药品监管领域信息安全风险评估探索
2022-10-11常媛
常媛
国家药品监督管理局信息中心
陈锋*
国家药品监督管理局信息中心
近年来《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》等一系列有关网络安全的法律法规先后出台,网络安全已经成为社会治理、国家治理的重要议题。推进药品智慧监管,必须筑牢数字安全屏障。探索药品监管领域信息安全风险评估有效方法,加强信息安全风险评估的研究和运用势在必行。
1 信息安全风险评估方法研究
1.1 国内外标准及规范
国际信息安全技术风险管理标 准ISO/IEC 27005 在2018年更新了第三个版本,规范说明了一套风险管理框架与方法,包含如何建立风险管理的环境、如何识别和分析风险、如何接受风险、如何进行监控和审计等。
我国也在信息安全风险管理方面积极探索,吸收各国研究成果,加以研究和转化,目前已发布和转化了多项标准,如GB/T 31722—2015《信息技术安全技术 信息安全风险管理》[1]、GB/T 20984—2007《信息安全技术 信息安全风险评估规范》[2]、GB/T 31509—2015《信息安全技术 信息安全风险评估实施指南》[3]、GB/T 33132—2016《信息安全技术 信息安全风险处理指南》[4]。
实施这些标准,为风险管理的组织、管理、流程、评价等方面给出了指导和依据,对信息安全保障体系的建设起到了持续性推动作用[5]。
1.2 信息安全风险评估原理
信息安全风险评估是一种对系统潜在风险的发现和预防措施。通过评估各类信息资产(包括系统、硬件、应用程序、数据、网络等)的潜在威胁,确定可能影响这些威胁的风险值及优先级,向管理者提供科学合理的风险防控和处置依据。
风险评估过程遵循PDCA(计划、实施、检查和改进)循环,首先要进行规划,在这个阶段一般需要制定适合组织机构的信息安全管理体系(Information Security Management Systems,ISMS)范围和信息安全方针、制定实施计划并确定实施要点;实施阶段要按照预定的方案去执行风险应对计划;检查阶段需衡量绩效,并将绩效同计划进行比较,以发现偏差或确定潜在的改进点;改进阶段可对已处置的风险加以标准化,对尚未发现或无法处置的风险可转入下一个循环去解决。这4 个过程是周而复始逐步迭代并呈螺旋上升式发展的,需要根据法律法规、业务组织的实际情况、新的威胁及脆弱性的出现等原因持续迭代优化。每循环一次,标准就要更高一些。
风险评估一般遵守以下原则。
(1)标准性原则:评估信息系统的安全风险,参照GB/T 20984—2007《信息安全技术 信息安全风险评估规范》中规定的评估流程实施,对各阶段的工作进行评估。
(2)关键点原则:紧抓评估对象的核心业务关键点,比如云平台的基础网络环境、相关配套设施、核心数据库、基础业务模型等。
(3)可控性原则:基于服务可控性、人员与信息可控性、过程可控性、工具可控性,实现业务链条安全可控。
(4)可恢复原则:提供系统或数据在突发事故后可以恢复的策略与方法,比如双备份机制、定时备份策略等。
(5)微感知原则:系统运行前可充分攻击性测试,并及时备份环境与数据。运行间隙检测,核心业务只有微度感知,注意避开业务系统的访问高峰,保障业务系统稳定运行。
1.3 信息安全风险评估方法
信息安全风险评估是一套迭代执行的策略与机制,包括资产识别与分析、威胁识别与分析、脆弱性识别与分析、已有安全措施确认、风险值计算与分析、风险处置等。
1.3.1 资产识别与分析
资产可分级分类评估,包括数据、服务、软件、人员、硬件、环境、制度等,之后根据在业务和应用流程中的重要程度为资产赋值。一般来说,需要从保密性、完整性、可用性3 个维度衡量每个资产的重要性,每个维度按照从一般到非常重要的顺序,分别赋一个1~5 之间的自然数值,融合各维度与业务核心内容的关系,加权计算得到资产的最终赋值结果。
1.3.2 威胁识别与分析
识别威胁通过威胁主体、来源、动机、途径、发生的频率及造成的影响等多种属性进行分类评估,找出潜在威胁。评估小组需要尽可能全面地列出资产受到的每类威胁,充分分析每类威胁对资产造成的可能后果,根据威胁的发生频率,为每类威胁赋一个1~5 之间的自然数值。在实际的评估中,分析和赋值过程要充分吸收历史统计标准和行业判断标准,与被评估方充分沟通并达成一致。
1.3.3 脆弱性识别与分析
