国产强伦姧在线观看无码,中文字幕99久久亚洲精品,国产精品乱码在线观看,色桃花亚洲天堂视频久久,日韩精品无码观看视频免费

一、需求分析

 
1.1  信息安全定義

信息安全是一個(gè)常態(tài)化的話題，也是行業(yè)IT需要日常面對(duì)的方面。信息安全沒(méi)有的安全，都是相對(duì)而言的，廣義來(lái)講包括兩個(gè)方面：
 

• 物理安全：指網(wǎng)絡(luò)系統(tǒng)中各通信、計(jì)算機(jī)設(shè)備及相關(guān)設(shè)施等有形物品的保護(hù)，使他們不受到雨水淋濕、人為等災(zāi)害。
• 邏輯安全：包含信息完整性、保密性以及可用性等等。物理安全和邏輯安全都非常重要，任何一方面沒(méi)有保護(hù)的情況下，網(wǎng)絡(luò)安全就會(huì)受到影響。

1.2  信息安全種類

藥企在快速搭建持續(xù)支撐業(yè)務(wù)發(fā)展的信息化體系過(guò)程中，也在不斷細(xì)化信息安全體系的認(rèn)知和實(shí)踐。結(jié)合企業(yè)的業(yè)務(wù)，將信息安全劃分為以下5個(gè)種類：
 

• 設(shè)備安全：包含機(jī)房數(shù)據(jù)中心核心區(qū)域的設(shè)備設(shè)施安全，例如UPS、精密空調(diào)、動(dòng)環(huán)監(jiān)控等；
• 網(wǎng)絡(luò)安全：包含企業(yè)內(nèi)信息傳輸網(wǎng)絡(luò)，企業(yè)內(nèi)部骨干網(wǎng)絡(luò)的訪問(wèn)安全，網(wǎng)絡(luò)互連的高可用性，例如防火墻、負(fù)載均衡、防病毒等安全系統(tǒng)；日常態(tài)勢(shì)感知系統(tǒng)，這是利用態(tài)勢(shì)感知平臺(tái)，將網(wǎng)絡(luò)安全設(shè)備如防火墻、負(fù)載均衡等設(shè)備的終端安全，采用集中管理的方式進(jìn)行的安全通道式管理；
• 系統(tǒng)安全：保證公司業(yè)務(wù)系統(tǒng)的連續(xù)性，包含系統(tǒng)的高可用性、業(yè)務(wù)數(shù)據(jù)的安全性，例如企業(yè)云、服務(wù)器監(jiān)控系統(tǒng)等；
• 數(shù)據(jù)安全：包含公司信息系統(tǒng)數(shù)據(jù)庫(kù)管理、結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)管理，例如DMS、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)等等；
• 管理安全：根據(jù)公司風(fēng)險(xiǎn)評(píng)估，確定管理需求，劃分安全邊界后通過(guò)信息化手段和相應(yīng)配套的管理制度給予執(zhí)行。

以上的前四點(diǎn)安全分類，絕大部分企業(yè)是可以做到的。研發(fā)是藥品整個(gè)生命周期中的初始階段，藥物新品種的研發(fā)與公司的經(jīng)營(yíng)息息相關(guān)，價(jià)值極其重要，所以，研發(fā)的信息安全，需要一套管理安全體系及配套的管理制度來(lái)一起實(shí)現(xiàn)。 

1.3  風(fēng)險(xiǎn)識(shí)別

風(fēng)險(xiǎn)識(shí)別是做信息安全的前提，因此，藥企需要緊密結(jié)合業(yè)務(wù)形式，切割關(guān)鍵場(chǎng)景，找尋風(fēng)險(xiǎn)點(diǎn)：
 

• 主動(dòng)：研發(fā)人員計(jì)算機(jī)內(nèi)儲(chǔ)存大量在研文檔，文件流動(dòng)無(wú)法監(jiān)控。具體表現(xiàn)為：人員離職文件交接不清、研發(fā)文件拷貝私用、離職前大量刪除文件、文件肆意打印、文件肆意上傳等；
• 設(shè)備濫用：移動(dòng)存儲(chǔ)設(shè)備不受限，肆意拷貝，無(wú)記錄可追溯。具體表現(xiàn)為：文件拷貝后不可追溯、U盤等存儲(chǔ)肆意使用、筆記本等外接終端風(fēng)險(xiǎn)；
• 網(wǎng)絡(luò)威脅：網(wǎng)絡(luò)攻擊或木馬攻擊竊取后內(nèi)容暴露。具體表現(xiàn)為：文件受病毒木馬感染、辦公網(wǎng)實(shí)驗(yàn)網(wǎng)互傳；
• 安全意識(shí)：?jiǎn)T工計(jì)算機(jī)數(shù)據(jù)缺乏有效管理，存在安全風(fēng)險(xiǎn)，計(jì)算機(jī)操作頻繁復(fù)制粘貼、外發(fā)等，無(wú)清晰的內(nèi)容邊界。具體表現(xiàn)為：復(fù)制粘貼濫用、文件外發(fā)渠道過(guò)多、數(shù)據(jù)無(wú)法集中管理、無(wú)安全意識(shí)增加風(fēng)險(xiǎn)。

