徐珞

【摘要】計算機信息技術已經(jīng)和人們的日常生活、工作、學習緊密聯(lián)系起來。然而隨著網(wǎng)絡技術本身在各個領域不斷深入的情況下，計算機信息安全問題給我們的日常生活和工作所帶來的威脅也在不斷增大。信息安全管理是指通過各種應對措施（包括技術措施和制度措施），使網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，保障系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷，數(shù)據(jù)免遭惡意破壞、篡改、泄漏。

【關鍵詞】計算機 信息安全 管理措施

一、計算機中心機房的安全管理策略

（一）機房硬件設備安全建議

（1）一般中心服務器采用雙機熱備方式，雙機高可用主一備方式（Active-Standby方式），即一臺服務器處于激活狀態(tài)（即Ac-tive狀態(tài)），另一臺服務器處于備用狀態(tài)（即Standby狀態(tài)），主服務器一旦出現(xiàn)故障，備用服務器立即接管。

（2）數(shù)據(jù)存儲設備采用磁盤陣列共享存儲方式，雙機享用同一臺存儲設備，當主機宕機后，接管工作的備機繼續(xù)從磁盤陣列上取得原有數(shù)據(jù)。

（3）獨立磁盤冗余陣列RAID5，任意N-1塊磁盤上都存儲完整的數(shù)據(jù)，一個磁盤發(fā)生損壞后，不會影響數(shù)據(jù)的完整性，從而保證了數(shù)據(jù)安全。當損壞的磁盤被替換后，RAID還會自動利用剩下奇偶校驗信息去重建此磁盤上的數(shù)據(jù)，來保持RAID5的高可靠性。

（4）交換機采用雙核心、雙匯聚、三層網(wǎng)絡結構，核心設備鏈路保持冗余，避免一臺核心出現(xiàn)問題導致整個鏈路癱瘓。

（5）機房配備UPS電源以保證發(fā)生斷電時機房設備的用電安全。

（6）使用專用的精密空調(diào)設備，保證機房的恒濕恒溫。

（7）采用防雷防靜電措施。中心機房使用防靜電地板，安裝避雷設備，預防因雷電天氣出現(xiàn)電流浪涌或靜電堆積損壞設備。

（8）安裝監(jiān)控報警系統(tǒng)，及時獲取設備的軟硬件故障報警。

（9）先進的消防設備，采用氣體自動滅火器，防止發(fā)生火災后，設備被水淋濕造成損壞。

（二）機房管理制度建議

（1）網(wǎng)絡管理員實行24小時值班制度，負責中心機房的日常維護工作，負責保障服務器、網(wǎng)絡設備和UPS設備的正常運行。

（2）嚴格的實行出入控制。外來檢修人員、外來公務人員等進入機房必須由信息化處人員始終陪同，并填寫外來人員登記表。

（3）每周要檢查各個服務器的日志文件，保留所有用戶訪問站點的日志文件，每兩個月要對的日志文件進行異地備份，備份日志不得更改，刻錄光盤保留。

（4）網(wǎng)絡管理員需定期檢查機房服務器、交換機、路由器、光纖收發(fā)器，UPS等設備運行情況和存在問題，定期對蓄電池進行充放電操作以保證其始終處于最佳工作狀態(tài)，并做好維護記錄。

（5）網(wǎng)絡管理員要認真做好數(shù)據(jù)備份工作，保證數(shù)據(jù)安全，可靠，并做好數(shù)據(jù)保密工作。

（6）網(wǎng)絡管理員不得隨意操作、更改機房的網(wǎng)絡配置、服務器配置。涉及系統(tǒng)安全和數(shù)據(jù)安全的操作（如系統(tǒng)升級、系統(tǒng)更換、數(shù)據(jù)轉儲等）應事先書面提出報告，采取妥善措施且系統(tǒng)和數(shù)據(jù)保護性備份后，經(jīng)主管領導批準，方可實施操作，并填寫操作記錄。

