淺談泰州市疾控中心網絡安全監管與防護

孫鋒 泰州市疾病預防控制中心

前言：信息時代的飛速發展給大家生活帶來了很多便利，但是同時也帶來了更多的網絡安全風險，個人隱私的泄露會對社會及個人造成嚴重的不良影響，疾控中心掌握著新生兒出生信息，慢病患者個人信息等重要信息，明確網絡安全風險，及時發現安全漏洞并采取針對性的保護措施，將能夠保障疾控信息系統的安全運行，對防止隱私信息泄露，保證社會安定具有極大的現實意義。

1.疾控計算機網絡面臨的安全威脅

1.1 自然災害

計算機設備處在一個物理環境中，溫度，濕度對設備的運行都會產生影響，另外大自然中的一些不可抗力如雷電，水災，火災，地震等都會對計算機的物理環境產生毀滅性的影響，因此抗災難能力的缺乏是計算機網絡面臨的重要威脅之一。

1.2 網絡工作人員的安全意識

在疾控系統使用操作和維護的過程中，相關從業人員缺少良好的安全意識，存在不良的操作習慣，用戶口令設置過于簡單，對口令的保護意識不強并且未做到定期更換用戶口令，導致口令很容易被破解；未對不同用戶設置不同的權限等級；對于外設接入服務器未提前檢查殺毒；對進出機房的人員缺少必要的監管。安全意識的缺乏是威脅網絡安全的主要原因。

1.3 安全防護設備的缺乏

很多疾控單位由于信息化建設的資金有限，無法購置必要的安全防護設備，如網閘、Web防火墻、堡壘機，入侵防御，防毒墻等。黑客入侵或者病毒入侵變得非常容易，導致重要信息的泄露，造成無法估量的損失。

1.4 計算機病毒

計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者數據的代碼，能影響計算機使用，能自我復制的一組計算機指令或者程序代碼。它具有傳播性、潛伏性、可激發性、表現性或破壞性。病毒的種類大體分為木馬病毒、系統病毒、蠕蟲病毒、腳本病毒，宏病毒等。在2017年造成極大破壞的勒索病毒永恒之藍就是蠕蟲病毒，給社會帶來了極大的恐慌和損失。隨著安全設備的進步，病毒的更新速度也在不斷加快，傳播范圍更加廣泛，更加難以發現。

1.5 應用開發過程中存在的安全隱患

一些應用軟件在開發過程中，由于開發人員的疏忽或者為了能夠在軟件創建后便于修改程序中的缺陷，方便測試便會設置一些后門。這種便利卻為黑客提供了可乘之機，往往會通過后門植入病毒或者竊取重要數據。

1.6 系統本身的脆弱性

在我們日常使用電腦過程中，系統經常會提示我們修復補丁，而日常使用率非常之高的winXP系統早已停止更新補丁。補丁更新往往會滯后，因此系統自身的脆弱性也給黑客留下了機會。

1.7 惡意攻擊

惡意攻擊分為主動攻擊和被動攻擊。主動攻擊有偽裝、重放、篡改信息流和拒絕服務攻擊等；被動攻擊有偵收、截獲、竊取、破譯和業務流量分析等。這種攻擊是計算機網絡面臨的最大威脅。

2.疾控中心針對網絡安全的防護策略

2.1 容災備份技術

容災備份分為本地容災和異地容災。本地容災適用于區域范圍小、容災級別并不很高的環境，通過對業務系統的有效冗余和對失效點的切換來實現一般有雙機熱備技術和本地集群技術。異地容災是指生產中心與備份中心在設計保持一定物理距離，通過遠程容災技術保障數據安全和業務連續性。這兩種容災技術的使用有利于數據機房應對各種自然災害帶來的影響。同時數據機房在建設時也需要充分考慮到抗震，防雷與消防安全措施。

2.2 人員安全意識的提高

中心需要按照等級保護的要求，設立網絡安全和信息化領導小組。由于疾控中心相對來說科室較多，中心各部門主要負責人需要一一簽署網絡安全責任書，承擔起本科室的網絡安全監管責任。綜合業務辦作為負責信息化建設的主要科室，需要每年度安排一次網絡安全知識講座。考慮到疾控涉及相關的涉密信息，重要崗位負責人需要簽署保密協議。網絡安全管理員不易經常變動，減少內部人員泄密帶來的風險。中心人員需要養成良好的使用習慣，定期更換重要系統的密碼，且滿足密碼復雜度要求，對于外設的接入需進行嚴格的殺毒。絕大多數安全事故都是由于人員操作失誤和不良的操作習慣導致的，因此人員安全意識的提高非常之重要。

2.3 制度的建立

完善的制度體系是構建起安全防護的理論基礎，根據中心實際情況需要建立機房安全管理制度、網絡安全管理制度、系統運行維護制度、系統安全風險管理制度等。考慮到各種可能突發的安全風險需制定相應的應急預案，明確各責任人并且每年至少進行一次應急演練，提高風險應對處理能力。

2.4 安全防護產品的部署

疾控中心的一些信息涉及個人隱私，安全級別需求較高，重要系統需要到達三級等保的要求，安全設備是網絡安全防護的重要工具。但是網絡安全沒有絕對的安全，我們需要充分考慮各種可能存在的安全風險部署安全產品，如堡壘機、防火墻，防毒墻，日志審計、殺入軟件等并在設備上做好安全防護策略。

2.5 安全隧道的建立

系統安全防護到位時也可能由于終端用戶的疏忽帶來涉密數據的泄密。針對終端用戶登錄重要系統時，需要通過VPN登錄。常用的VPN技術有SSL VPN技術和IPsec VPN技術。SSL VPN指的是以HTTPS為基礎的VPN，通過握手協議、記錄協議、警告協議在兩個通信應用程序之間提供私密性和可靠性。IPSec 是網絡層的 VPN技術，工作模式有傳輸模式和隧道模式，它的工作原理類似于包過濾防火墻，對接收到的IP數據包處理并進行丟棄或轉發。我們疾控系統所使用的中國疾病預防控制信息系統就是這兩種隧道結合使用的。

2.6 及時彌補系統安全漏洞

網絡安全風險應對具有時效性的特點，操作系統本身存在一些安全漏洞極易被黑客利用，我們需要在第一時間進行應對處理。例如勒索病毒是通過掃描開放445文件共享端口的Windows設備進行傳播的，在病毒突發時，我們需要及時針對病毒攻擊類型關閉445端口。對于系統發布的補丁要及時更新，確保電腦的補丁是最新版本。

3.結束語

疾控中心承擔著國家的公衛體系建設，涉及眾多隱私數據，網絡安全和數據安全是公衛系統穩定持續發展的前提和保障。在信息化高度發展的今天，信息安全變得越來越重要。我們要從人員技術支持、設備安全支撐、網絡安全策略，安全制度保障等方面同步提高，確保公衛數據的安全性，保密性，為公衛事業的安全穩定的發展做好堅實的后盾。