脆弱性一般可从技术和管理2 个维度进行识别:技术角度可用检测工具,如相关安全检测工具包、漏洞扫描、渗透测试等手段充分暴露资产的脆弱性;管理角度可用问卷调查、文档查阅等方式发现。识别完成后,从高到低为每个资产的每类脆弱性赋一个1~5 之间的自然数值。
1.3.4 已有安全措施确认
组织机构或已制定相应的安全措施,这些措施是否真正地降低了系统的脆弱性,抵御了威胁,需要及时进行确认:对有效的安全措施继续保持,对已过时的安全措施快速修正,以适应当前信息安全环境的需要。
1.3.5 风险值计算与分析
每个资产面临多个威胁,威胁可利用资产存在的某个脆弱性产生危害。基于特定的算法,对资产价值、威胁频率、风险度等进行计算并得到每种组合的风险值和风险等级,从而对决策和处置提供参考。根据国内现行标准,一般采取矩阵法或相乘法确定风险等级。根据风险值的结果,结合业务实际需要,进行风险处置。
1.3.6 风险处置
对风险需进行分类处置,制定风险处理计划,明确采取的安全措施、预期效果等。安全措施的选择应全面考虑到管理和技术层面。对不可接受的风险采用了适当安全措施后,可进行再评估,以判断残余风险是否已经降低到可接受的水平。
2 药品监管信息安全风险评估过程探索
以国家药品监督管理局(以下简称国家药监局)安全管理及运营平台为例,本文开展基于该平台的信息安全风险评估。
国家药监局安全管理及运营平台是对国家药监局服务器、网络、安全设备进行统一管理的平台,解决安全管理及运营从单点、分散状态到平台化、流程化,逐步进入安全业务化、防御一体化,从而有效实现防外及安内,保障国家药监局信息安全。
2.1 面向业务融合的信息安全评测思路
2.1.1 药品监管信息安全基本面分析
明确信息安全风险评估的范围和对象,基于药品监管服务国家民生特性和安全要求,基本面分析首先明确信息安全风险评估的范围和对象、被评估对象的使命定位、业务范畴、组织结构、管理制度、技术工具、运营方式。国家、地区或药品监管行业的相关政策、法律、法规和标准都是相关参考依据[6]。
以安全管理及运营平台为例,需要了解该平台的安全需求、网络结构和控制措施,调研该平台及所属环境的安全防护措施及其落实情况等。由于该平台涉及的资产种类及数目非常多,风险评估对象采取基本覆盖、同类抽样原则进行选取,覆盖率不少于80%。本次风险评估对象包括但不限于:被测系统、被测系统各类服务器、被测系统各类数据库、物理机房、云平台基础设施环境、安全管理制度、人员等。
2.1.2 融智聚力成立风险评估工作组
风险评估实施团队,由本单位的分管领导、核心业务骨干、产学研信息安全专家顾问、平台支持运营技术团队等人员组成。
风险评估工作组签署保密协议,通过制度与技术培训,达成共识,统一行动。实施前以列表形式准备各类清单,实施中严格遵循国家药监局风险评估工作制度,实施后严格遵守纪律,严谨处置风险。
2.2 五维一体药品监管信息风险分析模型初探
按照相关国家标准,根据资产价值、脆弱性程度、威胁频率和已有安全措施等指标,采用矩阵法或相乘法判定风险等级[7],风险等级认定为1~5 之间的自然数值。以本次评估过程为例,部分资产的风险值及风险等级见表1。
所有资产的风险值和风险等级确定后,依据业界通用[中国网络安全审查技术与认证中心(原中国信息安全认证中心)提供]的一种方法[8],可根据各个风险等级的比例来判定整个系统或平台的风险等级。
由于国家药监局信息系统都部署在药监云平台,因此,物理环境和网络环境尤其重要。考虑到每种风险的来源不同、重要程度不同、造成的影响不同,我们对系统或平台的风险等级的评判方式进行了改进:将风险来源分为物理、网络、主机、应用、管理5 个维度,每个维度根据组织机构的实际情况,赋予不同的权值,计算过程如下。
例如:F1(3)、F2(3)为风险1、风险2 的风险等级,括号中的自然数为风险等级赋值,属于应用安全层面;F3(3)、F4(2)、F5(4)为风险3、风险4、风险5 的风险等级赋值,属于主机安全层面。那么应用安全的风险值为(四舍五入):
故应用安全的风险等级为中。
主机安全的风险值为(四舍五入):
故主机安全的风险等级为中。
参考以上计算方法,并根据安全管理及运营平台实际情况,物理安全、网络安全、主机安全、应用安全和管理安全的风险等级见图1。
图1 安全管理及运营平台安全五爪图
该平台每个层面的风险值分别为物理安全C物理=1,权值为20%;网络安全C网络=1,权值为30%;主机安全C主机=3,权值为20%;应用安全C应用=3,权值为20%;管理安全C管理=2,权值为10%。故该平台风险值为(四舍五入):
故该平台风险等级为低。
