疾控系統信息安全建設探析

摘要：隨著時代的不斷發展，疾控中心作為衛生健康行業中的一員，相關信息系統在疾病預防控制領域起到了重要的支撐作用，但是隨之產生的信息安全問題，也需要引起單位的足夠重視。因此如何才能做好疾控相關系統信息安全的保護，避免其受到威脅與破壞，積極幫助疾控信息系統夯實其管理基礎，確保信息的可用性、完整性、可靠性，就成為當前疾控信息化建設的關鍵環節。

關鍵詞：疾控系統;信息安全;衛生系統

一、疾控相關系統信息安全面臨的問題

（一）內部人員操作失誤或惡意損壞

內部人員在管理業務數據時可能會出現失誤，比如格式化硬盤、永久性刪除重要文件或者相關管理人員對信息系統進行了不當權限設置等，使得信息安全出現問題。也不排除一些員工為了個人利益而將大量業務數據出售給其他公司來獲得報酬。甚至出現員工離職前，在單位還沒來得及解除其內部信息系統權限前，盜走相關的涉密機密文件。這種情況雖然比較少，但是也不排除有發生的可能。[1]

（二）儲存介質損壞

由于單位信息系統涉及運用敏感數據進行分析研究，相關的數據存儲會通過外部存儲進行加密保存，如U盤、光盤等介質。但是經常會出現保存方式不當而導致U盤損壞，無法讀取U盤數據的情況。同時，還存在因為工作人員疏忽而導致U盤丟失的情況。這些情況都會造成涉密數據的丟失。

（三）來自網絡外部的惡意攻擊

網絡外部的惡意攻擊主要是局域網外部的惡意攻擊，他們會有選擇地破壞網絡信息的有效性和完整性，偽裝為合法用戶進入網絡并占用大量資源，修改網絡數據、竊取、破譯機密信息、破壞軟件執行，造成在中間站點攔截和讀取絕密信息等危害。

（四）網絡軟件系統的漏洞和“后門”

在計算機網絡安全領域，漏洞是軟硬件或策略上的缺陷，這種缺陷導致非法用戶未經授權而獲得訪問系統的權限或提高其訪問權限。有了這種訪問權限，非法用戶就可以為所欲為，從而造成對網絡安全的威脅。后門是軟件硬件制造者為了進行非授權訪問而在程序中故意設置的萬能訪問口令。這些口令無論是被攻破還是只掌握在制造者手中，都對使用者的系統安全構成嚴重的威脅。

二、加強相關系統信息安全防護的措施

（一）持續提高思想認識，明確落實各方責任

要明確網絡和數據安全責任，加強網絡安全相關內容的培訓，讓單位每一位員工都具備網絡安全底線意識。按照“誰主管誰負責，誰使用誰負責”原則，加強對本區疾控相關信息系統的安全管理。進一步加強組織領導，完善制度建設，明確分工，健全工作責任制并落實信息系統安全管理的責任追究制度。定期開展系統相關重點崗位人員的安全保密簽約并開展人員執行情況審查。完善開展信息系統責任管理單位與下級使用單位的安全承諾責任簽約。梳理開展系統責任管理單位與提供系統服務第三方單位的保密協議簽訂工作和涉及服務人員的背景審查。

（二）制定各項防范措施，不斷提高網絡安全防護能力

正確執行疾控重要信息系統安全等級保護建設工作，以網絡安全事件、安全檢查、安全測試為問題導向落實各項技術防范措施，涉敏感信息的系統按規定完成信息系統安全保護定級、備案和測評整改。

1.網絡和應用安全

疾控重要信息系統按網絡安全等級保護要求進行防護，實施業務系統網絡與互聯網安全隔離，對網絡接入端制定統一防范措施，按要求建立基于CA的數字證書身份認證，對使用基于互聯網的虛擬專網接入的系統，在每次用戶登錄虛擬網系統時，需要使用符合要求的數字證書進行用戶身份鑒別，對用戶身份鑒別數據進行保密性和完整性的相關措施，保護應按照《網絡安全法》要求，所有網絡安全日志留存不少于6個月。

2.病毒防范

應該為所有運行終端和服務器安裝防病毒軟件，并及時更新病毒庫版本，所有操作系統及系統軟件做到最新補丁的升級。禁止所有運行終端、服務器、網絡設備和安全設備使用弱口令，并定期檢查賬號權限分配，及時注銷無效賬戶。限制超級賬號、默認賬號的使用，禁止共享賬號。關閉所有運行終端和服務器、網絡設備、安全設備的病毒傳播高危端口。

3.系統安全

所有數據庫及應用均定期開展數據備份及數據恢復演練工作。核心數據庫的備份周期不低于24小時，演練周期不低于1個月。備份數據庫應做到異地存放。明確在合同或協議中要求外包開發服務商在系統交付時提供源代碼，并對核心業務系統開展信息系統源代碼安全審查工作。要求并督促使用單位不得擅自修改部署系統接入的客戶端程序。

4.數據安全

明確數據的收集、傳輸、使用、存儲、銷毀等全生命周期的管理要求，并在數據的傳輸和存儲過程中采取加密措施，不得將業務數據存放在連接互聯網設備中。在收集個人信息時，遵循合法、正當、必要的原則，公開收集和使用規則，明示收集和使用信息的目的、方式及范圍并經收集者同意持續加強數據使用監管，對于涉及公民個人隱私信息和業務敏感信息的數據使用，盡量做到不離開服務器，并將數據使用權限具體落實到每個系統使用者身上，實現精細化管理。

（三）重視重大活動或突發事件間敏感期期間的信息系統安全工作

要重視重大活動或突發事件敏感期期間的信息系統安全工作，例如這次的疫情，必須保障系統數據上報的完整性、及時性，因為這關乎著疫情的防控。所以在今后的工作中應保障各項措施落實到位，進一步健全信息系統應急預案，提高網絡安全事件處置能力，加強應急執守工作，認真做好疾控重要信息系統運行監控和信息通報工作。

三、結語

總而言之，隨著《網絡安全法》的落實，我們應該按照相關法律，認真執行有關要求，要充分認識到我們所涉及的信息系統關系到政治安全和民生安全，因此建立一套完整的信息安全體系，才能為健康行業守住健康。

參考文獻：

[1]杜功輝.企業內部網絡的安全管理與防范措施[J].科技與創新，2015（15）.

作者簡介：黃志剛（1984—），男，漢族，上海人，本科，中級職稱，研究方向：繼續教育。