施駿
上海市衛(wèi)生和健康發(fā)展研究中心(上海市醫(yī)學(xué)科學(xué)技術(shù)情報研究所) 上海 200031
近年來,國家先后頒布了《網(wǎng)絡(luò)安全法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》2.0版等一系列的法律法規(guī),這一系列法律法規(guī)的頒布,足以證明國家對信息網(wǎng)絡(luò)安全領(lǐng)域越來越重視[1]。習(xí)近平在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上指出:“網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題,要從國際國內(nèi)大勢出發(fā),總體布局,統(tǒng)籌各方,創(chuàng)新發(fā)展,努力把我國建設(shè)成為網(wǎng)絡(luò)強國”。
信息網(wǎng)絡(luò)安全之所以引起了人們的重視,不僅是因為它會給研究機構(gòu)帶來巨大的危害,很有可能會使研究機構(gòu)蒙受巨大的有型或者無形的損失。此外,也是因為其已經(jīng)成為影響國家安全的重要因素,直接關(guān)系到國家的金融環(huán)境、意識形態(tài)、政治氛圍等各個方面[2]。尤其在衛(wèi)生健康領(lǐng)域,政府、醫(yī)療衛(wèi)生機構(gòu)、醫(yī)療大數(shù)據(jù)企業(yè)、個人要在技術(shù)發(fā)展和信息安全之間尋求平衡。無論是科學(xué)研究、智能醫(yī)療技術(shù)創(chuàng)新還是各種信息支持系統(tǒng)的開發(fā),都應(yīng)在保障個人信息安全的基礎(chǔ)上進行。
因此,本文對國內(nèi)衛(wèi)生智庫行業(yè)信息網(wǎng)絡(luò)安全現(xiàn)狀進行分析,討論如何加快衛(wèi)生智庫行業(yè)的信息網(wǎng)絡(luò)安全建設(shè)步伐,以應(yīng)對層出不窮的安全問題。
我國衛(wèi)生智庫的興起可以追溯到新醫(yī)改,伴隨著醫(yī)療衛(wèi)生體制改革的深入推進,醫(yī)療衛(wèi)生事業(yè)的發(fā)展對于決策科學(xué)化的要求日益提高[3]。從2009至2020年,我國衛(wèi)生健康智庫發(fā)展較為快速,衛(wèi)生智庫在一些經(jīng)濟發(fā)展水平較高、優(yōu)質(zhì)醫(yī)療資源豐富的地區(qū)建立,如北京、上海、深圳、哈爾濱等城市,均成立了隸屬于衛(wèi)生健康行政主管部門的衛(wèi)生發(fā)展研究中心。這些衛(wèi)生發(fā)展研究中心是我國衛(wèi)生智庫建設(shè)的代表,在推動我國醫(yī)療衛(wèi)生體制改革方面發(fā)揮了重要的積極作用。就目前從我國政府下設(shè)的幾個典型衛(wèi)生智庫來看,其信息部門多數(shù)是在綜合部門內(nèi)設(shè),如北京:國家衛(wèi)生健康委衛(wèi)生發(fā)展研究中心信息部門設(shè)在綜合處內(nèi)、上海:上海市衛(wèi)生和健康發(fā)展研究中心信息部門設(shè)在綜合辦內(nèi)、哈爾濱:黑龍江省衛(wèi)生健康發(fā)展研究中心信息部門設(shè)在綜合科內(nèi),僅有深圳:深圳市衛(wèi)生健康發(fā)展研究中心有獨立信息部門,這也是制約其信息建設(shè)發(fā)展的因素之一。目前網(wǎng)絡(luò)安全方面存在的問題主要有以下幾點。
