藍(lán)冬雪 來守林

摘要：隨著信息化時(shí)代的到來以及我國疾病預(yù)防控制日漸常態(tài)化，疾病預(yù)防控制中心網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的重要性也日益凸顯。但是，在給疾病防控工作人員創(chuàng)造工作便利的同時(shí)，網(wǎng)絡(luò)信息系統(tǒng)也帶來了一系列的風(fēng)險(xiǎn)因素，有可能導(dǎo)致諸多負(fù)面后果。對此，文章從網(wǎng)絡(luò)數(shù)據(jù)風(fēng)險(xiǎn)的安全意識不足、系統(tǒng)漏洞及管理不規(guī)范3個(gè)方面展開分析研究，并基于此提出了具體的安全防護(hù)措施建議，以確保系統(tǒng)的正常運(yùn)轉(zhuǎn)。

關(guān)鍵詞：疾病預(yù)防控制中心；網(wǎng)絡(luò)數(shù)據(jù)風(fēng)險(xiǎn)；安全防護(hù)

中圖法分類號：R197 文獻(xiàn)標(biāo)識碼：A

疾病預(yù)防控制中心也可以簡稱為疾控中心，截至２０２１ 年年末，我國疾病預(yù)防控制中心共３ ３８０ 個(gè)。隨著信息技術(shù)的進(jìn)步和推廣，疾病預(yù)防控制中心信息化建設(shè)進(jìn)程加快。全民健康信息化疾病防控信息系統(tǒng)建設(shè)已經(jīng)形成一定規(guī)模，并在醫(yī)療領(lǐng)域發(fā)揮著重要作用，提高了醫(yī)療服務(wù)質(zhì)量，為廣大患者減輕了經(jīng)濟(jì)負(fù)擔(dān)。２０２２ 年，相關(guān)部門推出了醫(yī)療行業(yè)首個(gè)網(wǎng)絡(luò)安全的管理辦法，強(qiáng)化了疾病預(yù)防控制中心網(wǎng)絡(luò)數(shù)據(jù)的風(fēng)險(xiǎn)意識和安全意識，從而進(jìn)一步推動(dòng)疾病預(yù)防控制中心信息化建設(shè)［１］ 。

１ 信息化背景下疾病預(yù)防控制中心網(wǎng)絡(luò)數(shù)據(jù)面臨的風(fēng)險(xiǎn)

１．１ 安全意識不足

在信息化背景下，疾病預(yù)防控制中心信息系統(tǒng)發(fā)展至今已經(jīng)較為完善，且隨著疾病防控的常態(tài)化，疾控相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)也越來越多，信息系統(tǒng)內(nèi)重要信息面臨數(shù)據(jù)缺失與隱私泄露等各類風(fēng)險(xiǎn)也日趨嚴(yán)峻［２］ 。

首先，疾控中心信息系統(tǒng)的操作人員對疾病預(yù)防控制中心系統(tǒng)的信息化缺乏足夠的認(rèn)知和準(zhǔn)備，在日常工作中對信息系統(tǒng)的操作及維護(hù)難以做到與時(shí)俱進(jìn)，缺乏責(zé)任意識，使得防控?cái)?shù)據(jù)的完整性存在問題，進(jìn)而對疾病防控中心信息系統(tǒng)的疾病防控常態(tài)化產(chǎn)生消極影響。其次，疾病預(yù)防控制中心的工作人員缺乏足夠的安全意識，對信息系統(tǒng)中隱私網(wǎng)絡(luò)數(shù)據(jù)泄露導(dǎo)致負(fù)面社會(huì)效果的嚴(yán)重性認(rèn)識不足。很多工作人員并未意識到網(wǎng)絡(luò)環(huán)境的復(fù)雜性，在管理員密碼、移動(dòng)存儲設(shè)備以及工作郵箱等安全方面疏于管理，安全制度流于表面，這些都為別有用心的攻擊者在客觀上提供攻擊信息系統(tǒng)、盜取重要信息數(shù)據(jù)的便利條件。

