衛(wèi)生智庫的信息網(wǎng)絡(luò)安全建設(shè)探討

施駿

上海市衛(wèi)生和健康發(fā)展研究中心（上海市醫(yī)學(xué)科學(xué)技術(shù)情報(bào)研究所） 上海 200031

引言

近年來，國家先后頒布了《網(wǎng)絡(luò)安全法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》2.0版等一系列的法律法規(guī)，這一系列法律法規(guī)的頒布，足以證明國家對信息網(wǎng)絡(luò)安全領(lǐng)域越來越重視[1]。習(xí)近平在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上指出：“網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題，要從國際國內(nèi)大勢出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國建設(shè)成為網(wǎng)絡(luò)強(qiáng)國”。

信息網(wǎng)絡(luò)安全之所以引起了人們的重視，不僅是因?yàn)樗鼤?huì)給研究機(jī)構(gòu)帶來巨大的危害，很有可能會(huì)使研究機(jī)構(gòu)蒙受巨大的有型或者無形的損失。此外，也是因?yàn)槠湟呀?jīng)成為影響國家安全的重要因素，直接關(guān)系到國家的金融環(huán)境、意識(shí)形態(tài)、政治氛圍等各個(gè)方面[2]。尤其在衛(wèi)生健康領(lǐng)域，政府、醫(yī)療衛(wèi)生機(jī)構(gòu)、醫(yī)療大數(shù)據(jù)企業(yè)、個(gè)人要在技術(shù)發(fā)展和信息安全之間尋求平衡。無論是科學(xué)研究、智能醫(yī)療技術(shù)創(chuàng)新還是各種信息支持系統(tǒng)的開發(fā)，都應(yīng)在保障個(gè)人信息安全的基礎(chǔ)上進(jìn)行。

因此，本文對國內(nèi)衛(wèi)生智庫行業(yè)信息網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行分析，討論如何加快衛(wèi)生智庫行業(yè)的信息網(wǎng)絡(luò)安全建設(shè)步伐，以應(yīng)對層出不窮的安全問題。

1 衛(wèi)生智庫信息網(wǎng)絡(luò)安全現(xiàn)狀

我國衛(wèi)生智庫的興起可以追溯到新醫(yī)改，伴隨著醫(yī)療衛(wèi)生體制改革的深入推進(jìn)，醫(yī)療衛(wèi)生事業(yè)的發(fā)展對于決策科學(xué)化的要求日益提高[3]。從2009至2020年，我國衛(wèi)生健康智庫發(fā)展較為快速，衛(wèi)生智庫在一些經(jīng)濟(jì)發(fā)展水平較高、優(yōu)質(zhì)醫(yī)療資源豐富的地區(qū)建立，如北京、上海、深圳、哈爾濱等城市，均成立了隸屬于衛(wèi)生健康行政主管部門的衛(wèi)生發(fā)展研究中心。這些衛(wèi)生發(fā)展研究中心是我國衛(wèi)生智庫建設(shè)的代表，在推動(dòng)我國醫(yī)療衛(wèi)生體制改革方面發(fā)揮了重要的積極作用。就目前從我國政府下設(shè)的幾個(gè)典型衛(wèi)生智庫來看，其信息部門多數(shù)是在綜合部門內(nèi)設(shè)，如北京：國家衛(wèi)生健康委衛(wèi)生發(fā)展研究中心信息部門設(shè)在綜合處內(nèi)、上海：上海市衛(wèi)生和健康發(fā)展研究中心信息部門設(shè)在綜合辦內(nèi)、哈爾濱：黑龍江省衛(wèi)生健康發(fā)展研究中心信息部門設(shè)在綜合科內(nèi)，僅有深圳：深圳市衛(wèi)生健康發(fā)展研究中心有獨(dú)立信息部門，這也是制約其信息建設(shè)發(fā)展的因素之一。目前網(wǎng)絡(luò)安全方面存在的問題主要有以下幾點(diǎn)。

1.1 信息網(wǎng)絡(luò)安全意識(shí)淡薄

當(dāng)今社會(huì)，隨著網(wǎng)絡(luò)的不斷發(fā)展，人們在忙于學(xué)習(xí)、工作和娛樂的同時(shí)，卻忽視了網(wǎng)絡(luò)信息的安全性，只有當(dāng)身邊發(fā)生了信息安全事件，才會(huì)意識(shí)到這一點(diǎn)。而這樣淡薄的安全意識(shí)，與他們在日常使用計(jì)算機(jī)過程中不規(guī)范的操作不無聯(lián)系[4]。這主要表現(xiàn)在以下幾點(diǎn)：①有員工為了獲取瀏覽速度，擅自關(guān)閉殺毒軟件、防火墻；②當(dāng)員工收到帶有鏈接的電子郵件時(shí)，不仔細(xì)檢查URL的拼寫和發(fā)件人信息，隨意點(diǎn)擊鏈接；③隨意連接不可信的Wi-Fi站點(diǎn)，導(dǎo)致信息泄露；④為了使用方便，將敏感信息上傳在個(gè)人網(wǎng)盤；⑤使用個(gè)人郵箱發(fā)送業(yè)務(wù)數(shù)據(jù)，造成數(shù)據(jù)泄密；⑥為了簡單易記，使用弱口令， 導(dǎo)致被撞庫；⑦不設(shè)置屏幕密碼，導(dǎo)致未經(jīng)授權(quán)的使用。以上種種，不僅給個(gè)人終端造成安全風(fēng)險(xiǎn)，同時(shí)也為機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)造成危害。