當今社會,隨著網(wǎng)絡(luò)的不斷發(fā)展,人們在忙于學(xué)習(xí)、工作和娛樂的同時,卻忽視了網(wǎng)絡(luò)信息的安全性,只有當身邊發(fā)生了信息安全事件,才會意識到這一點。而這樣淡薄的安全意識,與他們在日常使用計算機過程中不規(guī)范的操作不無聯(lián)系[4]。這主要表現(xiàn)在以下幾點:①有員工為了獲取瀏覽速度,擅自關(guān)閉殺毒軟件、防火墻;②當員工收到帶有鏈接的電子郵件時,不仔細檢查URL的拼寫和發(fā)件人信息,隨意點擊鏈接;③隨意連接不可信的Wi-Fi站點,導(dǎo)致信息泄露;④為了使用方便,將敏感信息上傳在個人網(wǎng)盤;⑤使用個人郵箱發(fā)送業(yè)務(wù)數(shù)據(jù),造成數(shù)據(jù)泄密;⑥為了簡單易記,使用弱口令, 導(dǎo)致被撞庫;⑦不設(shè)置屏幕密碼,導(dǎo)致未經(jīng)授權(quán)的使用。以上種種,不僅給個人終端造成安全風險,同時也為機構(gòu)內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)造成危害。
相比于醫(yī)療機構(gòu),衛(wèi)生智庫的機構(gòu)規(guī)模和資金方面都相對較弱,因此容易忽視辦公場所Wi-Fi系統(tǒng)的防控措施。加之如果不對無線數(shù)據(jù)傳輸加密,無線數(shù)據(jù)以明文方式發(fā)送,將會導(dǎo)致這個無線信號覆蓋范圍內(nèi)的任何人都可以掃描和截獲經(jīng)由這個無線站點的所有數(shù)據(jù)。如果無線信號采用的是弱密碼,那么使用者則可以輕而易舉的進入內(nèi)部網(wǎng)絡(luò),從而探測到網(wǎng)絡(luò)中其他無線客戶端設(shè)備。如果再通過對無線局域網(wǎng)的滲透,進入到內(nèi)部有線網(wǎng)絡(luò),就能徹底攻陷機構(gòu)的局域網(wǎng),將會造成難以估量的損失。且由于缺少防控設(shè)備,事后也很難找到相應(yīng)的網(wǎng)絡(luò)使用日志信息,難以追查。因此,加強無線網(wǎng)絡(luò)安全,不僅是為了保證Wi-Fi通信數(shù)據(jù)的安全,也是為了保障機構(gòu)內(nèi)部的信息網(wǎng)絡(luò)安全。
衛(wèi)生健康行業(yè)的網(wǎng)絡(luò)安全工作對復(fù)合型、融合型人才提出了更高的要求。從工作要求看,可分為數(shù)據(jù)管理員、業(yè)務(wù)管理員、信息化技術(shù)人員等;從管理要求看,可分為網(wǎng)絡(luò)管理員、運維保障人員等。衛(wèi)生智庫可以算是衛(wèi)生健康行業(yè)的一個分支,雖然在工作要求上不同,但在管理要求上基本一致。
而我國網(wǎng)絡(luò)安全人才又是嚴重缺乏的,目前網(wǎng)絡(luò)安全人才的缺口總量超100萬人,且每年以1.5萬人的速度遞增,供求很不平衡。人才嚴重缺乏的原因和此前在網(wǎng)絡(luò)安全教育領(lǐng)域的投入不足有很大關(guān)系。大環(huán)境尚且如此,衛(wèi)生健康行業(yè)也不例外,衛(wèi)生智庫行業(yè)則更為明顯,尤其是在網(wǎng)絡(luò)安全人員的配置上。
隨著科學(xué)技術(shù)水平的提升,各行各業(yè)對互聯(lián)網(wǎng)的應(yīng)用更加倚重,隨之而來的網(wǎng)絡(luò)安全事件也頻頻發(fā)生。對此我國多個重要網(wǎng)絡(luò)安全法規(guī)的出臺,加速推進了中國信息安全建設(shè),進一步規(guī)范網(wǎng)絡(luò)行為,從而降低因信息泄露造成的損失[5]。但在實際工作中,往往會因為制度落實不到位,工作人員麻痹大意執(zhí)行力不強,以及相關(guān)的管理制度不健全,最終導(dǎo)致網(wǎng)絡(luò)信息安全隱患。
