论文部分内容阅读
摘 要:在计算机信息网络日益普及和发展的今天,网络在各级疾病预防控制机构得到了迅速普及和广泛应用,随之也带来了各种网络信息安全问题的隐患。本文从多角度全面分析了疾病预防控制系统常见的各种网络信息安全问题,分析了产生的原因,提出了可行的解决方案和对策。
关键词:疾病预防与控制;信息安全;网络安全
中图分类号:TP393.08
近年来,随着信息技术的深入发展,疾病预防控制工作的信息化步伐日益加快,大量疾控信息系统相继投入使用,极大的推动了疾控工作水平的提升。在我们享受网络带来的优势与便利的同时,不知不觉中也增加了对信息系统及网络的依赖性,继而不可避免的要面对网络开放性所带来的信息安全方面的新挑战[1]。
信息安全问题在疾控机构的突出表现在网络上的信息安全隐患,网络系统要求生成、流动及存储的数据,不受偶然的或者恶意的破坏、泄露、更改,系统能够不间断工作,网络持续提供正常服务。疾病预防控制系统承担着卫生应急处置、食品安全、职业安全、健康相关产品安全、放射卫生、环境卫生、妇女儿童保健等各项公共卫生管理工作,存储着全社会人群的大量公共卫生数据,对信息的保密性、完整性、可用性、真实性和可控性要求很高。对于疾控系统而言,信息安全不仅仅涉及到个人和单位的安全与利益,甚至影响到地区乃至国家的经济发展与社会稳定,不可轻视。
1 目前疾控系统常见的网络信息安全问题
1.1 管理方面的问题
1.1.1 信息安全认识不足,责任意识薄弱
近年来,随着疾控系统的信息化建设的日益深入,广大干部职工的信息化应用能力日益提高,但主要局限于利用网络开展业务工作和学习,对网络信息的安全性认识尚有不足,安全意识比较淡薄。对各级疾控机构而言,更注重的是利用网络开展疾病报告、健康教育、新闻宣传等业务工作,对信息安全方面的投入和管理远远不能满足安全防范的要求,网络信息安全处于被动的查漏封堵状态,仅能勉强做到事后补救,事前防范无从谈起。很多单位领导还没有把信息安全列为重要的安全日常安全管理职责,侥幸心理比较普遍,无法形成全民主动防范、积极应对的良好工作氛围,无法从根本上提高网络安全的监测防护、响应处置及抵御抗击能力。
1.1.2 信息化专业科室薄弱,管理制度不够健全
疾控系统更加强调卫生防病相关能力建设,往往忽视信息化能力的建设,信息部门未受到应有的重视,很多疾控機构尚未设立独立的信息管理部门。日常工作职责也仅限于应付网络设备、电脑终端、应用软件的维护和培训,管理制度上普遍存在重使用、轻管理、更轻安全,往往仅从硬件使用上进行管理,未将网络安全管理与审计日常管理制度,无法有效定期落实。
1.1.3 网络安全软硬件投入不足,能力建设滞后
疾控机构的投入基本上集中在公共卫生相关业务上,对于网络信息安全重视不足,常以满足电脑和网络能够正常运行,不影响业务工作为要求,有限的投资也往往用在终端和网络设备购置上,对于网络系统安全建设方面缺乏未雨绸缪的长远规划。特别是基层疾控机构盗版系统软件较为普遍,容易隐藏木马、后门等恶意代码,不仅占用了大量的网络带宽资源,甚至攻击疾病上报系统,影响业务工作正常开展。
1.1.4 专业人员缺乏,网络安全处置能力不强
网络系统的正常运行离不开系统管理人员,但疾控系统比较偏重于公共卫生专业人员,信息专业人员比较匮乏,有的单位甚至没有,常出现网络系统管理维护混乱、系统的管理措施不当、保密信息的意外泄露等认为因素失误。同时,信息专业人员网络信息安全模拟演练不够,往往缺少网络安全突发事件应对经验,对于突发的网络信息安全事件无法合理应对、有效处置。
1.2 技术方面的问题
1.2.1 权限攻击
互联网中任何人只要能实际接触到线缆且拥有适当的工具就能接入网络,并且成为上面的超级用户,这是它最大的优点也是最大的弱点。攻击者通常可以用root身份执行有缺陷的系统守护进程,在远程实现无需一个账号登录到本地,直接获取系统管理员权限的操作,擅自修改程序,实施基于权限的攻击[2]。疾控近年来上线了大量公共卫生管理系统,实现了很多网络报病系统的整合,账号的权限往往过大,交叉过多,一旦发生权限攻击并成功,将造成严重的数据损失,隐患很大。
1.2.2 系统漏洞攻击