二、方案思路

2.1  整體設(shè)計(jì)思路

IT部門細(xì)致研究業(yè)務(wù)場(chǎng)景，劃分清楚邊界再制定相應(yīng)管理策略并實(shí)施。針對(duì)于藥企研究院內(nèi)部，各部門之間的分工很細(xì)，部門職能也是不同的，部門之間有大量需要協(xié)作和傳遞的工作，所以，研究院內(nèi)部可以是信息透明的，可以劃分在同一信息邊界，研究院內(nèi)部文件經(jīng)加密傳輸。例如：在藥品注冊(cè)節(jié)點(diǎn)的前一年內(nèi)，注冊(cè)部就需要準(zhǔn)備相應(yīng)的注冊(cè)資料，需要和藥理部、實(shí)驗(yàn)室等各部門做大量的數(shù)據(jù)交互，因此，在同一信息邊界內(nèi)的話，可以兼顧傳輸安全性和業(yè)務(wù)便利性。
 

在邊界之內(nèi)的信息傳輸和交互是安全的，一旦跨出信息邊界，就需要走相應(yīng)的管理流程了，需要加解密以增強(qiáng)安全管控，也需要通過(guò)相應(yīng)的信息化手段，如增加解密次數(shù)管控等，實(shí)現(xiàn)與外部組織之間的協(xié)同與合作。

2.2  信息安全體系
 

信息安全體系主要分為三個(gè)維度來(lái)建設(shè)：
 

• “管”：對(duì)于信息傳輸渠道和方式的集中管理，主要涉及賬號(hào)、共享、終端、文件、備份等；
• “控”：主要是文檔加密，包括文件加解密、剪貼板禁用、日志記錄、即時(shí)通訊、準(zhǔn)入控制等；
• “查”：主要是監(jiān)控審計(jì)，例如網(wǎng)絡(luò)監(jiān)控、打印內(nèi)容、郵件內(nèi)容、文件記錄、設(shè)備管控等。

2.3  實(shí)施方式

信息安全的實(shí)施過(guò)程中，我們將技術(shù)角度與管理角度并重、管理先行的方式來(lái)推進(jìn)。

推行信息安全的過(guò)程中，先通過(guò)管理角度制定相應(yīng)制度之后再去推動(dòng)，是一種比較高效的策略。通過(guò)編寫《網(wǎng)絡(luò)安全管理制度》和《數(shù)據(jù)內(nèi)容管理制度》進(jìn)行管理行為要求作為參考，配合系統(tǒng)進(jìn)行實(shí)施。在有了管理制度之后，再做技術(shù)角度的實(shí)施，通過(guò)域控、文件、加密、監(jiān)控、即時(shí)通訊等系統(tǒng)，進(jìn)行系統(tǒng)搭建，技術(shù)上實(shí)現(xiàn)管、控、查的系統(tǒng)功能。
 

需要指出的是：技術(shù)與管理兩者是相輔相成的，在具體執(zhí)行的過(guò)程需要同步，但是管理的需求、管理點(diǎn)，一定要在制度上有體現(xiàn)，才能高效推進(jìn)。

三、實(shí)施計(jì)劃
 

整體的研發(fā)信息安全項(xiàng)目，總共分為三期來(lái)實(shí)施的：
 

• 項(xiàng)目一期：（ 2018.10-2019.10 ），2019年5月上線運(yùn)行，根據(jù)研發(fā)樓現(xiàn)有環(huán)境單獨(dú)設(shè)計(jì)方案。項(xiàng)目試運(yùn)行5個(gè)月后，將安全日志歸檔和信息安全報(bào)告機(jī)制建立起來(lái)。
• 項(xiàng)目二期：（2020.2-2021.1），2020年2月啟動(dòng)產(chǎn)品選型測(cè)試，重點(diǎn)測(cè)試私有云盤、準(zhǔn)入控制產(chǎn)品；2020年9月啟動(dòng)網(wǎng)絡(luò)測(cè)試，重點(diǎn)測(cè)試網(wǎng)絡(luò)隔離和終端云桌面產(chǎn)品；2021年1月實(shí)現(xiàn)研發(fā)樓入駐時(shí)具備系統(tǒng)試運(yùn)行條件，試運(yùn)行5個(gè)月后完成制度修訂和安全機(jī)制。
• 項(xiàng)目三期：（2021.3-至今），根據(jù)項(xiàng)目二期正式上線5個(gè)月后，視情況可啟動(dòng)項(xiàng)目三期，向總部和生產(chǎn)中心進(jìn)行延伸。

