陳德冠

摘 要：內(nèi)部網(wǎng)是由多臺計算機(jī)組成的局域網(wǎng)，可以完全關(guān)閉，實現(xiàn)一定范圍內(nèi)的文件共享和電子郵件通信。因此，為內(nèi)部網(wǎng)建設(shè)信息提供安全保障的重要性不言而喻。隨著計算機(jī)技術(shù)的發(fā)展，信息網(wǎng)絡(luò)系統(tǒng)在疾控中心得到了很好的應(yīng)用。如何應(yīng)對疾控系統(tǒng)可能遇到的信息網(wǎng)絡(luò)系統(tǒng)潛在安全風(fēng)險，已成為構(gòu)建內(nèi)部網(wǎng)信息網(wǎng)絡(luò)系統(tǒng)的一個重要問題。本文從企業(yè)內(nèi)部網(wǎng)信息安全入手，簡要分析了如何促進(jìn)企業(yè)內(nèi)部網(wǎng)安全保障體系的建設(shè)，更好地將其應(yīng)用到疾病控制系統(tǒng)中，為企業(yè)內(nèi)部網(wǎng)信息安全保障體系的建設(shè)做出貢獻(xiàn)。

關(guān)鍵詞：內(nèi)網(wǎng)；信息安全；疾控系統(tǒng)。

計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)在疾控中心系統(tǒng)中得到了廣泛的應(yīng)用，為疾控中心系統(tǒng)提供了良好的顯示和通信平臺，對提高疾控中心的工作質(zhì)量和效率起著至關(guān)重要的作用。雖然計算機(jī)給人們的生活帶來了很多方便，但硬件故障和網(wǎng)絡(luò)癱瘓增加了網(wǎng)絡(luò)安全的風(fēng)險，很容易造成數(shù)據(jù)的丟失和損壞，給人們帶來巨大的損失。因此，應(yīng)積極推進(jìn)疾病控制系統(tǒng)內(nèi)部網(wǎng)絡(luò)建設(shè)，加快內(nèi)部網(wǎng)絡(luò)安全體系建設(shè)，為疾病控制系統(tǒng)提供信息安全技術(shù)。

1 疾控系統(tǒng)內(nèi)網(wǎng)中存在的不安全因素

作為僅供疾病控制系統(tǒng)內(nèi)部人員使用的局域網(wǎng)，疾病控制系統(tǒng)內(nèi)部網(wǎng)在一定程度上是封閉的。因此，從理論上講，內(nèi)部網(wǎng)的網(wǎng)絡(luò)環(huán)境是相對安全的。然而，由于內(nèi)部網(wǎng)管理的不足或員工操作失誤等因素，增加了內(nèi)部網(wǎng)的不安全性。在總結(jié)以往工作經(jīng)驗的基礎(chǔ)上，總結(jié)了影響疾病控制系統(tǒng)網(wǎng)絡(luò)安全的主要因素。

1.1 疾控系統(tǒng)工作人員未對計算機(jī)進(jìn)行有效管理

在疾病控制系統(tǒng)中，計算機(jī)的廣泛應(yīng)用，大大提高了工作人員的工作效率，減少了工作人員的工作任務(wù)。然而，許多工作人員在工作中沒有對計算機(jī)信息進(jìn)行科學(xué)、有效的管理，對計算機(jī)疾病控制系統(tǒng)安全造成了威脅。例如，員工個人U盤或其他移動存儲設(shè)備（手機(jī)、硬盤等）直接連接到電腦，個人沒有對U盤或移動存儲設(shè)備進(jìn)行殺毒，使一些文件可能隱藏的病毒、木馬進(jìn)入計算機(jī)網(wǎng)絡(luò)后通過網(wǎng)絡(luò)傳播，并導(dǎo)致其他計算機(jī)網(wǎng)絡(luò)安全的威脅。另一種安全風(fēng)險是網(wǎng)絡(luò)管理人員改變計算機(jī)的IP地址，導(dǎo)致不同的計算機(jī)服務(wù)器IP地址沖突，可能導(dǎo)致計算機(jī)無法正常連接到互聯(lián)網(wǎng)，不僅影響單臺機(jī)器的正常工作，也會影響整個網(wǎng)絡(luò)管理系統(tǒng)，使計算機(jī)由于網(wǎng)絡(luò)中斷而難以操作，安全管理和病毒殺死功能難以有效發(fā)揮。

1.2 外來人員接入內(nèi)網(wǎng)