1.2 辦公場所無線網(wǎng)絡(luò)安全措施薄弱

相比于醫(yī)療機(jī)構(gòu)，衛(wèi)生智庫的機(jī)構(gòu)規(guī)模和資金方面都相對較弱，因此容易忽視辦公場所Wi-Fi系統(tǒng)的防控措施。加之如果不對無線數(shù)據(jù)傳輸加密，無線數(shù)據(jù)以明文方式發(fā)送，將會(huì)導(dǎo)致這個(gè)無線信號(hào)覆蓋范圍內(nèi)的任何人都可以掃描和截獲經(jīng)由這個(gè)無線站點(diǎn)的所有數(shù)據(jù)。如果無線信號(hào)采用的是弱密碼，那么使用者則可以輕而易舉的進(jìn)入內(nèi)部網(wǎng)絡(luò)，從而探測到網(wǎng)絡(luò)中其他無線客戶端設(shè)備。如果再通過對無線局域網(wǎng)的滲透，進(jìn)入到內(nèi)部有線網(wǎng)絡(luò)，就能徹底攻陷機(jī)構(gòu)的局域網(wǎng)，將會(huì)造成難以估量的損失。且由于缺少防控設(shè)備，事后也很難找到相應(yīng)的網(wǎng)絡(luò)使用日志信息，難以追查。因此，加強(qiáng)無線網(wǎng)絡(luò)安全，不僅是為了保證Wi-Fi通信數(shù)據(jù)的安全，也是為了保障機(jī)構(gòu)內(nèi)部的信息網(wǎng)絡(luò)安全。

1.3 信息網(wǎng)絡(luò)安全人員配置欠缺

衛(wèi)生健康行業(yè)的網(wǎng)絡(luò)安全工作對復(fù)合型、融合型人才提出了更高的要求。從工作要求看，可分為數(shù)據(jù)管理員、業(yè)務(wù)管理員、信息化技術(shù)人員等；從管理要求看，可分為網(wǎng)絡(luò)管理員、運(yùn)維保障人員等。衛(wèi)生智庫可以算是衛(wèi)生健康行業(yè)的一個(gè)分支，雖然在工作要求上不同，但在管理要求上基本一致。

而我國網(wǎng)絡(luò)安全人才又是嚴(yán)重缺乏的，目前網(wǎng)絡(luò)安全人才的缺口總量超100萬人，且每年以1.5萬人的速度遞增，供求很不平衡。人才嚴(yán)重缺乏的原因和此前在網(wǎng)絡(luò)安全教育領(lǐng)域的投入不足有很大關(guān)系。大環(huán)境尚且如此，衛(wèi)生健康行業(yè)也不例外，衛(wèi)生智庫行業(yè)則更為明顯，尤其是在網(wǎng)絡(luò)安全人員的配置上。

1.4 信息網(wǎng)絡(luò)安全制度不完善

隨著科學(xué)技術(shù)水平的提升，各行各業(yè)對互聯(lián)網(wǎng)的應(yīng)用更加倚重，隨之而來的網(wǎng)絡(luò)安全事件也頻頻發(fā)生。對此我國多個(gè)重要網(wǎng)絡(luò)安全法規(guī)的出臺(tái)，加速推進(jìn)了中國信息安全建設(shè)，進(jìn)一步規(guī)范網(wǎng)絡(luò)行為，從而降低因信息泄露造成的損失[5]。但在實(shí)際工作中，往往會(huì)因?yàn)橹贫嚷鋵?shí)不到位，工作人員麻痹大意執(zhí)行力不強(qiáng)，以及相關(guān)的管理制度不健全，最終導(dǎo)致網(wǎng)絡(luò)信息安全隱患。

2 衛(wèi)生智庫網(wǎng)絡(luò)安全防護(hù)措施

2.1 提高員工網(wǎng)絡(luò)安全意識(shí)，定期開展網(wǎng)絡(luò)安全培訓(xùn)

