基于計算機技術的疾控中心信息安全對策研究

劉靖

長春市朝陽區疾病預防控制中心，吉林長春，130021

0 引言

隨著公共衛生事件對社會影響程度的加深，疾病預防和控制工作成為國家公共衛生事業建設的重點。疾控中心作為疾病預防與控制工作的主陣地，肩負著重要的責任。同時，計算機及互聯網應用程度的逐步深入，也推動了疾控中心的信息管理模式轉變，疾控中心信息管理從傳統方式向信息化方式逐步演進。各疾控中心搭建了信息化網絡平臺，也因此疾控中心信息系統的安全問題成為保障疾控中心工作順利進行的關鍵點，而疾控中心信息安全管理是保障信息運行順暢、數據完整、交互及時性的重點。因此，信息化安全是各級疾控中心信息化建設任務的重中之重。

1 疾控中心信息安全的重要性

基于計算機及信息技術的支持，疾控中心采集涉及公共衛生的多種信息，在大數據技術支撐下展開有關疾病預防與控制的各類數據采集、分析、處理（發送、儲存），獲得有價值數據資料[1]，提高數據計算的準確性及數據處理的效率性、及時性，顯著降低疾病預防所控制崗位從業者的任務壓力[2]。疾控中心信息安全能保障疾控中心對信息資源的存儲、交互與整合。信息技術全面提高了疾控中心工作質量與效率，促進了疾控中心現代化發展，這是不爭的事實，但其安全風險同樣不容忽視。比如在信息系統受到木馬病毒攻擊、別有用心者的破壞等不可預測因素作用時，系統癱瘓、數據信息丟失或泄密的可能性均客觀存在，就此導致疾控中心數據信息安全受到威脅[3]。由此可見，疾控中心信息系統的安全是保障系統運行的關鍵點，疾控中心必須要重視并加強對信息安全的管理，預防信息安全問題，強化系統安全性，降低信息篡改與丟失的風險，確保疾控中心整體工作科學有序進行，為我國開展醫療工作奠定基礎。

2 疾控中心信息管理面臨的現實困境

2.1 硬件安全

信息安全的基礎就在于硬件、設備安全，每個行業均如此，疾控中心也不例外。為保障疾控中心各項數據錄入及存儲工作的順利運行，網絡基礎設施通常是以多個構件為基礎形成的體系，整體上較復雜，同時具有分布性廣、工作強度大的特點[4]。疾控中心計算機設備長期處于高負荷的運行狀態，對設備損耗也是持續性的，計算機硬件與軟件系統都需要進行及時更新升級與檢測，以保證其能維持最優狀態，以應對大量數據處理需求。而在部分疾控中心，對設備的檢修缺乏前瞻性，基本上設備出現問題或故障才會請人來進行維修，沒有提前將日常設備安全管理重視起來，也沒有定期進行設備軟硬件的升級更新。而疾控中心設備老化、軟硬件管理風險時刻存在，一旦發生設備故障，系統不能及時持續開展工作，可能直接導致數據丟失，增大數據管理風險。

2.2 風險防控問題

疾控中心面對大量的信息交互，當網絡節點超出網絡體系承載的極限值時，可能造成系統崩潰。同時，易受到不可抗力的影響以及日常管理不當的情況。如一些監管崗位從業者安全控制理念未形成或未有效形成，在漠視網絡安全架構的同時，過度關注賬戶日志和數據使用情況檢查等網址分配、網絡運行與維護方面的事情，也會造成信息安全問題[5]。當前部分疾控中心也開始關注信息安全問題，但是在應對信息安全方面還缺乏預案與應急對策。如一旦信息風險發生，造成的數據丟失難以恢復的情況依然普遍存在。另外，由于缺乏應急預案，當風險發生時，難以在短時間內得到有序、有效的解決。疾控中心網絡系統作為一項綜合性、復雜性的運營機構，這些問題應當加以重視。

