人事檔案管理系統(tǒng)安全研究之主機系統(tǒng)安全防護

顧婷婷

摘 要：在信息時代，人事檔案管理工作已逐步實現網絡化和信息化，大大提高管理工作質量和效率的同時，也帶來不可小覷的安全風險?；诖?，本文從服務器操作系統(tǒng)安全、數據庫安全和用戶終端安全三個方面，給出了主機系統(tǒng)安全防護措施，以確保人事檔案管理系統(tǒng)的安全運行。

關鍵詞：檔案管理;主機系統(tǒng);安全防護

1 引言

互聯(lián)網+大數據的時代背景下，運用現代化的信息管理技術，構建人事檔案管理系統(tǒng)成為必然的趨勢。人事檔案管理工作朝著標準化、規(guī)范化和科學化、信息化的方向發(fā)展.有助于解決傳統(tǒng)檔案管理中的諸多弊端，并大大提高人事檔案管理工作的質量和效率，也為全面掌握人事信息、分析人才結構等提供更大便利。但是，隨著人事檔案數字化的實現，系統(tǒng)安全問題逐漸凸顯出來，也成為系統(tǒng)面臨的最大風險和挑戰(zhàn)。如何提高人事檔案管理系統(tǒng)的安全防護能力和水平，是目前亟需解決的重點問題。

人事檔案管理系統(tǒng)的安全防護包括網絡環(huán)境安全防護、主機系統(tǒng)安全防護和應用安全防護這幾個方面，本文主要就主機系統(tǒng)安全給出相應的防護措施。

2 主機系統(tǒng)安全防護簡介

保護主機系統(tǒng)安全的目標是采用信息保障技術確保業(yè)務數據在進入、離開或駐留服務器時保持可用性、完整性和保密性，采用相應的身份認證、訪問控制等手段阻止未授權訪問，采用主機防火墻、入侵檢測等技術確保主機系統(tǒng)的安全，進行事件日志審核以發(fā)現入侵企圖，在安全事件發(fā)生后通過對事件日志的分析進行審計追蹤，確認事件對主機的影響以進行后續(xù)處理。

本文將主機系統(tǒng)安全防護劃分為服務器操作系統(tǒng)安全防護、數據庫安全防護和用戶終端安全防護三個部分，分別給出相應的安全防護措施。

3 服務器操作系統(tǒng)安全

操作系統(tǒng)是承載業(yè)務系統(tǒng)和數據庫系統(tǒng)的基礎載體，是業(yè)務系統(tǒng)安全的主要防線，一旦操作系統(tǒng)的安全性出現問題，將對業(yè)務系統(tǒng)及業(yè)務數據安全造成嚴重威脅，關于操作系統(tǒng)安全，主要考慮如下安全措施：

3.1 操作系統(tǒng)基礎防護

在操作系統(tǒng)層面依據操作系統(tǒng)廠商或專業(yè)安全組織所提供的安全列表對服務器操作系統(tǒng)進行安全加固。遵循最小安裝的原則，僅安裝需要的組件和應用程序。采用第三方安全工具增強操作系統(tǒng)安全性，如有部署于信息外網的二級系統(tǒng)，應采用主機防火墻等組件進行主機網絡層面的訪問控制。采用主機入侵檢測或入侵防護手段檢測對服務器的入侵行為，由入侵檢測/防護系統(tǒng)記錄入侵的源IP、攻擊類型、攻擊的時間，并在發(fā)生入侵事件時進行及時報警或阻斷攻擊。

在采用Windows系統(tǒng)的主機層面安裝病毒防護系統(tǒng)，可采用服務器專用的服務器版防病毒軟件。安裝支持統(tǒng)一管理的防惡意代碼軟件，并及時更新防惡意代碼軟件和惡意代碼庫，主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫。采用主機入侵檢測系統(tǒng)組件或專用安全軟件定期對重要操作系統(tǒng)文件及業(yè)務系統(tǒng)應用程序以數字簽名檢查的方式進行完整性檢查，以避免系統(tǒng)被植入木馬或設置后門程序。使用弱點掃描工具定期對系統(tǒng)漏洞及配置弱點進行掃描，對掃描發(fā)現的漏洞及配置弱點及時進行處理。及時更新廠商發(fā)布的核心安全補丁，更新補丁之前應當在測試系統(tǒng)中進行測試，并制定詳細的回退計劃。進行遠程系統(tǒng)管理維護應當采取加密、散列等措施對經網絡傳輸的認證信息進行處理，禁止明文傳送敏感信息。

