2018浅谈公共卫生行业计算机网络安全技术防范与管理

4033460

浅谈公共卫生行业计算机网络安全技术防范与管理
　　1 概述
　　公共卫生行业承担的职责主要包括重大传染病防控、慢性非传染病防控、卫生监督、职业病防制、精神卫生管理、健康危险因素评价、突发公共卫生事件处置和儿童免疫接种管理等，在管理过程中要涉及到大量的重要信息数据，包括疾病监测数据、健康危险因素监测数据和免疫规划管理数据等，这就对公共卫生行业在信息数据管理的方面提出了很高的要求，务必要将计算机网络安全管理防范问题放在重要位置，从网络防范技术和监督管理等方面建立健全计算机信息安全保障体系，确保各类信息数据安全有效。
　　2 目前公共卫生行业计算机网络安全存在的问题
　　2.1 数据信息安全威胁
　　信息数据面临的安全威胁来自于多个方面，有通过病毒、非授权窃取来破坏数据保密性的安全威胁，有因为操作系统故障、应用系统故障等导致的破坏数据完整性的安全威胁，有因为硬盘故障、误操作等导致的破坏数据可用性的安全威胁，还有因为病毒威胁、非授权篡改导致的破坏数据真实性的安全威胁，这些潜在的安全威胁将会导致信息数据被删除、破坏、篡改甚至被窃取，给公共卫生行业带来无法弥补的损失。
　　2.2 安全管理缺失
　　公共卫生行业在信息化建设工作中，如果存在重应用、轻安全的现象，在IT系统建设过程中没有充分考虑信息安全的科学规划，将导致后期信息安全建设和管理工作比较被动，业务的发展及信息系统的建设与信息安全管理建设不对称；或由于重视信息安全技术，轻视安全管理，虽然采用了比较先进的信息安全技术，但相应的管理措施不到位，如病毒库不及时升级、变更管理松懈、岗位职责不清、忽视数据备份等现象普遍存在，很有可能会导致本不应该发生的信息安全事件发生。
　　3 分析问题产生的主要原因
　　3.1 经费投入不足导致的安全防范技术薄弱
　　许多公共卫生机构的信息化基础设施和软硬件设备，都是在2003年SARS疫情爆发以后国家投入建设的，运行至今，很多省级以下的公共卫生单位由于领导认识不足或经费所限，只重视疾病防控能力和实验室检验检测能力的建设，而忽视了对公共卫生信息化的投入，很少将经费用于信息化建设和信息安全投入，信息化基础设施陈旧、软硬件设备老化，信息安全防范技术比较薄弱，因网络设备损坏、服务器宕机等故障或无入侵检测、核心防火墙等安全防护设备，导致信息数据丢失、窃取的现象时有发生，严重影响了重要信息数据的保密性、完整性和安全性，一旦发生信息安全事件后果将不堪设想。
　　3.2 专业技术人才缺乏
　　建设信息化、发展信息化最大的动力资源是掌握信息化的专业技术人才，人才的培养是行业信息化高速发展的基础，然而，公共卫生行业的人才梯队主要以疾病控制、医学检验专业为主，信息化、信息安全专业技术人才缺乏，队伍力量薄弱，不能很好地利用现有的计算机软硬件设备，也很难对本单位现有的信息化、信息安全现状进行有效的评估，缺乏制定本行业长期、可持续信息化建设发展规划的能力，这也是制约公共卫生行业信息化发展的重要因数。
　　3.3 信息安全培训不足，职工安全保密意识不强
　　信息安全是一项全员参与的工作，它不仅是信息化管理部门的本职工作，更是整个公共卫生行业的重要工作职责，很多单位没有将信息安全培训放在重要位置，没有定期开展信息安全意识教育培训，许多职工对网络安全不够重视，缺乏网络安全意识，随意接收、下载、拷贝未知文件，没有查杀病毒、木马的习惯，经常有意无意的传播病毒，使得单位网络系统经常遭受ARP、宏病毒等病毒木马的攻击，严重影响了单位网络的安全稳定运行；同时，许多职工对于单位涉密的移动介质缺乏规范化管理意识，随意将拷贝有涉密信息的移动硬盘、优盘等介质带出单位，在其他联网的计算机上使用，涉密信息容易失窃，存在非常严重的信息安全隐患。
　　4 如何促进公共卫生行业计算机网络安全性提升
　　4.1 强化管理，建立行业计算机网络安全管理制度
　　为了确保整个计算机网络的安全有效运行，建立出一套既符合本行业工作实际的，又满足网络实际安全需要的、切实可行的安全管理制度势在必行。主要包括以下三方面的内容：
　　4.1.1 成立信息安全管理机构，引进信息安全专业技术人才，结合单位开展的工作特点，从涉密管理、安全等级保护、安全防范、人员管理等方面制定统管全局的网络安全管理规定。
　　4.1.2 制定信息安全知识培训制度，定期开展全员信息安全知识培训，让全体员工及时了解计算机网络安全知识最新动态，结合信息安全事件案列，进一步强化职工对信息安全保密重要性的认识。同时，对信息技术人员进行专业知识和操作技能的培训，培养一支具有安全管理意识的队伍，提高应对各种网络安全攻击破坏的能力。
　　4.1.3 建立信息安全监督检查机制，开展定期或不定期内部信息安全监督检查，同时将信息安全检查纳入单位季度、年度综合目标责任制考核体系，检查结果直接与科室和个人的奖励绩效工资、评先评优挂钩，落实奖惩机制，惩防并举，确保信息安全落实无死角。
　　4.2 开展信息安全等级保护建设
　　开展信息安全等级保护建设，通过对公共卫生行业处理、存储重要信息数据的信息系统实行分等级安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置，建立健全信息安全应急机制，定期对信息系统安全等保建设情况进行测评，存在问题及时整改，从制度落实、安全技术防护、应急处置管理等各个方面，进一步提高公共卫生行业信息安全的防护能力、应急处置能力和安全隐患发现能力。