基于等級(jí)保護(hù)下的疾病預(yù)防控制信息系統(tǒng)網(wǎng)絡(luò)安全體系建設(shè)

張曄

摘要：當(dāng)前信息化與疾病預(yù)防控制體系結(jié)合日益密切，在帶來顯著便利的同時(shí)也對(duì)網(wǎng)絡(luò)信息安全造成嚴(yán)峻考驗(yàn)。各級(jí)疾控機(jī)構(gòu)應(yīng)基于等級(jí)保護(hù)機(jī)制建立完善的網(wǎng)絡(luò)安全體系，保證疾病預(yù)防控制信息安全。

關(guān)鍵詞：疾病預(yù)防控制;等級(jí)保護(hù);網(wǎng)絡(luò)安全體系

中圖分類號(hào)：TP393? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）09-0041-02

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

建立網(wǎng)絡(luò)安全體系是疾病預(yù)防控制領(lǐng)域信息化建設(shè)的重要步驟，各機(jī)構(gòu)在明確網(wǎng)絡(luò)安全重要性的基礎(chǔ)上結(jié)合等級(jí)保護(hù)機(jī)制，建立完善可行的網(wǎng)絡(luò)安全機(jī)制保證疾病預(yù)防控制信息系統(tǒng)的安全穩(wěn)定。

1 信息系統(tǒng)安全風(fēng)險(xiǎn)因素綜述

在我國(guó)現(xiàn)行疾病預(yù)防控制體系中通過應(yīng)用信息系統(tǒng)增強(qiáng)便捷性和業(yè)務(wù)效率，但是有關(guān)信息系統(tǒng)的安全問題隨之而來。綜合來看我國(guó)疾病預(yù)防控制信息化體系中存在的安全隱患包括如下幾個(gè)方面：

1.1 人為能動(dòng)因素

據(jù)統(tǒng)計(jì)造成我國(guó)疾病預(yù)防體系信息系統(tǒng)出現(xiàn)安全事件的最主要因素是人為所致。信息系統(tǒng)價(jià)值的體現(xiàn)需要疾控中心工作人員的合理熟練操作為基礎(chǔ)，但是該類人員并非計(jì)算機(jī)或信息行業(yè)專業(yè)人員，信息化系統(tǒng)操作能力參差不齊，部分年齡較大的工作人員對(duì)信息化系統(tǒng)的認(rèn)識(shí)以及操作水平均有所欠缺;在無法充分掌握信息系統(tǒng)操作要領(lǐng)的情況下往往出現(xiàn)主動(dòng)操作性錯(cuò)誤，進(jìn)而影響到系統(tǒng)的安全運(yùn)行，一些較為嚴(yán)重的操作錯(cuò)誤甚至?xí)斐尚畔⑾到y(tǒng)整體性癱瘓。疾控中心部分工作人員存在利用上班工作時(shí)間處理私事或下載大容量文件的行為，上述行為均會(huì)占用大量的網(wǎng)絡(luò)資源并對(duì)信息系統(tǒng)的穩(wěn)定運(yùn)行造成消極影響;另外網(wǎng)絡(luò)中的部分個(gè)人行為還會(huì)導(dǎo)致外界網(wǎng)絡(luò)安全因素的侵入，同樣對(duì)疾控中心信息系統(tǒng)安全體系造成影響。

近年以來，各種類型的網(wǎng)絡(luò)病毒層出不窮，在攻擊用戶個(gè)人電腦的同時(shí)也對(duì)具有相當(dāng)規(guī)模的信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)與安全體系造成嚴(yán)重威脅。編寫開發(fā)程序的人往往具備較高的信息化水平，而疾控中心在構(gòu)建信息系統(tǒng)安全體系方面是缺乏專業(yè)經(jīng)驗(yàn)的，理論上很容易遭受黑客病毒的攻擊;攻擊者通過病毒攻擊能夠破解疾控信息系統(tǒng)的安全體系并獲取密碼、密鑰等重要信息，從而隨心所欲進(jìn)入系統(tǒng)并獲取有關(guān)疾控工作的重要敏感信息，造成醫(yī)患信息的泄漏導(dǎo)致惡劣的社會(huì)影響。可見從多方面杜絕人為主觀能動(dòng)因素的影響是保證信息系統(tǒng)安全必須采取的措施。

