基于信息安全視角的疾控中心檔案信息化建設(shè)路徑研究

摘 要：隨著疾控中心信息化程度的提高，其檔案信息系統(tǒng)面臨著來自外部網(wǎng)絡(luò)的各種攻擊威脅，一旦遭受攻擊便會(huì)導(dǎo)致檔案數(shù)據(jù)被泄露、篡改或丟失，嚴(yán)重影響公共衛(wèi)生工作的開展以及患者隱私保護(hù)。文章聚焦于疾控中心檔案信息化建設(shè)路徑，從信息安全視角展開深入剖析。通過對(duì)疾控中心檔案特點(diǎn)、信息化建設(shè)現(xiàn)狀及信息安全風(fēng)險(xiǎn)的梳理，有針對(duì)性地提出了包括強(qiáng)化技術(shù)防護(hù)、健全管理體系及優(yōu)化法規(guī)適配等多方面的建設(shè)路徑，旨在為疾控中心在保障檔案信息安全的前提下，提高疾控中心公共衛(wèi)生服務(wù)的整體效能與信息安全保障水平。

關(guān)鍵詞：信息安全；疾控中心；檔案建設(shè)；信息化路徑；

中圖分類號(hào)：G270.7 文獻(xiàn)標(biāo)識(shí)碼：A

在當(dāng)今數(shù)字化時(shí)代，信息技術(shù)在各領(lǐng)域廣泛應(yīng)用，疾控中心作為公共衛(wèi)生領(lǐng)域的關(guān)鍵機(jī)構(gòu)，其檔案信息化建設(shè)成為提高工作效率、服務(wù)質(zhì)量以及應(yīng)對(duì)突發(fā)公共衛(wèi)生事件能力的必然選擇。然而，隨著信息化程度的加深，信息安全問題日益凸顯，疾控中心所掌握的大量涉及公共衛(wèi)生、患者隱私等重要檔案信息，一旦遭受信息被泄露或篡改等安全威脅，將對(duì)社會(huì)公共衛(wèi)生事業(yè)造成嚴(yán)重影響。因此，本文旨在探索基于信息安全視角的疾控中心檔案信息化建設(shè)的有效路徑。其理論意義在于豐富檔案信息化及信息安全相關(guān)理論在疾控領(lǐng)域的應(yīng)用研究。實(shí)踐意義則體現(xiàn)在為疾控中心提供切實(shí)可行的建設(shè)方案，確保檔案信息在收集、整理、存儲(chǔ)和利用等環(huán)節(jié)的安全，保障公共衛(wèi)生工作的順利開展，維護(hù)社會(huì)公眾的健康權(quán)益。

一、信息安全的概念與重要性

1.信息安全的概念

信息安全是指為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)及管理的安全保護(hù)，確保信息在其整個(gè)生命周期內(nèi)的保密性、完整性、可用性、可控性和不可否認(rèn)性。保密性旨在防止信息被未經(jīng)授權(quán)的個(gè)人、實(shí)體獲取或泄露，確保只有授權(quán)人員能夠訪問敏感信息，如企業(yè)的商業(yè)機(jī)密、個(gè)人的隱私數(shù)據(jù)等；完整性要求信息在存儲(chǔ)、傳輸和處理過程中保持未被篡改的狀態(tài)，數(shù)據(jù)的任何修改都應(yīng)是經(jīng)過授權(quán)且可追溯的，以保證信息的真實(shí)可靠；可用性意味著信息系統(tǒng)及其中的數(shù)據(jù)應(yīng)隨時(shí)可供授權(quán)用戶正常使用，避免因系統(tǒng)故障、網(wǎng)絡(luò)攻擊等原因?qū)е路?wù)中斷；可控性是指對(duì)信息的傳播及內(nèi)容具有控制能力，能規(guī)范信息的流向和使用范圍；不可否認(rèn)性則確保信息的發(fā)送方和接收方都無法否認(rèn)已發(fā)生的信息交互行為。

