談疾控系統(tǒng)信息安全建設(shè)
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了談疾控系統(tǒng)信息安全建設(shè)范文,希望能給你帶來靈感和參考,敬請閱讀。
關(guān)鍵詞:疾控系統(tǒng);信息安全;衛(wèi)生系統(tǒng)
一、疾控相關(guān)系統(tǒng)信息安全面臨的問題
(一)內(nèi)部人員操作失誤或惡意損壞內(nèi)部人員在管理業(yè)務(wù)數(shù)據(jù)時可能會出現(xiàn)失誤,比如格式化硬盤、永久性刪除重要文件或者相關(guān)管理人員對信息系統(tǒng)進行了不當(dāng)權(quán)限設(shè)置等,使得信息安全出現(xiàn)問題。也不排除一些員工為了個人利益而將大量業(yè)務(wù)數(shù)據(jù)出售給其他公司來獲得報酬。甚至出現(xiàn)員工離職前,在單位還沒來得及解除其內(nèi)部信息系統(tǒng)權(quán)限前,盜走相關(guān)的涉密機密文件。這種情況雖然比較少,但是也不排除有發(fā)生的可能。[1]
(二)儲存介質(zhì)損壞由于單位信息系統(tǒng)涉及運用敏感數(shù)據(jù)進行分析研究,相關(guān)的數(shù)據(jù)存儲會通過外部存儲進行加密保存,如U盤、光盤等介質(zhì)。但是經(jīng)常會出現(xiàn)保存方式不當(dāng)而導(dǎo)致U盤損壞,無法讀取U盤數(shù)據(jù)的情況。同時,還存在因為工作人員疏忽而導(dǎo)致U盤丟失的情況。這些情況都會造成涉密數(shù)據(jù)的丟失。
(三)來自網(wǎng)絡(luò)外部的惡意攻擊網(wǎng)絡(luò)外部的惡意攻擊主要是局域網(wǎng)外部的惡意攻擊,他們會有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性,偽裝為合法用戶進入網(wǎng)絡(luò)并占用大量資源,修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機密信息、破壞軟件執(zhí)行,造成在中間站點攔截和讀取絕密信息等危害。
(四)網(wǎng)絡(luò)軟件系統(tǒng)的漏洞和“后門”在計算機網(wǎng)絡(luò)安全領(lǐng)域,漏洞是軟硬件或策略上的缺陷,這種缺陷導(dǎo)致非法用戶未經(jīng)授權(quán)而獲得訪問系統(tǒng)的權(quán)限或提高其訪問權(quán)限。有了這種訪問權(quán)限,非法用戶就可以為所欲為,從而造成對網(wǎng)絡(luò)安全的威脅。后門是軟件硬件制造者為了進行非授權(quán)訪問而在程序中故意設(shè)置的萬能訪問口令。這些口令無論是被攻破還是只掌握在制造者手中,都對使用者的系統(tǒng)安全構(gòu)成嚴(yán)重的威脅。
二、加強相關(guān)系統(tǒng)信息安全防護的措施
(一)持續(xù)提高思想認(rèn)識,明確落實各方責(zé)任要明確網(wǎng)絡(luò)和數(shù)據(jù)安全責(zé)任,加強網(wǎng)絡(luò)安全相關(guān)內(nèi)容的培訓(xùn),讓單位每一位員工都具備網(wǎng)絡(luò)安全底線意識。按照“誰主管誰負(fù)責(zé),誰使用誰負(fù)責(zé)”原則,加強對本區(qū)疾控相關(guān)信息系統(tǒng)的安全管理。進一步加強組織領(lǐng)導(dǎo),完善制度建設(shè),明確分工,健全工作責(zé)任制并落實信息系統(tǒng)安全管理的責(zé)任追究制度。定期開展系統(tǒng)相關(guān)重點崗位人員的安全保密簽約并開展人員執(zhí)行情況審查。完善開展信息系統(tǒng)責(zé)任管理單位與下級使用單位的安全承諾責(zé)任簽約。梳理開展系統(tǒng)責(zé)任管理單位與提供系統(tǒng)服務(wù)第三方單位的保密協(xié)議簽訂工作和涉及服務(wù)人員的背景審查。