本著“控制源頭、加強檢查、明確責任、落實制度”的指導(dǎo)思想,機構(gòu)應(yīng)對網(wǎng)絡(luò)安全做到分工明確,責任具體到人。確保信息網(wǎng)絡(luò)安全防范制度落實到位,將網(wǎng)絡(luò)信息安全工作切實做到防微杜漸,把不安全苗頭消除在萌芽狀態(tài)。建議機構(gòu)可以在以下幾點開展工作。
2.1.1 加強信息安全建設(shè)活動。定期修訂和完善網(wǎng)絡(luò)安全管理制度,加強網(wǎng)絡(luò)硬件、軟件安全性建設(shè),年度可以開展網(wǎng)絡(luò)安全活動方案和考核辦法,樹立優(yōu)秀典型,推廣先進經(jīng)驗,促進信息網(wǎng)絡(luò)安全工作。
2.1.2 開展網(wǎng)絡(luò)安全教育、進行現(xiàn)場實操演練。理論與實踐相結(jié)合,可以采用購買服務(wù)的方式,請專業(yè)的第三方網(wǎng)絡(luò)安全公司定期為員工進行網(wǎng)絡(luò)安全培訓(xùn)及實戰(zhàn)演練。讓員工進一步了解網(wǎng)絡(luò)安全的重要性,增強網(wǎng)絡(luò)安全意識,提高網(wǎng)絡(luò)安全防范能力。
2.1.3 積極開展“信息網(wǎng)絡(luò)安全”宣傳活動,做到預(yù)防為主,教育在先。要堅持依法上網(wǎng),自覺遵守憲法和互聯(lián)網(wǎng)相關(guān)法律法規(guī),履行自己應(yīng)有的社會責任。同時也要帶動身邊的同事,共同維護機構(gòu)信息系統(tǒng)的網(wǎng)絡(luò)安全。加強機構(gòu)網(wǎng)絡(luò)安全宣傳教育工作,讓員工在真實案例中,學(xué)到并認知網(wǎng)絡(luò)泄密的危害,從而起到增強自我保護意識。
2.1.4 鼓勵員工積極參加網(wǎng)絡(luò)安全知識競賽。知識競賽也是一項提升員工網(wǎng)絡(luò)安全意識的好活動,員工在競賽活動中普及信息安全知識、提升網(wǎng)絡(luò)安全防護技能的同時,檢驗了自己對網(wǎng)絡(luò)安全知識的掌握情況,也激發(fā)了員工學(xué)習(xí)網(wǎng)絡(luò)安全知識的興趣。起到了提升學(xué)習(xí)效果,真正做到以賽促學(xué)、學(xué)以致用、融會貫通。
對員工網(wǎng)絡(luò)和訪客網(wǎng)絡(luò)進行Vlan劃分,在有條件的情況下,使用不同線入更加穩(wěn)妥,可以最大限度確保員工網(wǎng)絡(luò)資源不被擠占。對訪客網(wǎng)絡(luò)部署符合當?shù)毓蚕到y(tǒng)、網(wǎng)監(jiān)要求的互聯(lián)網(wǎng)公共上網(wǎng)場所安全管理設(shè)備;以及滿足一定量人數(shù)并發(fā)的上網(wǎng)安全審計設(shè)備;建議采取鏡像方式部署,不影響主網(wǎng)功能,設(shè)備故障導(dǎo)致中斷不影響員工使用正常網(wǎng)絡(luò)功能。
機構(gòu)應(yīng)設(shè)立信息安全管理工作的職能部門,設(shè)立網(wǎng)絡(luò)安全管理各個方面的負責人崗位,并定義各負責人的職責;此外,應(yīng)根據(jù)等保2.0相關(guān)要求,配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等,一般四級等保系統(tǒng),需要配備4名網(wǎng)絡(luò)安全人員;三級等保系統(tǒng),需要配備3名,依次類推;配備專職安全管理員,不可兼任;關(guān)鍵崗位應(yīng)配備多人共同管理。
