武強(qiáng)

單縣疾病預(yù)防控制中心 山東 菏澤 274300

引言

隨著信息化技術(shù)的迅速發(fā)展，疾病預(yù)防控制機(jī)構(gòu)也逐漸向數(shù)字化、信息化轉(zhuǎn)型，大數(shù)據(jù)技術(shù)的廣泛應(yīng)用使得疾病預(yù)防控制機(jī)構(gòu)所管理和處理的數(shù)據(jù)量越來(lái)越龐大。然而，海量的數(shù)據(jù)處理和管理面臨著信息安全和隱私保護(hù)的挑戰(zhàn)，疾病預(yù)防控制機(jī)構(gòu)必須采取措施保障數(shù)據(jù)的安全性和可靠性。

1 疾病預(yù)防控制機(jī)構(gòu)信息安全的必要性

1.1 疾病預(yù)防控制機(jī)構(gòu)信息安全的定義

疾病預(yù)防控制機(jī)構(gòu)信息安全是指在疾病預(yù)防控制機(jī)構(gòu)內(nèi)部以及與外部交流過(guò)程中，對(duì)信息的保密性、完整性、可用性和可信度進(jìn)行綜合保障，防止信息泄露、篡改、丟失和被惡意利用等安全威脅，確保機(jī)構(gòu)信息系統(tǒng)的正常、安全、高效運(yùn)行。具體而言，信息安全涵蓋了信息系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、軟件應(yīng)用等方面，需要綜合考慮技術(shù)、管理和人員因素，確保信息資源的合法、合規(guī)和可控使用。在疾病預(yù)防控制機(jī)構(gòu)中，信息安全的保障不僅關(guān)乎機(jī)構(gòu)本身的運(yùn)營(yíng)和管理，還關(guān)系到社會(huì)公眾和國(guó)家的生命安全和健康利益，因此具有重要的戰(zhàn)略意義和社會(huì)價(jià)值。

1.2 疾病預(yù)防控制機(jī)構(gòu)信息安全的重要性

疾病預(yù)防控制機(jī)構(gòu)所持有的各類信息都是非常敏感的，如人員信息、疫苗信息、檢測(cè)信息等，這些信息一旦泄露，將會(huì)對(duì)機(jī)構(gòu)造成極大的危害。因此，信息安全的保護(hù)能夠避免這些信息被未經(jīng)授權(quán)的人員獲取和使用；疾病預(yù)防控制機(jī)構(gòu)作為公共機(jī)構(gòu)，其聲譽(yù)對(duì)于其整體運(yùn)作非常重要。如果信息系統(tǒng)遭受攻擊或泄露，將對(duì)機(jī)構(gòu)的聲譽(yù)造成極大的負(fù)面影響，甚至?xí)l(fā)公眾的恐慌和不信任；信息安全保護(hù)還能有效地防范內(nèi)部人員的惡意行為和錯(cuò)誤操作所導(dǎo)致的信息泄露和丟失。通過(guò)建立信息安全體系和規(guī)范，可以確保每個(gè)人員都遵循相應(yīng)的安全政策和程序，從而減少內(nèi)部威脅的發(fā)生；信息泄露和丟失會(huì)給機(jī)構(gòu)造成直接的經(jīng)濟(jì)損失，例如數(shù)據(jù)恢復(fù)、系統(tǒng)重建等方面的成本。同時(shí)，機(jī)構(gòu)還可能因?yàn)樾孤抖媾R訴訟和罰款等風(fēng)險(xiǎn)，造成巨大的經(jīng)濟(jì)損失[1]。