(二)制定各項防范措施,不斷提高網(wǎng)絡(luò)安全防護能力正確執(zhí)行疾控重要信息系統(tǒng)安全等級保護建設(shè)工作,以網(wǎng)絡(luò)安全事件、安全檢查、安全測試為問題導(dǎo)向落實各項技術(shù)防范措施,涉敏感信息的系統(tǒng)按規(guī)定完成信息系統(tǒng)安全保護定級、備案和測評整改。1.網(wǎng)絡(luò)和應(yīng)用安全疾控重要信息系統(tǒng)按網(wǎng)絡(luò)安全等級保護要求進行防護,實施業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)與互聯(lián)網(wǎng)安全隔離,對網(wǎng)絡(luò)接入端制定統(tǒng)一防范措施,按要求建立基于CA的數(shù)字證書身份認(rèn)證,對使用基于互聯(lián)網(wǎng)的虛擬專網(wǎng)接入的系統(tǒng),在每次用戶登錄虛擬網(wǎng)系統(tǒng)時,需要使用符合要求的數(shù)字證書進行用戶身份鑒別,對用戶身份鑒別數(shù)據(jù)進行保密性和完整性的相關(guān)措施,保護應(yīng)按照《網(wǎng)絡(luò)安全法》要求,所有網(wǎng)絡(luò)安全日志留存不少于6個月。2.病毒防范應(yīng)該為所有運行終端和服務(wù)器安裝防病毒軟件,并及時更新病毒庫版本,所有操作系統(tǒng)及系統(tǒng)軟件做到最新補丁的升級。禁止所有運行終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備和安全設(shè)備使用弱口令,并定期檢查賬號權(quán)限分配,及時注銷無效賬戶。限制超級賬號、默認(rèn)賬號的使用,禁止共享賬號。關(guān)閉所有運行終端和服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的病毒傳播高危端口。3.系統(tǒng)安全所有數(shù)據(jù)庫及應(yīng)用均定期開展數(shù)據(jù)備份及數(shù)據(jù)恢復(fù)演練工作。核心數(shù)據(jù)庫的備份周期不低于24小時,演練周期不低于1個月。備份數(shù)據(jù)庫應(yīng)做到異地存放。明確在合同或協(xié)議中要求外包開發(fā)服務(wù)商在系統(tǒng)交付時提供源代碼,并對核心業(yè)務(wù)系統(tǒng)開展信息系統(tǒng)源代碼安全審查工作。要求并督促使用單位不得擅自修改部署系統(tǒng)接入的客戶端程序。4.?dāng)?shù)據(jù)安全明確數(shù)據(jù)的收集、傳輸、使用、存儲、銷毀等全生命周期的管理要求,并在數(shù)據(jù)的傳輸和存儲過程中采取加密措施,不得將業(yè)務(wù)數(shù)據(jù)存放在連接互聯(lián)網(wǎng)設(shè)備中。在收集個人信息時,遵循合法、正當(dāng)、必要的原則,公開收集和使用規(guī)則,明示收集和使用信息的目的、方式及范圍并經(jīng)收集者同意持續(xù)加強數(shù)據(jù)使用監(jiān)管,對于涉及公民個人隱私信息和業(yè)務(wù)敏感信息的數(shù)據(jù)使用,盡量做到不離開服務(wù)器,并將數(shù)據(jù)使用權(quán)限具體落實到每個系統(tǒng)使用者身上,實現(xiàn)精細(xì)化管理。
(三)重視重大活動或突發(fā)事件間敏感期期間的信息系統(tǒng)安全工作要重視重大活動或突發(fā)事件敏感期期間的信息系統(tǒng)安全工作,例如這次的疫情,必須保障系統(tǒng)數(shù)據(jù)上報的完整性、及時性,因為這關(guān)乎著疫情的防控。所以在今后的工作中應(yīng)保障各項措施落實到位,進一步健全信息系統(tǒng)應(yīng)急預(yù)案,提高網(wǎng)絡(luò)安全事件處置能力,加強應(yīng)急執(zhí)守工作,認(rèn)真做好疾控重要信息系統(tǒng)運行監(jiān)控和信息通報工作。
三、結(jié)語
總而言之,隨著《網(wǎng)絡(luò)安全法》的落實,我們應(yīng)該按照相關(guān)法律,認(rèn)真執(zhí)行有關(guān)要求,要充分認(rèn)識到我們所涉及的信息系統(tǒng)關(guān)系到政治安全和民生安全,因此建立一套完整的信息安全體系,才能為健康行業(yè)守住健康。
參考文獻(xiàn):
[1]杜功輝.企業(yè)內(nèi)部網(wǎng)絡(luò)的安全管理與防范措施[J].科技與創(chuàng)新,2015(15).
作者:黃志剛 單位:上海市寶山區(qū)疾病預(yù)防控制中心