根據(jù)網(wǎng)絡(luò)安全的發(fā)生原因、性質(zhì)和機理,網(wǎng)絡(luò)安全主要分為以下三類:攻擊類事件、故障類事件、災(zāi)害類事件。機構(gòu)應(yīng)建立應(yīng)急網(wǎng)絡(luò)聯(lián)動機制,制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案,針對不同等級的突發(fā)公共事件進行相應(yīng)的處置工作,并及時上報領(lǐng)導(dǎo)及備案。同時,還應(yīng)加強網(wǎng)絡(luò)安全工作的組織部署及網(wǎng)絡(luò)安全工作的組織部署,做好監(jiān)測預(yù)警通報工作。還需要明確值班值守職責任務(wù),發(fā)現(xiàn)重大、緊急網(wǎng)絡(luò)安全事件應(yīng)立即采取果斷措施,將負面影響降到最低。
等保就是信息安全等級保護,網(wǎng)絡(luò)安全法要求網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求,履行信息系統(tǒng)安全保護義務(wù),保障信息系統(tǒng)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止信息數(shù)據(jù)泄露或者被竊取、篡改[6]。開展等保是為了通過等級保護測評工作,及時去發(fā)現(xiàn)機構(gòu)信息系統(tǒng)中存在的安全風險和缺陷,通過整改修復(fù)缺陷,從而提高信息系統(tǒng)的信息安全防護能力。此外,等級保護是我國關(guān)于信息安全的基本政策,在《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》中,也明確規(guī)定要求我國信息安全保障工作實行等級保護制度,提出“抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術(shù)指南”[6]。因此,做好信息系統(tǒng)等保測評工作是極為重要的。
漏洞掃描是基于漏洞數(shù)據(jù)庫,通過掃描等手段對指定的遠程或者本地計算機信息系統(tǒng)的安全脆弱性進行檢測,發(fā)現(xiàn)可利用漏洞的一種安全檢測(滲透攻擊)行為。發(fā)現(xiàn)問題就要解決問題,防火墻、入侵檢測設(shè)備就是信息系統(tǒng)中不可或缺安全設(shè)備,它是信息的系統(tǒng)的防護罩,它能修補漏洞從而提高網(wǎng)絡(luò)的安全性。此外,通過漏洞掃描可以當作是一次虛擬攻擊或是攻擊預(yù)警,能夠讓信息安全管理人員發(fā)現(xiàn)機構(gòu)信息系統(tǒng)的安全漏洞及錯誤設(shè)置,在真正的攻擊前做好防范。除了防火墻和入侵檢測設(shè)備的被動防御手段,漏洞掃描這種主動防范措施也是必不可少的。
如果說漏洞掃描是查找環(huán)境因素,那么終端巡檢則是查找人為因素。在信息網(wǎng)絡(luò)安全隱患中,人為因素也是一個重要因素。如我們前文提到的擅自關(guān)閉殺毒軟件、防火墻、使用弱口令、隨意安裝未經(jīng)認證的軟件等,這些問題都可以在終端巡檢過程中發(fā)現(xiàn),從而及時制止因人為因素或操作不當而給信息系統(tǒng)帶來不必要的損失或風險。
信息網(wǎng)絡(luò)安全涉及國家重要基礎(chǔ)設(shè)施、信息產(chǎn)業(yè)、信息系統(tǒng)、公共安全等方方面面,只有信息網(wǎng)絡(luò)安全的可靠運行才能使整個社會正??煽窟\轉(zhuǎn)。只有做到“硬件過硬”,才能更好防護信息網(wǎng)絡(luò)安全。我們既要運用高科技防護設(shè)備,又要樹立正確的信息網(wǎng)絡(luò)安全觀,構(gòu)建人防、物防、技防三防結(jié)合,做到“軟硬兼施”,齊頭并進,以安全促發(fā)展,以發(fā)展促安全,全力共筑衛(wèi)生智庫行業(yè)的信息網(wǎng)絡(luò)安全防線。