，更深層次地發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)[11]。五是提升藥品監(jiān)管系統(tǒng)整體防護(hù)能力,提升系統(tǒng)韌性與對抗能力，在緊急威脅中采用雙備份策略及時保障主營業(yè)務(wù)穩(wěn)定運(yùn)行。六是提升聯(lián)防聯(lián)控能力。構(gòu)建藥品監(jiān)管網(wǎng)絡(luò)安全聯(lián)防聯(lián)控體系，對內(nèi)與兄弟及省市單位協(xié)助，處處設(shè)防，及時預(yù)警；對外與中央網(wǎng)信辦、公安部、工業(yè)和信息化部、國家信息中心等多方協(xié)助，構(gòu)建部門協(xié)同、數(shù)據(jù)暢通、威脅感知、智能決策的全方位多層次藥品監(jiān)管信息安全體系，匯聚向上向善各方力量，筑牢國家藥品監(jiān)管網(wǎng)絡(luò)安全屏障。