本著“控制源頭、加強(qiáng)檢查、明確責(zé)任、落實(shí)制度”的指導(dǎo)思想，機(jī)構(gòu)應(yīng)對網(wǎng)絡(luò)安全做到分工明確,責(zé)任具體到人。確保信息網(wǎng)絡(luò)安全防范制度落實(shí)到位，將網(wǎng)絡(luò)信息安全工作切實(shí)做到防微杜漸，把不安全苗頭消除在萌芽狀態(tài)。建議機(jī)構(gòu)可以在以下幾點(diǎn)開展工作。

2.1.1 加強(qiáng)信息安全建設(shè)活動(dòng)。定期修訂和完善網(wǎng)絡(luò)安全管理制度，加強(qiáng)網(wǎng)絡(luò)硬件、軟件安全性建設(shè)，年度可以開展網(wǎng)絡(luò)安全活動(dòng)方案和考核辦法，樹立優(yōu)秀典型，推廣先進(jìn)經(jīng)驗(yàn),促進(jìn)信息網(wǎng)絡(luò)安全工作。

2.1.2 開展網(wǎng)絡(luò)安全教育、進(jìn)行現(xiàn)場實(shí)操演練。理論與實(shí)踐相結(jié)合，可以采用購買服務(wù)的方式，請專業(yè)的第三方網(wǎng)絡(luò)安全公司定期為員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)及實(shí)戰(zhàn)演練。讓員工進(jìn)一步了解網(wǎng)絡(luò)安全的重要性，增強(qiáng)網(wǎng)絡(luò)安全意識(shí),提高網(wǎng)絡(luò)安全防范能力。

2.1.3 積極開展“信息網(wǎng)絡(luò)安全”宣傳活動(dòng)，做到預(yù)防為主，教育在先。要堅(jiān)持依法上網(wǎng)，自覺遵守憲法和互聯(lián)網(wǎng)相關(guān)法律法規(guī)，履行自己應(yīng)有的社會(huì)責(zé)任。同時(shí)也要帶動(dòng)身邊的同事，共同維護(hù)機(jī)構(gòu)信息系統(tǒng)的網(wǎng)絡(luò)安全。加強(qiáng)機(jī)構(gòu)網(wǎng)絡(luò)安全宣傳教育工作，讓員工在真實(shí)案例中，學(xué)到并認(rèn)知網(wǎng)絡(luò)泄密的危害，從而起到增強(qiáng)自我保護(hù)意識(shí)。

2.1.4 鼓勵(lì)員工積極參加網(wǎng)絡(luò)安全知識(shí)競賽。知識(shí)競賽也是一項(xiàng)提升員工網(wǎng)絡(luò)安全意識(shí)的好活動(dòng)，員工在競賽活動(dòng)中普及信息安全知識(shí)、提升網(wǎng)絡(luò)安全防護(hù)技能的同時(shí)，檢驗(yàn)了自己對網(wǎng)絡(luò)安全知識(shí)的掌握情況，也激發(fā)了員工學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí)的興趣。起到了提升學(xué)習(xí)效果，真正做到以賽促學(xué)、學(xué)以致用、融會(huì)貫通。

2.2 區(qū)分員工網(wǎng)絡(luò)與訪客網(wǎng)絡(luò)，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)措施

對員工網(wǎng)絡(luò)和訪客網(wǎng)絡(luò)進(jìn)行Vlan劃分，在有條件的情況下，使用不同線入更加穩(wěn)妥，可以最大限度確保員工網(wǎng)絡(luò)資源不被擠占。對訪客網(wǎng)絡(luò)部署符合當(dāng)?shù)毓蚕到y(tǒng)、網(wǎng)監(jiān)要求的互聯(lián)網(wǎng)公共上網(wǎng)場所安全管理設(shè)備；以及滿足一定量人數(shù)并發(fā)的上網(wǎng)安全審計(jì)設(shè)備；建議采取鏡像方式部署，不影響主網(wǎng)功能，設(shè)備故障導(dǎo)致中斷不影響員工使用正常網(wǎng)絡(luò)功能。

2.3 明確網(wǎng)絡(luò)安全管理崗位職責(zé)，健全網(wǎng)絡(luò)安全人員配備

機(jī)構(gòu)應(yīng)設(shè)立信息安全管理工作的職能部門，設(shè)立網(wǎng)絡(luò)安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；此外，應(yīng)根據(jù)等保2.0相關(guān)要求，配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等，一般四級等保系統(tǒng)，需要配備4名網(wǎng)絡(luò)安全人員；三級等保系統(tǒng)，需要配備3名，依次類推；配備專職安全管理員，不可兼任；關(guān)鍵崗位應(yīng)配備多人共同管理。

2.4 建立應(yīng)急網(wǎng)絡(luò)聯(lián)動(dòng)機(jī)制，增強(qiáng)網(wǎng)絡(luò)安全應(yīng)急能力

