基于三級等級保護要求加強市級預(yù)防接種分布式數(shù)據(jù)管理中心安全建設(shè)

顧鼎

摘 要：提升預(yù)防接種信息化服務(wù)管理系統(tǒng)安全保護等級是貫徹落實國家衛(wèi)生健康委及省委省政府、省衛(wèi)生健康委、市委市政府等指示精神，全面強化疫苗信息管理，確保預(yù)防接種規(guī)范化的必要舉措。以信息安全3級等保為標準，針對安全建設(shè)、信息機房薄弱環(huán)節(jié)，對分布式數(shù)據(jù)管理中心進行安全升級改造，保護系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)和應(yīng)用的安全。

關(guān)鍵詞：預(yù)防接種;信息安全;等級保護

預(yù)防是最經(jīng)濟最有效的健康策略，免疫規(guī)劃是人民健康的基本保障，是政府提供的一項重要公共衛(wèi)生服務(wù)。隨著“疫苗事件”的頻繁發(fā)生和2016年《疫苗流通和預(yù)防接種管理條例》修訂版的出臺，疫苗的全程冷鏈監(jiān)控和全程溯源備受矚目。提升預(yù)防接種信息化服務(wù)管理系統(tǒng)安全保護等級，是貫徹落實國家衛(wèi)生健康委及省委省政府、省衛(wèi)生健康委、市委市政府等指示精神，全面強化疫苗信息管理，確保預(yù)防接種規(guī)范化的必要舉措，使千家萬戶都能享受到國家公平、均等的衛(wèi)生服務(wù)，建立起全市傳染性疾病免疫屏障，進一步提高全市人均健康期望壽命。

1 信息化現(xiàn)狀

我市預(yù)防接種分布式數(shù)據(jù)管理中心，目前包括“疫苗管理子系統(tǒng)”、“冷鏈監(jiān)測子系統(tǒng)”與“成人預(yù)防接種服務(wù)子系統(tǒng)”，部署于4臺獨立服務(wù)器中，全虛擬化集群應(yīng)用。而所在機房建成時間久遠，配備的精密空調(diào)、UPS等設(shè)備老化，時有故障發(fā)生，安全建設(shè)亟待加強。

2 需求分析

目前，已建成預(yù)防接種分布式數(shù)據(jù)管理中心的軟、硬件平臺，在信息安全方面也進行了基礎(chǔ)性的部分建設(shè)。但由于病毒攻擊、惡意攻擊泛濫，應(yīng)用軟件漏洞層出不窮，此數(shù)據(jù)中心信息安全方面仍面臨較大的挑戰(zhàn)。隨著信息技術(shù)的飛速發(fā)展，如今基于信息系統(tǒng)安全防護已不能僅停留在普通網(wǎng)絡(luò)安全設(shè)備的層面上，特別是疫苗數(shù)據(jù)安全關(guān)系到群眾切身利益，甚至?xí)绊懮鐣€(wěn)定，需要部署完善的、基于保護系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)和應(yīng)用的安全防護體系，以滿足3級等級保護指標為目標進行建設(shè)和管理。

3 安全建設(shè)總體規(guī)劃與設(shè)計

根據(jù)“規(guī)劃先行、指導(dǎo)為重、分期實施”的總體指導(dǎo)方針。整體上，安全等級保護建設(shè)工作可分10個方面。

3.1 互聯(lián)網(wǎng)安全接入建設(shè)

互聯(lián)網(wǎng)安全在網(wǎng)絡(luò)邊界部署防火墻、網(wǎng)絡(luò)入侵防御和防毒墻，為網(wǎng)絡(luò)提供全面實時的安全防護。為保證業(yè)務(wù)穩(wěn)定性，所有安全設(shè)備采用雙機部署。

3.2 業(yè)務(wù)核心交換網(wǎng)建設(shè)

業(yè)務(wù)核心交換網(wǎng)區(qū)域，采用兩臺高性能核心設(shè)備進行虛擬化配置，邏輯上只需要管理一臺核心交換機，且核心設(shè)備間高可靠高冗余，實現(xiàn)毫秒級切換。

3.3 應(yīng)用系統(tǒng)安全建設(shè)