四、解決方案

藥企研發(fā)信息安全管理項(xiàng)目，設(shè)置常規(guī)的管控要求，即上面介紹到的“管”、“控”、“查”，除了這些標(biāo)準(zhǔn)的管理要求之外，也需要設(shè)置相應(yīng)的預(yù)案措施和審計(jì)措施等作為補(bǔ)充，才能形成全面落地的管理方案。

4.1  集中管理的——“管”

前面介紹到了，集中管理的要素很多，真正要做到集中管理的話，首先就要分析清楚管理的內(nèi)容：

• “認(rèn)人”：對(duì)于“人”的管理，主要以賬號(hào)管理為抓手，做好賬號(hào)的集中管理認(rèn)證，以用戶名為最小管理單元，登陸賬號(hào)新建、停用、調(diào)整遠(yuǎn)程集中管控；
• “認(rèn)物”：對(duì)于“文件”的管理，將所有的文件放置于文件服務(wù)器中（加入到域中）。用于研究院在研發(fā)文件管理，日常資料編寫以及文件共享，方便大家查閱及編寫資料，同時(shí)也防止個(gè)人私自共享行為。文件主要以源文件為主，方便對(duì)于異常等情況的追蹤可查。

4.2  文檔加密——“控”

文檔加密的方法比較簡(jiǎn)單，基本是在驅(qū)動(dòng)層加密、應(yīng)用層加密，或者驅(qū)動(dòng)層+應(yīng)用層的加密，但是企業(yè)一定要考慮清楚需要“管”的是什么。以下是企業(yè)管理制度中的幾條核心要求：
 

• 圈定加密范圍：研究院范圍全部人員文件（office、文本、圖片等件）加密；
• 剪貼板（100字符內(nèi)可復(fù)制）禁用，截圖只對(duì)加密系統(tǒng)有效；
• 部門總監(jiān)以上人員具有解密權(quán)限，其余人員需進(jìn)行審批，支持手機(jī)審批。

4.3   監(jiān)控審計(jì)——“查”
 

通過(guò)桌面審計(jì)系統(tǒng)的實(shí)施，實(shí)現(xiàn)以下功能：
 

• 系統(tǒng)對(duì)研發(fā)中心局域網(wǎng)內(nèi)計(jì)算機(jī)采用7*24小時(shí)監(jiān)控；
• 監(jiān)控策略：計(jì)算機(jī)軟硬件變更、文件操作、網(wǎng)站訪問(wèn)、郵件發(fā)送、即時(shí)、打印內(nèi)容、屏幕錄像，移動(dòng)存儲(chǔ)設(shè)備；
• 非授信USB設(shè)備全面禁止使用，已授信U盤需在信息部備案注冊(cè)，保證研發(fā)信息安全體系內(nèi)實(shí)現(xiàn)電子文件可追蹤；
• 信息部負(fù)責(zé)U盤授信權(quán)限管理，綜合管理部負(fù)責(zé)授信U盤實(shí)物管理；
• 研發(fā)中心會(huì)議室內(nèi)公用電腦可正常打開(kāi)加密文件，但外部人員U盤不可用，外部人員文件導(dǎo)入后即自動(dòng)加密。

4.4 預(yù)案措施
 

以上三點(diǎn)主要涉及的是標(biāo)準(zhǔn)化的實(shí)施方式，在遇到特殊、意外情況時(shí)候，則需要制定相應(yīng)的手段來(lái)解決，即制定預(yù)案措施。
 

• 急需外發(fā)文件：正常情況下，由部門總監(jiān)解密本部門申請(qǐng)；遇到意外緊急時(shí)，申請(qǐng)人可以發(fā)送郵件至信息部的同時(shí)抄送部門總監(jiān)，在郵件正文中寫明申請(qǐng)?jiān)颍畔⒉吭谔厥饨饷苤鳈C(jī)（受控主機(jī)），解密后回復(fù)郵件給申請(qǐng)人，特殊解密記錄定期公示。此處需要強(qiáng)調(diào)的是，這個(gè)途徑是緊急時(shí)候的權(quán)宜之計(jì)，信息部可以有途徑解決，但是的依然是部門總監(jiān)。
• 遠(yuǎn)程加密辦公：這類情況在今年是常見(jiàn)的，如研究院?jiǎn)T工需出差辦公或在家辦公的。解決辦法是在受控環(huán)境搭建一臺(tái)受控主機(jī)（虛擬機(jī)），申請(qǐng)人發(fā)郵件給信息部申請(qǐng)，信息部按需求開(kāi)通遠(yuǎn)程主機(jī)使用權(quán)限。

