首页

华盛论文咨询网

当前位置:首页>>科技论文

基于等级保护下的疾病预防控制信息系统网络安全体系建设

来源:华盛论文咨询网时间:2018-09-25所属栏目:科技论文

  

  摘要:按照国家《网络安全法》等有关信息安全的法律法规和信息安全等级保护2.0国家标准要求以及国家卫生计生委《卫生行业信息安全等级保护工作的指导意见》等规范性文件,结合天津市疾病预防控制信息系统建设实际和发展需求,从网络技术层面和管理层面建立疾病预防控制信息系统网络安全防御体系,全面提高我市疾病预防控制信息系统的防范信息泄露、应对网络安全风险防控能力。

  关健词:等级保护,疾病预防控制信息系统,网络安全,体系建设

疾病预防

  互联网技术的飞速发展促进了社会的变革,迅速改变着人们的生产、生活方式,同时也带来网络安全的风险。近年来,网络安全事件频发,呈现不确定性、全局性和连锁性的特点[1],各国政府都非常重视网络安全,美国建立了健全的计算机网络信息安全防护法制体系。英国、德国等国家都将计算机网络信息安全防护工作纳入国家战略体系[2]。

  我国首部信息安全等级保护管理办法于2008年由公安部下发,信息系统安全等级保护定级上升到了国家级别的标准,信息系统有了等级的划分,拥有了定级的方法和准则[3],习惯称为等保1.0标准。从2015年开始,等级保护的安全要求逐步开始制定2.0标准,增加了对云计算、大数据、移动互联、工控、物联网等方面的安全扩展性要求,丰富了防护内容和要求。2017年《网络安全法》第二十一条规定“国家实行网络安全等级保护制度”,等级保护有了法律依据,等级保护工作从“合规”走向了“合法”[4]。

  1背景与现状

  疾病预防控制信息系统(以下简称疾控信息系统)是人口健康业务信息系统的重要组成,服务于政府卫生与健康决策依据和公众健康安全,涵盖传染病、免疫规划、慢性非传染性疾病、健康危险因素、突发公共卫生事件应急处置和疾病预防控制业务综合管理等多个子系统,是一种极其重要的战略资源[5],具有及时性、完整性和敏感性等特点,其中涉及个人隐私、健康状况、业务管理等信息已成为犯罪组织、不法分子重点攻击对象,近年来网络安全事件时有发生,风险日趋增加。

  如何通过开展网络安全等级保护工作,通过定级、备案、整改、测评[6]和监督检查等多个环节,从技术层面和管理层面,科学防范疾控信息系统发生安全事件,是各级疾控部门的重要课题和责任。

  2技术层面策略

  按照《信息系统安全等级保护基本要求》和国家卫生计生委《卫生行业信息安全等级保护工作的指导意见》等规范性文件要求,疾病预防控制信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害[7],因此网络安全建设要按照等级保护3级标准建设。信息安全技术是指用来保障信息、信息系统和网络安全的技术,包括硬件安全管理、软件系统安全、存储安全、访问控制技术等[8]。

  2.1物理和环境安全

  天津市疾病预防控制中心机房位于中心1号楼3层,按照国家在建筑抗震设计上要求,具有抵御烈度为8度的地震破坏的能力。作为省级疾控机构的中心机房建设还应符合原国家卫生部“疾病预防控制工作绩效评估标准(2012版)”中3.1.1信息化建设项目的技术标准要求,即GB50174-2008《电子信息机房设计规范》标准的独立建设或共建数据中心机房,并达到B类标准[9]。

  中心机房设有通过指纹识别的门禁系统,动环监控系统,主要包含声光报警、空调水浸报警、UPS、配电、空调监控、环境温度等。采用陶瓷面防静电地板,接地方式防止外界电磁干扰。目前机房双路供电,并配有2台爱默生/EmersonNX-90KVAUPS,满足系统后备时间300min。

  2.2网络和通信安全

  2.2.1网络安全

  网络层面重点在于设计合理的网络架构,部署冗余的网络设备,形成可以建立不同安全策略的安全域[10]。疾病预防控制信息系统要部署在与互联网(或其他网络)安全隔离的网络环境中,系统日志记录保留半年以上,并根据记录分析生成审计报告。

  2.2.2数据传输安全

  目前我市疾病预防控制信息系统利用虚拟专网(virtualprivatenetwork,VPN)技术,市、区2级疾控机构统一互联网协议地址,采用互联网协议安全性(internetprotocolsecurity,IPSec)VPN方式连接,全市各级卫生行政机构、医疗单位采用安全套接层(securesocketlayer,SSL)VPN方式实现网络的安全接入[11],保证在数据传输过程中的数据完整性,在通信双方建立连接前进行初始化验证,在通信过程中加密数据,实现数据传输安全。

  2.3设备和计算安全数据存储安全。

  疾病预防控制数据的存储应提供硬件冗余,并具备异地容灾备份能力。在检测到数据破坏时,具备恢复能力。

  2.4应用和数据安全

  2.4.1身份鉴别安全

  从各级各类医疗卫生机构的电子病历直接获取传染病数据时,应通过身份鉴别和授权控制加强用户管理,做到行为可管理、可控制、可追溯。采用用户名和密码以及数字认证(certificateau-thority,CA)技术[12]对用户进行身份鉴别。

