为什么要关注医药企业的信息安全？

　　近年来，随着互联网浪潮的席卷，医药行业的信息化建设也开始进入快车道。事实上，医药行业需要信息化建设和转型。以药物临床试验为例，需要样本量大、精细度高的数据提供支撑。传统的方法是手工记录数据，用纸质文件存档。在信息技术和互联网技术的加持下，许多制药企业开始利用信息技术来收集、处理、分析和存储数据，大大提高了制药企业的R&D和运营效率。技术的进步带来了效率的提高，但也埋下了数据安全的隐患。尤其是其他行业时有信息泄露，给医药行业敲响了信息安全的警钟。医药作为关系民生和健康的重要产业，受到巨大商业利益的驱动，医药企业的数据库面临着内外双重威胁。一旦发生数据泄露，不仅会影响医药企业的公众形象，还会给医药企业造成巨大的经济损失，甚至损害患者的个人利益。

　　2018年4月，习总书记在全国网络安全和信息化工作会议上指出，“没有网络安全，就没有国家安全，就没有经济社会稳定运行，就难以保障广大人民群众的利益”。随着国家网络安全相关法律法规的不断颁布，负责数据安全的主体变得更加明确，越来越多的医药企业开始重视网络和信息安全。

　　本文将探讨医药企业信息安全建设的思路，并对医药企业信息化建设过程中信息安全建设的设计和实施提出一些建议，以帮助医药行业信息系统稳定运行。

　　01.医药企业信息化建设的安全框架

　　“以人为本，科技驱动”。在设计安全框架时，不能只考虑技术实现或管理策略。我们认为两者相辅相成，缺一不可。因此，本文将从“安全管理”、“安全技术”、“安全合规”和“安全操作”四个维度阐述整体安全建设思路。下图是我们整理出来的医药企业信息安全体系建设图，供大家参考。

　　制药企业信息安全体系建设图

　　安全管理：结构清晰，全员参与

　　02.安全管理是一个自上而下、全员参与、持续建设、持续改进的过程。制药企业要在公司管理的推动下，明确安全建设的决心，建立合理的安全组织架构；

　　成立以公司管理层为主席的“安全管理委员会”，对公司整体安全建设方针进行指导和决策；

　　成立“安全执行小组”，以安全和运维部门人员为组长，发布和解释安全方针；

　　成立“安全促进小组”，由各部门安全接口人员组成，将安全方针落实到部门。这种自上而下的推进过程，可以有效落实安全方针，避免“只喊口号不落地”的窘境。我们都知道任何制度都是由人来维护的，所以“人”的管理是安全建设的重中之重。医药企业要有完善的制度建设，按照权限原则进行SOP落地推广、应用和开放权限，全方位例行安全审计等。通过安全管理的落地来引导和推动安全技术的落地。

　　03.安全技术：五个维度，充分保证参考级的防护要求。我们将从“数据安全”、“网络安全”、“主机安全”、“应用安全”和“物理安全”五个维度来描述安全技术在每个维度上的集成。制药企业实施安全技术或安全产品方案的深度和广度不是一成不变的。需要结合企业的实际情况，制定一套适合企业现状的技术方法论。

　　关于数据安全在数据为王的时代，数据已经成为医药企业的核心资产之一。如何有效保护数据成为制药企业关心的问题。我们建议医药企业在保护数据资产时，首先要对数据进行分类，如“绝密”、“机密”、“秘密”、“内部开放”和“外部开放”，根据重要性原则将不同类别的数据匹配到不同的级别，对分类后的数据进行不同的安全保护措施。在这里，我们想从三个维度来关注数据安全：机密性、完整性和可用性(简称CIA)。

　　机密

　　数据保密是指仅在授权范围内使用数据，确保不会造成未经授权的访问或泄露。假设当数据泄露时，未经授权的用户无法读取泄露的数据。从数据加密和存储的角度来看，我们建议使用SHA-2 SALT对不需要明文的敏感数据进行加密和存储。对于用户身份信息等敏感数据，建议选择对称加密算法进行加密。对称加密算法重要的一点是考虑如何有效地管理密钥。我们分享了一个我们团队关于密钥分发管理的架构设计图，通过两层密钥管理实现密钥的安全使用和分发：

