談疾控系統(tǒng)信息安全建設(shè)

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了談疾控系統(tǒng)信息安全建設(shè)范文，希望能給你帶來靈感和參考，敬請閱讀。

關(guān)鍵詞:疾控系統(tǒng);信息安全;衛(wèi)生系統(tǒng)

一、疾控相關(guān)系統(tǒng)信息安全面臨的問題

(一)內(nèi)部人員操作失誤或惡意損壞內(nèi)部人員在管理業(yè)務(wù)數(shù)據(jù)時可能會出現(xiàn)失誤，比如格式化硬盤、永久性刪除重要文件或者相關(guān)管理人員對信息系統(tǒng)進行了不當權(quán)限設(shè)置等，使得信息安全出現(xiàn)問題。也不排除一些員工為了個人利益而將大量業(yè)務(wù)數(shù)據(jù)出售給其他公司來獲得報酬。甚至出現(xiàn)員工離職前，在單位還沒來得及解除其內(nèi)部信息系統(tǒng)權(quán)限前，盜走相關(guān)的涉密機密文件。這種情況雖然比較少，但是也不排除有發(fā)生的可能。［1］

(二)儲存介質(zhì)損壞由于單位信息系統(tǒng)涉及運用敏感數(shù)據(jù)進行分析研究，相關(guān)的數(shù)據(jù)存儲會通過外部存儲進行加密保存，如U盤、光盤等介質(zhì)。但是經(jīng)常會出現(xiàn)保存方式不當而導(dǎo)致U盤損壞，無法讀取U盤數(shù)據(jù)的情況。同時，還存在因為工作人員疏忽而導(dǎo)致U盤丟失的情況。這些情況都會造成涉密數(shù)據(jù)的丟失。

(三)來自網(wǎng)絡(luò)外部的惡意攻擊網(wǎng)絡(luò)外部的惡意攻擊主要是局域網(wǎng)外部的惡意攻擊，他們會有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性，偽裝為合法用戶進入網(wǎng)絡(luò)并占用大量資源，修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機密信息、破壞軟件執(zhí)行，造成在中間站點攔截和讀取絕密信息等危害。

(四)網(wǎng)絡(luò)軟件系統(tǒng)的漏洞和“后門”在計算機網(wǎng)絡(luò)安全領(lǐng)域，漏洞是軟硬件或策略上的缺陷，這種缺陷導(dǎo)致非法用戶未經(jīng)授權(quán)而獲得訪問系統(tǒng)的權(quán)限或提高其訪問權(quán)限。有了這種訪問權(quán)限，非法用戶就可以為所欲為，從而造成對網(wǎng)絡(luò)安全的威脅。后門是軟件硬件制造者為了進行非授權(quán)訪問而在程序中故意設(shè)置的萬能訪問口令。這些口令無論是被攻破還是只掌握在制造者手中，都對使用者的系統(tǒng)安全構(gòu)成嚴重的威脅。

二、加強相關(guān)系統(tǒng)信息安全防護的措施

(一)持續(xù)提高思想認識，明確落實各方責任要明確網(wǎng)絡(luò)和數(shù)據(jù)安全責任，加強網(wǎng)絡(luò)安全相關(guān)內(nèi)容的培訓(xùn)，讓單位每一位員工都具備網(wǎng)絡(luò)安全底線意識。按照“誰主管誰負責，誰使用誰負責”原則，加強對本區(qū)疾控相關(guān)信息系統(tǒng)的安全管理。進一步加強組織領(lǐng)導(dǎo)，完善制度建設(shè)，明確分工，健全工作責任制并落實信息系統(tǒng)安全管理的責任追究制度。定期開展系統(tǒng)相關(guān)重點崗位人員的安全保密簽約并開展人員執(zhí)行情況審查。完善開展信息系統(tǒng)責任管理單位與下級使用單位的安全承諾責任簽約。梳理開展系統(tǒng)責任管理單位與提供系統(tǒng)服務(wù)第三方單位的保密協(xié)議簽訂工作和涉及服務(wù)人員的背景審查。