1.2 外界環(huán)境因素

當(dāng)前各大疾控中心伴隨著業(yè)務(wù)信息的規(guī)模的擴(kuò)大逐步建立自建機(jī)房，其中部署了相當(dāng)數(shù)量的服務(wù)器、交換機(jī)等專業(yè)性設(shè)施。一般情況下高水平、高層次的設(shè)備對(duì)外界環(huán)境因素要求更高，例如多變的天氣因素會(huì)對(duì)機(jī)房、信息系統(tǒng)的正常運(yùn)行造成顯著影響。例如突發(fā)雷電天氣時(shí)，疾控中心信息化體系在沒有建設(shè)完善避雷體系的情況下，應(yīng)對(duì)雷擊天氣的能力明顯不足，部分設(shè)施有可能因?yàn)槔讚籼鞖舛鵁o法正常工作?？諝鉂穸纫蛩赝瑯佑绊懶畔⑾到y(tǒng)的使用效果;信息化系統(tǒng)的硬件設(shè)施多為金屬材質(zhì)，在空氣濕度持續(xù)較大的情況下會(huì)導(dǎo)致信息系統(tǒng)設(shè)施避免的銹蝕，對(duì)設(shè)備的外部結(jié)構(gòu)以及內(nèi)部構(gòu)件造成損壞;空氣過于干燥則意味著灰塵較多，大量灰塵可能會(huì)集聚在服務(wù)器、普通電腦的排風(fēng)扇、硬盤等設(shè)施表面，會(huì)導(dǎo)致風(fēng)扇無法正常工作以及系統(tǒng)設(shè)施的過熱故障;同時(shí)干燥環(huán)境下發(fā)生的靜電因素會(huì)影響到信息系統(tǒng)的正常運(yùn)行甚至人身安全。

部分疾控機(jī)構(gòu)在建設(shè)信息化系統(tǒng)部署場(chǎng)地過程中缺乏有效經(jīng)驗(yàn)，機(jī)房?jī)?nèi)部機(jī)架、服務(wù)器布局不合理，運(yùn)維人員往往需要花費(fèi)較長(zhǎng)時(shí)間才能夠定位目標(biāo)服務(wù)器，不僅不利于維護(hù)工作的開展，同時(shí)也降低對(duì)安全事件的應(yīng)對(duì)能力，嚴(yán)重情況下導(dǎo)致信息化系統(tǒng)長(zhǎng)時(shí)間處于癱瘓狀態(tài)。

1.3 技術(shù)因素

疾病預(yù)防信息系統(tǒng)的建設(shè)水平與地區(qū)經(jīng)濟(jì)發(fā)展水平以及醫(yī)療體系經(jīng)費(fèi)撥款水平密切相關(guān)，可見我國(guó)疾病預(yù)防信息體系的建設(shè)整體來講是參差不齊的。部分地區(qū)疾控信息系統(tǒng)體系的建設(shè)受技術(shù)因素影響處于較低水平，具體表現(xiàn)為沒有專業(yè)的信息系統(tǒng)設(shè)施存放維護(hù)場(chǎng)地、疾控中心內(nèi)部硬件、軟件設(shè)施相對(duì)老舊等，進(jìn)而導(dǎo)致疾控中心網(wǎng)絡(luò)安全體系建設(shè)停滯不前。同時(shí)疾控中心也未對(duì)現(xiàn)有設(shè)施開展必要的維護(hù)工作，在應(yīng)對(duì)系統(tǒng)缺陷方面能力嚴(yán)重不足，不利于疾控工作的開展。

1.4 管理態(tài)度因素

高質(zhì)量的疾控信息系統(tǒng)安全體系離不開疾控管理層對(duì)網(wǎng)絡(luò)安全因素的高度重視。據(jù)統(tǒng)計(jì)引發(fā)疾控信息系統(tǒng)安全隱患事件的原因之一在于管理層未能充分認(rèn)識(shí)網(wǎng)絡(luò)安全體系的重要性;管理層未針對(duì)疾控信息系統(tǒng)的安全因素建立配套的安全管理機(jī)制，未能實(shí)現(xiàn)安全維護(hù)責(zé)任落實(shí)到人，直接導(dǎo)致疾控中心內(nèi)部網(wǎng)絡(luò)安全流程混亂、權(quán)責(zé)不明確，針對(duì)出現(xiàn)的網(wǎng)絡(luò)安全事件無法建立切實(shí)可行的解決方案，只能通過求助于專業(yè)運(yùn)維隊(duì)伍解決問題。另外對(duì)于網(wǎng)絡(luò)安全事件的總結(jié)與回顧工作并不到位，一套完善的網(wǎng)絡(luò)安全體系需要管理方組織人員不斷回顧總結(jié)并積累經(jīng)驗(yàn)，為開展下一步安全維護(hù)工作奠定基礎(chǔ);遺憾的是相當(dāng)數(shù)量的疾控機(jī)構(gòu)并不夠重視對(duì)安全事件的回顧工作，導(dǎo)致安全事件處理經(jīng)驗(yàn)積累淡薄的同時(shí)降低安全事件的處理效率。

