一、需求分析

 
1.1  信息安全定義

信息安全是一個常態化的話題，也是行業IT需要日常面對的方面。信息安全沒有的安全，都是相對而言的，廣義來講包括兩個方面：
 

• 物理安全：指網絡系統中各通信、計算機設備及相關設施等有形物品的保護，使他們不受到雨水淋濕、人為等災害。
• 邏輯安全：包含信息完整性、保密性以及可用性等等。物理安全和邏輯安全都非常重要，任何一方面沒有保護的情況下，網絡安全就會受到影響。

1.2  信息安全種類

藥企在快速搭建持續支撐業務發展的信息化體系過程中，也在不斷細化信息安全體系的認知和實踐。結合企業的業務，將信息安全劃分為以下5個種類：
 

• 設備安全：包含機房數據中心核心區域的設備設施安全，例如UPS、精密空調、動環監控等；
• 網絡安全：包含企業內信息傳輸網絡，企業內部骨干網絡的訪問安全，網絡互連的高可用性，例如防火墻、負載均衡、防病毒等安全系統；日常態勢感知系統，這是利用態勢感知平臺，將網絡安全設備如防火墻、負載均衡等設備的終端安全，采用集中管理的方式進行的安全通道式管理；
• 系統安全：保證公司業務系統的連續性，包含系統的高可用性、業務數據的安全性，例如企業云、服務器監控系統等；
• 數據安全：包含公司信息系統數據庫管理、結構化與非結構化數據管理，例如DMS、數據庫審計系統等等；
• 管理安全：根據公司風險評估，確定管理需求，劃分安全邊界后通過信息化手段和相應配套的管理制度給予執行。

以上的前四點安全分類，絕大部分企業是可以做到的。研發是藥品整個生命周期中的初始階段，藥物新品種的研發與公司的經營息息相關，價值極其重要，所以，研發的信息安全，需要一套管理安全體系及配套的管理制度來一起實現。 

1.3  風險識別

風險識別是做信息安全的前提，因此，藥企需要緊密結合業務形式，切割關鍵場景，找尋風險點：
 

• 主動：研發人員計算機內儲存大量在研文檔，文件流動無法監控。具體表現為：人員離職文件交接不清、研發文件拷貝私用、離職前大量刪除文件、文件肆意打印、文件肆意上傳等；
• 設備濫用：移動存儲設備不受限，肆意拷貝，無記錄可追溯。具體表現為：文件拷貝后不可追溯、U盤等存儲肆意使用、筆記本等外接終端風險；
• 網絡威脅：網絡攻擊或木馬攻擊竊取后內容暴露。具體表現為：文件受病毒木馬感染、辦公網實驗網互傳；
• 安全意識：員工計算機數據缺乏有效管理，存在安全風險，計算機操作頻繁復制粘貼、外發等，無清晰的內容邊界。具體表現為：復制粘貼濫用、文件外發渠道過多、數據無法集中管理、無安全意識增加風險。

二、方案思路

2.1  整體設計思路

IT部門細致研究業務場景，劃分清楚邊界再制定相應管理策略并實施。針對于藥企研究院內部，各部門之間的分工很細，部門職能也是不同的，部門之間有大量需要協作和傳遞的工作，所以，研究院內部可以是信息透明的，可以劃分在同一信息邊界，研究院內部文件經加密傳輸。例如：在藥品注冊節點的前一年內，注冊部就需要準備相應的注冊資料，需要和藥理部、實驗室等各部門做大量的數據交互，因此，在同一信息邊界內的話，可以兼顧傳輸安全性和業務便利性。
 

在邊界之內的信息傳輸和交互是安全的，一旦跨出信息邊界，就需要走相應的管理流程了，需要加解密以增強安全管控，也需要通過相應的信息化手段，如增加解密次數管控等，實現與外部組織之間的協同與合作。

2.2  信息安全體系
 

信息安全體系主要分為三個維度來建設：
 

• “管”：對于信息傳輸渠道和方式的集中管理，主要涉及賬號、共享、終端、文件、備份等；
• “控”：主要是文檔加密，包括文件加解密、剪貼板禁用、日志記錄、即時通訊、準入控制等；
• “查”：主要是監控審計，例如網絡監控、打印內容、郵件內容、文件記錄、設備管控等。

2.3  實施方式

信息安全的實施過程中，我們將技術角度與管理角度并重、管理先行的方式來推進。

推行信息安全的過程中，先通過管理角度制定相應制度之后再去推動，是一種比較高效的策略。通過編寫《網絡安全管理制度》和《數據內容管理制度》進行管理行為要求作為參考，配合系統進行實施。在有了管理制度之后，再做技術角度的實施，通過域控、文件、加密、監控、即時通訊等系統，進行系統搭建，技術上實現管、控、查的系統功能。
 

需要指出的是：技術與管理兩者是相輔相成的，在具體執行的過程需要同步，但是管理的需求、管理點，一定要在制度上有體現，才能高效推進。

三、實施計劃
 

整體的研發信息安全項目，總共分為三期來實施的：
 

• 項目一期：（ 2018.10-2019.10 ），2019年5月上線運行，根據研發樓現有環境單獨設計方案。項目試運行5個月后，將安全日志歸檔和信息安全報告機制建立起來。
• 項目二期：（2020.2-2021.1），2020年2月啟動產品選型測試，重點測試私有云盤、準入控制產品；2020年9月啟動網絡測試，重點測試網絡隔離和終端云桌面產品；2021年1月實現研發樓入駐時具備系統試運行條件，試運行5個月后完成制度修訂和安全機制。
• 項目三期：（2021.3-至今），根據項目二期正式上線5個月后，視情況可啟動項目三期，向總部和生產中心進行延伸。