2.信息安全的重要性

在數(shù)字化時(shí)代，信息安全至關(guān)重要。從個(gè)人層面看，日常生活充斥著大量的個(gè)人信息，如身份證號(hào)、銀行卡號(hào)等，信息安全一旦失守，個(gè)人隱私將被侵犯，可能遭受詐騙等不法侵害，導(dǎo)致財(cái)產(chǎn)損失甚至人身安全威脅。對(duì)于企業(yè)而言，商業(yè)機(jī)密、客戶資料等信息是其生存發(fā)展的關(guān)鍵。信息被泄露不僅會(huì)損害企業(yè)聲譽(yù)，使其失去客戶信任，還可能導(dǎo)致競(jìng)爭對(duì)手獲取核心優(yōu)勢(shì)，造成巨大經(jīng)濟(jì)損失。在國家層面，政府部門掌握著海量涉及國家安全、社會(huì)穩(wěn)定及經(jīng)濟(jì)運(yùn)行等方面的重要信息，信息安全漏洞可能被不法分子或境外勢(shì)力利用，威脅國家主權(quán)、安全和發(fā)展利益，影響社會(huì)秩序和民眾生活?？傊?，信息安全是保障個(gè)人權(quán)益、企業(yè)發(fā)展以及國家安全的重要防線，必須給予高度重視并采取有效措施加以維護(hù)。

二、疾控中心檔案信息化建設(shè)目前存在的問題

1.信息安全技術(shù)保障不足

疾控中心檔案信息化建設(shè)在技術(shù)層面存在諸多短板，如網(wǎng)絡(luò)安全防護(hù)脆弱、防火墻設(shè)置欠佳，難以抵御黑客攻擊，入侵檢測(cè)系統(tǒng)也不夠靈敏，新型隱蔽攻擊難以及時(shí)察覺，導(dǎo)致檔案信息有被泄露的風(fēng)險(xiǎn)。數(shù)據(jù)加密與存儲(chǔ)方面，重要檔案數(shù)據(jù)加密程度低甚至未加密，存儲(chǔ)設(shè)備易出故障，備份策略不完善，一旦服務(wù)器被破壞或遇到意外，數(shù)據(jù)易丟失或被篡改。身份認(rèn)證與權(quán)限管理混亂，認(rèn)證機(jī)制不嚴(yán)謹(jǐn)，存在弱口令等問題，權(quán)限設(shè)置未按需精準(zhǔn)劃分，不同人員易誤操作或越權(quán)訪問檔案信息，增加信息被泄露的可能性，這些技術(shù)不足嚴(yán)重威脅著檔案信息的安全。

2.信息安全管理體系不完善

管理體系不完善制約著疾控中心檔案信息化建設(shè)中的信息安全保障，管理制度要么缺失，要么落實(shí)不力，缺乏明確各環(huán)節(jié)責(zé)任主體、流程及考核標(biāo)準(zhǔn)的完整制度，即便有制度也未嚴(yán)格執(zhí)行。人員信息安全意識(shí)淡薄且培訓(xùn)匱乏，未充分認(rèn)識(shí)信息被泄露的危害，日常辦公隨意傳輸資料等，也缺乏系統(tǒng)培訓(xùn)計(jì)劃，面對(duì)問題無應(yīng)對(duì)能力。應(yīng)急管理機(jī)制欠缺，未制定詳細(xì)的應(yīng)急預(yù)案，應(yīng)急演練少，突發(fā)信息安全事件時(shí)職責(zé)不明、流程不清，無法迅速有效地應(yīng)對(duì)，導(dǎo)致?lián)p失擴(kuò)大，影響檔案信息系統(tǒng)恢復(fù)運(yùn)行。

3.信息安全法規(guī)政策適配性不足

法規(guī)政策在適配疾控中心檔案信息化建設(shè)上存在問題，針對(duì)性不強(qiáng)，對(duì)處理突發(fā)公共衛(wèi)生事件特殊檔案資料及與外部合作中的信息安全保障缺乏細(xì)致規(guī)定，實(shí)際操作易有風(fēng)險(xiǎn)。執(zhí)行差異大，不同地區(qū)、疾控中心因經(jīng)濟(jì)和重視程度等因素，對(duì)法規(guī)政策執(zhí)行情況參差不齊，有的嚴(yán)格落實(shí)，有的執(zhí)行不力甚至選擇性地執(zhí)行，既影響各中心自身信息安全，也難以形成統(tǒng)一的規(guī)范標(biāo)準(zhǔn)，不利于行業(yè)整體信息安全水平的提升。