2.3 網絡攻擊問題

大數據時代背景下，特別是在新冠肺炎疫情防控呈現常態化的今天，疾控中心的信息接收量與管理量也呈現驚人的增長態勢，多個數據源的數據最終都會匯總到疾控中心的信息網絡體系中。網絡攻擊通常有兩類，其一為黑客攻擊，其二為病毒感染[6]。疾控中心的網絡系統屬于開源式的系統結構，日常存在大量的信息接收、傳遞與存儲，一旦在某個環節發生網絡攻擊，或者當疾控中心的工作人員在日常操作中不慎點擊了非法網站，造成病毒入侵，就將對局域網內的信息系統造成連鎖侵害，進而導致疾控中心數據的篡改與丟失等嚴重后果。

2.4 人才建設問題

當前疾控中心在信息化人才的培養與引進方面還存在缺陷。從疾控中心的專業性來講，需要的是既懂計算機技術，又具備管理能力，還要了解疾控中心工作性質的復合型人才，這類人才普遍比較缺乏。再從疾控中心信息人員的發展角度而言，從業人員本身是具有一定能力才能進入疾控中心工作，但作為醫療系統機構中的一個分支，很多機構經費投入到疾控醫療層面，對信息化部門不夠重視，導致人才的職業發展缺乏激勵機制與上升通道，工資待遇相較于其他企業信息化人員待遇要低。并且由于疾控中心工作的特殊性，需要輪值夜班，工作壓力大，工作強度高，這種情況加上待遇有限，信息人才的價值未能得到充分重視，也導致很多專業人才的流失，頻繁的人才流失對疾控中心而言無疑是巨大的損失。

3 疾控中心信息安全建設對策

3.1 加強設備安全的日常管理

為了優化疾控中心信息安全管理中的設備安全問題，應注重從日常管理入手，使設備安全管理常態化，全面提升設備的安全性能水平。

（1）促進設備維護常態化。設備維護不僅限于計算機，還應包括光纖網絡的管理與定期維護，對可能發生的設備問題進行預判，并加強日常管理維護，如防火、防水、防塵，定期檢查設備老化情況，保證硬件質量能滿足系統安全穩定運行需要。

（2）增強設備穩定性。服務器是系統數據存儲的核心構件，所以其穩定與優化配置也十分關鍵。疾控中心應當定期對服務協議、網絡用戶單元進行權限設定。在軟件安全方面，不安裝未知來源的軟件，在確定軟件可靠性的情況下才安裝，從軟硬件方面提高設備整體的穩定性。

3.2 建立安全備份與應急機制

信息網絡環境的變化瞬息萬變，盡管加強了設備安全保障，但是也僅能通過降低發生概率來控制安全風險的發生，難以確保百分之百不出現安全問題。為此應當采取安全備份與應急管理兩種機制，為信息安全提供保障。

（1）安全備份機制。疾控中心面臨海量的數據交互，需要構建安全的環境。保證數據安全、杜絕信息丟失是安全備份機制設計的基本意圖。不可抗力（自然災害等）或不可預測事件發生后，通過建立安全備份系統，利用數據映射技術，在提高數據存儲質量的同時，既實現數據信息的同步傳輸，又能進行數據的延時存儲，并對實時數據進行云備份，可以有效防止數據丟失，為系統內數據安全提供保障。

（2）應急管理機制。應急管理主要是為應對突發情況實施的一種風險預測預防性手段。首先要制定應急預案，此預案通常應以中心信息管理實踐中存在安全風險可能性的各類實現問題為切入點展開，在此前提下確保供電系統癱瘓、交換機故障等風險事件出現后均有應急處置預案，此類預案通常需要明確界定應急處置啟動、處理流程與持續時間、應急處置責任人，尤其在系統運行穩定狀態下，特定崗位工作人員有必要展開防范預案操作演練，確保對預案熟悉、熟練，以便在風險事件發生后能在最短時間內恢復系統運行穩定，并最小化風險損害及其造成的損失。