四、解決方案

藥企研發信息安全管理項目，設置常規的管控要求，即上面介紹到的“管”、“控”、“查”，除了這些標準的管理要求之外，也需要設置相應的預案措施和審計措施等作為補充，才能形成全面落地的管理方案。

4.1  集中管理的——“管”

前面介紹到了，集中管理的要素很多，真正要做到集中管理的話，首先就要分析清楚管理的內容：

• “認人”：對于“人”的管理，主要以賬號管理為抓手，做好賬號的集中管理認證，以用戶名為最小管理單元，登陸賬號新建、停用、調整遠程集中管控；
• “認物”：對于“文件”的管理，將所有的文件放置于文件服務器中（加入到域中）。用于研究院在研發文件管理，日常資料編寫以及文件共享，方便大家查閱及編寫資料，同時也防止個人私自共享行為。文件主要以源文件為主，方便對于異常等情況的追蹤可查。

4.2  文檔加密——“控”

文檔加密的方法比較簡單，基本是在驅動層加密、應用層加密，或者驅動層+應用層的加密，但是企業一定要考慮清楚需要“管”的是什么。以下是企業管理制度中的幾條核心要求：
 

• 圈定加密范圍：研究院范圍全部人員文件（office、文本、圖片等件）加密；
• 剪貼板（100字符內可復制）禁用，截圖只對加密系統有效；
• 部門總監以上人員具有解密權限，其余人員需進行審批，支持手機審批。

4.3   監控審計——“查”
 

通過桌面審計系統的實施，實現以下功能：
 

• 系統對研發中心局域網內計算機采用7*24小時監控；
• 監控策略：計算機軟硬件變更、文件操作、網站訪問、郵件發送、即時、打印內容、屏幕錄像，移動存儲設備；
• 非授信USB設備全面禁止使用，已授信U盤需在信息部備案注冊，保證研發信息安全體系內實現電子文件可追蹤；
• 信息部負責U盤授信權限管理，綜合管理部負責授信U盤實物管理；
• 研發中心會議室內公用電腦可正常打開加密文件，但外部人員U盤不可用，外部人員文件導入后即自動加密。

4.4 預案措施
 

以上三點主要涉及的是標準化的實施方式，在遇到特殊、意外情況時候，則需要制定相應的手段來解決，即制定預案措施。
 

• 急需外發文件：正常情況下，由部門總監解密本部門申請；遇到意外緊急時，申請人可以發送郵件至信息部的同時抄送部門總監，在郵件正文中寫明申請原因，信息部在特殊解密主機（受控主機），解密后回復郵件給申請人，特殊解密記錄定期公示。此處需要強調的是，這個途徑是緊急時候的權宜之計，信息部可以有途徑解決，但是的依然是部門總監。
• 遠程加密辦公：這類情況在今年是常見的，如研究院員工需出差辦公或在家辦公的。解決辦法是在受控環境搭建一臺受控主機（虛擬機），申請人發郵件給信息部申請，信息部按需求開通遠程主機使用權限。

4.5  審計措施
 

在安全管理推行的過程中，為了減少推行阻力、打消業務部門的疑慮，我們在系統中建立了一個審計賬戶，并將其交給研究院自己管理，主要用來約束管理員在實際操作動作并形成操作日志。系統試運行穩定后，信息部人員查閱日志的權限將會被取消，只保留加密及桌管設置權限，同時系統自身也會有審計追蹤，可監督管理員操作行為，同時管理員登陸日志定期公示。

4.6  二期方案

二期方案在一期的基礎上做一些重點的布局和優化，主要在終端和文件、準入控制兩方面，主要包括：

• 終端和文件：云桌面（個人件不存本機）、用戶管理模式（多人共用一臺主機）、私有云盤（用戶文件目錄和賬號綁定，應對疫情風險）；
• 準入控制：防止未設備私聯網絡，防止資源外泄。

除了以上介紹的一期方案、二期方案中的技術和管理手段之外，我們還有后期的跟蹤管理手段，主要包含三個方面：

• 安全日志歸檔：每月定時導出所有操作及特權行為日志，方便未來發生安全事故時追溯行為使用；
• 信息安全報告：定期將研究院每月日志按不同角度分析，特權行為公示；
• 信息安全制度：根據研究院管理方式的調整，及時完善信息安全制度。

五、經驗分享

   
5.1  達成效果
 

實施研發信息安全項目之后，對于風險點的針對性管理，體現出了預期的效果：
 

• 針對主動：實現了已加密文件外流不可讀、文件操作有記錄、文件流動系統可追溯；
• 針對設備濫用：實現了僅能用授信設備、操作記錄可追溯、授信設備領用有流程；
• 針對網絡威脅：實現了文件加密后可防御病毒、存在漏洞的軟件已禁用、PC行為規范降低安全風險；
• 針對安全意識：規范了員工PC操作行為、特殊權限有流程、復制粘貼、屏幕拷貝等操作禁用、文件傳送使用專業軟件邊界確定。

5.2  經驗教訓
 

綜上，此次研發信息安全項目能夠順利實施，也總結了一些實踐經驗和心得，其中的一些關鍵點，也是實施其他數字化項目的經驗。因為信息技術永遠只是一種手段，重要的是要有體系化的方來配套才能高效的落地推行，才能體現出預期的效果。例如：
 

• 高層支持：公司一定要認識到信息安全的確實風險，對信息安全工作給予足夠的支持，項目推進才能有力；
• 制度為先：管理安全的核心在于制度管控，信息化知識制度履行的工具，因此一定要在制度中明確管控點和流程；
• 安全性&易用性：沒有的安全，安全性和易用性永遠是成反比的，因此要根據公司管理需要，在安全性和易用性中找到平衡點。