１．２ 系統(tǒng)漏洞

目前，我國疾病預(yù)防控制中心信息系統(tǒng)隨著信息化的發(fā)展得到了極大的完善，網(wǎng)絡(luò)信息數(shù)據(jù)安全防護(hù)也隨著新技術(shù)的產(chǎn)生得到了極大的增強(qiáng)，但是對網(wǎng)絡(luò)數(shù)據(jù)安全產(chǎn)生威脅的根本性原因并未因此而徹底根除，也就是所有基于硬件或軟件的網(wǎng)絡(luò)數(shù)據(jù)安全防御措施都不可能做到萬無一失，即便是安全系數(shù)較高的防御系統(tǒng)［３］ ，在技術(shù)上都可能存在系統(tǒng)上的風(fēng)險(xiǎn)。換言之，無論投入再多的人力與物力，信息系統(tǒng)中的漏洞都不可能１００％被根除。系統(tǒng)硬件、軟件以及相關(guān)協(xié)議在安全策略中都不可避免地有著不同程度的缺陷，如系統(tǒng)本身在設(shè)計(jì)之初就存在的后門問題，攻擊者借此非法取得系統(tǒng)的訪問權(quán)限，對信息數(shù)據(jù)進(jìn)行竊取、篡改等破壞性行為，會(huì)對信息系統(tǒng)帶來較為嚴(yán)重的安全隱患。而且，在具體的日常工作中，疾病預(yù)防控制中心的網(wǎng)絡(luò)硬件設(shè)備大多都暴露在互聯(lián)網(wǎng)絡(luò)中，攻擊者同樣會(huì)利用硬件本身的安全漏洞對信息系統(tǒng)的數(shù)據(jù)庫進(jìn)行破壞。

１．３ 管理操作不規(guī)范

在疾病預(yù)防控制中心信息系統(tǒng)所面臨的諸多數(shù)據(jù)風(fēng)險(xiǎn)中，除了操作人員安全意識不足及系統(tǒng)漏洞導(dǎo)致的安全風(fēng)險(xiǎn)，還有一類情況是在管理與操作過程中，因制度上的缺失，導(dǎo)致監(jiān)管不到位造成的風(fēng)險(xiǎn)。

盡管疾病預(yù)防控制中心都會(huì)制定一整套相對完備的網(wǎng)絡(luò)安全保障制度，可從具體的管理工作效果來看，受限于操作人員自身的素質(zhì)等客觀因素，安全制度并不能及時(shí)避免安全風(fēng)險(xiǎn)的出現(xiàn)，其實(shí)際保護(hù)效果與預(yù)期相比還有很大的距離。比如，在具體的工作中，工作人員可能會(huì)根據(jù)需要隨意在系統(tǒng)中進(jìn)行操作，導(dǎo)致一些帶有安全風(fēng)險(xiǎn)的軟件和文件出現(xiàn)在系統(tǒng)中［４］ ，在對數(shù)據(jù)文件進(jìn)行共享后沒能及時(shí)取消，甚至為了工作方便將系統(tǒng)中的文件進(jìn)行長期、完全的共享，一旦本地系統(tǒng)遭到攻擊者的入侵，這些信息數(shù)據(jù)勢必會(huì)徹底暴露在攻擊者面前，任由攻擊者對其進(jìn)行竊取或篡改。這些風(fēng)險(xiǎn)的出現(xiàn)是由于工作人員風(fēng)險(xiǎn)意識的欠缺，但其根本原因還是安全保障制度在細(xì)節(jié)上存在缺失，難以有效地對工作人員的管理和操作進(jìn)行規(guī)范。

２ 信息化背景下疾病預(yù)防控制網(wǎng)絡(luò)數(shù)據(jù)的安全防護(hù)