互联网最基本的协议是TCP/IP,它的特点是讲求了效率但忽视了安全性,重复代码量大,运行效率降低,本身的安全性存在缺陷,很容易被窃听和欺骗[3]。漏洞是指利用硬件、软件、协议在具体安全策略存在的缺陷,使攻击者能够在未授权的情况下访问或破坏系统。疾控系统报病终端众多,操作系统使用人员网络安全知识有限,系统补丁很难全面及时地补全,往往给系统漏洞攻击提供了可乘之机。
1.2.3 垃圾邮件
垃圾邮件是指攻击者利用邮件的公开性进行操作,将邮件强行推送至别人的电子邮箱,强迫他人接受垃圾邮件。使用者往往采用了很弱的口令加密方式,使攻击者可以很容易地分析口令的密码,从而使攻击者通过某种方法得到密码后还原出原文来。疾控系统大多还依赖免费的电子邮箱服务,安全机制较为缺乏,容易受垃圾邮件侵扰。如果邮件中夹杂恶意链接或代码,很容易使终端收到攻击,为数据安全带来极大的隐患。
1.2.4 病毒攻击
计算机病毒已广为人知,是指编制或插入在计算机程序中的,能破坏计算机功能和数据,影响计算机使用并且能自我复制的一组计算机指令或者程序代码[2]。病毒传播性、隐蔽性、破坏性和潜伏性等共同特性。盗版软件和网络非法软件很容易成为病毒载体,被疾控中心工作人员错误下载至疾控系统的使用终端,如果潜伏发作,有可能感染整个局域网,造成严重的网络安全事件。
1.2.5 黑客攻击 黑客是影响网络安全的最主要因素之一。由于工作需要疾控中心网络与互联网相连,信息共享的同时也面临着遭遇攻击的风险。现在互联网上可以下载到很多攻击工具,进行黑客攻击的技术门槛大大降低。疾控系统存贮这大量的社会人群的公共卫生数据,也容易吸引很多黑客的注意力,由于黑客工具容易获得,设置簡单、使用方便、破坏力大,往往一个很普通的上网者也会对疾控系统造成很大的危害。
2 解决网络信息安全问题的对策
2.1 提高认识,加强网络安全管理的制度建设
坚持网络信息安全相关法律法规的宣传和贯彻,提高领导和全民的网络信息安全认识,把网络信息安全作为安全责任制度的一项重要内容,形成一把手负总责的领导机制和责任追究机制,切实提高网络信息管理的力度。
健全安全管理制度,提高可操作性,做好平时的制度落实和演练,当网络出现被攻击行为或其它安全威胁时(如内部人员的违规操作等),可以实时的监控、检测、报告与预警。当事故发生后,可以保留追踪线索及破案依据,提高网络的可控性与可审查性。将健全的管理制度和日常的严格管理相结合,充分保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络,为业务工作提供可靠的服务。
2.2 加大软硬件投入,加强专业人员队伍建设
“工欲善其事,必先利其器。”必要的网络安全设备必不可少,网络安全问题究其本质也就是信息安全。近年来,但是目前我国自主开发研究的网络安全产品逐渐丰富,价格逐渐降低,根据数据显示,目前我国国产防火墙约有 131 个产品,防火墙的功能早已从简单的封包过滤向多元化演进,功能已涵盖应用代理、防病毒、实时监控、VPN、入侵检测、安全审计、集封包过滤等多种功能。疾控系统购置并正确使用适当的网络安全设备可以构建起保障整个机构的网络安全的第一道技术防线[3]。
人才缺乏是基层疾控机构网络信息安全管理薄弱的主要原因之一,疾控信息系统要发挥作用,最终要由公共卫生专业人员使用,因此各级疾控机构要着力培育熟悉信息技术和卫生业务的复合型人才。另一方面,要提高全员的网络信息安全意识和能力,加强对各类专业技术人员进行不同层次的信息技术培训,使每一位员工都了解信息化方面的培训,理解掌握一定的信息安全技术,提升计算机与网络应用技能,更好地完成各项业务工作。
2.3 完善安全策略,全面掌握各项网络信息安全技术
全面掌握各项网络信息安全技术,是提高网络安全水平的根本保证。疾控机构在网络日常管理工作中必须完善各项安全策略,充分利用各项成熟的计算机技术保障网络信息安全。比如物理措施:例如,保护网络关键设备(如交换机、服务器等),采取防辐射、防雷、防火以及安装不间断电源(UPS)等措施。访问控制:对用户访问网络资源的权限进行严格的认证和控制,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限等。网络隔离:采用单机隔离卡或网络安全隔离网闸内外网络的隔离。数据加密:对重要数据进行加密存储和传输,确保保障信息被非法截获后不能轻易读懂其含义,防止重要信息泄露。其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。