3.2 身份認證及賬號管理

制定安全策略實現賬號及權限申請、審批、變更、撤銷流程，定義用戶口令管理策略以限定用戶口令的長度、復雜度、生存周期等。禁止多個用戶共享賬號，制定用戶登錄錯誤鎖定、會話超時退出等安全策略。限制管理員權限使用，一般日常操作中使用一般權限用戶，僅在必要時切換至管理員賬號進行操作。根據管理用戶的角色分配權限，實現管理用戶的權限分離，僅授予管理用戶執(zhí)行業(yè)務操作所必需的最小權限，操作系統(tǒng)特權用戶不得同時作為數據庫管理員。嚴格限定默認賬號的訪問權限，重命名系統(tǒng)默認賬號，修改賬號的初始口令，及時刪除不用的、過期的賬號。

3.3 安全審計

以系統(tǒng)日志方式對用戶行為、系統(tǒng)資源異常訪問等重要安全事件進行審計。審計記錄應包括事件的日期、時間、類型、主客體標識和事件結果等，保護審計進程，避免審計進程未預期的中斷。加強對日志記錄的保護，避免被意外刪除、修改或覆蓋。審計范圍應當覆蓋到服務器每個操作系統(tǒng)用戶和數據庫用戶，定期根據日志記錄數據進行事件分析，生成審計報表。

4 數據庫安全

數據庫是人事檔案管理系統(tǒng)數據的承載體，保存著極為重要的人事信息。保證數據庫安全，主要考慮如下安全措施：

對于數據庫連接賬號使用安全的口令策略，制定口令長度、復雜度及生存周期等規(guī)則，制定管理用戶登錄錯誤鎖定、會話超時退出等安全策略。采用最小授權原則，授予用戶執(zhí)行業(yè)務操作所需的最小數據訪問權限。在對數據庫性能不造成重大影響的前提下，進行數據庫事件審計，并定期檢查數據庫審核記錄，加強對日志記錄的保護，避免被意外刪除、修改或覆蓋。對權限較敏感的存儲過程加強管理，如刪除不必要的敏感存儲過程。及時更新經過安全測試的數據庫管理系統(tǒng)補丁。定期對存儲于數據庫中的業(yè)務數據進行備份，并定期或在系統(tǒng)環(huán)境發(fā)生變化時進行備份恢復測試。

5 用戶終端安全防護

人事檔案管理員每天通過個人PC、筆記本電腦等終端設備訪問人事檔案管理系統(tǒng)，有效地保障用戶終端的安全，在很大程度上也降低了整個人事檔案管理系統(tǒng)所面臨的安全風險，主要考慮如下安全措施：

用戶終端必須安裝防病毒系統(tǒng)，及時更新病毒定義代碼及防毒引擎，設定防病毒策略，定期進行病毒查殺。管理員集中監(jiān)測防病毒軟件事件報告，了解網絡中的病毒感染及處理情況。選擇采用防病毒套件的防惡意代碼模塊或專用的防惡意代碼系統(tǒng)進行惡意代碼防護。制定嚴格的安全策略，禁止用戶自行下載安裝不明軟件。管理員集中監(jiān)測惡意代碼事件報告，并進行相應處理。及時更新操作系統(tǒng)及核心應用安全補丁，管理員監(jiān)測各用戶終端安全補丁更新情況，發(fā)現問題后及時進行處理。采取措施控制主機設備使用，如限制主機對光盤、移動硬盤、優(yōu)盤等移動介質的使用?？刹捎肳indows域管理方式，針對不同安全需求定制不同的Windows域安全策略分發(fā)至終端主機?？刹捎每杉泄芾淼闹鳈C防火墻、入侵檢測/防護系統(tǒng)進行安全防護，或采用集合防火墻、入侵檢測/防護等功能的面終端安全管理套件進行整合的用戶終端安全防護。

6 結語

與傳統(tǒng)的人事檔案管理相比，數字化管理的優(yōu)勢更加明顯，是未來發(fā)展的必然趨勢。這不僅能夠為用戶提供更加便捷的服務，同時也帶來了安全挑戰(zhàn)，不斷加強人事檔案信息的管理和保護就成為重中之重。要充分利用高端的科技手段來提升人事檔案管理系統(tǒng)的安全防護能力和水平，加強檔案資源的安全管理和維護，進一步改善現有的安全保障體系，增強管理人員的安全意識，才能使得人事檔案管理工作的建設更加完善、長久的發(fā)展下去。

參考文獻

[1]項永鋒.檔案信息系統(tǒng)安全風險防范的原則和策略[J].魅力中國，2019年2月.

[2]張軍君.檔案信息系統(tǒng)運行安全管理研究[J].辦公室業(yè)務，2019（4）：86-87.

[3]崔淑艷.探討電子政務系統(tǒng)環(huán)境下檔案文件的安全保障措施[J].管理教育，2019年04月（上）.