疾病预防控制在大数据时代下的信息安全研究

武强

单县疾病预防控制中心 山东 菏泽 274300

引言

随着信息化技术的迅速发展，疾病预防控制机构也逐渐向数字化、信息化转型，大数据技术的广泛应用使得疾病预防控制机构所管理和处理的数据量越来越庞大。然而，海量的数据处理和管理面临着信息安全和隐私保护的挑战，疾病预防控制机构必须采取措施保障数据的安全性和可靠性。

1 疾病预防控制机构信息安全的必要性

1.1 疾病预防控制机构信息安全的定义

疾病预防控制机构信息安全是指在疾病预防控制机构内部以及与外部交流过程中，对信息的保密性、完整性、可用性和可信度进行综合保障，防止信息泄露、篡改、丢失和被恶意利用等安全威胁，确保机构信息系统的正常、安全、高效运行。具体而言，信息安全涵盖了信息系统、网络、数据库、软件应用等方面，需要综合考虑技术、管理和人员因素，确保信息资源的合法、合规和可控使用。在疾病预防控制机构中，信息安全的保障不仅关乎机构本身的运营和管理，还关系到社会公众和国家的生命安全和健康利益，因此具有重要的战略意义和社会价值。

1.2 疾病预防控制机构信息安全的重要性

疾病预防控制机构所持有的各类信息都是非常敏感的，如人员信息、疫苗信息、检测信息等，这些信息一旦泄露，将会对机构造成极大的危害。因此，信息安全的保护能够避免这些信息被未经授权的人员获取和使用；疾病预防控制机构作为公共机构，其声誉对于其整体运作非常重要。如果信息系统遭受攻击或泄露，将对机构的声誉造成极大的负面影响，甚至会引发公众的恐慌和不信任；信息安全保护还能有效地防范内部人员的恶意行为和错误操作所导致的信息泄露和丢失。通过建立信息安全体系和规范，可以确保每个人员都遵循相应的安全政策和程序，从而减少内部威胁的发生；信息泄露和丢失会给机构造成直接的经济损失，例如数据恢复、系统重建等方面的成本。同时，机构还可能因为泄露而面临诉讼和罚款等风险，造成巨大的经济损失[1]。

2 疾病预防控制机构在大数据时代下面临的信息安全问题

2.1 数据隐私泄露问题

大数据时代下，疾病预防控制机构面临的一个数据隐私泄露问题是个人隐私的泄露。个人隐私包括个人身份信息、健康状况、医疗记录等，这些信息的泄露可能会给个人带来损失，也可能会被恶意利用。例如，2017年，美国Equifax信用评级公司遭遇黑客攻击，致使1.43亿人的个人信息被泄露，包括社会安全号码、出生日期、驾照号码等。这些信息被泄露后，可能会被用于恶意活动，如身份盗窃、信用卡欺诈等。同样的，如果疾病预防控制机构中的个人隐私信息被泄露，也可能会给个人带来类似的风险和损失。数据共享也是一个引起数据隐私泄露的问题。在大数据时代，疾病预防控制机构需要收集大量的数据来进行疾病监测和研究，这些数据可能来自多个机构或个人。在数据共享的过程中，如果没有足够的安全措施，数据可能会被非法获取或滥用。例如，2018年，新加坡国立大学的一次数据泄露事件中，来自研究生办公室的数据被窃取，包括姓名、出生日期、家庭地址、电话号码等个人信息。这些数据被泄露后，可能会被用于进行钓鱼攻击、垃圾邮件等活动，造成麻烦和损失。同样的，如果疾病预防控制机构中的数据共享没有足够的安全措施，也可能会造成类似的问题；数据匿名化也是一个重要的数据隐私泄露问题。在数据匿名化的过程中，疾病预防控制机构需要对敏感数据进行严格监管[2]。

2.2 数据的可靠性和真实性问题

在疾病预防控制工作中，数据的采集是非常重要的环节。但是，由于疾病数据采集的对象和方法多种多样，存在一定的主观性和误差性。例如，人工填写的问卷调查可能存在记忆错误、信息不完整、主观偏差等问题，导致采集到的数据存在误差和偏差。这些误差和偏差可能会影响后续数据分析和决策的准确性和可靠性；大数据时代下，疾病预防控制机构面临着大量的数据来源和多样化的数据类型。这些数据可能来自不同的地区、不同的部门、不同的时间段，数据质量和格式也各不相同。因此，数据清洗和整合成了一个非常重要的工作。但是，数据清洗和整合需要耗费大量的人力和物力，并且可能会因为数据量大、复杂度高等问题导致数据质量降低，进而影响数据的可靠性；在疾病预防控制工作中，数据的真实性非常重要。但是，由于数据对政策制定和医疗决策的重要性，一些人可能会为了自己的利益而伪造数据或者篡改数据。例如，一些医疗机构为了追求更高的业绩，可能会故意夸大疾病患者的数量或者病情，导致疾病预防控制机构得到的数据不真实。在数据采集、存储、传输等过程中，数据可能会被黑客攻击或者恶意程序窃取。如果数据被盗取或者篡改，那么数据的真实性也将受到严重的威胁[3]。

