公務(wù)員期刊網(wǎng) 論文中心 正文

談疾控系統(tǒng)信息安全建設(shè)

前言:想要寫(xiě)出一篇引人入勝的文章?我們特意為您整理了談疾控系統(tǒng)信息安全建設(shè)范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。

談疾控系統(tǒng)信息安全建設(shè)

關(guān)鍵詞:疾控系統(tǒng);信息安全;衛(wèi)生系統(tǒng)

一、疾控相關(guān)系統(tǒng)信息安全面臨的問(wèn)題

(一)內(nèi)部人員操作失誤或惡意損壞內(nèi)部人員在管理業(yè)務(wù)數(shù)據(jù)時(shí)可能會(huì)出現(xiàn)失誤,比如格式化硬盤(pán)、永久性刪除重要文件或者相關(guān)管理人員對(duì)信息系統(tǒng)進(jìn)行了不當(dāng)權(quán)限設(shè)置等,使得信息安全出現(xiàn)問(wèn)題。也不排除一些員工為了個(gè)人利益而將大量業(yè)務(wù)數(shù)據(jù)出售給其他公司來(lái)獲得報(bào)酬。甚至出現(xiàn)員工離職前,在單位還沒(méi)來(lái)得及解除其內(nèi)部信息系統(tǒng)權(quán)限前,盜走相關(guān)的涉密機(jī)密文件。這種情況雖然比較少,但是也不排除有發(fā)生的可能。[1]

(二)儲(chǔ)存介質(zhì)損壞由于單位信息系統(tǒng)涉及運(yùn)用敏感數(shù)據(jù)進(jìn)行分析研究,相關(guān)的數(shù)據(jù)存儲(chǔ)會(huì)通過(guò)外部存儲(chǔ)進(jìn)行加密保存,如U盤(pán)、光盤(pán)等介質(zhì)。但是經(jīng)常會(huì)出現(xiàn)保存方式不當(dāng)而導(dǎo)致U盤(pán)損壞,無(wú)法讀取U盤(pán)數(shù)據(jù)的情況。同時(shí),還存在因?yàn)楣ぷ魅藛T疏忽而導(dǎo)致U盤(pán)丟失的情況。這些情況都會(huì)造成涉密數(shù)據(jù)的丟失。

(三)來(lái)自網(wǎng)絡(luò)外部的惡意攻擊網(wǎng)絡(luò)外部的惡意攻擊主要是局域網(wǎng)外部的惡意攻擊,他們會(huì)有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性,偽裝為合法用戶(hù)進(jìn)入網(wǎng)絡(luò)并占用大量資源,修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機(jī)密信息、破壞軟件執(zhí)行,造成在中間站點(diǎn)攔截和讀取絕密信息等危害。

(四)網(wǎng)絡(luò)軟件系統(tǒng)的漏洞和“后門(mén)”在計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域,漏洞是軟硬件或策略上的缺陷,這種缺陷導(dǎo)致非法用戶(hù)未經(jīng)授權(quán)而獲得訪(fǎng)問(wèn)系統(tǒng)的權(quán)限或提高其訪(fǎng)問(wèn)權(quán)限。有了這種訪(fǎng)問(wèn)權(quán)限,非法用戶(hù)就可以為所欲為,從而造成對(duì)網(wǎng)絡(luò)安全的威脅。后門(mén)是軟件硬件制造者為了進(jìn)行非授權(quán)訪(fǎng)問(wèn)而在程序中故意設(shè)置的萬(wàn)能訪(fǎng)問(wèn)口令。這些口令無(wú)論是被攻破還是只掌握在制造者手中,都對(duì)使用者的系統(tǒng)安全構(gòu)成嚴(yán)重的威脅。

二、加強(qiáng)相關(guān)系統(tǒng)信息安全防護(hù)的措施

(一)持續(xù)提高思想認(rèn)識(shí),明確落實(shí)各方責(zé)任要明確網(wǎng)絡(luò)和數(shù)據(jù)安全責(zé)任,加強(qiáng)網(wǎng)絡(luò)安全相關(guān)內(nèi)容的培訓(xùn),讓單位每一位員工都具備網(wǎng)絡(luò)安全底線(xiàn)意識(shí)。按照“誰(shuí)主管誰(shuí)負(fù)責(zé),誰(shuí)使用誰(shuí)負(fù)責(zé)”原則,加強(qiáng)對(duì)本區(qū)疾控相關(guān)信息系統(tǒng)的安全管理。進(jìn)一步加強(qiáng)組織領(lǐng)導(dǎo),完善制度建設(shè),明確分工,健全工作責(zé)任制并落實(shí)信息系統(tǒng)安全管理的責(zé)任追究制度。定期開(kāi)展系統(tǒng)相關(guān)重點(diǎn)崗位人員的安全保密簽約并開(kāi)展人員執(zhí)行情況審查。完善開(kāi)展信息系統(tǒng)責(zé)任管理單位與下級(jí)使用單位的安全承諾責(zé)任簽約。梳理開(kāi)展系統(tǒng)責(zé)任管理單位與提供系統(tǒng)服務(wù)第三方單位的保密協(xié)議簽訂工作和涉及服務(wù)人員的背景審查。

