本文由CIAPH根据康辰药业信息部总监李博在“效率·数智·洞见——第八届医药健康行业信息化高峰论坛”的演讲整理
在“CIAPH—第八届医药健康行业信息化高峰论坛”研发主题会场,北京康辰药业信息部总监李博,做了“药企研发信息安全建设”的专题讲解。他主要分享了信息安全管理的标准化建设内容,也涉及到了康辰药业的信息安全建设经验,包括:风险点识别、设计思路、信息安全体系和实施方式等,结合实际场景细化了“管”、“控”、“查”等管理措施,还有预案措施、审计措施等补充方法。内容全面且详实,对药企实施研发信息安全建设具有很好的参考价值。
北京康辰药业 信息部总监 李博
各位行业同仁大家好,我是北京康辰药业李博,今天非常荣幸能够为大家分享研发信息安全相关的项目经验。除了分享研发信息化相关的行业认知之外,更多的是康辰药业多年来针对于研发的风险管控点,所形成的一套标准的能够落地实施的信息安全解决方案。为了将内容介绍的更加贴近于业务场景,首先带领大家一起来认识康辰药业。
一、康辰药业介绍
北京康辰药业股份有限公司于2003年成立,是一家基于自研药物成立的企业。2018年于沪市主板上市,是研产销一体化的高新技术企业。
公司自成立以来,非常重视研发工作,主要产品有国家一类止血新药苏灵、密盖息以及一类分子靶向药等。虽然产品主要是在止血领域,但是目前的所有在研项目主要集中于肿瘤药、生物大分子研发领域。近二十年新药创制的实战历程,康辰药业积累了丰富的创新药研发经验。从选题调研、产品甄别、临床前研究、临床研究,注册申报、工业化转换,到产品上市后的临床再研究,康辰建立起了完整的研发体系。
与传统制药企业不同,康辰药业更加贴近于互联网,注重企业文化体系建设,“塑行业一流模式,塑行业一流人才”的双一流工程有效推动了康辰药业人才职业价值的提升。
二、安全定义
1、信息安全定义
信息安全是一个常态化的话题,也是行业IT同仁们需要日常面对的方面。信息安全没有绝对的安全,都是相对而言的,因此,虽然信息安全的定义大家都耳熟能详,但是需要我们时常多领会,常讲常新。广义来讲包括两个方面:
物理安全:指网络系统中各通信、计算机设备及相关设施等有形物品的保护,使他们不受到雨水淋湿、人为等灾害。
逻辑安全:包含信息完整性、保密性以及可用性等等。物理安全和逻辑安全都非常重要,任何一方面没有保护的情况下,网络安全就会受到影响。
2、信息安全种类
康辰药业在快速搭建持续支撑业务发展的信息化体系过程中,也在不断细化信息安全体系的认知和实践,结合企业的业务,将信息安全划分为以下5个种类:
设备安全:包含机房数据中心核心区域的设备设施安全,例如UPS、精密空调、动环监控等;
网络安全:包含企业内信息传输网络,企业内部骨干网络的访问安全,网络互连的高可用性,例如防火墙、负载均衡、防病毒等安全系统;日常态势感知系统,这是利用态势感知平台,将网络安全设备如防火墙、负载均衡等设备的终端安全,采用集中管理的方式进行的安全通道式管理;
系统安全:保证公司业务系统的连续性,包含系统的高可用性、业务数据的安全性,例如企业云、服务器监控系统等;
数据安全:包含公司信息系统数据库管理、结构化与非结构化数据管理,例如DMS、数据库审计系统等等;
管理安全:根据公司风险评估,确定管理需求,划分安全边界后通过信息化手段和相应配套的管理制度给予执行。
以上的前四点安全分类,绝大部分企业是可以做到的。研发是药品整个生命周期中的初始阶段,药物新品种的研发与公司的经营息息相关,价值极其重要,所以,研发的信息安全,需要一套管理安全体系及配套的管理制度来一起实现,这是今天分享内容的重点。 3、风险识别
风险识别是做信息安全的前提,因此,药企需要紧密结合业务形式,切割关键场景,找寻风险点:
主动泄密:研发人员计算机内储存大量在研文档,文件流动无法监控。具体表现为:人员离职文件交接不清、研发文件拷贝私用、离职前大量删除文件、文件肆意打印、文件肆意上传等等;
设备滥用:移动存储设备不受限,肆意拷贝,无记录可追溯。具体表现为:文件拷贝后不可追溯、U盘等存储肆意使用、笔记本等外接终端风险;