　　密钥分发管理架构设计图

　　从数据授权访问的角度来看，我们建议使用跳板机的模式来访问数据管理，这样可以有效地减少授权，审计所有的操作行为；从桌面数据防泄露的角度，我们建议医药公司梳理泄露途径，针对泄露途径有选择地实施桌面DLP、网络DLP或加密指定文档。完整

　　数据完整性是指在数据的使用和传输过程中，保证原始数据不被擅自访问、篡改或破坏，从而保证数据的独特性。从数据传输的角度来看，我们建议使用具有加密传输功能的协议或保证独特性的方法，如https、vpn、token等。确保传输数据的加密或防止恶意重放；从数据审核的角度，我们建议日志至少保存6个月，审核成为一个正常的流程。通过发布周报、月报等审计报告，逐步完善审计策略，对发现的问题逐步做出回应。

　　可用性

　　数据可用性是指确保授权用户能够及时有效地获取相应的数据，并具备及时恢复数据的能力，以保证及时服务。从数据容灾的角度，建议医药企业明确建立数据备份机制，定期进行数据恢复演练。根据医药公司的实际情况，可以考虑同城容灾、异地容灾、两地三中心的建设方案。两地三个中心是在一定条件下推荐的容灾方案，即在同城双运行的基础上，建设远程容灾中心，保证数据的完整性和可用性。

　　网络安全性

　　基于权限的原则，制药企业应合理管理网络边界，所有出口仅用于业务需求，发布流程需经安全部门批准，以验证其安全性和合理性。当业务需要但违反安全原则时，安全部门应与业务部门就“安全例外”计划进行沟通，并共同发布其他辅助措施，以加强例外的相对安全性。针对网络层的安全事件，医药公司可以考虑部署态势感知产品，充分了解网络之间的安全动态，将风险和隐患控制在一定范围内。

　　主机安全性

　　安全部门应提供合理的安全基线版本，如操作系统基线配置、中间件基线配置、数据库基线配置、安全开发基线标准等。在系统发布并投入运行开发前满足安全基线要求，并建立基线检查机制。发现不符合基线要求或发布新的高风险补丁时，要及时提出整改意见。

　　应用安全

　　微软提出建立SDL(Security  Development  Life  Cycle)管理模式，即安全开发生命周期的管理，要求项目在立项初期就纳入安全因素，在项目立项、测试、发布、响应的各个环节都有安全参与，安全评估项目达到安全要求后才能发布和上线。这是因为预修的成本比后修低很多；同时，安全团队需要定期对应用程序进行漏洞扫描和手动渗透测试。我们建议为在线应用启动WAF(WEB应用防火墙)，它可以有效抵御针对WEB应用的大多数攻击。每个企业都不一样，所以有必要制定一套符合自己企业的SDL管理办法。人身安全

　　考虑到自建机房的成本和云环境的便利性，本文不扩展物理安全的具体要求。如有机房建设需要，请参考《电子信息系统机房设计规范》(GB  50174-2008)。

　　安全合规性：符合所在国家或地区的相关法律法规

　　根据不同的业务领域，企业应满足国家和地区相关法律法规的要求，如《中华人民共和国网络安全法》，《GDPR》，《HIPPA》，《CFR part 11》等。同时，为提高安全合规性，可考虑参照ISO27000系列、等级保护、可信云等认证要求进行建设并取得相应资质；相关系统设备验证可参考GAMP5指南等。

　　安全操作：牢记木桶原理

　　安全建设评价遵循木桶理论，即安全水平取决于安全的薄弱环节，因此安全需要一个持续的运行过程，通过“风险识别”、“风险处置”、“风险监控”和“措施优化”形成闭环，不断提升企业整体信息安全水平。