2 信息系統(tǒng)安全策略分析

通過對(duì)安全風(fēng)險(xiǎn)因素的分析看出建立信息系統(tǒng)網(wǎng)絡(luò)安全體系的重要性，并由此制定網(wǎng)絡(luò)安全體系中所應(yīng)遵循的策略。首先疾控中心由上至下均應(yīng)樹立網(wǎng)絡(luò)安全意識(shí)，明確網(wǎng)絡(luò)安全對(duì)疾控信息系統(tǒng)正常運(yùn)行的重要性;只有建立高效可行的網(wǎng)絡(luò)安全體系，才能保證信息系統(tǒng)實(shí)現(xiàn)較高的工作效率。管理層在充分認(rèn)知網(wǎng)絡(luò)安全重要性的基礎(chǔ)上從人力、物力等方面不斷加大投入，積極引進(jìn)專業(yè)化的技術(shù)人才并建立信息化科室部門專門負(fù)責(zé)疾控中心的信息安全工作，并通過向先進(jìn)單位學(xué)習(xí)構(gòu)建使用本機(jī)構(gòu)實(shí)際情況的網(wǎng)絡(luò)安全管理機(jī)制。疾控領(lǐng)域的主管機(jī)構(gòu)同樣應(yīng)當(dāng)高度重視安全問題并意識(shí)到網(wǎng)絡(luò)安全不良事件引發(fā)的嚴(yán)重社會(huì)影響，通過加大宣傳力度并組織下屬機(jī)構(gòu)負(fù)責(zé)人學(xué)習(xí)強(qiáng)調(diào)網(wǎng)絡(luò)安全意識(shí)，將信息系統(tǒng)安全性理念覆蓋到疾控體系的每個(gè)角落，通過建立垂直化的安全管理模式真正做到責(zé)任落實(shí)到人，并動(dòng)員所有力量參與到網(wǎng)絡(luò)安全建設(shè)之中，從而達(dá)到網(wǎng)絡(luò)安全的相關(guān)要求。

加強(qiáng)對(duì)信息化系統(tǒng)使用行為的管理也是保證信息網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)安全的重要手段;在建立安全責(zé)任理念的基礎(chǔ)上由專業(yè)人員管理維護(hù)信息系統(tǒng)的安全，同時(shí)建立相關(guān)聯(lián)的網(wǎng)絡(luò)管理制度的安全制度，規(guī)定工作人員操作信息系統(tǒng)中的各種行為，在保證提醒操作行為規(guī)范性的基礎(chǔ)上避免網(wǎng)絡(luò)安全隱患因素的影響。例如部分疾控機(jī)構(gòu)將上網(wǎng)行為分析路由器應(yīng)用到機(jī)構(gòu)的網(wǎng)絡(luò)安全體系建設(shè)中，管理員通過登錄路由器軟件界面即可查看并管理工作人員的上網(wǎng)行為，從而及時(shí)避免不安全因素的影響并提升網(wǎng)絡(luò)資源的利用效率。網(wǎng)絡(luò)安全體系中還應(yīng)當(dāng)體現(xiàn)對(duì)信息系統(tǒng)設(shè)施的運(yùn)維工作，維護(hù)人員應(yīng)當(dāng)嚴(yán)格按照制定的運(yùn)維標(biāo)準(zhǔn)對(duì)疾控中心信息系統(tǒng)相關(guān)軟硬件進(jìn)行維護(hù)，及時(shí)發(fā)現(xiàn)軟硬件設(shè)施存在的隱患并排除;同時(shí)樹立所有工作人員安全使用網(wǎng)絡(luò)的意識(shí)，將網(wǎng)絡(luò)安全融入疾控中心工作的每個(gè)環(huán)節(jié)。