二、工作站的安全管理策略

（1）限制移動存儲設備的使用。修改注冊表，關閉U盤設備的系統(tǒng)識別，關閉多余的USB口。去除CD-ROM和軟盤驅(qū)動器。

（2）同一臺計算機禁止同時連接不同的網(wǎng)絡。

（3）電腦主機箱和各樓層交換設備間使用鎖具，避免用戶私自拆裝。

三、預防病毒建議

（1）安裝防火墻是網(wǎng)絡安全運行中行之有效的基礎措施，可以對使用者的帳號、時間等進行管理。防火墻能對數(shù)據(jù)包傳輸進行有效控制和審計，過濾掉不安全的服務，監(jiān)控和抵御來自網(wǎng)絡上的攻擊。

（2）眾所周知，龐大的Windows系統(tǒng)存在各種各樣的漏洞，這些漏洞是計算機安全的極大隱患。為此，微軟公司經(jīng)常發(fā)布針對各種漏洞的安全補丁程序。經(jīng)常搜集和安裝安全補丁程序是確保網(wǎng)絡環(huán)境下醫(yī)院信息管理平臺安全運行的有效手段。

（3）安裝正版殺毒軟件是防治計算機病毒最主要和有效的措施。在服務器和各工作站安裝殺毒軟件并經(jīng)常升級，使殺毒軟件始終處于最新版本和最佳狀態(tài)，能保證絕大多數(shù)病毒在感染和傳播前，被及時發(fā)現(xiàn)和殺滅。

四、網(wǎng)絡層的安全管理建議

醫(yī)院各部門數(shù)據(jù)交換和傳輸都需要通過網(wǎng)絡層進行，一般醫(yī)院網(wǎng)絡架構主要由局域網(wǎng)和互聯(lián)網(wǎng)構成，其中以局域網(wǎng)為主體。為了保證局域網(wǎng)的絕對安全，局域網(wǎng)與互聯(lián)網(wǎng)可以不進行物理連接，這樣不僅可以保證內(nèi)部局域網(wǎng)不受任何外部侵入，還可以從根本上避免黑客從外部獲取、破壞、篡改醫(yī)院財務數(shù)據(jù)和病人隱私信息。

五、用戶安全管理策略

（1）對用戶行為進行審計監(jiān)督。為防止用戶錯誤行為的發(fā)生或阻止用戶的錯誤操作，管理人員應使用技術手段對用戶行為進行審計監(jiān)控，必要時直接制止用戶的錯誤行為。比如在業(yè)務系統(tǒng)中增加用戶特定行為日志，以詳細記錄執(zhí)行特定行為的用戶身份、時間、計算機、應用程序等信息，如果用戶行為會導致嚴重錯誤時應通過舉錯報警的方法制止其錯誤操作。

（2）加強用戶權限管理。嚴格用戶授權的審批流程。嚴格控制用戶權限，特別是當用戶工作崗位發(fā)生變化時，應及時調(diào)整用戶權限，以保證用戶只擁有與工作崗位相對應的權限。用戶登錄身份驗證，所有用戶都應該擁有唯一的識別碼（用戶ID），并確保用戶口令安全。

六、備份與轉儲策略

（1）數(shù)據(jù)備份的意義首先在于對數(shù)據(jù)以某種方式加以額外的保留以便在系統(tǒng)遭受破壞或其他特定情況下能夠成功重新加以利用，即防止防范意外事件對系統(tǒng)的破壞。在實際工作中，數(shù)據(jù)備份堅持以下原則：①在不影響業(yè)務正常開展的情況下，數(shù)據(jù)備份盡量密集，減小數(shù)據(jù)恢復的時間成本。②當數(shù)據(jù)結構需要調(diào)整、服務器和應用程序需要升級以及涉及到系統(tǒng)的重大操作有可能影響到數(shù)據(jù)安全時，需要備份數(shù)據(jù)。③冗余備份，在任何時間點都是多個備份集比較安全，因此條件允許的話盡量多備份幾份。④備份集應脫離業(yè)務系統(tǒng)存儲，實行異地備份和備份介質(zhì)多樣化。⑤備份完成后應進行備份有效性驗證，以確保備份集的有效性。⑥重要數(shù)據(jù)在做好備份的同時，需要采取進一步的技術手段來保障數(shù)據(jù)的安全。

（2）歷史數(shù)據(jù)是己經(jīng)完成不再發(fā)生變化或不再使用的業(yè)務數(shù)據(jù)，歷史數(shù)據(jù)是不斷累積增長的，如果不進行轉儲，一方面會增加系統(tǒng)的負擔，另一方面會使歷史數(shù)據(jù)儲存風險增大。