２．１ 提高人員綜合素質(zhì)，加強(qiáng)網(wǎng)絡(luò)安全意識

隨著信息化的發(fā)展，疾病預(yù)防控制中心信息系統(tǒng)為疾控常態(tài)化提供了有效的支撐，但為了避免日益嚴(yán)重的安全風(fēng)險(xiǎn)，有必要做到以下２ 個(gè)方面。首先，對疾病預(yù)防控制中心的工作人員進(jìn)行系統(tǒng)性的培訓(xùn)，提高其綜合素質(zhì)，讓工作人員充分了解網(wǎng)絡(luò)數(shù)據(jù)安全對于疾病預(yù)防控制工作的重要意義，除了進(jìn)行崗位培訓(xùn)，還要對其普及信息系統(tǒng)軟硬件安全防護(hù)的相關(guān)知識。在人員培訓(xùn)方面，有必要加大經(jīng)費(fèi)的投入，引入合理的人才培養(yǎng)機(jī)制，建設(shè)一支綜合素質(zhì)過硬的網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)人才隊(duì)伍。其次，不斷加強(qiáng)疾病預(yù)防控制中心工作人員的網(wǎng)絡(luò)安全意識。工作人員只有具備了網(wǎng)絡(luò)數(shù)據(jù)信息的安全防護(hù)意識，才會(huì)在實(shí)際工作中嚴(yán)格遵從安全規(guī)范對信息系統(tǒng)進(jìn)行操作和管理。

此外，強(qiáng)化疾病預(yù)防控制中心領(lǐng)導(dǎo)層的安全意識應(yīng)是重中之重，在構(gòu)建安全調(diào)控機(jī)制時(shí)才能做到準(zhǔn)確有效，同時(shí)在優(yōu)化疾控中心信息系統(tǒng)時(shí)才能充分考慮到安全保障的重要性?；诖耍瑧?yīng)設(shè)立專門的安全保護(hù)小組，對安全漏洞等風(fēng)險(xiǎn)的處理，能夠更加及時(shí)有效。

２．２ 升級軟硬件，完善網(wǎng)絡(luò)規(guī)劃

為應(yīng)對技術(shù)和系統(tǒng)帶來的安全風(fēng)險(xiǎn)，有必要從以下４ 個(gè)方面入手。首先，在硬件和軟件上完善疾病預(yù)防控制中心內(nèi)部的本地網(wǎng)絡(luò)防護(hù)工作，通過交換機(jī)等設(shè)備對中心內(nèi)網(wǎng)和外部互聯(lián)網(wǎng)進(jìn)行保護(hù)性的物理隔離，從物理上隔絕來自外部互聯(lián)網(wǎng)的攻擊，同時(shí)安裝殺毒軟件，啟用防火墻，在軟件層面做好安全保障。

其次，鑒于疾病預(yù)防控制中心仍需與外部互聯(lián)網(wǎng)進(jìn)行通信，內(nèi)外網(wǎng)不可能完全隔離［５］ ，因此網(wǎng)絡(luò)接口邊界防火墻的應(yīng)用就顯得十分重要，通過防火墻對流量與連接外網(wǎng)等行為進(jìn)行嚴(yán)格的實(shí)時(shí)管控，以確保及時(shí)準(zhǔn)確地識別來自外網(wǎng)的攻擊行為。再次，信息系統(tǒng)內(nèi)的數(shù)據(jù)十分重要，為避免因數(shù)據(jù)損壞或失竊帶來的損失，除了有必要對系統(tǒng)內(nèi)的信息數(shù)據(jù)進(jìn)行加密，還要定期對數(shù)據(jù)進(jìn)行安全備份，使得數(shù)據(jù)遭到破壞以后可以迅速恢復(fù)。最后，進(jìn)一步完善網(wǎng)絡(luò)規(guī)劃，將交換機(jī)與防火墻技術(shù)進(jìn)行充分的結(jié)合，通過虛擬局域網(wǎng)技術(shù)，在相應(yīng)的虛擬局域網(wǎng)中進(jìn)行各個(gè)類型的工作，最大限度地保障信息系統(tǒng)的安全運(yùn)轉(zhuǎn)。