该计算模型为基于目前通用方法的进一步探索和改进,可以清晰地了解到整个平台的风险等级和各安全维度的风险值,组织机构可根据实际情况确定各维度的占比(权值),从而有目标地采取针对性强的改进措施。
2.3 药品监管信息安全风险评估实验成果
风险评估实验过程中,我们做了大量的调研,结合相关标准及实际,明确了《资产调查表》《威胁调查表》《脆弱性和安全措施调查问卷》《系统调研报告》等调研表的模板;在分析设计阶段,编写了《信息安全风险评估方案》《实施计划》《渗透测试计划》等;在实施阶段,完成了《安全管理及运营平台资产分析报告》《安全管理及运营平台威胁分析报告》《安全管理及运营平台脆弱性分析报告》《已有安全措施分析报告》《漏洞扫描报告》等,覆盖了每个资产、每类威胁及脆弱性并进行了赋值;在出具结论阶段,确定了《风险评估报告》。
实验结果表明,通过对国家药监局安全管理及运营平台进行风险分析,共发现信息安全风险145个,其中物理安全风险45 个、管理安全风险33 个、网络安全风险30 个、应用安全风险21 个、主机安全风险16 个,提供了风险处理的建议及整改措施建议等,为系统的安全提升提供了科学依据。
3 基于风险评估的药品监管信息安全防护体系的思考
风险评估不仅是具体的方法、工具,更是一个过程、一个体系,完善的风险管理体系应当包括相应的组织架构、业务和技术体系。遵循“提前规划、运行实施、监测评审、持续改进”的原则,确保国家药监局网络空间安全不断完善。
3.1 常态度量风险,提升安全价值
开展信息安全风险评估是信息安全保障的“助推器”,是精准防范风险的“指向标”。相关部门需负起主体责任,按制度不断推动安全风险评估工作常态化。
信息化的快速发展,带来网络威胁的不断升级。安全场景的变化,业务环境的变化都会引入新的安全风险,目前的方式方法对安全风险的识别和评估相对静态,手段大都依赖人工,无法做到全域持续评估,实时动态响应。因此需要探索一种全新的动态风险评估模式,比如建设自动化自适应风险评估平台,实时验证防御体系中的各类安全手段、控制措施的有效性,并通过实战化攻击模拟技术,构建可弹性扩展的专项评估场景,随时度量网络安全风险,全面提升安全防御体系对抗能力,从而整体提升安全运营效率。
3.2 推进业务融合,建设评估体系
要做好风险评估和管理,必须建设一套科学合理的风险评估体系。
(1)从政策法规上:风险管理当前的相关标准和规范已无法完全适应当今的安全形势,需要不断研究与实践,探索与等级保护、密码评测、云计算技术[9]等相融合的风险评估方式方法。同时,国家对于数据安全的要求提升到了一个前所未有的高度,密集出台了相关法律法规,在此基础上需要结合国家药监局药品、医疗器械、化妆品、电子政务的实际业务需求,不断研究数据安全风险和保护,融入风险评估方法,以适应当前的安全形势变化。
(2)从技术架构上:相关国家标准并未给出从定性到定量的方法论,需要根据业务组织的实际需要,不断探索和改进适合自身的评估模型。比如,可将资产、数据根据重要性进行分级分类管理,在计算中赋予不同的权重;结合业务场景与攻击场景,对威胁进行分类,并在风险计算模型中进行权重的动态调整。
高层领导、各部门需将风险管理思想和风险评估意识融入日常信息安全管理中,尤其是制定重要时期的网络安全保障的决策过程中,逐步将风险评估工作常态化,并将风险评估成果落到实处[10]。
3.3 迭代智慧监管、筑牢安全屏障
网络攻击行为日益复杂,形势愈加严峻,作为国家药品智慧监管建设“领头羊”,需要构建科学防护体系、完善安全管理策略、提供整体有效的网络信息安全解决方案。运用风险评估手段,一是提升动态防御能力。运用风险评估结果,结合大数据、人工智能等技术,基于国家药监局网络安全大数据分析平台,构建安全态势感知体系。二是提升主动防御能力。及时发现网络环境中的薄弱环节,并充分运用网络安全威胁情报中心的数据,从而采取针对性强的安全措施,未雨绸缪。三是提升纵深防御能力。及时判别业务环境的薄弱点,采用分区分域分业务隔离机制,分层分级布防。四是提升精准防护能力。以药监云平台各业务系统风险类型、分布状况为要点,对目标系统的安全形势做进一步有效深入地探测,更深层次地发现系统最脆弱的环节[11]。五是提升药品监管系统整体防护能力,提升系统韧性与对抗能力,在紧急威胁中采用双备份策略及时保障主营业务稳定运行。六是提升联防联控能力。构建药品监管网络安全联防联控体系,对内与兄弟及省市单位协助,处处设防,及时预警;对外与中央网信办、公安部、工业和信息化部、国家信息中心等多方协助,构建部门协同、数据畅通、威胁感知、智能决策的全方位多层次药品监管信息安全体系,汇聚向上向善各方力量,筑牢国家药品监管网络安全屏障。