2 疾病預(yù)防控制機(jī)構(gòu)在大數(shù)據(jù)時(shí)代下面臨的信息安全問(wèn)題

2.1 數(shù)據(jù)隱私泄露問(wèn)題

大數(shù)據(jù)時(shí)代下，疾病預(yù)防控制機(jī)構(gòu)面臨的一個(gè)數(shù)據(jù)隱私泄露問(wèn)題是個(gè)人隱私的泄露。個(gè)人隱私包括個(gè)人身份信息、健康狀況、醫(yī)療記錄等，這些信息的泄露可能會(huì)給個(gè)人帶來(lái)?yè)p失，也可能會(huì)被惡意利用。例如，2017年，美國(guó)Equifax信用評(píng)級(jí)公司遭遇黑客攻擊，致使1.43億人的個(gè)人信息被泄露，包括社會(huì)安全號(hào)碼、出生日期、駕照號(hào)碼等。這些信息被泄露后，可能會(huì)被用于惡意活動(dòng)，如身份盜竊、信用卡欺詐等。同樣的，如果疾病預(yù)防控制機(jī)構(gòu)中的個(gè)人隱私信息被泄露，也可能會(huì)給個(gè)人帶來(lái)類似的風(fēng)險(xiǎn)和損失。數(shù)據(jù)共享也是一個(gè)引起數(shù)據(jù)隱私泄露的問(wèn)題。在大數(shù)據(jù)時(shí)代，疾病預(yù)防控制機(jī)構(gòu)需要收集大量的數(shù)據(jù)來(lái)進(jìn)行疾病監(jiān)測(cè)和研究，這些數(shù)據(jù)可能來(lái)自多個(gè)機(jī)構(gòu)或個(gè)人。在數(shù)據(jù)共享的過(guò)程中，如果沒(méi)有足夠的安全措施，數(shù)據(jù)可能會(huì)被非法獲取或?yàn)E用。例如，2018年，新加坡國(guó)立大學(xué)的一次數(shù)據(jù)泄露事件中，來(lái)自研究生辦公室的數(shù)據(jù)被竊取，包括姓名、出生日期、家庭地址、電話號(hào)碼等個(gè)人信息。這些數(shù)據(jù)被泄露后，可能會(huì)被用于進(jìn)行釣魚攻擊、垃圾郵件等活動(dòng)，造成麻煩和損失。同樣的，如果疾病預(yù)防控制機(jī)構(gòu)中的數(shù)據(jù)共享沒(méi)有足夠的安全措施，也可能會(huì)造成類似的問(wèn)題；數(shù)據(jù)匿名化也是一個(gè)重要的數(shù)據(jù)隱私泄露問(wèn)題。在數(shù)據(jù)匿名化的過(guò)程中，疾病預(yù)防控制機(jī)構(gòu)需要對(duì)敏感數(shù)據(jù)進(jìn)行嚴(yán)格監(jiān)管[2]。

2.2 數(shù)據(jù)的可靠性和真實(shí)性問(wèn)題

在疾病預(yù)防控制工作中，數(shù)據(jù)的采集是非常重要的環(huán)節(jié)。但是，由于疾病數(shù)據(jù)采集的對(duì)象和方法多種多樣，存在一定的主觀性和誤差性。例如，人工填寫的問(wèn)卷調(diào)查可能存在記憶錯(cuò)誤、信息不完整、主觀偏差等問(wèn)題，導(dǎo)致采集到的數(shù)據(jù)存在誤差和偏差。這些誤差和偏差可能會(huì)影響后續(xù)數(shù)據(jù)分析和決策的準(zhǔn)確性和可靠性；大數(shù)據(jù)時(shí)代下，疾病預(yù)防控制機(jī)構(gòu)面臨著大量的數(shù)據(jù)來(lái)源和多樣化的數(shù)據(jù)類型。這些數(shù)據(jù)可能來(lái)自不同的地區(qū)、不同的部門、不同的時(shí)間段，數(shù)據(jù)質(zhì)量和格式也各不相同。因此，數(shù)據(jù)清洗和整合成了一個(gè)非常重要的工作。但是，數(shù)據(jù)清洗和整合需要耗費(fèi)大量的人力和物力，并且可能會(huì)因?yàn)閿?shù)據(jù)量大、復(fù)雜度高等問(wèn)題導(dǎo)致數(shù)據(jù)質(zhì)量降低，進(jìn)而影響數(shù)據(jù)的可靠性；在疾病預(yù)防控制工作中，數(shù)據(jù)的真實(shí)性非常重要。但是，由于數(shù)據(jù)對(duì)政策制定和醫(yī)療決策的重要性，一些人可能會(huì)為了自己的利益而偽造數(shù)據(jù)或者篡改數(shù)據(jù)。例如，一些醫(yī)療機(jī)構(gòu)為了追求更高的業(yè)績(jī)，可能會(huì)故意夸大疾病患者的數(shù)量或者病情，導(dǎo)致疾病預(yù)防控制機(jī)構(gòu)得到的數(shù)據(jù)不真實(shí)。在數(shù)據(jù)采集、存儲(chǔ)、傳輸?shù)冗^(guò)程中，數(shù)據(jù)可能會(huì)被黑客攻擊或者惡意程序竊取。如果數(shù)據(jù)被盜取或者篡改，那么數(shù)據(jù)的真實(shí)性也將受到嚴(yán)重的威脅[3]。

