羅光明

摘要：本文探討了物理安全建設(shè)，分析研究了信息管理系統(tǒng)安全策略、及安全管理。

關(guān)鍵詞：信息管理系統(tǒng)；物理安全；安全策略

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）10-0207-02

為深入貫徹落實(shí)中央有關(guān)教育信息化的戰(zhàn)略部署，完成《國(guó)家中長(zhǎng)期教育改革和發(fā)展規(guī)劃綱要（2010-2020年）》確定的教育信息化目標(biāo)任務(wù)、全面深入推進(jìn)“十三五”教育信息化工作，信息化建設(shè)成為了四川水利職業(yè)技術(shù)學(xué)院發(fā)展的一個(gè)重要組成部分。信息化建設(shè)作為教育行業(yè)的重點(diǎn)發(fā)展方向，使得信息管理系統(tǒng)成為了教育信息化建設(shè)發(fā)展中的一個(gè)極其重要的工具。如何安全的利用這個(gè)工具提高教育服務(wù)的效率和質(zhì)量是關(guān)系到教育信息化持續(xù)發(fā)展的重大問(wèn)題。隨著信息化程度的提高，使用信息管理系統(tǒng)開(kāi)展工作覆蓋了學(xué)院各個(gè)部門(mén)。信息管理系統(tǒng)的大量使用，使得建設(shè)安全的信息管理系統(tǒng)成為了維持學(xué)院各重要業(yè)務(wù)開(kāi)展的首要問(wèn)題。

1 物理安全建設(shè)

物理安全建設(shè)主要包括了相關(guān)硬件設(shè)備的安全，以及存放硬件機(jī)房的環(huán)境安全。信息管理系統(tǒng)的硬件設(shè)備以及相關(guān)配件應(yīng)該綜合考慮防火（配備氣體消防器）、防水防潮（避免進(jìn)水漏水）、防雷擊（建筑物防雷，設(shè)備增加避雷器，交流電源接地）、防靜電（機(jī)房使用防靜電地板，設(shè)備接地與屏蔽）還有電磁防護(hù)（接地，隔離和屏蔽）等問(wèn)題。

環(huán)境安全方面：信息管理系統(tǒng)的硬件存放機(jī)房位置的選擇應(yīng)該在周邊人流量較少的地方。機(jī)房應(yīng)配備精密空調(diào)，控制適當(dāng)?shù)臏貪穸?；配備防盜措施、門(mén)禁系統(tǒng)，進(jìn)入機(jī)房可以采用物理鑰匙加識(shí)別系統(tǒng)的雙重保險(xiǎn)方式提高安全性，通過(guò)指紋、密碼、磁性身份卡等手段對(duì)人員進(jìn)行識(shí)別和記錄管理；配備UPS不間斷電源系統(tǒng)，保證信息管理系統(tǒng)的業(yè)務(wù)不因停電而中斷；還應(yīng)建立機(jī)房動(dòng)環(huán)監(jiān)控系統(tǒng)，對(duì)機(jī)房的動(dòng)力電源、UPS不間斷電源、消防系統(tǒng)、煙火、漏水、溫度、濕度等方面進(jìn)行監(jiān)控，并對(duì)異常情況報(bào)警[1]。

設(shè)備物理安全方面：應(yīng)該增加專(zhuān)職安保人員專(zhuān)門(mén)針對(duì)機(jī)房所在區(qū)域進(jìn)行的24小時(shí)的巡邏、檢查，保障硬件設(shè)備的物理安全。產(chǎn)品廠商、技術(shù)人員等進(jìn)入機(jī)房采用出入管理登記制度，嚴(yán)格查驗(yàn)有關(guān)證件，詳細(xì)記錄進(jìn)出時(shí)間、進(jìn)入原因以及進(jìn)出人員等關(guān)鍵信息，并由管理人員陪同進(jìn)入。建立機(jī)房日常巡查制度，每天安排管理人員進(jìn)入機(jī)房進(jìn)行常規(guī)檢查，杜絕各種安全隱患。

2 信息管理系統(tǒng)安全策略

安全策略對(duì)于信息管理系統(tǒng)安全來(lái)說(shuō)是至關(guān)重要的。建立信息系統(tǒng)安全防范策略，建設(shè)全面的網(wǎng)絡(luò)安全系統(tǒng)，確保系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全和資源安全等。把防火墻、行為管理、入侵檢測(cè)、病毒防護(hù)、VPN等安全系統(tǒng)和網(wǎng)管系統(tǒng)結(jié)合在一起，實(shí)現(xiàn)系統(tǒng)之間的聯(lián)動(dòng)和網(wǎng)絡(luò)管理與安全的一致性，制定整體的、動(dòng)態(tài)的網(wǎng)絡(luò)安全管理策略，形成一個(gè)高效的安全防范體系。