針對(duì)機(jī)房中服務(wù)器、三層交換機(jī)等設(shè)備應(yīng)當(dāng)制定專有安全策略;網(wǎng)絡(luò)維護(hù)人員或安全人員應(yīng)當(dāng)對(duì)疾控中心自建機(jī)房進(jìn)行周期性維護(hù)巡檢工作，根據(jù)信息系統(tǒng)使用需要對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行必要的升級(jí)。維護(hù)部門應(yīng)當(dāng)加大對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器的監(jiān)督力度，通過專業(yè)化的監(jiān)控軟件實(shí)現(xiàn)對(duì)機(jī)房?jī)?nèi)服務(wù)器的24小時(shí)實(shí)時(shí)監(jiān)控，且網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)以日志文件形式保存，方便運(yùn)維人員檢索查取。常規(guī)網(wǎng)絡(luò)設(shè)備監(jiān)控工作可以按照既定規(guī)則進(jìn)行，在實(shí)時(shí)監(jiān)管網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)活動(dòng)的基礎(chǔ)上保證系統(tǒng)使用安全。針對(duì)交換機(jī)等網(wǎng)絡(luò)設(shè)備的管理還應(yīng)當(dāng)考慮網(wǎng)絡(luò)資源分配問題，在不超出現(xiàn)有資源的前提下保證各科室的網(wǎng)絡(luò)資源分配平衡，并根據(jù)使用中可能出現(xiàn)的資源分配不均現(xiàn)象制定配套應(yīng)對(duì)方案。

服務(wù)器的正常運(yùn)行對(duì)外部環(huán)境因素要求較高，在建立服務(wù)器安全體系時(shí)需要考慮到自然因素對(duì)服務(wù)器工作性能的影響。在維護(hù)工作中需要保證服務(wù)器運(yùn)行環(huán)境滿足最佳的溫度、濕度條件，避免由于外界自然條件變化導(dǎo)致服務(wù)器配件損壞或工作性能降低現(xiàn)象，對(duì)服務(wù)器存放環(huán)境中的物理因素控制則采取同樣方式。網(wǎng)絡(luò)安全部門應(yīng)當(dāng)建立對(duì)服務(wù)器設(shè)備的遠(yuǎn)程管理維護(hù)機(jī)制，通過專業(yè)軟件實(shí)現(xiàn)對(duì)機(jī)房中服務(wù)器的監(jiān)管維護(hù)，及時(shí)發(fā)現(xiàn)服務(wù)器工作中的異常現(xiàn)象并加以解決。另外維護(hù)人員需要開展對(duì)服務(wù)器設(shè)備的定期維護(hù)工作，通過周期性維護(hù)確定服務(wù)器當(dāng)前的工作狀態(tài)以及硬件配置的完好程度;在維護(hù)過程中應(yīng)當(dāng)對(duì)服務(wù)器軟件進(jìn)行定期升級(jí)并更新木馬病毒庫，提升服務(wù)器抵御外界病毒因素侵?jǐn)_的能力。當(dāng)前端口攻擊成為影響服務(wù)器安全狀態(tài)的重要因素，在服務(wù)器維護(hù)策略中應(yīng)當(dāng)注重對(duì)端口的監(jiān)管和控制，對(duì)長(zhǎng)時(shí)間不使用的端口要及時(shí)關(guān)閉，避免外界病毒或不法行為通過閑置端口攻擊服務(wù)器;此外需要開展常規(guī)的數(shù)據(jù)備份恢復(fù)工作，保證服務(wù)器中數(shù)據(jù)要素處于安全環(huán)境下。

3 信息系統(tǒng)安全策略部署

對(duì)信息系統(tǒng)網(wǎng)絡(luò)安全策略的部署則按照等級(jí)保護(hù)的相關(guān)規(guī)章制度與要求進(jìn)行，基于維護(hù)環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)等要素安全的目的，此處采用3級(jí)標(biāo)準(zhǔn)建立網(wǎng)絡(luò)安全體系。具體如下：