4.5  審計(jì)措施
 

在安全管理推行的過(guò)程中，為了減少推行阻力、打消業(yè)務(wù)部門的疑慮，我們?cè)谙到y(tǒng)中建立了一個(gè)審計(jì)賬戶，并將其交給研究院自己管理，主要用來(lái)約束管理員在實(shí)際操作動(dòng)作并形成操作日志。系統(tǒng)試運(yùn)行穩(wěn)定后，信息部人員查閱日志的權(quán)限將會(huì)被取消，只保留加密及桌管設(shè)置權(quán)限，同時(shí)系統(tǒng)自身也會(huì)有審計(jì)追蹤，可監(jiān)督管理員操作行為，同時(shí)管理員登陸日志定期公示。

4.6  二期方案

二期方案在一期的基礎(chǔ)上做一些重點(diǎn)的布局和優(yōu)化，主要在終端和文件、準(zhǔn)入控制兩方面，主要包括：

• 終端和文件：云桌面（個(gè)人件不存本機(jī)）、用戶管理模式（多人共用一臺(tái)主機(jī)）、私有云盤（用戶文件目錄和賬號(hào)綁定，應(yīng)對(duì)疫情風(fēng)險(xiǎn)）；
• 準(zhǔn)入控制：防止未設(shè)備私聯(lián)網(wǎng)絡(luò)，防止資源外泄。

除了以上介紹的一期方案、二期方案中的技術(shù)和管理手段之外，我們還有后期的跟蹤管理手段，主要包含三個(gè)方面：

• 安全日志歸檔：每月定時(shí)導(dǎo)出所有操作及特權(quán)行為日志，方便未來(lái)發(fā)生安全事故時(shí)追溯行為使用；
• 信息安全報(bào)告：定期將研究院每月日志按不同角度分析，特權(quán)行為公示；
• 信息安全制度：根據(jù)研究院管理方式的調(diào)整，及時(shí)完善信息安全制度。

五、經(jīng)驗(yàn)分享

   
5.1  達(dá)成效果
 

實(shí)施研發(fā)信息安全項(xiàng)目之后，對(duì)于風(fēng)險(xiǎn)點(diǎn)的針對(duì)性管理，體現(xiàn)出了預(yù)期的效果：
 

• 針對(duì)主動(dòng)：實(shí)現(xiàn)了已加密文件外流不可讀、文件操作有記錄、文件流動(dòng)系統(tǒng)可追溯；
• 針對(duì)設(shè)備濫用：實(shí)現(xiàn)了僅能用授信設(shè)備、操作記錄可追溯、授信設(shè)備領(lǐng)用有流程；
• 針對(duì)網(wǎng)絡(luò)威脅：實(shí)現(xiàn)了文件加密后可防御病毒、存在漏洞的軟件已禁用、PC行為規(guī)范降低安全風(fēng)險(xiǎn)；
• 針對(duì)安全意識(shí)：規(guī)范了員工PC操作行為、特殊權(quán)限有流程、復(fù)制粘貼、屏幕拷貝等操作禁用、文件傳送使用專業(yè)軟件邊界確定。

5.2  經(jīng)驗(yàn)教訓(xùn)
 

綜上，此次研發(fā)信息安全項(xiàng)目能夠順利實(shí)施，也總結(jié)了一些實(shí)踐經(jīng)驗(yàn)和心得，其中的一些關(guān)鍵點(diǎn)，也是實(shí)施其他數(shù)字化項(xiàng)目的經(jīng)驗(yàn)。因?yàn)樾畔⒓夹g(shù)永遠(yuǎn)只是一種手段，重要的是要有體系化的方來(lái)配套才能高效的落地推行，才能體現(xiàn)出預(yù)期的效果。例如：
 

• 高層支持：公司一定要認(rèn)識(shí)到信息安全的確實(shí)風(fēng)險(xiǎn)，對(duì)信息安全工作給予足夠的支持，項(xiàng)目推進(jìn)才能有力；
• 制度為先：管理安全的核心在于制度管控，信息化知識(shí)制度履行的工具，因此一定要在制度中明確管控點(diǎn)和流程；
• 安全性&易用性：沒(méi)有的安全，安全性和易用性永遠(yuǎn)是成反比的，因此要根據(jù)公司管理需要，在安全性和易用性中找到平衡點(diǎn)。