2.3 數(shù)據(jù)共享和交換問(wèn)題

數(shù)據(jù)共享和交換問(wèn)題的一個(gè)主要難點(diǎn)在于如何確保數(shù)據(jù)的安全和保密性。疾病預(yù)防控制機(jī)構(gòu)所涉及的數(shù)據(jù)往往包含個(gè)人隱私和敏感信息，如何在數(shù)據(jù)共享和交換的過(guò)程中防止數(shù)據(jù)泄露和濫用是非常重要的。此外，不同機(jī)構(gòu)之間可能存在數(shù)據(jù)格式、數(shù)據(jù)質(zhì)量、數(shù)據(jù)定義等方面的差異，如何處理這些問(wèn)題也是數(shù)據(jù)共享和交換所面臨的難點(diǎn)；數(shù)據(jù)共享和交換的過(guò)程中還可能存在數(shù)據(jù)一致性問(wèn)題。在數(shù)據(jù)共享和交換的過(guò)程中，不同機(jī)構(gòu)可能采用不同的數(shù)據(jù)采集方法、數(shù)據(jù)處理流程和數(shù)據(jù)存儲(chǔ)方式，這些因素都可能導(dǎo)致數(shù)據(jù)一致性的問(wèn)題。數(shù)據(jù)一致性問(wèn)題的存在可能會(huì)影響數(shù)據(jù)的分析和應(yīng)用結(jié)果的準(zhǔn)確性，因此需要采取相應(yīng)的措施確保數(shù)據(jù)的一致性；數(shù)據(jù)共享和交換的過(guò)程中還存在數(shù)據(jù)使用的合規(guī)性問(wèn)題。在數(shù)據(jù)共享和交換的過(guò)程中，可能會(huì)涉及不同機(jī)構(gòu)之間的數(shù)據(jù)使用權(quán)限、數(shù)據(jù)使用目的和數(shù)據(jù)使用時(shí)限等問(wèn)題，如何確保數(shù)據(jù)使用的合規(guī)性是非常重要的[4]。

3 疾病預(yù)防控制機(jī)構(gòu)信息安全保障策略和方法

3.1 建立完善的信息安全管理制度

疾病預(yù)防控制機(jī)構(gòu)應(yīng)制定信息安全管理制度，包括信息安全政策、安全控制措施、安全審計(jì)和監(jiān)測(cè)等內(nèi)容，確保信息系統(tǒng)安全可靠；疾病預(yù)防控制機(jī)構(gòu)應(yīng)建立信息安全管理組織，設(shè)立信息安全管理委員會(huì)和信息安全管理員，負(fù)責(zé)信息安全管理工作的組織、協(xié)調(diào)和監(jiān)督；對(duì)疾病預(yù)防控制機(jī)構(gòu)信息系統(tǒng)進(jìn)行全面的信息安全風(fēng)險(xiǎn)評(píng)估，確定安全風(fēng)險(xiǎn)等級(jí)，制定相應(yīng)的安全措施；疾病預(yù)防控制機(jī)構(gòu)應(yīng)定期組織信息安全意識(shí)教育和培訓(xùn)，提高員工信息安全意識(shí)，使員工對(duì)信息安全管理制度、安全控制措施和應(yīng)急處理程序有全面的認(rèn)識(shí)；采用各種技術(shù)手段加強(qiáng)信息安全保障，例如，加密技術(shù)、防火墻、入侵檢測(cè)等技術(shù)手段，對(duì)信息系統(tǒng)進(jìn)行全面保護(hù)。在某疾病預(yù)防控制中心中，該機(jī)構(gòu)建立了信息安全管理委員會(huì)，由領(lǐng)導(dǎo)班子成員擔(dān)任委員，定期召開(kāi)會(huì)議，組織和協(xié)調(diào)信息安全管理工作。該機(jī)構(gòu)還采用加密技術(shù)、防火墻等技術(shù)手段加強(qiáng)信息系統(tǒng)安全保障，并定期組織信息安全培訓(xùn)，提高員工的信息安全意識(shí)。這些措施有效地提高了該機(jī)構(gòu)信息系統(tǒng)的安全性和可靠性[5]。

3.2 采取有效的加密和認(rèn)證措施

對(duì)稱加密算法加密速度快，但密鑰分發(fā)和管理困難；非對(duì)稱加密算法密鑰管理方便，但加密速度較慢。為了兼顧加密速度和密鑰管理，可以采用對(duì)稱加密和非對(duì)稱加密相結(jié)合的方式。具體操作是，在傳輸大量數(shù)據(jù)時(shí)使用對(duì)稱加密算法，密鑰交換采用非對(duì)稱加密算法，這樣既可以保證加密速度，又可以保證密鑰的安全。例如，在疫情防控信息系統(tǒng)中，采用AES對(duì)稱加密算法對(duì)疫情數(shù)據(jù)進(jìn)行加密，同時(shí)使用RSA非對(duì)稱加密算法對(duì)AES密鑰進(jìn)行加密傳輸，這樣可以保證數(shù)據(jù)的安全性和加密速度[6]。