三、信息安全視角下疾控中心檔案信息化建設(shè)的路徑

1.強(qiáng)化疾控中心技術(shù)防護(hù)，筑牢檔案安全壁壘

通過強(qiáng)化技術(shù)防護(hù)，能夠有效防止未經(jīng)授權(quán)的人員獲取疾控中心的重要檔案信息，如傳染病疫情數(shù)據(jù)、患者隱私資料等，確保這些敏感信息不被泄露，維護(hù)公共衛(wèi)生事業(yè)的正常開展以及患者的個(gè)人權(quán)益。可以抵御網(wǎng)絡(luò)攻擊、惡意軟件入侵等威脅，避免檔案數(shù)據(jù)在存儲(chǔ)和傳輸過程中被篡改或損壞，保證檔案信息的真實(shí)可靠，為疾控工作的決策、研究等提供準(zhǔn)確依據(jù)。

為實(shí)現(xiàn)疾控中心檔案信息化建設(shè)，可以部署高級(jí)防火墻，設(shè)置嚴(yán)格的訪問控制策略，只允許授權(quán)的IP地址或網(wǎng)絡(luò)范圍訪問疾控中心檔案信息系統(tǒng)，阻擋外部未經(jīng)授權(quán)的網(wǎng)絡(luò)連接嘗試。安裝入侵檢測(cè)系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS），實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量，識(shí)別并阻止黑客攻擊、惡意軟件傳播等入侵行為。采用先進(jìn)的加密算法，對(duì)檔案數(shù)據(jù)加密處理，無論是在存儲(chǔ)狀態(tài)還是傳輸過程中，都確保數(shù)據(jù)以密文形式存在，只有擁有正確解密密鑰的授權(quán)人員才能解讀。建立完善的數(shù)據(jù)備份策略，包括定期全量備份和增量備份，同時(shí)將備份數(shù)據(jù)存儲(chǔ)在異地的安全存儲(chǔ)設(shè)施中，以防本地發(fā)生自然災(zāi)害、設(shè)備故障等導(dǎo)致數(shù)據(jù)丟失。推行多因素認(rèn)證方式，增加用戶登錄的安全性，降低賬號(hào)被盜用的風(fēng)險(xiǎn)。根據(jù)不同崗位工作人員的職責(zé)和需求，精細(xì)設(shè)置訪問權(quán)限，明確規(guī)定每個(gè)用戶可以訪問和操作的檔案范圍及功能權(quán)限，通過權(quán)限管理系統(tǒng)嚴(yán)格管控。

例如，某疾控中心發(fā)現(xiàn)近期頻繁遭受不明來源的網(wǎng)絡(luò)攻擊嘗試，部分員工反映辦公網(wǎng)絡(luò)有時(shí)會(huì)出現(xiàn)異?？D，該中心升級(jí)網(wǎng)絡(luò)安全防護(hù)措施。首先，采購并部署一款知名品牌的高級(jí)防火墻，經(jīng)過專業(yè)人員配置，設(shè)置只允許本中心內(nèi)部辦公網(wǎng)絡(luò)IP段以及合作醫(yī)療機(jī)構(gòu)特定IP地址訪問檔案信息系統(tǒng)的策略。同時(shí)，安裝一套先進(jìn)的入侵檢測(cè)與防御系統(tǒng)，在系統(tǒng)運(yùn)行后的一周內(nèi)，成功檢測(cè)并阻止多次黑客試圖通過漏洞入侵系統(tǒng)的攻擊行為，網(wǎng)絡(luò)卡頓現(xiàn)象也明顯減少，有效保障了檔案信息系統(tǒng)的網(wǎng)絡(luò)安全。

