疾病预防控制系统网络信息安全问题和对策浅谈.doc

疾病预防控制系统网络信息安全问题和对策浅谈 　　摘 要：在计算机信息网络日益普及和发展的今天，网络在各级疾病预防控制机构得到了迅速普及和广泛应用，随之也带来了各种网络信息安全问题的隐患。本文从多角度全面分析了疾病预防控制系统常见的各种网络信息安全问题，分析了产生的原因，提出了可行的解决方案和对策。 关键词：疾病预防与控制；信息安全；网络安全 中图分类号：TP393.08 近年来，随着信息技术的深入发展，疾病预防控制工作的信息化步伐日益加快，大量疾控信息系统相继投入使用，极大的推动了疾控工作水平的提升。在我们享受网络带来的优势与便利的同时，不知不觉中也增加了对信息系统及网络的依赖性，继而不可避免的要面对网络开放性所带来的信息安全方面的新挑战[1]。 信息安全问题在疾控机构的突出表现在网络上的信息安全隐患，网络系统要求生成、流动及存储的数据，不受偶然的或者恶意的破坏、泄露、更改，系统能够不间断工作，网络持续提供正常服务。疾病预防控制系统承担着卫生应急处置、食品安全、职业安全、健康相关产品安全、放射卫生、环境卫生、妇女儿童保健等各项公共卫生管理工作，存储着全社会人群的大量公共卫生数据，对信息的保密性、完整性、可用性、真实性和可控性要求很高。对于疾控系统而言，信息安全不仅仅涉及到个人和单位的安全与利益，甚至影响到地区乃至国家的经济发展与社会稳定，不可轻视。 1 目前疾控系统常见的网络信息安全问题 1.1 管理方面的问题 1.1.1 信息安全认识不足，责任意识薄弱 近年来，随着疾控系统的信息化建设的日益深入，广大干部职工的信息化应用能力日益提高，但主要局限于利用网络开展业务工作和学习，对网络信息的安全性认识尚有不足，安全意识比较淡薄。对各级疾控机构而言，更注重的是利用网络开展疾病报告、健康教育、新闻宣传等业务工作，对信息安全方面的投入和管理远远不能满足安全防范的要求，网络信息安全处于被动的查漏封堵状态，仅能勉强做到事后补救，事前防范无从谈起。很多单位领导还没有把信息安全列为重要的安全日常安全管理职责，侥幸心理比较普遍，无法形成全民主动防范、积极应对的良好工作氛围，无法从根本上提高网络安全的监测防护、响应处置及抵御抗击能力。 1.1.2 信息化专业科室薄弱，管理制度不够健全 疾控系统更加强调卫生防病相关能力建设，往往忽视信息化能力的建设，信息部门未受到应有的重视，很多疾控机构尚未设立独立的信息管理部门。日常工作职责也仅限于应付网络设备、电脑终端、应用软件的维护和培训，管理制度上普遍存在重使用、轻管理、更轻安全，往往仅从硬件使用上进行管理，未将网络安全管理与审计日常管理制度，无法有效定期落实。 1.1.3 网络安全软硬件投入不足，能力建设滞后 疾控机构的投入基本上集中在公共卫生相关业务上，对于网络信息安全重视不足，常以满足电脑和网络能够正常运行，不影响业务工作为要求，有限的投资也往往用在终端和网络设备购置上，对于网络系统安全建设方面缺乏未雨绸缪的长远规划。特别是基层疾控机构盗版系统软件较为普遍，容易隐藏木马、后门等恶意代码，不仅占用了大量的网络带宽资源，甚至攻击疾病上报系统，影响业务工作正常开展。 1.1.4 专业人员缺乏，网络安全处置能力不强 网络系统的正常运行离不开系统管理人员，但疾控系统比较偏重于公共卫生专业人员，信息专业人员比较匮乏，有的单位甚至没有，常出现网络系统管理维护混乱、系统的管理措施不当、保密信息的意外泄露等认为因素失误。同时，信息专业人员网络信息安全模拟演练不够，往往缺少网络安全突发事件应对经验，对于突发的网络信息安全事件无法合理应对、有效处置。 1.2 技术方面的问题 1.2.1 权限攻击 互联网中任何人只要能实际接触到线缆且拥有适当的工具就能接入网络，并且成为上面的超级用户，这是它最大的优点也是最大的弱点。攻击者通常可以用root身份执行有缺陷的系统守护进程，在远程实现无需一个账号登录到本地，直接获取系统管理员权限的操作，擅自修改程序，实施基于权限的攻击[2]。疾控近年来上线了大量公共卫生管理系统，实现了很多网络报病系统的整合，账号的权限往往过大，交叉过多，一旦发生权限攻击并成功，将造成严重的数据损失，隐患很大。 1.2.2 系统漏洞攻击 互联网最基本的协议是TCP/IP，它的特点是讲求了效率但忽视了安全性，重复代码量大，运行效率降低，本身的安全性存在缺陷，很容易被窃听和欺骗[3]。漏洞是指利用硬件、软件、协议在具体安全策略存在的缺陷，使攻击者能够在未授权的情况下访问或破坏系统。疾控系统报病终端众多，操作系统使用人员网络安全知识有限，系统补丁很难全面及时地补全，往往给系统漏洞攻击提供了可乘之机。 1