(二)制定各項(xiàng)防范措施,不斷提高網(wǎng)絡(luò)安全防護(hù)能力正確執(zhí)行疾控重要信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)工作,以網(wǎng)絡(luò)安全事件、安全檢查、安全測(cè)試為問(wèn)題導(dǎo)向落實(shí)各項(xiàng)技術(shù)防范措施,涉敏感信息的系統(tǒng)按規(guī)定完成信息系統(tǒng)安全保護(hù)定級(jí)、備案和測(cè)評(píng)整改。1.網(wǎng)絡(luò)和應(yīng)用安全疾控重要信息系統(tǒng)按網(wǎng)絡(luò)安全等級(jí)保護(hù)要求進(jìn)行防護(hù),實(shí)施業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)與互聯(lián)網(wǎng)安全隔離,對(duì)網(wǎng)絡(luò)接入端制定統(tǒng)一防范措施,按要求建立基于CA的數(shù)字證書(shū)身份認(rèn)證,對(duì)使用基于互聯(lián)網(wǎng)的虛擬專(zhuān)網(wǎng)接入的系統(tǒng),在每次用戶(hù)登錄虛擬網(wǎng)系統(tǒng)時(shí),需要使用符合要求的數(shù)字證書(shū)進(jìn)行用戶(hù)身份鑒別,對(duì)用戶(hù)身份鑒別數(shù)據(jù)進(jìn)行保密性和完整性的相關(guān)措施,保護(hù)應(yīng)按照《網(wǎng)絡(luò)安全法》要求,所有網(wǎng)絡(luò)安全日志留存不少于6個(gè)月。2.病毒防范應(yīng)該為所有運(yùn)行終端和服務(wù)器安裝防病毒軟件,并及時(shí)更新病毒庫(kù)版本,所有操作系統(tǒng)及系統(tǒng)軟件做到最新補(bǔ)丁的升級(jí)。禁止所有運(yùn)行終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備和安全設(shè)備使用弱口令,并定期檢查賬號(hào)權(quán)限分配,及時(shí)注銷(xiāo)無(wú)效賬戶(hù)。限制超級(jí)賬號(hào)、默認(rèn)賬號(hào)的使用,禁止共享賬號(hào)。關(guān)閉所有運(yùn)行終端和服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的病毒傳播高危端口。3.系統(tǒng)安全所有數(shù)據(jù)庫(kù)及應(yīng)用均定期開(kāi)展數(shù)據(jù)備份及數(shù)據(jù)恢復(fù)演練工作。核心數(shù)據(jù)庫(kù)的備份周期不低于24小時(shí),演練周期不低于1個(gè)月。備份數(shù)據(jù)庫(kù)應(yīng)做到異地存放。明確在合同或協(xié)議中要求外包開(kāi)發(fā)服務(wù)商在系統(tǒng)交付時(shí)提供源代碼,并對(duì)核心業(yè)務(wù)系統(tǒng)開(kāi)展信息系統(tǒng)源代碼安全審查工作。要求并督促使用單位不得擅自修改部署系統(tǒng)接入的客戶(hù)端程序。4.?dāng)?shù)據(jù)安全明確數(shù)據(jù)的收集、傳輸、使用、存儲(chǔ)、銷(xiāo)毀等全生命周期的管理要求,并在數(shù)據(jù)的傳輸和存儲(chǔ)過(guò)程中采取加密措施,不得將業(yè)務(wù)數(shù)據(jù)存放在連接互聯(lián)網(wǎng)設(shè)備中。在收集個(gè)人信息時(shí),遵循合法、正當(dāng)、必要的原則,公開(kāi)收集和使用規(guī)則,明示收集和使用信息的目的、方式及范圍并經(jīng)收集者同意持續(xù)加強(qiáng)數(shù)據(jù)使用監(jiān)管,對(duì)于涉及公民個(gè)人隱私信息和業(yè)務(wù)敏感信息的數(shù)據(jù)使用,盡量做到不離開(kāi)服務(wù)器,并將數(shù)據(jù)使用權(quán)限具體落實(shí)到每個(gè)系統(tǒng)使用者身上,實(shí)現(xiàn)精細(xì)化管理。

(三)重視重大活動(dòng)或突發(fā)事件間敏感期期間的信息系統(tǒng)安全工作要重視重大活動(dòng)或突發(fā)事件敏感期期間的信息系統(tǒng)安全工作,例如這次的疫情,必須保障系統(tǒng)數(shù)據(jù)上報(bào)的完整性、及時(shí)性,因?yàn)檫@關(guān)乎著疫情的防控。所以在今后的工作中應(yīng)保障各項(xiàng)措施落實(shí)到位,進(jìn)一步健全信息系統(tǒng)應(yīng)急預(yù)案,提高網(wǎng)絡(luò)安全事件處置能力,加強(qiáng)應(yīng)急執(zhí)守工作,認(rèn)真做好疾控重要信息系統(tǒng)運(yùn)行監(jiān)控和信息通報(bào)工作。

三、結(jié)語(yǔ)

總而言之,隨著《網(wǎng)絡(luò)安全法》的落實(shí),我們應(yīng)該按照相關(guān)法律,認(rèn)真執(zhí)行有關(guān)要求,要充分認(rèn)識(shí)到我們所涉及的信息系統(tǒng)關(guān)系到政治安全和民生安全,因此建立一套完整的信息安全體系,才能為健康行業(yè)守住健康。

參考文獻(xiàn):

[1]杜功輝.企業(yè)內(nèi)部網(wǎng)絡(luò)的安全管理與防范措施[J].科技與創(chuàng)新,2015(15).

作者:黃志剛 單位:上海市寶山區(qū)疾病預(yù)防控制中心