卫生智库的信息网络安全建设探讨

施骏

上海市卫生和健康发展研究中心（上海市医学科学技术情报研究所） 上海 200031

引言

近年来，国家先后颁布了《网络安全法》《信息安全技术网络安全等级保护基本要求》2.0版等一系列的法律法规，这一系列法律法规的颁布，足以证明国家对信息网络安全领域越来越重视[1]。习近平在中央网络安全和信息化领导小组第一次会议上指出：“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国”。

信息网络安全之所以引起了人们的重视，不仅是因为它会给研究机构带来巨大的危害，很有可能会使研究机构蒙受巨大的有型或者无形的损失。此外，也是因为其已经成为影响国家安全的重要因素，直接关系到国家的金融环境、意识形态、政治氛围等各个方面[2]。尤其在卫生健康领域，政府、医疗卫生机构、医疗大数据企业、个人要在技术发展和信息安全之间寻求平衡。无论是科学研究、智能医疗技术创新还是各种信息支持系统的开发，都应在保障个人信息安全的基础上进行。

因此，本文对国内卫生智库行业信息网络安全现状进行分析，讨论如何加快卫生智库行业的信息网络安全建设步伐，以应对层出不穷的安全问题。

1 卫生智库信息网络安全现状

我国卫生智库的兴起可以追溯到新医改，伴随着医疗卫生体制改革的深入推进，医疗卫生事业的发展对于决策科学化的要求日益提高[3]。从2009至2020年，我国卫生健康智库发展较为快速，卫生智库在一些经济发展水平较高、优质医疗资源丰富的地区建立，如北京、上海、深圳、哈尔滨等城市，均成立了隶属于卫生健康行政主管部门的卫生发展研究中心。这些卫生发展研究中心是我国卫生智库建设的代表，在推动我国医疗卫生体制改革方面发挥了重要的积极作用。就目前从我国政府下设的几个典型卫生智库来看，其信息部门多数是在综合部门内设，如北京：国家卫生健康委卫生发展研究中心信息部门设在综合处内、上海：上海市卫生和健康发展研究中心信息部门设在综合办内、哈尔滨：黑龙江省卫生健康发展研究中心信息部门设在综合科内，仅有深圳：深圳市卫生健康发展研究中心有独立信息部门，这也是制约其信息建设发展的因素之一。目前网络安全方面存在的问题主要有以下几点。

1.1 信息网络安全意识淡薄

当今社会，随着网络的不断发展，人们在忙于学习、工作和娱乐的同时，却忽视了网络信息的安全性，只有当身边发生了信息安全事件，才会意识到这一点。而这样淡薄的安全意识，与他们在日常使用计算机过程中不规范的操作不无联系[4]。这主要表现在以下几点：①有员工为了获取浏览速度，擅自关闭杀毒软件、防火墙；②当员工收到带有链接的电子邮件时，不仔细检查URL的拼写和发件人信息，随意点击链接；③随意连接不可信的Wi-Fi站点，导致信息泄露；④为了使用方便，将敏感信息上传在个人网盘；⑤使用个人邮箱发送业务数据，造成数据泄密；⑥为了简单易记，使用弱口令， 导致被撞库；⑦不设置屏幕密码，导致未经授权的使用。以上种种，不仅给个人终端造成安全风险，同时也为机构内部网络信息系统造成危害。

1.2 办公场所无线网络安全措施薄弱

相比于医疗机构，卫生智库的机构规模和资金方面都相对较弱，因此容易忽视办公场所Wi-Fi系统的防控措施。加之如果不对无线数据传输加密，无线数据以明文方式发送，将会导致这个无线信号覆盖范围内的任何人都可以扫描和截获经由这个无线站点的所有数据。如果无线信号采用的是弱密码，那么使用者则可以轻而易举的进入内部网络，从而探测到网络中其他无线客户端设备。如果再通过对无线局域网的渗透，进入到内部有线网络，就能彻底攻陷机构的局域网，将会造成难以估量的损失。且由于缺少防控设备，事后也很难找到相应的网络使用日志信息，难以追查。因此，加强无线网络安全，不仅是为了保证Wi-Fi通信数据的安全，也是为了保障机构内部的信息网络安全。

1.3 信息网络安全人员配置欠缺

卫生健康行业的网络安全工作对复合型、融合型人才提出了更高的要求。从工作要求看，可分为数据管理员、业务管理员、信息化技术人员等；从管理要求看，可分为网络管理员、运维保障人员等。卫生智库可以算是卫生健康行业的一个分支，虽然在工作要求上不同，但在管理要求上基本一致。

而我国网络安全人才又是严重缺乏的，目前网络安全人才的缺口总量超100万人，且每年以1.5万人的速度递增，供求很不平衡。人才严重缺乏的原因和此前在网络安全教育领域的投入不足有很大关系。大环境尚且如此，卫生健康行业也不例外，卫生智库行业则更为明显，尤其是在网络安全人员的配置上。

1.4 信息网络安全制度不完善

随着科学技术水平的提升，各行各业对互联网的应用更加倚重，随之而来的网络安全事件也频频发生。对此我国多个重要网络安全法规的出台，加速推进了中国信息安全建设，进一步规范网络行为，从而降低因信息泄露造成的损失[5]。但在实际工作中，往往会因为制度落实不到位，工作人员麻痹大意执行力不强，以及相关的管理制度不健全，最终导致网络信息安全隐患。