再如，疾控中心負(fù)責(zé)存儲(chǔ)大量傳染病監(jiān)測(cè)數(shù)據(jù)以及疫苗研發(fā)的相關(guān)檔案資料。為確保這些數(shù)據(jù)的安全，中心可以采用AES加密算法對(duì)所有檔案數(shù)據(jù)加密處理。在存儲(chǔ)方面，除了在本地?cái)?shù)據(jù)中心配備冗余存儲(chǔ)設(shè)備開展日常存儲(chǔ)外，還與一家專業(yè)的異地?cái)?shù)據(jù)存儲(chǔ)服務(wù)提供商合作，每周展開一次全量備份，每天一次增量備份。大型疾控中心有眾多部門和工作人員，不同崗位對(duì)檔案信息的訪問需求差異很大。為了強(qiáng)化身份認(rèn)證與權(quán)限管理，該中心可以推行密碼+指紋識(shí)別的多因素認(rèn)證方式。對(duì)于負(fù)責(zé)疫情監(jiān)測(cè)數(shù)據(jù)錄入的基層工作人員，只允許其訪問和更新自己所負(fù)責(zé)區(qū)域的監(jiān)測(cè)數(shù)據(jù)，且不能實(shí)行刪除等操作；而對(duì)于科研部門的高級(jí)研究人員，在通過多因素認(rèn)證后，可以訪問更廣泛的與傳染病研究相關(guān)檔案資料，但對(duì)于涉及患者隱私的特定檔案，仍需進(jìn)一步申請(qǐng)更高層級(jí)的授權(quán)。通過這種精細(xì)的權(quán)限管理，可以有效防止因權(quán)限混亂導(dǎo)致電子信息被泄露，保障檔案信息的安全。

2.健全疾控中心管理體系，規(guī)范檔案信息流程

在信息安全視角下，健全疾控中心管理體系并規(guī)范檔案信息流程能顯著提高信息安全保障水平，明確各環(huán)節(jié)責(zé)任主體、操作流程與考核標(biāo)準(zhǔn)后，可有效規(guī)避因管理不善引發(fā)的信息安全漏洞，如人員違規(guī)操作、權(quán)限不清等問題都能得以遏制，從而全方位地守護(hù)檔案信息在采集、存儲(chǔ)和使用等全流程的安全。規(guī)范的流程讓工作人員清晰地知曉自身在各環(huán)節(jié)的職責(zé)與操作規(guī)范，避免了重復(fù)勞動(dòng)和不必要的溝通成本，使得檔案信息化建設(shè)及管理工作更加高效有序，確保檔案信息準(zhǔn)確、完整，為疾控中心各項(xiàng)業(yè)務(wù)提供有力的信息支撐。完善的應(yīng)急管理機(jī)制作為管理體系的一部分，在面對(duì)突發(fā)信息安全事件時(shí)，可保障各部門和人員迅速、有序地采取應(yīng)對(duì)措施，最大程度地降低事件對(duì)檔案信息系統(tǒng)及疾控中心業(yè)務(wù)的影響，確保檔案信息持續(xù)可用且安全。

為實(shí)現(xiàn)健全管理體系、規(guī)范檔案信息流程的目標(biāo)，需要明確在檔案信息化建設(shè)各階段，各部門和崗位的具體信息安全責(zé)任，確保責(zé)任到人。同時(shí)，制定涵蓋硬件設(shè)備設(shè)施使用到軟件系統(tǒng)操作、數(shù)據(jù)處理等方面的詳細(xì)操作流程，要求工作人員嚴(yán)格依流程執(zhí)行，并設(shè)立嚴(yán)格的考核標(biāo)準(zhǔn)，定期考核各部門和人員執(zhí)行制度情況，將考核結(jié)果與績效掛鉤。疾控中心要制定系統(tǒng)的培訓(xùn)計(jì)劃，未通過考核者需重新參加培訓(xùn)直至合格，制定詳細(xì)的應(yīng)急預(yù)案，定期組織應(yīng)急演練，并對(duì)應(yīng)急演練展開總結(jié)評(píng)估，及時(shí)完善應(yīng)急預(yù)案以確保其有效性和可操作性。

