随着“互联网+”时代的到来，信息化在各行业的应用越来越广泛和深入，医药行业的信息化建设同样经历着翻天覆地的变化。互联网信息技术的发展提升了效率却也埋下了数据安全的隐患，信息化建设步伐的加快促使药企的业务数据越来越多，对于这些重要的业务及实验数据的管理和使用，为药企带来了新的挑战。一旦发生数据或核心信息泄露，会影响医药企业的公众形象，给医药企业造成重大经济损失。

在药企研发阶段，如何减小由于人员流动性而带来的知识流失概率？如何在长期的药品研发周期中做好信息的安全管理？研发中涉及大量日常办公数据和实验数据，如何在不降低工作效率的情况下保障数据合规性？如何提高远程办公的安全性及便利？

在锐捷举办的《光云汇聚  锐捷助力药企“新基建”》专题会议中，远大医药CIO李博结合多年信息安全管理经验，分享了《打造研发信息安全的“六边形战士”》的演讲主题， 通过六项关键能力的模型来打造研发信息的管理安全。

（以下内容整理自毛总的演讲内容）

研发信息安全能力标准

从政策角度看，近年来国家发布一系列的政策，两票制”减少了医药流通的中间环节，仿制药一致性评价规范了仿制药在质量和疗效上与原研药一致，“4+7”有效的降低了药品价格，优先审批、eCTD改革以及加入ICH等举措，推动了国产创新药的发展。

从研发角度看，药品种类多，涉及到的治疗领域广泛，例如，肿瘤、心血管等等，因此企业不同，药品研发管理的需求差异较大。

可以发现随着企业研发投入的加大，研发信息安全的管理越来越重要。但对于药企CIO来说，研发管理面临两难，对于研发管理既不能过于严格而影响研发人员的工作效率，又不能过于松散引发信息安全风险。研发信息安全管理可以总结为四大难题：

● 如何减小由于人员流动性而带来的知识流失概率？

● 如何在长时间的药品研发周期中做好研发信息的安全管理？

● 研发中涉及众多日常办公数据和实验数据，如何在不降低工作效率的情况下保障数据合规性？

● 如何提高远程办公的安全性及便利？

让我们先通过两个常见的案例，感受下研发信息安全的管理工作：

例1：

研发人员离职前通过硬盘拷贝了涉密的项目资料

管理缺陷：终端管理不足、审计监控中离职审计不细致、重要资料未做加密处理

例2：

研发高管人员离职前，对涉密文件进行了批量解密，经之前公司授权过的U盘讲解密文件拷贝到个人电脑中，并且对办公电脑中的文件进行了永久性删除。

管理缺陷：审计监管不足，特权管理不到位、核心数据存储在本地，未进行云端的统一管理。

通过这两个例子，我们可以发现在研发过程中出现信息安全泄密的场景极多，无论是基层人员、管理者，高层都有可能泄密。因此只有从员工操作习惯出发，根据员工的六大操作步骤（下图），围绕“研发信息安全的六大关键点”，全面、深入的分析管理痛点，才能做好研发信息安全管理工作。

信息安全打造的主要核心要点为以下六点，下面李博老师为大家详细讲解每个关键点，助力药企打造六边形战士。

关键点一：身份认证

通过设置域账号做好用户身份管理

通过域账号+加密系统，将用户的一切信息绑定并加密（域账号、IP、多个终端等）

将域账号作为全网唯一的用户身份识别信息，如果出现了安全事件，可以快速封锁其域账号及锁定相关人

Tips：锐捷三擎云桌面中的多因子认证功能，在安全级别高的情况下，本地账号登录后，还可以设置动态口令，需要与用户的微信绑定，在账号安全上设置双重保护；

关键点二：终端管控

使用云桌面实现共享主机，不再按人分配设备，提高研发人员工作效率

疫情频发，通过云桌面实现远程协同办公，同时信息安全有保障

在企业有多个研发中心的情况下，通过云桌面实现远程运维，大幅提升运维效率，降低运维所需人力及其他成本

通过云桌面的软硬件管控功能，加强核心数据、信息的安全性

Tips：锐捷企业新一代三擎云桌面解决方案，VDI、IDV、TCI统一部署，适配企业多场景，三种架构统一管理，提高运维管理效率，实现统一的镜像管理，秒级的系统还原，3-5分钟的批量安装系统，分钟级的应用更新。

移动办公场景中，适配苹果、安卓、windows等多种操作系统，自动适配场景及接入策略，移动办公更高效。配合锐捷安全访问网关，多种认证方式确保访问安全，且仅需一次登入，移动办公安全又便捷。

关键点三：文件内容

对于任何形式的办公文件都需做加密处理，同时做好加密管理，可考虑基于业务特性的基础上建立加密相关的规则制度，只有有完整、明确的制度，员工才能更好的落地，制度中应梳理清晰加密的范围、涉及人员、加密流程、解密的条件等。

关键点四：审计监控

做好事后审计，按月或按年度进行审计，当出现特殊情况，例如当员工有离职情况时也要做好全面、细致的审计工作

在满足业务特殊需求的前提下，应禁用未授信的移动设备，经受信的设备需备案注册

做好机制建设，例如授信移动终端的使用机制、归还机制等。同时定期对管理日志做归档工作，后期一旦有泄密事件出现，管理日志可作为证据佐证

关键点五：特权管理

区分清楚审批权和解密权的区别，在做解密管理时要将两项权限分开，防止出现高管既拥有审批权又有解密权，避免高管对加密文件自行解密，出现泄露安全数据的情况。

强化审计是重点工作，保障研发信息安全工作涉及方方面面，容易有疏漏点，做好审计工作可防范由于前期监管不到位产生的问题。过程审计中对于特权人、临床出差人员及出现异常行为或操作的情况要做重点监控

建立应急处理机制，当出现异常情况能够即刻启动应急处理流程，上报及时并且有应对策略

关键点六：存储介质

办公文件实施集中统一的管理

做好版本管理，统一版本传播，避免百度网盘、邮箱、U盘等多种传播方式

以上为李博在本次会议的精彩分享，打造研发信息安全的六边形战士，各个药企可根据自身实际情况出发，围绕以上六个关键点做信息安全的加强和补充。医疗信息安全建设尚在路上，药企应持续加强信息安全管理，筑牢医药行业信息技术安全防线，推动药企的高质量发展。

锐捷新一代三擎云桌面，采多用超融合架构，实现VDI、IDV、VOI等多种虚拟化架构的结合，多重管控方式+多种认证方式防止数据泄露或丢失，保障数据安全，支持多终端（电脑、手机、平板等）接入，自动适配网络接入策略，帮助药企畅享高效移动办公，为医药企业构建更低耗高能、安全稳定、高效灵活的IT办公系统。

其中，在为保障企业数据安全方面也有着诸多功能，通过数据快照技术、外置存储备份，保障数据不落地，业务连续不中断；双副本、三副本、纠删码等多副本方案，防止数据丢失，让数据更安全；灵活的外设管控、软客户端数据管控、利旧终端数据拷贝控制、水印等，从终端侧保障数据安全，为药企打造7*24小时的实验环境。

锐捷网络，深入政策及趋势研究，深耕医药客户的场景，贴近医药客户进行产品方案设计和创新，助力药企完成“制造”到“智造”，实现研发、生产、流通和终端消费全链条的质量提升。