疾控系统信息安全建设探析
2020-01-20黄志刚
摘要:随着时代的不断发展,疾控中心作为卫生健康行业中的一员,相关信息系统在疾病预防控制领域起到了重要的支撑作用,但是随之产生的信息安全问题,也需要引起单位的足够重视。因此如何才能做好疾控相关系统信息安全的保护,避免其受到威胁与破坏,积极帮助疾控信息系统夯实其管理基础,确保信息的可用性、完整性、可靠性,就成为当前疾控信息化建设的关键环节。
关键词:疾控系统;信息安全;卫生系统
一、疾控相关系统信息安全面临的问题
(一)内部人员操作失误或恶意损坏
内部人员在管理业务数据时可能会出现失误,比如格式化硬盘、永久性删除重要文件或者相关管理人员对信息系统进行了不当权限设置等,使得信息安全出现问题。也不排除一些员工为了个人利益而将大量业务数据出售给其他公司来获得报酬。甚至出现员工离职前,在单位还没来得及解除其内部信息系统权限前,盗走相关的涉密机密文件。这种情况虽然比较少,但是也不排除有发生的可能。[1]
(二)储存介质损坏
由于单位信息系统涉及运用敏感数据进行分析研究,相关的数据存储会通过外部存储进行加密保存,如U盘、光盘等介质。但是经常会出现保存方式不当而导致U盘损坏,无法读取U盘数据的情况。同时,还存在因为工作人员疏忽而导致U盘丢失的情况。这些情况都会造成涉密数据的丢失。
(三)来自网络外部的恶意攻击
网络外部的恶意攻击主要是局域网外部的恶意攻击,他们会有选择地破坏网络信息的有效性和完整性,伪装为合法用户进入网络并占用大量资源,修改网络数据、窃取、破译机密信息、破坏软件执行,造成在中间站点拦截和读取绝密信息等危害。
(四)网络软件系统的漏洞和“后门”
在计算机网络安全领域,漏洞是软硬件或策略上的缺陷,这种缺陷导致非法用户未经授权而获得访问系统的权限或提高其访问权限。有了这种访问权限,非法用户就可以为所欲为,从而造成对网络安全的威胁。后门是软件硬件制造者为了进行非授权访问而在程序中故意设置的万能访问口令。这些口令无论是被攻破还是只掌握在制造者手中,都对使用者的系统安全构成严重的威胁。
二、加强相关系统信息安全防护的措施
(一)持续提高思想认识,明确落实各方责任
要明确网络和数据安全责任,加强网络安全相关内容的培训,让单位每一位员工都具备网络安全底线意识。按照“谁主管谁负责,谁使用谁负责”原则,加强对本区疾控相关信息系统的安全管理。进一步加强组织领导,完善制度建设,明确分工,健全工作责任制并落实信息系统安全管理的责任追究制度。定期开展系统相关重点岗位人员的安全保密签约并开展人员执行情况审查。完善开展信息系统责任管理单位与下级使用单位的安全承诺责任签约。梳理开展系统责任管理单位与提供系统服务第三方单位的保密协议签订工作和涉及服务人员的背景审查。
(二)制定各项防范措施,不断提高网络安全防护能力
正确执行疾控重要信息系统安全等级保护建设工作,以网络安全事件、安全检查、安全测试为问题导向落实各项技术防范措施,涉敏感信息的系统按规定完成信息系统安全保护定级、备案和测评整改。
1.网络和应用安全
疾控重要信息系统按网络安全等级保护要求进行防护,实施业务系统网络与互联网安全隔离,对网络接入端制定统一防范措施,按要求建立基于CA的数字证书身份认证,对使用基于互联网的虚拟专網接入的系统,在每次用户登录虚拟网系统时,需要使用符合要求的数字证书进行用户身份鉴别,对用户身份鉴别数据进行保密性和完整性的相关措施,保护应按照《网络安全法》要求,所有网络安全日志留存不少于6个月。
2.病毒防范
应该为所有运行终端和服务器安装防病毒软件,并及时更新病毒库版本,所有操作系统及系统软件做到最新补丁的升级。禁止所有运行终端、服务器、网络设备和安全设备使用弱口令,并定期检查账号权限分配,及时注销无效账户。限制超级账号、默认账号的使用,禁止共享账号。关闭所有运行终端和服务器、网络设备、安全设备的病毒传播高危端口。
3.系统安全
所有数据库及应用均定期开展数据备份及数据恢复演练工作。核心数据库的备份周期不低于24小时,演练周期不低于1个月。备份数据库应做到异地存放。明确在合同或协议中要求外包开发服务商在系统交付时提供源代码,并对核心业务系统开展信息系统源代码安全审查工作。要求并督促使用单位不得擅自修改部署系统接入的客户端程序。
4.数据安全
明确数据的收集、传输、使用、存储、销毁等全生命周期的管理要求,并在数据的传输和存储过程中采取加密措施,不得将业务数据存放在连接互联网设备中。在收集个人信息时,遵循合法、正当、必要的原则,公开收集和使用规则,明示收集和使用信息的目的、方式及范围并经收集者同意持续加强数据使用监管,对于涉及公民个人隐私信息和业务敏感信息的数据使用,尽量做到不离开服务器,并将数据使用权限具体落实到每个系统使用者身上,实现精细化管理。
(三)重视重大活动或突发事件间敏感期期间的信息系统安全工作
要重视重大活动或突发事件敏感期期间的信息系统安全工作,例如这次的疫情,必须保障系统数据上报的完整性、及时性,因为这关乎着疫情的防控。所以在今后的工作中应保障各项措施落实到位,进一步健全信息系统应急预案,提高网络安全事件处置能力,加强应急执守工作,认真做好疾控重要信息系统运行监控和信息通报工作。
三、结语
总而言之,随着《网络安全法》的落实,我们应该按照相关法律,认真执行有关要求,要充分认识到我们所涉及的信息系统关系到政治安全和民生安全,因此建立一套完整的信息安全体系,才能为健康行业守住健康。
参考文献:
[1]杜功辉.企业内部网络的安全管理与防范措施[J].科技与创新,2015(15).
作者简介:黄志刚(1984—),男,汉族,上海人,本科,中级职称,研究方向:继续教育。