3.3 優化軟硬件應對網絡攻擊

網絡攻擊具有發生可能的偶然性、發生時間的不確定性等特征，因此疾控中心想要應對網絡攻擊，最重要的還是要強化自身的軟硬件建設，以預防為主，防患于未然。

（1）優化硬件系統管理。硬件系統是計算機網絡安全的基礎保障[7]。面對網絡攻擊與互聯網環境變化，首先應當加強制度建設，設定保密權限，對關鍵數據源進行保護，避免無關人員接觸保密設備。其次，強化網絡終端管理，對設備參數展開分。本環節中，IP與用戶之間一一對應很有必要，以便基于業務需要展開針對性的模塊處理，再和網絡權限設置相結合，以此控制不同用戶的操作范圍，將病毒侵害、信息泄漏或丟失的可能性降到最低。最后，還要限制對外網的瀏覽以及定期檢測，防止工作人員的不當操作，誘發數據交互感染風險。

（2）優化軟件系統管理。軟件系統安全管理可以通過安全檢測、漏洞填補、監視等多模塊實現。由于疾控中心業務的復雜性，以及多部門信息交互的客觀需要，在軟件安全管理中應當權責分明，根據不同的身份權屬來確定用戶權限，以此確定其使用內部信息的范圍，跟蹤監管其數據信息使用行為，約束其基于自身權限合規使用數據信息，這也是提高軟件系統安全管理的一種保障機制。可以采用系統周期性自檢方法來檢查操作系統、系統程序，同時輔之以跟蹤、監控策略等來保障疾控中心信息系統安全穩定。殺毒軟件安裝配置、人工殺毒等均有助于對此類系統內部資源的分化與排序，可以進一步提高軟件應用功能與運行質量。

3.4 強化信息人才培養與激勵

人才建設是疾控中心提高信息安全管理的重要一環。信息化時代，信息化人才的價值對疾控中心安全管理來講非常關鍵。具體來說，疾控中心信息化人才培養與激勵宜從以下幾方面展開。

（1）改變錄用機制，強化人才培養。從聘用環節開始，疾控中心應當秉承“人才與技術是第一生產力”的理念，不拘泥于傳統形式，廣泛向高校應屆畢業生、社會進行人才招募。為疾控中心疾病數據收集、疾病發展趨勢分析與監控、適時預警、疾病特別是傳染病的適時防控奠定基礎，必要時可以對傳統招聘機制進行改革，降低人才準入條件。基于疾病控制與防范知識、信息安全、信息系統、網絡、電腦等專業視角全面開展既有工作人員教育培訓，促進疾控中心現有人才的信息系統知識完善及其操作能力提升，推動信息人才水平的提升，以有效降低人為因素造成的信息系統安全問題，同時也能提高信息安全的防控水平。

（2）建立績效考核，強化人才激勵。針對人才激勵性不足的問題，可以通過建立績效考核機制，提高人才的積極性。首先建立科學的績效考核機制，將信息人才的工作能力與其待遇水平相結合，實現多勞多得、付出決定回報，從基本薪酬上進行提升。其次，重視信息人才的職業發展，有能力的人才要給與重用，在現有上升空間有限的情況下，可以通過崗位等級進行提升，如參考供電系統員工的職位體系，同崗位設置10級評定，不同等級不同待遇。年終根據貢獻情況進行獎勵分配，加強人才激勵，促進人才在信息建設與信息安全保障上發揮積極作用。

4 結語

綜上所述，疾控信息化已經成為我國信息化建設體系中的重要一環，數據信息的安全問題也是疾控中心應當關注的重點。當前由于信息安全引發的數據風險客觀存在，其高發性、不可確定性增加了風險發生的概率。疾控中心首先要重視信息安全管理，將其作為中心各項業務中的一個核心構成部分加以重視。要有效滿足中心數據收集、分析、處理需要，就必需全面關注、重視并處理好疾控中心設備安全、風險防控、網絡攻擊、人才建設等問題。為此，本研究認為疾控中心應當對疾控信息化建設與發展態勢做出科學合理的預測分析，在此前提下設計有針對性、合理的應對方案，通過加強設備安全的日常管理、建立安全備份與應急機制、優化軟硬件應對網絡攻擊、強化信息人才培養與激勵等，展開對疾控中心信息化建設與發展實踐中存在負面影響的各種問題處理；同時應和信息系統、電腦科技等的應用結合，在此前提下促進其信息化建設進入可持續、穩定、健康、快速發展軌道，為國家疾控工作的順利實施提供最大的信息保障。