某疾控中心在檔案信息化建設(shè)中，曾因缺乏完善的管理制度，出現(xiàn)數(shù)據(jù)錄入環(huán)節(jié)的數(shù)據(jù)格式不統(tǒng)一、錄入人員隨意更改數(shù)據(jù)以及硬件設(shè)備設(shè)施使用無規(guī)范流程、損壞率高的問題。為此，該中心建立健全信息安全管理制度，明確各部門責(zé)任，制定詳細(xì)的數(shù)據(jù)錄入流程與硬件設(shè)備設(shè)施使用維護(hù)流程，并設(shè)立考核標(biāo)準(zhǔn)與績效掛鉤。另外，疾控中心部分工作人員常違規(guī)使用移動(dòng)存儲(chǔ)設(shè)備，拷貝檔案資料且網(wǎng)絡(luò)安全意識(shí)淡薄。中心制定了系統(tǒng)的培訓(xùn)計(jì)劃，針對(duì)不同崗位設(shè)置分層培訓(xùn)內(nèi)容，開展線上線下培訓(xùn)活動(dòng)并設(shè)考核環(huán)節(jié)。經(jīng)多輪培訓(xùn)，工作人員信息安全意識(shí)顯著提高，違規(guī)操作大幅減少。還有某大型疾控中心曾遇網(wǎng)絡(luò)攻擊，導(dǎo)致部分檔案信息系統(tǒng)功能受限，因無完善應(yīng)急管理機(jī)制應(yīng)對(duì)混亂。之后完善該機(jī)制，制定詳細(xì)應(yīng)急預(yù)案并定期演練。在后續(xù)真實(shí)攻擊事件中，各部門和人員依預(yù)案迅速有序應(yīng)對(duì)，短時(shí)間內(nèi)恢復(fù)系統(tǒng)正常運(yùn)行，有效降低了影響。因此，通過健全管理體系、規(guī)范檔案信息流程，能夠切實(shí)提高疾控中心檔案信息化建設(shè)的信息安全水平與工作效能。

3.優(yōu)化疾控中心法規(guī)適配，明確檔案規(guī)范準(zhǔn)則

從信息安全視角來看，疾控中心優(yōu)化法規(guī)適配并明確檔案規(guī)范準(zhǔn)則意義重大，能保障自身運(yùn)營合法合規(guī)，嚴(yán)格依據(jù)法律法規(guī)開展檔案信息化建設(shè)及管理工作，可以有效規(guī)避因?qū)ο嚓P(guān)法律法規(guī)理解不足或疏忽而產(chǎn)生的違法違規(guī)行為，確保各項(xiàng)業(yè)務(wù)有序推進(jìn)。

在某次本地突發(fā)公共衛(wèi)生事件后，疾控中心收集了大量特殊檔案資料，如疫情初期的病例監(jiān)測(cè)數(shù)據(jù)、防控物資調(diào)配記錄等。鑒于現(xiàn)有法規(guī)政策對(duì)這類特殊檔案信息化管理規(guī)定不夠細(xì)致，中心組織內(nèi)部專家團(tuán)隊(duì)深入調(diào)研，制定了專門針對(duì)此次事件特殊檔案信息化管理的規(guī)定，明確了檔案分類標(biāo)準(zhǔn)、存儲(chǔ)方式（如要求采用異地多副本備份確保數(shù)據(jù)安全）、訪問權(quán)限設(shè)置（依據(jù)不同崗位和職責(zé)嚴(yán)格劃分）以及在與外部科研機(jī)構(gòu)合作開展數(shù)據(jù)分析時(shí)的信息共享規(guī)則（包括必須簽訂保密協(xié)議、明確數(shù)據(jù)使用范圍等）。通過這些細(xì)化規(guī)定，中心在處理此類特殊檔案時(shí)就有了明確的操作依據(jù)，有效保障了檔案信息的安全和規(guī)范管理。

