計算機信息安全管理策略

徐珞

【摘要】計算機信息技術已經和人們的日常生活、工作、學習緊密聯系起來。然而隨著網絡技術本身在各個領域不斷深入的情況下，計算機信息安全問題給我們的日常生活和工作所帶來的威脅也在不斷增大。信息安全管理是指通過各種應對措施（包括技術措施和制度措施），使網絡系統的硬件、軟件及其系統中的數據受到保護，保障系統連續可靠正常地運行，網絡服務不中斷，數據免遭惡意破壞、篡改、泄漏。

【關鍵詞】計算機 信息安全 管理措施

一、計算機中心機房的安全管理策略

（一）機房硬件設備安全建議

（1）一般中心服務器采用雙機熱備方式，雙機高可用主一備方式（Active-Standby方式），即一臺服務器處于激活狀態（即Ac-tive狀態），另一臺服務器處于備用狀態（即Standby狀態），主服務器一旦出現故障，備用服務器立即接管。

（2）數據存儲設備采用磁盤陣列共享存儲方式，雙機享用同一臺存儲設備，當主機宕機后，接管工作的備機繼續從磁盤陣列上取得原有數據。

（3）獨立磁盤冗余陣列RAID5，任意N-1塊磁盤上都存儲完整的數據，一個磁盤發生損壞后，不會影響數據的完整性，從而保證了數據安全。當損壞的磁盤被替換后，RAID還會自動利用剩下奇偶校驗信息去重建此磁盤上的數據，來保持RAID5的高可靠性。

（4）交換機采用雙核心、雙匯聚、三層網絡結構，核心設備鏈路保持冗余，避免一臺核心出現問題導致整個鏈路癱瘓。

（5）機房配備UPS電源以保證發生斷電時機房設備的用電安全。

（6）使用專用的精密空調設備，保證機房的恒濕恒溫。

（7）采用防雷防靜電措施。中心機房使用防靜電地板，安裝避雷設備，預防因雷電天氣出現電流浪涌或靜電堆積損壞設備。

（8）安裝監控報警系統，及時獲取設備的軟硬件故障報警。

（9）先進的消防設備，采用氣體自動滅火器，防止發生火災后，設備被水淋濕造成損壞。

（二）機房管理制度建議

（1）網絡管理員實行24小時值班制度，負責中心機房的日常維護工作，負責保障服務器、網絡設備和UPS設備的正常運行。

（2）嚴格的實行出入控制。外來檢修人員、外來公務人員等進入機房必須由信息化處人員始終陪同，并填寫外來人員登記表。

（3）每周要檢查各個服務器的日志文件，保留所有用戶訪問站點的日志文件，每兩個月要對的日志文件進行異地備份，備份日志不得更改，刻錄光盤保留。

（4）網絡管理員需定期檢查機房服務器、交換機、路由器、光纖收發器，UPS等設備運行情況和存在問題，定期對蓄電池進行充放電操作以保證其始終處于最佳工作狀態，并做好維護記錄。

（5）網絡管理員要認真做好數據備份工作，保證數據安全，可靠，并做好數據保密工作。

（6）網絡管理員不得隨意操作、更改機房的網絡配置、服務器配置。涉及系統安全和數據安全的操作（如系統升級、系統更換、數據轉儲等）應事先書面提出報告，采取妥善措施且系統和數據保護性備份后，經主管領導批準，方可實施操作，并填寫操作記錄。

二、工作站的安全管理策略

（1）限制移動存儲設備的使用。修改注冊表，關閉U盤設備的系統識別，關閉多余的USB口。去除CD-ROM和軟盤驅動器。

（2）同一臺計算機禁止同時連接不同的網絡。

（3）電腦主機箱和各樓層交換設備間使用鎖具，避免用戶私自拆裝。

三、預防病毒建議

（1）安裝防火墻是網絡安全運行中行之有效的基礎措施，可以對使用者的帳號、時間等進行管理。防火墻能對數據包傳輸進行有效控制和審計，過濾掉不安全的服務，監控和抵御來自網絡上的攻擊。

（2）眾所周知，龐大的Windows系統存在各種各樣的漏洞，這些漏洞是計算機安全的極大隱患。為此，微軟公司經常發布針對各種漏洞的安全補丁程序。經常搜集和安裝安全補丁程序是確保網絡環境下醫院信息管理平臺安全運行的有效手段。

（3）安裝正版殺毒軟件是防治計算機病毒最主要和有效的措施。在服務器和各工作站安裝殺毒軟件并經常升級，使殺毒軟件始終處于最新版本和最佳狀態，能保證絕大多數病毒在感染和傳播前，被及時發現和殺滅。

四、網絡層的安全管理建議

醫院各部門數據交換和傳輸都需要通過網絡層進行，一般醫院網絡架構主要由局域網和互聯網構成，其中以局域網為主體。為了保證局域網的絕對安全，局域網與互聯網可以不進行物理連接，這樣不僅可以保證內部局域網不受任何外部侵入，還可以從根本上避免黑客從外部獲取、破壞、篡改醫院財務數據和病人隱私信息。

五、用戶安全管理策略

（1）對用戶行為進行審計監督。為防止用戶錯誤行為的發生或阻止用戶的錯誤操作，管理人員應使用技術手段對用戶行為進行審計監控，必要時直接制止用戶的錯誤行為。比如在業務系統中增加用戶特定行為日志，以詳細記錄執行特定行為的用戶身份、時間、計算機、應用程序等信息，如果用戶行為會導致嚴重錯誤時應通過舉錯報警的方法制止其錯誤操作。

（2）加強用戶權限管理。嚴格用戶授權的審批流程。嚴格控制用戶權限，特別是當用戶工作崗位發生變化時，應及時調整用戶權限，以保證用戶只擁有與工作崗位相對應的權限。用戶登錄身份驗證，所有用戶都應該擁有唯一的識別碼（用戶ID），并確保用戶口令安全。

六、備份與轉儲策略

（1）數據備份的意義首先在于對數據以某種方式加以額外的保留以便在系統遭受破壞或其他特定情況下能夠成功重新加以利用，即防止防范意外事件對系統的破壞。在實際工作中，數據備份堅持以下原則：①在不影響業務正常開展的情況下，數據備份盡量密集，減小數據恢復的時間成本。②當數據結構需要調整、服務器和應用程序需要升級以及涉及到系統的重大操作有可能影響到數據安全時，需要備份數據。③冗余備份，在任何時間點都是多個備份集比較安全，因此條件允許的話盡量多備份幾份。④備份集應脫離業務系統存儲，實行異地備份和備份介質多樣化。⑤備份完成后應進行備份有效性驗證，以確保備份集的有效性。⑥重要數據在做好備份的同時，需要采取進一步的技術手段來保障數據的安全。

（2）歷史數據是己經完成不再發生變化或不再使用的業務數據，歷史數據是不斷累積增長的，如果不進行轉儲，一方面會增加系統的負擔，另一方面會使歷史數據儲存風險增大。