為了更好的防范網(wǎng)絡(luò)攻擊，保障學(xué)院各信息管理系統(tǒng)安全，采用了幾點(diǎn)安全策略[2]：（1）更換傳統(tǒng)防火墻為下一代防火墻（NGFW），能夠進(jìn)行入侵風(fēng)險(xiǎn)檢測(cè)、實(shí)時(shí)漏洞風(fēng)險(xiǎn)檢測(cè)、僵尸主機(jī)檢測(cè)、DoS攻擊檢測(cè)、可以全面應(yīng)對(duì)應(yīng)用層威脅，使得網(wǎng)絡(luò)安全性能大幅提高。（2）對(duì)各信息管理系統(tǒng)開(kāi)展常態(tài)化的安全檢查，主要針對(duì)SQL注入攻擊、跨站腳本攻擊、弱口令、木馬病毒、端口開(kāi)放情況、系統(tǒng)管理權(quán)限、訪問(wèn)權(quán)限和網(wǎng)頁(yè)篡改等情況進(jìn)行監(jiān)控，檢查保管系統(tǒng)安全日志。（3）建立了訪問(wèn)控制策略，通過(guò)ACL（訪問(wèn)控制列表）、行為審計(jì)設(shè)備、流控設(shè)備等方式設(shè)置訪問(wèn)控制安全策略，防止對(duì)任何資源進(jìn)行未授權(quán)的訪問(wèn)，控制用戶對(duì)服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問(wèn)，提高網(wǎng)絡(luò)整體安全性。（4）使用安全審計(jì)系統(tǒng)，建設(shè)了專(zhuān)門(mén)的審計(jì)監(jiān)測(cè)服務(wù)器，聯(lián)合成都市網(wǎng)監(jiān)對(duì)各個(gè)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)，審計(jì)結(jié)果直接傳送至成都市公安局網(wǎng)監(jiān)大隊(duì)，極大提高了突發(fā)事件的處理速度。（5）及時(shí)更新系統(tǒng)補(bǔ)丁，制定計(jì)算機(jī)病毒與惡意代碼防護(hù)策略。嚴(yán)格對(duì)移動(dòng)存儲(chǔ)工具（介質(zhì)）接入系統(tǒng)以及軟件的安裝進(jìn)行管控，如需使用或安裝必須經(jīng)過(guò)專(zhuān)業(yè)查殺工具進(jìn)行計(jì)算機(jī)病毒與惡意代碼的檢測(cè)。（6）容災(zāi)備份方面：對(duì)信息管理系統(tǒng)數(shù)據(jù)進(jìn)行即時(shí)備份，當(dāng)出現(xiàn)異常情況和設(shè)備故障時(shí)，能及時(shí)恢復(fù)業(yè)務(wù)，保證了數(shù)據(jù)的完整性。（7）應(yīng)急處理方面：制定了系統(tǒng)安全應(yīng)急預(yù)案，進(jìn)行了系統(tǒng)安全事件演習(xí)，能夠快速處理突發(fā)網(wǎng)絡(luò)信息安全事故。

3 信息管理系統(tǒng)安全管理

安全管理運(yùn)行機(jī)制結(jié)構(gòu)圖1所示，在信息系統(tǒng)安全管理方面，健全了安全管理的運(yùn)行機(jī)制，制定了《四川水利職業(yè)技術(shù)學(xué)院信息化工作管理辦法》，成立了四川水利職業(yè)技術(shù)學(xué)院信息化工作領(lǐng)導(dǎo)小組，下設(shè)信息化辦公室。學(xué)院各部門(mén)在學(xué)院信息化工作領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)下開(kāi)展信息化建設(shè)工作。各部門(mén)的主要負(fù)責(zé)人為本部門(mén)信息化工作的第一責(zé)任人，設(shè)置了信息化主管領(lǐng)導(dǎo)，具體負(fù)責(zé)本部門(mén)業(yè)務(wù)系統(tǒng)的規(guī)劃、建設(shè)、推廣及信息安全工作，負(fù)責(zé)信息化工作相關(guān)規(guī)章制度的貫徹執(zhí)行；設(shè)置信息管理系統(tǒng)管理員工作崗位，配備相關(guān)專(zhuān)職（或兼職）技術(shù)管理人員，負(fù)責(zé)部門(mén)業(yè)務(wù)管理系統(tǒng)的及時(shí)更新與維護(hù)，保證系統(tǒng)的正常運(yùn)行和安全性。

信息系統(tǒng)安全管理另一個(gè)重要因素是人員培訓(xùn)。主要包括兩個(gè)方面[3]：（1）系統(tǒng)的安全運(yùn)行，整個(gè)過(guò)程都離不開(kāi)系統(tǒng)管理人員的技術(shù)和管理能力，應(yīng)對(duì)管理員進(jìn)行系統(tǒng)的全面的培訓(xùn)，用以不斷提升系統(tǒng)管理人員技術(shù)技能和安全意識(shí)，提升其抵御系統(tǒng)威脅的能力。（2）對(duì)于廣大師生員工，也應(yīng)該開(kāi)展基礎(chǔ)的網(wǎng)絡(luò)信息安全方面和信息管理系統(tǒng)使用方面的培訓(xùn)；并通過(guò)多種手段對(duì)網(wǎng)絡(luò)信息安全的制度、危害和防御手段等內(nèi)容進(jìn)行宣傳，強(qiáng)化師生員工的信息安全意識(shí)，防微杜漸，防范于未然。

4 結(jié)語(yǔ)

本文通過(guò)對(duì)四川水利職業(yè)技術(shù)學(xué)院信息管理系統(tǒng)安全建設(shè)多方面的實(shí)施和研究，學(xué)院信息系統(tǒng)安全方面整體情況較好，取得了不錯(cuò)的效果，尤其是在健全的管理機(jī)制、管理制度的制定和日常管理方面，比較完善規(guī)范。相信對(duì)于各兄弟高職院校信息管理系統(tǒng)的安全建設(shè)工作應(yīng)該有所幫助和借鑒。

參考文獻(xiàn)

[1]陳健峰.如何建設(shè)高安全性的信息系統(tǒng)[J].有線電視技術(shù)，2012，（1）：65-68.

[2]黃斌.企業(yè)安全信息系統(tǒng)建設(shè)研究[J].計(jì)算機(jī)安全，2011，（12）：47-50.

[3]米爾阿力木江.電力信息系統(tǒng)安全建設(shè)的研究[J].電子技術(shù)與軟件工程，2014，（20）：223.endprint