2.3 数据共享和交换问题

数据共享和交换问题的一个主要难点在于如何确保数据的安全和保密性。疾病预防控制机构所涉及的数据往往包含个人隐私和敏感信息，如何在数据共享和交换的过程中防止数据泄露和滥用是非常重要的。此外，不同机构之间可能存在数据格式、数据质量、数据定义等方面的差异，如何处理这些问题也是数据共享和交换所面临的难点；数据共享和交换的过程中还可能存在数据一致性问题。在数据共享和交换的过程中，不同机构可能采用不同的数据采集方法、数据处理流程和数据存储方式，这些因素都可能导致数据一致性的问题。数据一致性问题的存在可能会影响数据的分析和应用结果的准确性，因此需要采取相应的措施确保数据的一致性；数据共享和交换的过程中还存在数据使用的合规性问题。在数据共享和交换的过程中，可能会涉及不同机构之间的数据使用权限、数据使用目的和数据使用时限等问题，如何确保数据使用的合规性是非常重要的[4]。

3 疾病预防控制机构信息安全保障策略和方法

3.1 建立完善的信息安全管理制度

疾病预防控制机构应制定信息安全管理制度，包括信息安全政策、安全控制措施、安全审计和监测等内容，确保信息系统安全可靠；疾病预防控制机构应建立信息安全管理组织，设立信息安全管理委员会和信息安全管理员，负责信息安全管理工作的组织、协调和监督；对疾病预防控制机构信息系统进行全面的信息安全风险评估，确定安全风险等级，制定相应的安全措施；疾病预防控制机构应定期组织信息安全意识教育和培训，提高员工信息安全意识，使员工对信息安全管理制度、安全控制措施和应急处理程序有全面的认识；采用各种技术手段加强信息安全保障，例如，加密技术、防火墙、入侵检测等技术手段，对信息系统进行全面保护。在某疾病预防控制中心中，该机构建立了信息安全管理委员会，由领导班子成员担任委员，定期召开会议，组织和协调信息安全管理工作。该机构还采用加密技术、防火墙等技术手段加强信息系统安全保障，并定期组织信息安全培训，提高员工的信息安全意识。这些措施有效地提高了该机构信息系统的安全性和可靠性[5]。

3.2 采取有效的加密和认证措施

对称加密算法加密速度快，但密钥分发和管理困难；非对称加密算法密钥管理方便，但加密速度较慢。为了兼顾加密速度和密钥管理，可以采用对称加密和非对称加密相结合的方式。具体操作是，在传输大量数据时使用对称加密算法，密钥交换采用非对称加密算法，这样既可以保证加密速度，又可以保证密钥的安全。例如，在疫情防控信息系统中，采用AES对称加密算法对疫情数据进行加密，同时使用RSA非对称加密算法对AES密钥进行加密传输，这样可以保证数据的安全性和加密速度[6]。

数字证书认证机制是一种在计算机网络中验证双方身份的方式，通过数字证书的颁发和验证来保证通信双方的身份和数据传输的安全。数字证书通常包括持有人的公钥、持有人的身份信息以及证书颁发机构的数字签名等信息。在疾病预防控制机构信息系统中，采用数字证书认证机制可以有效地保护通信双方的身份和数据传输的安全。具体操作是，疾控机构使用自己的私钥生成数字证书，将公钥和身份信息等信息上传至认证中心，并由认证中心进行验证和签名，然后将数字证书返回给疾控机构。当其他机构需要与疾控机构进行通信时，可以通过验证数字证书的合法性来确保通信的安全。例如，在疫情防控信息系统中，疾病预防控制机构可以使用数字证书认证机制来保护与医疗机构之间的通信安全[7]。

3.3 强化信息安全意识教育和培训

信息安全意识教育是信息安全保障的基础，它是为了让员工了解企业的信息安全政策、法规和规程，以及掌握信息安全知识和技能，从而提高员工的信息安全意识和防范能力。在疾病预防控制机构中，由于涉及大量的个人敏感信息和重要的公共卫生数据，信息安全问题尤其重要，因此需要加强员工的信息安全意识教育，以确保信息安全[8]。

需要建立疾病预防控制机构的信息安全政策，包括信息安全目标、管理制度、安全策略和操作规程等，明确机构对信息安全的要求，制定合理的安全措施，从而实现信息的安全保护；疾病预防控制机构应定期组织信息安全培训，向员工介绍信息安全政策和规程，以及企业安全保护方案，同时加强对信息安全的认识和理解，提高信息安全保障能力；在信息安全教育中，需要提供实际的案例分析，让员工了解企业内部信息泄露和病毒攻击等信息安全事件的原因和后果，加深员工对信息安全的认识和理解，从而更好地保护企业信息安全；通过模拟安全事件，让员工在模拟环境下体验信息安全事件的应对过程，从而更好地了解如何应对信息安全事件，提高员工的信息安全应急响应能力[9]。

4 结束语

在大数据时代下，疾病预防控制机构的信息安全问题变得更加复杂和严峻，未来疾病预防控制机构采取有效的加密和认证措施围绕疾病预防控制在大数据时代下的信息安全问题，探讨了目前研究的现状和存在的问题，同时提出了一些解决方案，确保疾病预防控制机构更好地保障其信息安全，并为其更好地开展工作提供支撑和保障。