3 结束语
在信息技术支持和信息资源管理需求迅速增长的行业大趋势下,疾病预防控制信息化建设工作随着国家疾病预防控制体系的建设与发展得到了不断的深化与加强,基础网络和业务应用系统的建设有序地推进,信息的整合利用与共享服务不断加强积极推进,信息支撑作用日益显现,信息化的深度和广度不断提升。在此大背景下,疾控系统的网络信息安全问题将日益突出,必须得到各级疾控机构的关心和重视[4]。
网络信息安全问题是一个信息社会共同面对的复杂而长远的工程,疾控的网络信息安全也不例外,随着疾病预防控制各业务系统的建立与应用,信息安全问题越来越突出显现出来,“信息孤岛”效应造成了的信息的分散,造成安全管理责任分散,加上目前信息安全的基础建设相对薄弱,带来了一系列网络信息安全问题的隐患[5]。这就要求各级疾控机构高度重视网络信息安全问题,按照“人防+技防”的总体原则,切实加强网络安全管理的制度建设,进一步加大软硬件投入,特别是网络安全设备的投入,加强专业人员队伍建设,不断完善各项安全策略,掌握运用好各项网络信息安全技术,变被动为主动,整体统一防范,充分提高网络信息安全管理水平,更好的保障疾病预防控制各项业务工作的开展。
参考文献:
[1]刘宝旭,许榕生.网络安全关键技术[J].信息网络安全,2005(7).
[2]司天歌,刘铎,戴一奇.安全的基于网络的计算机系统[J].清华大学学报,2007(07).
[3]胡江.计算机网络安全问题和对策研究[J].科技风,2010(24).
[4]伍立玲,刘亚民.传染病报告质量影响因素及改进对策探讨[J].中国社会医学杂志,2010(3).
[5]谭书香.浅谈疾病预防控制信息网络安全问题[J].计算机光盘软件与应用,2012(4).
作者简介:马智勇(1979-),江苏南京人,主管技师,本科,研究方向:卫生信息技术。
作者单位:南京市疾病预防控制中心,南京 210003
关键词:疾病预防与控制;信息安全;网络安全
中图分类号:TP393.08
近年来,随着信息技术的深入发展,疾病预防控制工作的信息化步伐日益加快,大量疾控信息系统相继投入使用,极大的推动了疾控工作水平的提升。在我们享受网络带来的优势与便利的同时,不知不觉中也增加了对信息系统及网络的依赖性,继而不可避免的要面对网络开放性所带来的信息安全方面的新挑战[1]。
信息安全问题在疾控机构的突出表现在网络上的信息安全隐患,网络系统要求生成、流动及存储的数据,不受偶然的或者恶意的破坏、泄露、更改,系统能够不间断工作,网络持续提供正常服务。疾病预防控制系统承担着卫生应急处置、食品安全、职业安全、健康相关产品安全、放射卫生、环境卫生、妇女儿童保健等各项公共卫生管理工作,存储着全社会人群的大量公共卫生数据,对信息的保密性、完整性、可用性、真实性和可控性要求很高。对于疾控系统而言,信息安全不仅仅涉及到个人和单位的安全与利益,甚至影响到地区乃至国家的经济发展与社会稳定,不可轻视。
1 目前疾控系统常见的网络信息安全问题
1.1 管理方面的问题
1.1.1 信息安全认识不足,责任意识薄弱
近年来,随着疾控系统的信息化建设的日益深入,广大干部职工的信息化应用能力日益提高,但主要局限于利用网络开展业务工作和学习,对网络信息的安全性认识尚有不足,安全意识比较淡薄。对各级疾控机构而言,更注重的是利用网络开展疾病报告、健康教育、新闻宣传等业务工作,对信息安全方面的投入和管理远远不能满足安全防范的要求,网络信息安全处于被动的查漏封堵状态,仅能勉强做到事后补救,事前防范无从谈起。很多单位领导还没有把信息安全列为重要的安全日常安全管理职责,侥幸心理比较普遍,无法形成全民主动防范、积极应对的良好工作氛围,无法从根本上提高网络安全的监测防护、响应处置及抵御抗击能力。
1.1.2 信息化专业科室薄弱,管理制度不够健全