(二)制定各項防范措施，不斷提高網(wǎng)絡(luò)安全防護能力正確執(zhí)行疾控重要信息系統(tǒng)安全等級保護建設(shè)工作，以網(wǎng)絡(luò)安全事件、安全檢查、安全測試為問題導(dǎo)向落實各項技術(shù)防范措施，涉敏感信息的系統(tǒng)按規(guī)定完成信息系統(tǒng)安全保護定級、備案和測評整改。1．網(wǎng)絡(luò)和應(yīng)用安全疾控重要信息系統(tǒng)按網(wǎng)絡(luò)安全等級保護要求進行防護，實施業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)與互聯(lián)網(wǎng)安全隔離，對網(wǎng)絡(luò)接入端制定統(tǒng)一防范措施，按要求建立基于CA的數(shù)字證書身份認證，對使用基于互聯(lián)網(wǎng)的虛擬專網(wǎng)接入的系統(tǒng)，在每次用戶登錄虛擬網(wǎng)系統(tǒng)時，需要使用符合要求的數(shù)字證書進行用戶身份鑒別，對用戶身份鑒別數(shù)據(jù)進行保密性和完整性的相關(guān)措施，保護應(yīng)按照《網(wǎng)絡(luò)安全法》要求，所有網(wǎng)絡(luò)安全日志留存不少于6個月。2．病毒防范應(yīng)該為所有運行終端和服務(wù)器安裝防病毒軟件，并及時更新病毒庫版本，所有操作系統(tǒng)及系統(tǒng)軟件做到最新補丁的升級。禁止所有運行終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備和安全設(shè)備使用弱口令，并定期檢查賬號權(quán)限分配，及時注銷無效賬戶。限制超級賬號、默認賬號的使用，禁止共享賬號。關(guān)閉所有運行終端和服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的病毒傳播高危端口。3．系統(tǒng)安全所有數(shù)據(jù)庫及應(yīng)用均定期開展數(shù)據(jù)備份及數(shù)據(jù)恢復(fù)演練工作。核心數(shù)據(jù)庫的備份周期不低于24小時，演練周期不低于1個月。備份數(shù)據(jù)庫應(yīng)做到異地存放。明確在合同或協(xié)議中要求外包開發(fā)服務(wù)商在系統(tǒng)交付時提供源代碼，并對核心業(yè)務(wù)系統(tǒng)開展信息系統(tǒng)源代碼安全審查工作。要求并督促使用單位不得擅自修改部署系統(tǒng)接入的客戶端程序。4．數(shù)據(jù)安全明確數(shù)據(jù)的收集、傳輸、使用、存儲、銷毀等全生命周期的管理要求，并在數(shù)據(jù)的傳輸和存儲過程中采取加密措施，不得將業(yè)務(wù)數(shù)據(jù)存放在連接互聯(lián)網(wǎng)設(shè)備中。在收集個人信息時，遵循合法、正當、必要的原則，公開收集和使用規(guī)則，明示收集和使用信息的目的、方式及范圍并經(jīng)收集者同意持續(xù)加強數(shù)據(jù)使用監(jiān)管，對于涉及公民個人隱私信息和業(yè)務(wù)敏感信息的數(shù)據(jù)使用，盡量做到不離開服務(wù)器，并將數(shù)據(jù)使用權(quán)限具體落實到每個系統(tǒng)使用者身上，實現(xiàn)精細化管理。

(三)重視重大活動或突發(fā)事件間敏感期期間的信息系統(tǒng)安全工作要重視重大活動或突發(fā)事件敏感期期間的信息系統(tǒng)安全工作，例如這次的疫情，必須保障系統(tǒng)數(shù)據(jù)上報的完整性、及時性，因為這關(guān)乎著疫情的防控。所以在今后的工作中應(yīng)保障各項措施落實到位，進一步健全信息系統(tǒng)應(yīng)急預(yù)案，提高網(wǎng)絡(luò)安全事件處置能力，加強應(yīng)急執(zhí)守工作，認真做好疾控重要信息系統(tǒng)運行監(jiān)控和信息通報工作。

三、結(jié)語

總而言之，隨著《網(wǎng)絡(luò)安全法》的落實，我們應(yīng)該按照相關(guān)法律，認真執(zhí)行有關(guān)要求，要充分認識到我們所涉及的信息系統(tǒng)關(guān)系到政治安全和民生安全，因此建立一套完整的信息安全體系，才能為健康行業(yè)守住健康。

參考文獻:

［1］杜功輝．企業(yè)內(nèi)部網(wǎng)絡(luò)的安全管理與防范措施［J］．科技與創(chuàng)新，2015(15)．

作者：黃志剛 單位：上海市寶山區(qū)疾病預(yù)防控制中心