根據(jù)網(wǎng)絡(luò)安全的發(fā)生原因、性質(zhì)和機(jī)理，網(wǎng)絡(luò)安全主要分為以下三類：攻擊類事件、故障類事件、災(zāi)害類事件。機(jī)構(gòu)應(yīng)建立應(yīng)急網(wǎng)絡(luò)聯(lián)動(dòng)機(jī)制，制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，針對不同等級的突發(fā)公共事件進(jìn)行相應(yīng)的處置工作，并及時(shí)上報(bào)領(lǐng)導(dǎo)及備案。同時(shí)，還應(yīng)加強(qiáng)網(wǎng)絡(luò)安全工作的組織部署及網(wǎng)絡(luò)安全工作的組織部署，做好監(jiān)測預(yù)警通報(bào)工作。還需要明確值班值守職責(zé)任務(wù)，發(fā)現(xiàn)重大、緊急網(wǎng)絡(luò)安全事件應(yīng)立即采取果斷措施，將負(fù)面影響降到最低。

2.5 做好信息安全等級保護(hù)工作，讓信息漏洞消弭于未萌之中

等保就是信息安全等級保護(hù)，網(wǎng)絡(luò)安全法要求網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行信息系統(tǒng)安全保護(hù)義務(wù)，保障信息系統(tǒng)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止信息數(shù)據(jù)泄露或者被竊取、篡改[6]。開展等保是為了通過等級保護(hù)測評工作，及時(shí)去發(fā)現(xiàn)機(jī)構(gòu)信息系統(tǒng)中存在的安全風(fēng)險(xiǎn)和缺陷，通過整改修復(fù)缺陷，從而提高信息系統(tǒng)的信息安全防護(hù)能力。此外，等級保護(hù)是我國關(guān)于信息安全的基本政策，在《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》中，也明確規(guī)定要求我國信息安全保障工作實(shí)行等級保護(hù)制度，提出“抓緊建立信息安全等級保護(hù)制度，制定信息安全等級保護(hù)的管理辦法和技術(shù)指南”[6]。因此，做好信息系統(tǒng)等保測評工作是極為重要的。

2.6 建立信息系統(tǒng)漏洞掃描和終端巡檢機(jī)制

漏洞掃描是基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠(yuǎn)程或者本地計(jì)算機(jī)信息系統(tǒng)的安全脆弱性進(jìn)行檢測，發(fā)現(xiàn)可利用漏洞的一種安全檢測（滲透攻擊）行為。發(fā)現(xiàn)問題就要解決問題，防火墻、入侵檢測設(shè)備就是信息系統(tǒng)中不可或缺安全設(shè)備，它是信息的系統(tǒng)的防護(hù)罩，它能修補(bǔ)漏洞從而提高網(wǎng)絡(luò)的安全性。此外，通過漏洞掃描可以當(dāng)作是一次虛擬攻擊或是攻擊預(yù)警，能夠讓信息安全管理人員發(fā)現(xiàn)機(jī)構(gòu)信息系統(tǒng)的安全漏洞及錯(cuò)誤設(shè)置，在真正的攻擊前做好防范。除了防火墻和入侵檢測設(shè)備的被動(dòng)防御手段，漏洞掃描這種主動(dòng)防范措施也是必不可少的。

如果說漏洞掃描是查找環(huán)境因素，那么終端巡檢則是查找人為因素。在信息網(wǎng)絡(luò)安全隱患中，人為因素也是一個(gè)重要因素。如我們前文提到的擅自關(guān)閉殺毒軟件、防火墻、使用弱口令、隨意安裝未經(jīng)認(rèn)證的軟件等，這些問題都可以在終端巡檢過程中發(fā)現(xiàn)，從而及時(shí)制止因人為因素或操作不當(dāng)而給信息系統(tǒng)帶來不必要的損失或風(fēng)險(xiǎn)。

3 結(jié)束語

信息網(wǎng)絡(luò)安全涉及國家重要基礎(chǔ)設(shè)施、信息產(chǎn)業(yè)、信息系統(tǒng)、公共安全等方方面面,只有信息網(wǎng)絡(luò)安全的可靠運(yùn)行才能使整個(gè)社會(huì)正?？煽窟\(yùn)轉(zhuǎn)。只有做到“硬件過硬”，才能更好防護(hù)信息網(wǎng)絡(luò)安全。我們既要運(yùn)用高科技防護(hù)設(shè)備，又要樹立正確的信息網(wǎng)絡(luò)安全觀，構(gòu)建人防、物防、技防三防結(jié)合，做到“軟硬兼施”，齊頭并進(jìn)，以安全促發(fā)展，以發(fā)展促安全，全力共筑衛(wèi)生智庫行業(yè)的信息網(wǎng)絡(luò)安全防線。