疾控系统更加强调卫生防病相关能力建设,往往忽视信息化能力的建设,信息部门未受到应有的重视,很多疾控機构尚未设立独立的信息管理部门。日常工作职责也仅限于应付网络设备、电脑终端、应用软件的维护和培训,管理制度上普遍存在重使用、轻管理、更轻安全,往往仅从硬件使用上进行管理,未将网络安全管理与审计日常管理制度,无法有效定期落实。
1.1.3 网络安全软硬件投入不足,能力建设滞后
疾控机构的投入基本上集中在公共卫生相关业务上,对于网络信息安全重视不足,常以满足电脑和网络能够正常运行,不影响业务工作为要求,有限的投资也往往用在终端和网络设备购置上,对于网络系统安全建设方面缺乏未雨绸缪的长远规划。特别是基层疾控机构盗版系统软件较为普遍,容易隐藏木马、后门等恶意代码,不仅占用了大量的网络带宽资源,甚至攻击疾病上报系统,影响业务工作正常开展。
1.1.4 专业人员缺乏,网络安全处置能力不强
网络系统的正常运行离不开系统管理人员,但疾控系统比较偏重于公共卫生专业人员,信息专业人员比较匮乏,有的单位甚至没有,常出现网络系统管理维护混乱、系统的管理措施不当、保密信息的意外泄露等认为因素失误。同时,信息专业人员网络信息安全模拟演练不够,往往缺少网络安全突发事件应对经验,对于突发的网络信息安全事件无法合理应对、有效处置。
1.2 技术方面的问题
1.2.1 权限攻击
互联网中任何人只要能实际接触到线缆且拥有适当的工具就能接入网络,并且成为上面的超级用户,这是它最大的优点也是最大的弱点。攻击者通常可以用root身份执行有缺陷的系统守护进程,在远程实现无需一个账号登录到本地,直接获取系统管理员权限的操作,擅自修改程序,实施基于权限的攻击[2]。疾控近年来上线了大量公共卫生管理系统,实现了很多网络报病系统的整合,账号的权限往往过大,交叉过多,一旦发生权限攻击并成功,将造成严重的数据损失,隐患很大。
1.2.2 系统漏洞攻击
互联网最基本的协议是TCP/IP,它的特点是讲求了效率但忽视了安全性,重复代码量大,运行效率降低,本身的安全性存在缺陷,很容易被窃听和欺骗[3]。漏洞是指利用硬件、软件、协议在具体安全策略存在的缺陷,使攻击者能够在未授权的情况下访问或破坏系统。疾控系统报病终端众多,操作系统使用人员网络安全知识有限,系统补丁很难全面及时地补全,往往给系统漏洞攻击提供了可乘之机。
1.2.3 垃圾邮件
垃圾邮件是指攻击者利用邮件的公开性进行操作,将邮件强行推送至别人的电子邮箱,强迫他人接受垃圾邮件。使用者往往采用了很弱的口令加密方式,使攻击者可以很容易地分析口令的密码,从而使攻击者通过某种方法得到密码后还原出原文来。疾控系统大多还依赖免费的电子邮箱服务,安全机制较为缺乏,容易受垃圾邮件侵扰。如果邮件中夹杂恶意链接或代码,很容易使终端收到攻击,为数据安全带来极大的隐患。
1.2.4 病毒攻击
计算机病毒已广为人知,是指编制或插入在计算机程序中的,能破坏计算机功能和数据,影响计算机使用并且能自我复制的一组计算机指令或者程序代码[2]。病毒传播性、隐蔽性、破坏性和潜伏性等共同特性。盗版软件和网络非法软件很容易成为病毒载体,被疾控中心工作人员错误下载至疾控系统的使用终端,如果潜伏发作,有可能感染整个局域网,造成严重的网络安全事件。
1.2.5 黑客攻击 黑客是影响网络安全的最主要因素之一。由于工作需要疾控中心网络与互联网相连,信息共享的同时也面临着遭遇攻击的风险。现在互联网上可以下载到很多攻击工具,进行黑客攻击的技术门槛大大降低。疾控系统存贮这大量的社会人群的公共卫生数据,也容易吸引很多黑客的注意力,由于黑客工具容易获得,设置簡单、使用方便、破坏力大,往往一个很普通的上网者也会对疾控系统造成很大的危害。
2 解决网络信息安全问题的对策
2.1 提高认识,加强网络安全管理的制度建设
坚持网络信息安全相关法律法规的宣传和贯彻,提高领导和全民的网络信息安全认识,把网络信息安全作为安全责任制度的一项重要内容,形成一把手负总责的领导机制和责任追究机制,切实提高网络信息管理的力度。