3.1外部環(huán)境安全體系

主要體現(xiàn)在服務(wù)器機(jī)房維護(hù)領(lǐng)域，建立機(jī)房能夠承受不高于8級(jí)地震的破壞力度，且機(jī)房的整體建設(shè)符合疾病預(yù)防控制體系中有關(guān)機(jī)房建設(shè)的績(jī)效評(píng)估標(biāo)準(zhǔn)。機(jī)房應(yīng)具備完善的門禁機(jī)制，外部人員在通過指紋驗(yàn)證后方可進(jìn)入機(jī)房。機(jī)房?jī)?nèi)部應(yīng)建立完善齊全的動(dòng)環(huán)監(jiān)控系統(tǒng)，綜合利用中央空調(diào)、備用電源等設(shè)備控制機(jī)房工作的外部環(huán)境因素，并在外界供電中斷時(shí)通過備用電源保證機(jī)房快速恢復(fù)供電。機(jī)房地板材料能夠吸收靜電，避免靜電因素影響服務(wù)器工作。

3.2數(shù)據(jù)安全體系

信息系統(tǒng)數(shù)據(jù)安全體系涵蓋數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)等方面，總體采用VPN虛擬專網(wǎng)形式且各級(jí)別機(jī)構(gòu)使用統(tǒng)一的互聯(lián)網(wǎng)協(xié)議地址;在網(wǎng)絡(luò)接入環(huán)節(jié)中則應(yīng)用SSL協(xié)議，從而確保數(shù)據(jù)使用與接入的安全。且不同機(jī)構(gòu)接收必要的初始化驗(yàn)證后方可建立連接并執(zhí)行數(shù)據(jù)傳輸。在數(shù)據(jù)存儲(chǔ)體系中則針對(duì)存儲(chǔ)數(shù)據(jù)的硬盤做Raid驅(qū)動(dòng)，當(dāng)數(shù)據(jù)存儲(chǔ)主設(shè)施出現(xiàn)故障時(shí)能夠及時(shí)切換到Raid并正常運(yùn)行;另外數(shù)據(jù)存儲(chǔ)硬件應(yīng)具備充足的冗余空間以及備份恢復(fù)能力，實(shí)現(xiàn)對(duì)大量數(shù)據(jù)的安全存儲(chǔ)管理。

3.3系統(tǒng)應(yīng)用安全

該部分安全部署面向用戶的實(shí)際使用、訪問層面，用戶通過疾病預(yù)防控制信息系統(tǒng)獲取數(shù)據(jù)首先要接受對(duì)本人身份的驗(yàn)證，驗(yàn)證通過后方可訪問權(quán)限范圍內(nèi)的數(shù)據(jù)信息;在認(rèn)證用戶身份過程中利用到CA數(shù)字認(rèn)證技術(shù)，通過用戶身份的嚴(yán)格認(rèn)定保證數(shù)據(jù)被安全使用。同時(shí)用戶在注冊(cè)信息系統(tǒng)時(shí)應(yīng)當(dāng)使用相對(duì)復(fù)雜的密碼，若用戶注冊(cè)的密碼未能達(dá)到系統(tǒng)要求則注冊(cè)行為不通過，從而保證用戶個(gè)人信息的安全。

4 結(jié)束語

網(wǎng)絡(luò)安全體系的建設(shè)是保證疾病預(yù)防控制信息安全的重要舉措，各級(jí)疾控機(jī)構(gòu)應(yīng)當(dāng)在發(fā)揮網(wǎng)絡(luò)安全體系作用、落實(shí)網(wǎng)絡(luò)安全防控任務(wù)的基礎(chǔ)上不斷總結(jié)并推陳革新，推動(dòng)網(wǎng)絡(luò)安全建設(shè)再上新臺(tái)階。

參考文獻(xiàn)：

[1] 劉軍，韓冬，黃家忠，等.基于等級(jí)保護(hù)下的疾病預(yù)防控制信息系統(tǒng)網(wǎng)絡(luò)安全體系建設(shè)[J].職業(yè)與健康，2018，34（13）：1860-1862.

[2] 傅罡，王俊玲.中國(guó)疾病預(yù)防控制中心信息安全等級(jí)保護(hù)建設(shè)探析[J].中國(guó)公共衛(wèi)生管理，2013，29（1）：56-58.

[3] 黃家忠，韓冬，許寧，等.天津市疾病預(yù)防控制體系信息化建設(shè)現(xiàn)況調(diào)查[J].職業(yè)與健康，2019，35（4）：552-554.

[4] 趙呈東.啟明星辰基于等級(jí)保護(hù)的安全保障體系建設(shè)解決方案[J].信息網(wǎng)絡(luò)安全，2007（11）：23.

【通聯(lián)編輯：光文玲】