网络威胁:文件内容均为原文,木马攻击窃取后内容暴露。具体表现为:文件受病毒木马感染、办公网实验网互传;
安全意识:员工计算机数据缺乏有效管理,存在安全风险,计算机操作频繁复制粘贴、外发等,无清晰的内容边界。具体表现为:复制粘贴滥用、文件外发渠道过多、数据无法集中管理、无安全意识增加风险。
4、设计思路
信息安全的可能性与易用性是成反比的,如果一步到位的实施整个集团的信息安全管控是不现实的,也会存在一定的风险。因此,在康辰药业信息安全一期的主要范围是研究院,以此作为试点。
整体设计思路是:IT部门细致研究业务场景,划分清楚边界再制定相应管理策略并实施。针对于研究院内部,各部门之间的分工很细,部门职能也是不同的,部门之间有大量需要协作和传递的工作,所以,研究院内部可以是信息透明的,可以划分在同一信息边界,研究院内部文件经加密传输。例如:在药品注册节点的前一年内,注册部就需要准备相应的注册资料,需要和药理部、实验室等各部门做大量的数据交互,因此,在同一信息边界内的话,可以兼顾传输安全性和业务便利性。
在边界之内的信息传输和交互是安全的,一旦跨出信息边界,就需要走相应的管理流程了,需要加解密以增强安全管控,也需要通过相应的信息化手段,如增加解密次数管控等,实现与外部组织之间的协同与合作。
5、信息安全体系
信息安全体系主要分为三个维度来建设:
“管”:对于信息传输渠道和方式的集中管理,主要涉及账号、共享、终端、文件、备份等;
“控”:主要方式是文档加密,包括文件加解密、剪贴板禁用、日志记录、即时通讯、准入控制等;
“查”:主要是监控审计,例如网络监控、打印内容、邮件内容、文件记录、设备管控等。
6、实施方式
信息安全的实施过程中,我们将技术角度与管理角度并重、管理先行的方式来推进。
康辰药业作为集团管控型企业,推行信息安全的过程中,先通过管理角度制定相应制度之后再去推动,是一种比较高效的策略。通过编写《网络安全管理制度》和《数据内容管理制度》进行管理行为要求作为参考,配合系统进行实施。在有了管理制度之后,再做技术角度的实施,通过域控、文件、加密、监控、即时通讯等系统,进行系统搭建,技术上实现管、控、查的系统功能。
需要指出的是:技术与管理两者是相辅相成的,在具体执行的过程需要同步,但是管理的需求、管理点,一定要在制度上有体现,才能高效推进。 7、实施计划
整体的研发信息安全项目,总共分为三期来实施的:
项目一期:( 2018.10-2019.10 ),19年5月上线运行,根据研发楼现有环境单独设计方案。项目试运行5个月后,将安全日志归档和信息安全报告机制建立起来。
项目二期:(2020.2-2021.1),2020年2月启动产品选型测试,重点测试私有云盘、准入控制产品;2020年9月启动网络测试,重点测试网络隔离和终端云桌面产品;2021年1月实现研发楼入驻时具备系统试运行条件,试运行5个月后完成制度修订和安全机制。
项目三期:(2021.8-至今),根据项目二期正式上线5个月后,视情况可启动项目三期,向总部和生产中心进行延伸。
三、方案展示
康辰药业的研发信息安全管理项目,设置了常规的管控要求,即上面介绍到的“管”、“控”、“查”,除了这些标准的管理要求之外,也需要设置相应的预案措施和审计措施等作为补充,才能形成全面落地的管理方案。 1、集中管理的——“管”
前面介绍到了,集中管理的要素很多,真正要做到集中管理的话,首先就要分析清楚管理的内容:
“认人”:对于“人”的管理,主要以账号管理为抓手,做好账号的集中管理认证,以用户名为最小管理单元,登陆账号新建、停用、调整远程集中管控;
“认物”:对于“文件”的管理,将所有的文件放置于文件服务器中(加入到域中)。用于研究院在研文件管理,日常资料编写以及文件共享,方便大家查阅及编写资料,同时也防止个人私自共享行为。文件主要以源文件为主,方便对于异常等情况的追踪可查。
2、文档加密——“控”
文档加密的方法比较简单,基本是在驱动层加密、应用层加密,或者驱动层+应用层的加密,但是企业一定要考虑清楚需要“管”的是什么。以下是康辰药业在管理制度中的几条核心要求:
圈定加密范围:研究院范围全部人员文件(office、文本、图片等办公文件)加密;