健全安全管理制度,提高可操作性,做好平时的制度落实和演练,当网络出现被攻击行为或其它安全威胁时(如内部人员的违规操作等),可以实时的监控、检测、报告与预警。当事故发生后,可以保留追踪线索及破案依据,提高网络的可控性与可审查性。将健全的管理制度和日常的严格管理相结合,充分保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络,为业务工作提供可靠的服务。
2.2 加大软硬件投入,加强专业人员队伍建设
“工欲善其事,必先利其器。”必要的网络安全设备必不可少,网络安全问题究其本质也就是信息安全。近年来,但是目前我国自主开发研究的网络安全产品逐渐丰富,价格逐渐降低,根据数据显示,目前我国国产防火墙约有 131 个产品,防火墙的功能早已从简单的封包过滤向多元化演进,功能已涵盖应用代理、防病毒、实时监控、VPN、入侵检测、安全审计、集封包过滤等多种功能。疾控系统购置并正确使用适当的网络安全设备可以构建起保障整个机构的网络安全的第一道技术防线[3]。
人才缺乏是基层疾控机构网络信息安全管理薄弱的主要原因之一,疾控信息系统要发挥作用,最终要由公共卫生专业人员使用,因此各级疾控机构要着力培育熟悉信息技术和卫生业务的复合型人才。另一方面,要提高全员的网络信息安全意识和能力,加强对各类专业技术人员进行不同层次的信息技术培训,使每一位员工都了解信息化方面的培训,理解掌握一定的信息安全技术,提升计算机与网络应用技能,更好地完成各项业务工作。
2.3 完善安全策略,全面掌握各项网络信息安全技术
全面掌握各项网络信息安全技术,是提高网络安全水平的根本保证。疾控机构在网络日常管理工作中必须完善各项安全策略,充分利用各项成熟的计算机技术保障网络信息安全。比如物理措施:例如,保护网络关键设备(如交换机、服务器等),采取防辐射、防雷、防火以及安装不间断电源(UPS)等措施。访问控制:对用户访问网络资源的权限进行严格的认证和控制,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限等。网络隔离:采用单机隔离卡或网络安全隔离网闸内外网络的隔离。数据加密:对重要数据进行加密存储和传输,确保保障信息被非法截获后不能轻易读懂其含义,防止重要信息泄露。其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。
3 结束语
在信息技术支持和信息资源管理需求迅速增长的行业大趋势下,疾病预防控制信息化建设工作随着国家疾病预防控制体系的建设与发展得到了不断的深化与加强,基础网络和业务应用系统的建设有序地推进,信息的整合利用与共享服务不断加强积极推进,信息支撑作用日益显现,信息化的深度和广度不断提升。在此大背景下,疾控系统的网络信息安全问题将日益突出,必须得到各级疾控机构的关心和重视[4]。
网络信息安全问题是一个信息社会共同面对的复杂而长远的工程,疾控的网络信息安全也不例外,随着疾病预防控制各业务系统的建立与应用,信息安全问题越来越突出显现出来,“信息孤岛”效应造成了的信息的分散,造成安全管理责任分散,加上目前信息安全的基础建设相对薄弱,带来了一系列网络信息安全问题的隐患[5]。这就要求各级疾控机构高度重视网络信息安全问题,按照“人防+技防”的总体原则,切实加强网络安全管理的制度建设,进一步加大软硬件投入,特别是网络安全设备的投入,加强专业人员队伍建设,不断完善各项安全策略,掌握运用好各项网络信息安全技术,变被动为主动,整体统一防范,充分提高网络信息安全管理水平,更好的保障疾病预防控制各项业务工作的开展。
参考文献:
[1]刘宝旭,许榕生.网络安全关键技术[J].信息网络安全,2005(7).
[2]司天歌,刘铎,戴一奇.安全的基于网络的计算机系统[J].清华大学学报,2007(07).
[3]胡江.计算机网络安全问题和对策研究[J].科技风,2010(24).
[4]伍立玲,刘亚民.传染病报告质量影响因素及改进对策探讨[J].中国社会医学杂志,2010(3).
[5]谭书香.浅谈疾病预防控制信息网络安全问题[J].计算机光盘软件与应用,2012(4).
作者简介:马智勇(1979-),江苏南京人,主管技师,本科,研究方向:卫生信息技术。
作者单位:南京市疾病预防控制中心,南京 210003