２．３ 建立責(zé)任制度，優(yōu)化管理規(guī)范

對疾病預(yù)防控制中心信息系統(tǒng)的安全防護(hù)而言，制度和規(guī)范的建設(shè)必不可少。首先，從網(wǎng)絡(luò)安全責(zé)任制度的建立入手，鑒于疾病預(yù)防控制中心工作繁多，應(yīng)從領(lǐng)導(dǎo)層的安全意識抓起，通過調(diào)控機(jī)制明確所有人的工作范圍與責(zé)任范圍，既提高了工作效率，又強(qiáng)化了監(jiān)督管理的效果。其次，強(qiáng)化網(wǎng)絡(luò)安全相關(guān)制度，在疾病預(yù)防控制中心的管理工作中，針對可能出現(xiàn)安全風(fēng)險(xiǎn)的諸多細(xì)節(jié)，應(yīng)做出明確且合理的規(guī)定，將管理規(guī)范進(jìn)一步優(yōu)化完善，把安全防護(hù)風(fēng)險(xiǎn)從人為因素方面盡可能降到最低。此外，疾病預(yù)防控制中還有必要和當(dāng)?shù)氐木W(wǎng)絡(luò)安全中心展開深度合作， 在建立責(zé)任制度與優(yōu)化管理規(guī)范的基礎(chǔ)上構(gòu)建更加高效的安全防護(hù)結(jié)構(gòu)，打擊來自互聯(lián)網(wǎng)的不法入侵，盜取、篡改信息數(shù)據(jù)等犯罪行為。

疾病預(yù)防控制中心信息系統(tǒng)的建設(shè)是我國疾病預(yù)防控制常態(tài)化的重要基礎(chǔ)，信息化時(shí)代既為信息系統(tǒng)建設(shè)提供了新的技術(shù)支持，也帶來了更多且難以預(yù)測的網(wǎng)絡(luò)數(shù)據(jù)風(fēng)險(xiǎn)。因此，為減少這些可能帶來負(fù)面后果的網(wǎng)絡(luò)風(fēng)險(xiǎn)，應(yīng)提高工作人員的綜合素質(zhì)與安全意識，從軟硬件同時(shí)入手完善網(wǎng)絡(luò)規(guī)劃，優(yōu)化相關(guān)制度和規(guī)范，以促進(jìn)疾病預(yù)防控制中心信息系統(tǒng)的安全發(fā)展。

參考文獻(xiàn)：

［１］ 韓冬，黃家忠，閆俊飛，等．天津市疾病預(yù)防控制中心信息化建設(shè)中項(xiàng)目監(jiān)理的作用分析［Ｊ］．職業(yè)與健康，２０２１，３７（１５）：２１３７?２１４０．

［２］ 趙浩然．實(shí)驗(yàn)室信息管理系統(tǒng)在疾病預(yù)防控制中心實(shí)驗(yàn)室的應(yīng)用［Ｊ］．中國衛(wèi)生檢驗(yàn)雜志，２０２２，３２（９）：１１４９?１１５１．

［３］ 李霞．網(wǎng)絡(luò)環(huán)境下疾病預(yù)防控制中心檔案室信息資源的共建共享研究［Ｊ］．產(chǎn)品可靠性報(bào)告，２０２２（８）：７５?７６．

［４］ 趙志剛，張媛媛，胡堯，等．不忘初心為人民牢記職責(zé)保健康筑牢疾病預(yù)防控制的堅(jiān)固堡壘———山東省疾病預(yù)防控制中心疾病預(yù)防控制篇［Ｊ］．預(yù)防醫(yī)學(xué)論壇，２０２２，２８（９）：６４１?６４２．

［５］ 陳金鈺．縣域疾病預(yù)防控制中心信息化運(yùn)行及維護(hù)［Ｊ］．無線互聯(lián)科技，２０２１，１８（１）：１０２?１０３．

作者簡介：

藍(lán)冬雪（１９７６—），研究方向：網(wǎng)絡(luò)信息安全與管理。

來守林（１９７５—），博士，研究方向：技術(shù)經(jīng)濟(jì)、區(qū)域經(jīng)濟(jì)。