利用兩臺匯聚交換機構(gòu)建DMZ服務(wù)器區(qū)，網(wǎng)站服務(wù)器前段部署web應(yīng)用防火墻系統(tǒng)（WAF），服務(wù)器系統(tǒng)層面部署網(wǎng)絡(luò)版防病毒和虛擬補丁。

3.4 數(shù)據(jù)安全建設(shè)

應(yīng)用系統(tǒng)安全方面，利用兩臺匯聚交換機構(gòu)建核心數(shù)據(jù)服務(wù)器安全區(qū)域，核心數(shù)據(jù)庫服務(wù)器前段部署數(shù)據(jù)庫防火墻系統(tǒng)，核心數(shù)據(jù)庫服務(wù)器區(qū)域旁路部署數(shù)據(jù)庫審計系統(tǒng)。

3.5 數(shù)據(jù)安全交換建設(shè)

互聯(lián)網(wǎng)和專網(wǎng)兩大部分，需要實行嚴格的安全隔離（接近于物理隔離），在確保專網(wǎng)的安全前提下實現(xiàn)與互聯(lián)網(wǎng)上的企業(yè)或個人用戶實時的業(yè)務(wù)互動。采用2套安全網(wǎng)閘HA部署將安全隔離與信息交換系統(tǒng)部署在不同業(yè)務(wù)網(wǎng)之間。通過安全隔離網(wǎng)閘與將不同業(yè)務(wù)網(wǎng)進行安全隔離和數(shù)據(jù)信息“擺渡”交換，滿足了系統(tǒng)安全隔離和實時交換安全效果。

3.6 運維管理安全建設(shè)

在運維管理區(qū)域，建立統(tǒng)一運維、集中運維監(jiān)控、統(tǒng)一備份、綜合日志審計、補丁管理和網(wǎng)絡(luò)版殺毒部署信息安全設(shè)施。

3.7 辦公網(wǎng)安全

辦公網(wǎng)區(qū)域，機房通過新增2臺核心交換機，并且通過堆疊技術(shù)，實現(xiàn)核心交換網(wǎng)高可用，實現(xiàn)毫秒級切換。桌面管理及網(wǎng)絡(luò)準入提供終端準入認證管理、入網(wǎng)健康檢查、終端外設(shè)監(jiān)控、資產(chǎn)管理和系統(tǒng)管理。

3.8 計算池擴容

目前中心還存在部分設(shè)備比較陳舊，服務(wù)器、存儲、交換都存在性能瓶頸。為保障整體平臺穩(wěn)定運行，在充分利用現(xiàn)有設(shè)備的基礎(chǔ)上，新增服務(wù)器、磁盤存儲、虛擬化軟件和所需相關(guān)配件并進行和以有資源整合。

3.9 機房物理環(huán)境建設(shè)

進行精密空調(diào)擴容，替換現(xiàn)有UPS，增設(shè)人臉識別門禁系統(tǒng)。增加42U機柜3臺，擴容現(xiàn)有機架容量。

3.10 制定健全的安全管理體系

建立機房安全管理制度，對有關(guān)機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定;建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定;根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒ā?/p>

4 結(jié)語

市級預(yù)防接種分布式數(shù)據(jù)管理中心安全風(fēng)險存在很多方面，針對各種風(fēng)險我們通過安全技術(shù)體系、安全管理體系等內(nèi)容的建設(shè)，使分布式數(shù)據(jù)管理中心安全保障體系能夠有效落實。因此，信息系統(tǒng)整體安全目標的實現(xiàn)，除了必要的信息安全技術(shù)手段支撐，還須建立相適應(yīng)的安全管理體系進行組織管理，嚴格管理制度，規(guī)范應(yīng)用操作。管理與技術(shù)并重，相互協(xié)同，形成有效的綜合預(yù)防、追查及應(yīng)急響應(yīng)的立體安全防護體系，保護系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)和應(yīng)用的安全。

參考文獻：

[1]孫巍，王玉珍，陳韜.基于等級保護要求 加強醫(yī)院信息安全管理[J].中國衛(wèi)生信息管理雜志，2017，14（06）：843-845.

[2]王芳，袁蕾磊，趙子琪，劉祥.政務(wù)系統(tǒng)信息安全等級保護建設(shè)現(xiàn)狀分析及對策建議[J].農(nóng)業(yè)網(wǎng)絡(luò)信息，2017（12）：12-14.