2 卫生智库网络安全防护措施

2.1 提高员工网络安全意识，定期开展网络安全培训

本着“控制源头、加强检查、明确责任、落实制度”的指导思想，机构应对网络安全做到分工明确,责任具体到人。确保信息网络安全防范制度落实到位，将网络信息安全工作切实做到防微杜渐，把不安全苗头消除在萌芽状态。建议机构可以在以下几点开展工作。

2.1.1 加强信息安全建设活动。定期修订和完善网络安全管理制度，加强网络硬件、软件安全性建设，年度可以开展网络安全活动方案和考核办法，树立优秀典型，推广先进经验,促进信息网络安全工作。

2.1.2 开展网络安全教育、进行现场实操演练。理论与实践相结合，可以采用购买服务的方式，请专业的第三方网络安全公司定期为员工进行网络安全培训及实战演练。让员工进一步了解网络安全的重要性，增强网络安全意识,提高网络安全防范能力。

2.1.3 积极开展“信息网络安全”宣传活动，做到预防为主，教育在先。要坚持依法上网，自觉遵守宪法和互联网相关法律法规，履行自己应有的社会责任。同时也要带动身边的同事，共同维护机构信息系统的网络安全。加强机构网络安全宣传教育工作，让员工在真实案例中，学到并认知网络泄密的危害，从而起到增强自我保护意识。

2.1.4 鼓励员工积极参加网络安全知识竞赛。知识竞赛也是一项提升员工网络安全意识的好活动，员工在竞赛活动中普及信息安全知识、提升网络安全防护技能的同时，检验了自己对网络安全知识的掌握情况，也激发了员工学习网络安全知识的兴趣。起到了提升学习效果，真正做到以赛促学、学以致用、融会贯通。

2.2 区分员工网络与访客网络，加强网络安全防护措施

对员工网络和访客网络进行Vlan划分，在有条件的情况下，使用不同线入更加稳妥，可以最大限度确保员工网络资源不被挤占。对访客网络部署符合当地公安系统、网监要求的互联网公共上网场所安全管理设备；以及满足一定量人数并发的上网安全审计设备；建议采取镜像方式部署，不影响主网功能，设备故障导致中断不影响员工使用正常网络功能。

2.3 明确网络安全管理岗位职责，健全网络安全人员配备

机构应设立信息安全管理工作的职能部门，设立网络安全管理各个方面的负责人岗位，并定义各负责人的职责；此外，应根据等保2.0相关要求，配备一定数量的系统管理员、网络管理员、安全管理员等，一般四级等保系统，需要配备4名网络安全人员；三级等保系统，需要配备3名，依次类推；配备专职安全管理员，不可兼任；关键岗位应配备多人共同管理。

2.4 建立应急网络联动机制，增强网络安全应急能力

根据网络安全的发生原因、性质和机理，网络安全主要分为以下三类：攻击类事件、故障类事件、灾害类事件。机构应建立应急网络联动机制，制定网络安全应急预案，针对不同等级的突发公共事件进行相应的处置工作，并及时上报领导及备案。同时，还应加强网络安全工作的组织部署及网络安全工作的组织部署，做好监测预警通报工作。还需要明确值班值守职责任务，发现重大、紧急网络安全事件应立即采取果断措施，将负面影响降到最低。

2.5 做好信息安全等级保护工作，让信息漏洞消弭于未萌之中

等保就是信息安全等级保护，网络安全法要求网络运营者应当按照网络安全等级保护制度的要求，履行信息系统安全保护义务，保障信息系统免受干扰、破坏或者未经授权的访问，防止信息数据泄露或者被窃取、篡改[6]。开展等保是为了通过等级保护测评工作，及时去发现机构信息系统中存在的安全风险和缺陷，通过整改修复缺陷，从而提高信息系统的信息安全防护能力。此外，等级保护是我国关于信息安全的基本政策，在《国家信息化领导小组关于加强信息安全保障工作的意见》中，也明确规定要求我国信息安全保障工作实行等级保护制度，提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”[6]。因此，做好信息系统等保测评工作是极为重要的。

2.6 建立信息系统漏洞扫描和终端巡检机制

漏洞扫描是基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机信息系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。发现问题就要解决问题，防火墙、入侵检测设备就是信息系统中不可或缺安全设备，它是信息的系统的防护罩，它能修补漏洞从而提高网络的安全性。此外，通过漏洞扫描可以当作是一次虚拟攻击或是攻击预警，能够让信息安全管理人员发现机构信息系统的安全漏洞及错误设置，在真正的攻击前做好防范。除了防火墙和入侵检测设备的被动防御手段，漏洞扫描这种主动防范措施也是必不可少的。

如果说漏洞扫描是查找环境因素，那么终端巡检则是查找人为因素。在信息网络安全隐患中，人为因素也是一个重要因素。如我们前文提到的擅自关闭杀毒软件、防火墙、使用弱口令、随意安装未经认证的软件等，这些问题都可以在终端巡检过程中发现，从而及时制止因人为因素或操作不当而给信息系统带来不必要的损失或风险。

3 结束语

信息网络安全涉及国家重要基础设施、信息产业、信息系统、公共安全等方方面面,只有信息网络安全的可靠运行才能使整个社会正常可靠运转。只有做到“硬件过硬”，才能更好防护信息网络安全。我们既要运用高科技防护设备，又要树立正确的信息网络安全观，构建人防、物防、技防三防结合，做到“软硬兼施”，齐头并进，以安全促发展，以发展促安全，全力共筑卫生智库行业的信息网络安全防线。