基于三級等級保護要求加強市級預防接種分布式數(shù)據(jù)管理中心安全建設

顧鼎

摘 要：提升預防接種信息化服務管理系統(tǒng)安全保護等級是貫徹落實國家衛(wèi)生健康委及省委省政府、省衛(wèi)生健康委、市委市政府等指示精神，全面強化疫苗信息管理，確保預防接種規(guī)范化的必要舉措。以信息安全3級等保為標準，針對安全建設、信息機房薄弱環(huán)節(jié)，對分布式數(shù)據(jù)管理中心進行安全升級改造，保護系統(tǒng)、數(shù)據(jù)、網(wǎng)絡和應用的安全。

關鍵詞：預防接種;信息安全;等級保護

預防是最經(jīng)濟最有效的健康策略，免疫規(guī)劃是人民健康的基本保障，是政府提供的一項重要公共衛(wèi)生服務。隨著“疫苗事件”的頻繁發(fā)生和2016年《疫苗流通和預防接種管理條例》修訂版的出臺，疫苗的全程冷鏈監(jiān)控和全程溯源備受矚目。提升預防接種信息化服務管理系統(tǒng)安全保護等級，是貫徹落實國家衛(wèi)生健康委及省委省政府、省衛(wèi)生健康委、市委市政府等指示精神，全面強化疫苗信息管理，確保預防接種規(guī)范化的必要舉措，使千家萬戶都能享受到國家公平、均等的衛(wèi)生服務，建立起全市傳染性疾病免疫屏障，進一步提高全市人均健康期望壽命。

1 信息化現(xiàn)狀

我市預防接種分布式數(shù)據(jù)管理中心，目前包括“疫苗管理子系統(tǒng)”、“冷鏈監(jiān)測子系統(tǒng)”與“成人預防接種服務子系統(tǒng)”，部署于4臺獨立服務器中，全虛擬化集群應用。而所在機房建成時間久遠，配備的精密空調(diào)、UPS等設備老化，時有故障發(fā)生，安全建設亟待加強。

2 需求分析

目前，已建成預防接種分布式數(shù)據(jù)管理中心的軟、硬件平臺，在信息安全方面也進行了基礎性的部分建設。但由于病毒攻擊、惡意攻擊泛濫，應用軟件漏洞層出不窮，此數(shù)據(jù)中心信息安全方面仍面臨較大的挑戰(zhàn)。隨著信息技術的飛速發(fā)展，如今基于信息系統(tǒng)安全防護已不能僅停留在普通網(wǎng)絡安全設備的層面上，特別是疫苗數(shù)據(jù)安全關系到群眾切身利益，甚至會影響社會穩(wěn)定，需要部署完善的、基于保護系統(tǒng)、數(shù)據(jù)、網(wǎng)絡和應用的安全防護體系，以滿足3級等級保護指標為目標進行建設和管理。

3 安全建設總體規(guī)劃與設計

根據(jù)“規(guī)劃先行、指導為重、分期實施”的總體指導方針。整體上，安全等級保護建設工作可分10個方面。

3.1 互聯(lián)網(wǎng)安全接入建設

互聯(lián)網(wǎng)安全在網(wǎng)絡邊界部署防火墻、網(wǎng)絡入侵防御和防毒墻，為網(wǎng)絡提供全面實時的安全防護。為保證業(yè)務穩(wěn)定性，所有安全設備采用雙機部署。

3.2 業(yè)務核心交換網(wǎng)建設

業(yè)務核心交換網(wǎng)區(qū)域，采用兩臺高性能核心設備進行虛擬化配置，邏輯上只需要管理一臺核心交換機，且核心設備間高可靠高冗余，實現(xiàn)毫秒級切換。

3.3 應用系統(tǒng)安全建設

利用兩臺匯聚交換機構建DMZ服務器區(qū)，網(wǎng)站服務器前段部署web應用防火墻系統(tǒng)（WAF），服務器系統(tǒng)層面部署網(wǎng)絡版防病毒和虛擬補丁。