數(shù)字證書認(rèn)證機(jī)制是一種在計(jì)算機(jī)網(wǎng)絡(luò)中驗(yàn)證雙方身份的方式，通過(guò)數(shù)字證書的頒發(fā)和驗(yàn)證來(lái)保證通信雙方的身份和數(shù)據(jù)傳輸?shù)陌踩?。?shù)字證書通常包括持有人的公鑰、持有人的身份信息以及證書頒發(fā)機(jī)構(gòu)的數(shù)字簽名等信息。在疾病預(yù)防控制機(jī)構(gòu)信息系統(tǒng)中，采用數(shù)字證書認(rèn)證機(jī)制可以有效地保護(hù)通信雙方的身份和數(shù)據(jù)傳輸?shù)陌踩?。具體操作是，疾控機(jī)構(gòu)使用自己的私鑰生成數(shù)字證書，將公鑰和身份信息等信息上傳至認(rèn)證中心，并由認(rèn)證中心進(jìn)行驗(yàn)證和簽名，然后將數(shù)字證書返回給疾控機(jī)構(gòu)。當(dāng)其他機(jī)構(gòu)需要與疾控機(jī)構(gòu)進(jìn)行通信時(shí)，可以通過(guò)驗(yàn)證數(shù)字證書的合法性來(lái)確保通信的安全。例如，在疫情防控信息系統(tǒng)中，疾病預(yù)防控制機(jī)構(gòu)可以使用數(shù)字證書認(rèn)證機(jī)制來(lái)保護(hù)與醫(yī)療機(jī)構(gòu)之間的通信安全[7]。

3.3 強(qiáng)化信息安全意識(shí)教育和培訓(xùn)

信息安全意識(shí)教育是信息安全保障的基礎(chǔ)，它是為了讓員工了解企業(yè)的信息安全政策、法規(guī)和規(guī)程，以及掌握信息安全知識(shí)和技能，從而提高員工的信息安全意識(shí)和防范能力。在疾病預(yù)防控制機(jī)構(gòu)中，由于涉及大量的個(gè)人敏感信息和重要的公共衛(wèi)生數(shù)據(jù)，信息安全問(wèn)題尤其重要，因此需要加強(qiáng)員工的信息安全意識(shí)教育，以確保信息安全[8]。

需要建立疾病預(yù)防控制機(jī)構(gòu)的信息安全政策，包括信息安全目標(biāo)、管理制度、安全策略和操作規(guī)程等，明確機(jī)構(gòu)對(duì)信息安全的要求，制定合理的安全措施，從而實(shí)現(xiàn)信息的安全保護(hù)；疾病預(yù)防控制機(jī)構(gòu)應(yīng)定期組織信息安全培訓(xùn)，向員工介紹信息安全政策和規(guī)程，以及企業(yè)安全保護(hù)方案，同時(shí)加強(qiáng)對(duì)信息安全的認(rèn)識(shí)和理解，提高信息安全保障能力；在信息安全教育中，需要提供實(shí)際的案例分析，讓員工了解企業(yè)內(nèi)部信息泄露和病毒攻擊等信息安全事件的原因和后果，加深員工對(duì)信息安全的認(rèn)識(shí)和理解，從而更好地保護(hù)企業(yè)信息安全；通過(guò)模擬安全事件，讓員工在模擬環(huán)境下體驗(yàn)信息安全事件的應(yīng)對(duì)過(guò)程，從而更好地了解如何應(yīng)對(duì)信息安全事件，提高員工的信息安全應(yīng)急響應(yīng)能力[9]。

4 結(jié)束語(yǔ)

在大數(shù)據(jù)時(shí)代下，疾病預(yù)防控制機(jī)構(gòu)的信息安全問(wèn)題變得更加復(fù)雜和嚴(yán)峻，未來(lái)疾病預(yù)防控制機(jī)構(gòu)采取有效的加密和認(rèn)證措施圍繞疾病預(yù)防控制在大數(shù)據(jù)時(shí)代下的信息安全問(wèn)題，探討了目前研究的現(xiàn)狀和存在的問(wèn)題，同時(shí)提出了一些解決方案，確保疾病預(yù)防控制機(jī)構(gòu)更好地保障其信息安全，并為其更好地開(kāi)展工作提供支撐和保障。