系統(tǒng)疾病預(yù)防控制網(wǎng)絡(luò)運(yùn)行過程中，沒有嚴(yán)格控制的計算機(jī)網(wǎng)絡(luò)，系統(tǒng)被外人訪問，如使用IP攻擊，容易導(dǎo)致網(wǎng)絡(luò)中斷，數(shù)據(jù)被竊取，如發(fā)生個人隱私泄漏，將嚴(yán)重影響系統(tǒng)的疾病控制。因此，外部人員對內(nèi)部網(wǎng)絡(luò)的訪問后果將非常嚴(yán)重，容易給疾病控制系統(tǒng)帶來很大的危害，疾病控制系統(tǒng)安全需要高度重視。

1.3 技術(shù)風(fēng)險

技術(shù)風(fēng)險是指網(wǎng)絡(luò)運(yùn)行安全的風(fēng)險，包括網(wǎng)絡(luò)結(jié)構(gòu)風(fēng)險、操作系統(tǒng)風(fēng)險、應(yīng)用程序安全風(fēng)險和管理安全風(fēng)險。當(dāng)前疾病預(yù)防控制中心系統(tǒng)網(wǎng)絡(luò)建設(shè)系統(tǒng)并不完美，網(wǎng)絡(luò)結(jié)構(gòu)不合理、關(guān)鍵設(shè)備不夠先進(jìn)，機(jī)密計算機(jī)直接連接到互聯(lián)網(wǎng)，網(wǎng)絡(luò)資源分配不合理、未把網(wǎng)絡(luò)系統(tǒng)根據(jù)不同網(wǎng)段分配，硬件設(shè)備使用維護(hù)不當(dāng)，操作系統(tǒng)本身存在漏洞，商業(yè)軟件不完善，技術(shù)人員整體素質(zhì)較低，信息安全的保障得不到應(yīng)有的重視等等。其中，網(wǎng)絡(luò)安全風(fēng)險主要表現(xiàn)在非法訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、擾亂系統(tǒng)正常運(yùn)行、病毒惡意攻擊、線路竊聽等方面。由于疾控機(jī)構(gòu)需要連接到網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)活動，所以在共享信息時存在被攻擊的風(fēng)險。在基本的互聯(lián)網(wǎng)TCP / IP協(xié)議中，協(xié)議強(qiáng)調(diào)開放性、方便性、安全性，使用三方建立TCP連接，其中第三次接觸消息響應(yīng)時，攻擊者可以通過聽前兩個響應(yīng)消息，假連接方再發(fā)送一條消息，讓假反應(yīng)后的應(yīng)答反應(yīng)方向連接發(fā)送應(yīng)答器發(fā)送一個消息，在此過程中攻擊者可以插入有害的數(shù)據(jù)，破壞網(wǎng)絡(luò)安全。

2 內(nèi)網(wǎng)信息安全保障體系建設(shè)探討

2.1 移動存儲設(shè)備管理

隨機(jī)插拔USB閃存驅(qū)動器或其他移動存儲設(shè)備是增加內(nèi)部網(wǎng)絡(luò)安全風(fēng)險的一種方式。作為外部移動設(shè)備接入計算機(jī)的唯一通道，有必要加強(qiáng)USB插件設(shè)備的審核和管理。目前，有兩種常見的管理方法：一是直接禁用USB接口，任何外部設(shè)備不允許通過USB接口上傳文件；另一種是設(shè)置一個允許使用部門的USB專用標(biāo)簽，未經(jīng)授權(quán)的移動存儲設(shè)備無法使用。

2.2 網(wǎng)絡(luò)設(shè)備方面的安全策略

根據(jù)設(shè)備的重要性，網(wǎng)絡(luò)設(shè)備的硬件應(yīng)定期檢查和維護(hù)，軟件應(yīng)該定期升級，數(shù)據(jù)應(yīng)該定期備份，保護(hù)重要的網(wǎng)絡(luò)配置等重要信息，每個信息訪問點的位置應(yīng)該被記錄，確?？焖俣ㄎ缓凸收吓懦?。實時監(jiān)控整個網(wǎng)絡(luò)的運(yùn)行，根據(jù)設(shè)定的規(guī)則追蹤網(wǎng)絡(luò)活動，定期查詢和分析活動記錄，檢查是否存在任何非法使用網(wǎng)絡(luò)資源問題，及時解決網(wǎng)絡(luò)資源分配不合理、信息泄漏、信息系統(tǒng)安全問題，以確保網(wǎng)絡(luò)信息系統(tǒng)的安全。