  2.4.2数据安全

  数据库密码3—6个月检查修改1次,密码由字母大小写、数字、字符3种组成,避免空密码用户和弱密码;数据库登录取消记住密码,强制密码策略和密码过期;数据库应启用登录失败处理功能,限制账户的非法登陆次数;加强用户管理,实现用户权限分离,对业务用户设置最小权限;根据实际情况,利用数据库审计设备对数据库操作进行记录及日志管理,设置备份数据库,提供异地数据备份功能,在数据库出现异常时能及时切换,以保证系统正常使用[13]。

  3管理层面策略

  信息安全的防护理念是“三分技术,七分管理”[14]。“管理是贯穿于信息安全整个过程的生命线。”[15]信息安全管理是一种防备损害的管理[16]。在实施网络安全建设中,要依据《信息系统安全等级保护基本要求》进行顶层设计,依据疾控体系信息化实际,建立网络安全管理体系。

  3.1安全策略与制度

  在管理制度方面,应根据信息安全等级保护第3级的要求,制定相应的安全管理体系与制度。每年对新员工进行信息安全与网络使用的培训,科室安全员相关安全知识培训,定期召开网络安全工作会议。

  定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。

  3.2安全管理机构与人员

  天津市疾病预防控中心信息化工作和网络安全领导小组统筹负责疾控信息化建设与信息安全管理,下设办公室由信息处牵头,负责全市疾控信息化建设规划与技术指导及本单位信息化建设与运维以及单位网络安全建设与管理,疾控体系网络安全建设技术指导与培训,信息处网络室设有专人负责网络安全工作,根据安全管理机构的组织形式和运作方式,按照系统管理员、网络安全员、安全审计员“三权分离”管理,制定人员录用、离岗、考核、培训几个方面的规定,并严格执行;规定外部人员访问流程,并严格执行。

  3.3安全建设管理

  制定安全建设管理制度,包括系统定级、安全方案设计、产品采购和使用、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择等方面[17]。从工程实施的前、中、后3个方面,从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。与所有外包服务商签订《保密协议》。

  3.4安全运维管理

  制定《天津市疾病预防控制中心机房来访登记》严格对出入人员进行管理,《网络设施定期巡检》保证中心各网络配线间的安全、《维护人员登记管理》及时掌握终端计算机的使用、《业务系统定期备份》保证数据安全,机房全程监控由专门人员负责。

  4结论

  信息安全是国家安全的重要组成之一,既影响国家安全又联系国民安全[18]。信息安全管理范式的创新转型是一个过程[19],信息安全等级保护制度是国家信息安全保障的基本制度,疾病预防控制信息系统作为3级的信息系统,属于国家的重要信息系统,是国家要保护的重点,国家财政、有关部门要投入财力、物力、人力,保证其安全。运营使用单位、主管部门和信息安全监管部门密切配合,共同承担责任,才能保护好国家基础信息网络和重要信息系统的安全[20]。

  参考文献

  [1]王玥,方婷,马民虎.美国关键基础设施信息安全监测预警机制演进与启示[J].情报杂志,2016,35(1):17-23.

  [2]张纯.计算机网络信息安全防护策略探究[J].电脑知识与技术,2016,12(36):64-65.

  [3]缪彦深.信息安全等级保护定级的方法与应用[J].电脑知识与技术,2017,13(3):45-51.

  [4]王斌.基于等级保护体系下信息安全整改的设计[J].信息技术与信息化,2017(6):42-44.

  [5]刘军,韩冬,黄家忠.天津市公共卫生信息化管理的现状分析[J].预防医学情报杂志,2016,32(9):954-957.

  [6]肖革新,马家奇,周立平,等.公共卫生信息系统安全等级保护建设相关问题思考[J].医学信息学杂志,2012,33(2):2-8.

  [7]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.信息安全技术信息系统安全等级保护基本要求:GB/T22239—2008[S].北京:中国标准出版社,2008:1-44.

  [8]聂云霞,张加欣,甘敏.信息生态视域下数字档案用户信息安全保障系统构建研究[J].2017(1):66-71.

  [9]刘军.省级疾控机构信息化建设中的信息安全问题与对策[J].医疗卫生装备,2015,36(4):120-122.

  [10]程斌.网站系统信息安全等级保护建设整改方案[J].信息网络安全,2012(8):8.

  [11]刘军,韩冬,黄家忠.天津市疾病预防控制信息系统安全专网的设计与实现[J].医疗卫生装备,2017,38(2):66-68.

  [12]曾国宇,林阳,廖邦富,等.数字认证在区域信息安全的应用探索[J].中国数字医学,2012,7(1):114-115.

  [13]张永梅,黄蕊,刘爱超,等.三级信息安全等级保护标准的安全防护措施[J].网络安全技术与应用杂志,2017(6):16-17.

  [14]李忠俊,张永峰,宋波.企业信息安全应对策略探讨[J].电脑知识与技术,2017,13(21):36-37.

  [15]李顺.数字档案馆信息安全保障体系探究[J].兰台世界,2017(1):31-34.

  [16]惠特曼,马特奥德.信息安全管理[M].向宏,傅鹂,译.重庆:重庆大学出版社,2005:5.

  [17]梁艺军.中国人民大学:信息安全等级保护下的校园网络安全建设[J].中国教育网络,2016(1):61-62.

论文发表问题咨询

回到顶部