疾控中心在新法規(guī)政策出臺(tái)后，為使全體工作人員及合作單位人員更好地理解和執(zhí)行，可以開展一系列宣傳與解讀活動(dòng)。舉辦為期一周的線上法規(guī)政策專題講座，邀請(qǐng)中心內(nèi)部資深管理人員及相關(guān)領(lǐng)域?qū)＜覔?dān)任講師，詳細(xì)講解法規(guī)政策的每一條款及其背后的立法意圖。講座過程中設(shè)置問答互動(dòng)環(huán)節(jié)，工作人員可隨時(shí)提出疑問并得到及時(shí)解答。同時(shí)，制作精美的宣傳手冊(cè)，發(fā)放給每一位工作人員和合作單位人員，手冊(cè)中不僅包含法規(guī)政策的原文，還通過實(shí)際案例分析深入淺出地解釋重點(diǎn)條款。此外，針對(duì)一些合作單位人員對(duì)法規(guī)政策的理解可能存在偏差，中心還專門安排一對(duì)一的輔導(dǎo)，幫助他們準(zhǔn)確理解在合作項(xiàng)目中涉及的檔案信息管理要求。經(jīng)過這些宣傳與解讀活動(dòng)，相關(guān)人員對(duì)法規(guī)政策的理解更加深入，在實(shí)際工作中能夠更加準(zhǔn)確地執(zhí)行相關(guān)規(guī)定，減少因理解偏差導(dǎo)致的信息安全風(fēng)險(xiǎn)。

另外，為確保法規(guī)政策執(zhí)行到位，某疾控中心建立嚴(yán)格的監(jiān)督檢查機(jī)制，定期對(duì)各部門抽查。在一次抽查中發(fā)現(xiàn)某部門在檔案存儲(chǔ)方面存在問題，沒有按照要求異地備份，且部分重要數(shù)據(jù)未加密。對(duì)此，中心對(duì)該部門通報(bào)批評(píng)，并責(zé)令其在一個(gè)月內(nèi)完成整改。整改期間，要求該部門定期上報(bào)整改情況，經(jīng)復(fù)查合格后才算完成整改任務(wù)。通過這種嚴(yán)格的監(jiān)督檢查機(jī)制，各部門更加重視法規(guī)政策的執(zhí)行，有效保障檔案信息化建設(shè)的合法合規(guī)性和信息安全。疾控中心通過優(yōu)化法規(guī)適配、明確檔案規(guī)范準(zhǔn)則，能夠有力推動(dòng)檔案信息化建設(shè)，提高信息安全保障水平。

四、結(jié)束語

基于信息安全視角的疾控中心檔案信息化建設(shè)是一項(xiàng)兼具重要性與復(fù)雜性的系統(tǒng)工程，通過本研究對(duì)疾控中心檔案信息化建設(shè)現(xiàn)狀的剖析以及所提出的一系列建設(shè)路徑，包括強(qiáng)化技術(shù)防護(hù)筑牢安全壁壘、健全管理體系規(guī)范信息流程、優(yōu)化法規(guī)適配明確規(guī)范準(zhǔn)則等，期望能夠?yàn)榧部刂行脑跈n案信息化建設(shè)過程中有效保障信息安全提供有益的參考與借鑒。未來，疾控中心需進(jìn)一步關(guān)注新興技術(shù)在檔案管理中的應(yīng)用，不斷完善信息安全保障機(jī)制，持續(xù)優(yōu)化建設(shè)路徑，以更好地適應(yīng)時(shí)代發(fā)展要求，為公共衛(wèi)生事業(yè)保駕護(hù)航。

參考文獻(xiàn)：

[1]張 雯，田 甜，陳 蕾，等.淺析當(dāng)代疾控中心儀器設(shè)備檔案管理現(xiàn)狀及對(duì)策[J].中國設(shè)備工程，2024（21）：68-70.

[2]朱 峰.《檔案法實(shí)施條例》背景下疾控檔案信息化建設(shè)探索[J].蘭臺(tái)內(nèi)外，2024（27）：72-74.

[3]張曉姣.淺談提升疾控中心檔案管理質(zhì)量的有效對(duì)策[J].黑龍江檔案，2024（04）：304-306.

[4]徐 倩.大數(shù)據(jù)時(shí)代疾控檔案信息化建設(shè)的優(yōu)化策略分析[J].檔案記憶，2024（06）：62-63.

[5]鄭 江，孔 燕.試析疾控中心檔案信息化建設(shè)[J].黑龍江檔案，2024（02）：45-47.

作者單位：濰坊市疾病預(yù)防控制中心