剪贴板(100字符内可复制)禁用,截图只对加密系统有效;
部门总监以上人员具有解密权限,其余人员需进行审批,支持手机审批。
3、监控审计——“查”
通过桌面审计系统的实施,实现以下功能:
系统对研发中心局域网内计算机采用7*24小时监控;
监控策略:计算机软硬件变更、文件操作、网站访问、邮件发送、即时聊天、打印内容、屏幕录像,移动存储设备;
非授信USB设备全面禁止使用,已授信U盘需在信息部备案注册,保证研发信息安全体系内实现电子文件可追踪;
信息部负责U盘授信权限管理,综合管理部负责授信U盘实物管理;
研发中心会议室内公用电脑可正常打开加密文件,但外部人员U盘不可用,外部人员文件导入后即自动加密。
4、预案措施
以上三点主要涉及的是标准化的实施方式,在遇到特殊、意外情况时候,则需要制定相应的手段来解决,即制定预案措施。
急需外发文件:正常情况下,由部门总监解密本部门申请;遇到意外紧急时,申请人可以发送邮件至信息部的同时抄送部门总监,在邮件正文中写明申请原因,信息部在特殊解密主机(受控主机),解密后回复邮件给申请人,特殊解密记录定期公示。此处需要强调的是,这个途径是紧急时候的权宜之计,信息部可以有途径解决,但是授权的依然是部门总监。
远程加密办公:这类情况在今年是最为常见的,如研究院员工需出差办公或在家办公的。解决办法是在受控环境搭建一台受控主机(虚拟机),申请人发邮件给信息部申请,信息部按需求开通远程主机使用权限。
5、审计措施
在安全管理推行的过程中,为了减少推行阻力、打消业务部门的疑虑,我们在系统中建立了一个审计账户,并将其交给研究院自己管理,主要用来约束管理员在实际操作动作并形成操作日志。系统试运行稳定后,信息部人员查阅日志的权限将会被取消,只保留加密及桌管设置权限,同时系统自身也会有审计追踪,可监督管理员操作行为,同时管理员登陆日志定期公示。 6、二期方案
二期方案在一期的基础上做一些重点的布局和优化,主要在终端和文件、准入控制两方面,主要包括:
终端和文件:云桌面(个人办公文件不存本机)、用户管理模式(多人共用一台主机)、私有云盘(用户文件目录和账号绑定,应对疫情风险);
准入控制:防止未授权设备私联网络,防止资源外泄。
除了以上介绍的一期方案、二期方案中的技术和管理手段之外,我们还有后期的跟踪管理手段,主要包含三个方面:
安全日志归档:每月定时导出所有操作及特权行为日志,方便未来发生安全事故时追溯行为使用;
信息安全报告:定期将研究院每月日志按不同角度分析,特权行为公示;
信息安全制度:根据迁入研发楼后管理方式的调整,及时完善信息安全制度。
四、经验分享
1、达成效果
实施研发信息安全项目之后,对于风险点的针对性管理,体现出了预期的效果:
针对主动泄密:实现了已加密文件外流不可读、文件操作有记录、文件流动系统可追溯;
针对设备滥用:实现了仅能用授信设备、操作记录可追溯、授信设备领用有流程;
针对网络威胁:实现了文件加密后可防御病毒、存在漏洞的软件已禁用、PC行为规范降低安全风险;
针对安全意识:规范了员工PC操作行为、特殊权限有流程、复制粘贴、屏幕拷贝等操作禁用、文件传送使用专业软件边界确定。
2、经验教训
综上,此次研发信息安全项目能够顺利实施,也总结了一些实践经验和心得,其中的一些关键点,也是实施其他数字化项目的经验。因为信息技术永远只是一种手段,重要的是要有体系化的方法论来配套才能高效的落地推行,才能体现出预期的效果。例如:
高层支持:公司一定要认识到信息安全的确实风险,对信息安全工作给予足够的支持,项目推进才能有力;
制度为先:管理安全的核心在于制度管控,信息化知识制度履行的工具,因此一定要在制度中明确管控点和流程;
安全性&易用性:没有绝对的安全,安全性和易用性永远是成反比的,因此要根据公司管理需要,在安全性和易用性中找到平衡点。
以上是本次项目经验的体会和内容,非常有幸能够分享给行业同仁。行业的数字化疆域非常宽广,需要行业同仁们一起推进探索的前沿,在这个意义之上,需要行业同仁们一起勠力同心,砥砺前行。期望在今后,能与行业同仁们有更多的交流探讨。谢谢聆听!