2.3 服務(wù)器方面的安全策略

從服務(wù)器安裝位置的選擇來看，為了保證服務(wù)器的安全，有必要將服務(wù)器安裝在標(biāo)準(zhǔn)機(jī)房，并對機(jī)房實現(xiàn)雙電源供電。在條件允許的情況下，需要在機(jī)房內(nèi)安裝監(jiān)控管理系統(tǒng)，實現(xiàn)對機(jī)房環(huán)境信息和進(jìn)出機(jī)房人員的全方位監(jiān)控，加強(qiáng)對機(jī)房的整體控制。同時，相關(guān)人員要定期對房間環(huán)境進(jìn)行評估，具體評估標(biāo)準(zhǔn)包括溫度、濕度、噪聲、防火防雷、防盜等，消除各種安全隱患。

除了定期評估計算機(jī)房的環(huán)境信息，還需定期對服務(wù)器本身進(jìn)行安全評估，具體評估內(nèi)容包括定期檢測、升級硬件系統(tǒng)和操作系統(tǒng)，禁止使用不相關(guān)的服務(wù)端口，同時全面測試殺毒軟件。同時，由于不利因素的影響，數(shù)據(jù)丟失和損壞極易發(fā)生。因此，需要對服務(wù)器中的數(shù)據(jù)進(jìn)行多重備份處理，包括遠(yuǎn)程備份和媒體備份，為數(shù)據(jù)的安全性提供重要的保障。

2.4 統(tǒng)一身份認(rèn)證信息

疾控機(jī)構(gòu)內(nèi)部網(wǎng)包含大量的信息系統(tǒng)。為了避免信息系統(tǒng)中的信息竊取或破壞，在加強(qiáng)疾病預(yù)防控制系統(tǒng)網(wǎng)絡(luò)安全管理的過程中，應(yīng)注意建立一個統(tǒng)一的身份認(rèn)證信息鏈接，必須進(jìn)行系統(tǒng)登錄認(rèn)證以提高信息系統(tǒng)的安全性，避免系統(tǒng)疾病控制的其他工人或外部人員登錄系統(tǒng)，造成系統(tǒng)信息破壞或外泄。這里需要注意的是，在建立統(tǒng)一身份認(rèn)證的過程中，需要對系統(tǒng)內(nèi)置的單點登錄功能進(jìn)行優(yōu)化。根據(jù)員工的實際情況，設(shè)置靈活的系統(tǒng)管理措施，充分考慮員工的情緒和心理，所以可以接受疾病內(nèi)部網(wǎng)絡(luò)安全管理登錄系統(tǒng)的人員，應(yīng)積極參與認(rèn)證，以提高疾病控制系統(tǒng)的安全性。因此，在疾病控制系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全問題頻繁發(fā)生的現(xiàn)階段，優(yōu)化內(nèi)部網(wǎng)絡(luò)安全管理的同時也需要注意實施人性化管理，組織員工參與疾病控制體系的內(nèi)部網(wǎng)絡(luò)安全管理，使內(nèi)部網(wǎng)絡(luò)安全管理充分發(fā)揮作用。

2.5 內(nèi)外網(wǎng)物理隔開

根據(jù)國家保密局頒布的《計算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》第二章第六條，為了保證內(nèi)部網(wǎng)將不會從外部公共網(wǎng)絡(luò)受到惡意攻擊，局域網(wǎng)和公眾網(wǎng)絡(luò)必須物理隔離。物理隔離技術(shù)的工作原理是明確定義正常業(yè)務(wù)傳輸和交換的合法數(shù)據(jù)，并將合法數(shù)據(jù)放入“白名單”，在兩方網(wǎng)絡(luò)的邊界上，只允許“白名單”上的數(shù)據(jù)通過，不包含在“白名單”中的數(shù)據(jù)不能通過。該機(jī)制可通過專用硬件固化形成特殊的物理隔離裝置，改變傳統(tǒng)物理隔離技術(shù)的被動性，由被動接受轉(zhuǎn)變?yōu)橹鲃臃烙?/p>

3 結(jié)束語

信息系統(tǒng)安全滲透是疾控機(jī)構(gòu)系統(tǒng)現(xiàn)代化的重要組成部分，還有很長一段路要走，因此需要給予足夠的重視，關(guān)注各種各樣的新技術(shù)開發(fā)并持續(xù)學(xué)習(xí)、完善管理體系，以便更好地應(yīng)對新的安全隱患，更好地利用網(wǎng)絡(luò)建設(shè)控制系統(tǒng)。

參考文獻(xiàn)

[1]郇林.云計算環(huán)境下的計算機(jī)網(wǎng)絡(luò)安全問題分析[J].技術(shù)與市場，2017，24（12）：98+100.

[2]牛希鐳.淺談“云計算”環(huán)境中的計算機(jī)網(wǎng)絡(luò)安全[J].數(shù)字技術(shù)與應(yīng)用，2018，36（03）：195-196.

[3]卞孝麗.基于云計算環(huán)境下的計算機(jī)網(wǎng)絡(luò)安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（04）：51+54.