3.4 數(shù)據(jù)安全建設

應用系統(tǒng)安全方面，利用兩臺匯聚交換機構建核心數(shù)據(jù)服務器安全區(qū)域，核心數(shù)據(jù)庫服務器前段部署數(shù)據(jù)庫防火墻系統(tǒng)，核心數(shù)據(jù)庫服務器區(qū)域旁路部署數(shù)據(jù)庫審計系統(tǒng)。

3.5 數(shù)據(jù)安全交換建設

互聯(lián)網(wǎng)和專網(wǎng)兩大部分，需要實行嚴格的安全隔離（接近于物理隔離），在確保專網(wǎng)的安全前提下實現(xiàn)與互聯(lián)網(wǎng)上的企業(yè)或個人用戶實時的業(yè)務互動。采用2套安全網(wǎng)閘HA部署將安全隔離與信息交換系統(tǒng)部署在不同業(yè)務網(wǎng)之間。通過安全隔離網(wǎng)閘與將不同業(yè)務網(wǎng)進行安全隔離和數(shù)據(jù)信息“擺渡”交換，滿足了系統(tǒng)安全隔離和實時交換安全效果。

3.6 運維管理安全建設

在運維管理區(qū)域，建立統(tǒng)一運維、集中運維監(jiān)控、統(tǒng)一備份、綜合日志審計、補丁管理和網(wǎng)絡版殺毒部署信息安全設施。

3.7 辦公網(wǎng)安全

辦公網(wǎng)區(qū)域，機房通過新增2臺核心交換機，并且通過堆疊技術，實現(xiàn)核心交換網(wǎng)高可用，實現(xiàn)毫秒級切換。桌面管理及網(wǎng)絡準入提供終端準入認證管理、入網(wǎng)健康檢查、終端外設監(jiān)控、資產(chǎn)管理和系統(tǒng)管理。

3.8 計算池擴容

目前中心還存在部分設備比較陳舊，服務器、存儲、交換都存在性能瓶頸。為保障整體平臺穩(wěn)定運行，在充分利用現(xiàn)有設備的基礎上，新增服務器、磁盤存儲、虛擬化軟件和所需相關配件并進行和以有資源整合。

3.9 機房物理環(huán)境建設

進行精密空調(diào)擴容，替換現(xiàn)有UPS，增設人臉識別門禁系統(tǒng)。增加42U機柜3臺，擴容現(xiàn)有機架容量。

3.10 制定健全的安全管理體系

建立機房安全管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定;建立網(wǎng)絡安全管理制度，對網(wǎng)絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定;根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復策略，備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒ā?/p>

4 結語

市級預防接種分布式數(shù)據(jù)管理中心安全風險存在很多方面，針對各種風險我們通過安全技術體系、安全管理體系等內(nèi)容的建設，使分布式數(shù)據(jù)管理中心安全保障體系能夠有效落實。因此，信息系統(tǒng)整體安全目標的實現(xiàn)，除了必要的信息安全技術手段支撐，還須建立相適應的安全管理體系進行組織管理，嚴格管理制度，規(guī)范應用操作。管理與技術并重，相互協(xié)同，形成有效的綜合預防、追查及應急響應的立體安全防護體系，保護系統(tǒng)、數(shù)據(jù)、網(wǎng)絡和應用的安全。

參考文獻：

[1]孫巍，王玉珍，陳韜.基于等級保護要求 加強醫(yī)院信息安全管理[J].中國衛(wèi)生信息管理雜志，2017，14（06）：843-845.

[2]王芳，袁蕾磊，趙子琪，劉祥.政務系統(tǒng)信息安全等級保護建設現(xiàn)狀分析及對策建議[J].農(nóng)業(yè)網(wǎng)絡信息，2017（12）：12-14.