尹艷平

（貴州省血液中心，貴州 550002）

0 引言

隨著采供血業(yè)務的不斷發(fā)展，采供血業(yè)務信息化加強，各級血站的核心業(yè)務越來越依賴于信息系統(tǒng)的可靠運行。然而，近年來網(wǎng)絡安全形勢日趨嚴峻，國內(nèi)外針對基礎設施和重要信息系統(tǒng)的網(wǎng)絡入侵事件頻發(fā)［1］，計算機終端作為整個局域網(wǎng)網(wǎng)絡的“最后一公里”，其安全性關系到局域網(wǎng)網(wǎng)絡的整體安全。因此，應結(jié)合采供血業(yè)務實際，綜合分析影響血站局域網(wǎng)計算機終端安全的因素，采取相應的技術(shù)與管理措施，保障計算機終端安全，保證采供血業(yè)務安全、穩(wěn)定運行。

1 血站局域網(wǎng)計算機終端分類

根據(jù)計算機終端的使用者以及承載的業(yè)務來區(qū)分，計算機終端主要分為以下幾類：

（1）移動采血計算機終端。該類終端主要用于流動采血點和站外固定采血點，進行獻血者篩查、體檢、登記等工作。

（2）站內(nèi)固定計算機終端。分布于各業(yè)務工作區(qū)域，用于血液采集、制備、檢測、發(fā)放等各項業(yè)務工作。

（3）管理計算機終端。該類終端主要指用于網(wǎng)絡管理的計算機終端，以及進行各項業(yè)務管理工作的計算機終端。

2 原計算機終端管理情況分析

中心局域網(wǎng)計算機終端與互聯(lián)網(wǎng)計算機終端物理隔離，分布在各業(yè)務工作區(qū)域與業(yè)務管理工作區(qū)域。存在的主要問題如下：①員工網(wǎng)絡安全意識淡薄，主要表現(xiàn)在使用信息系統(tǒng)默認密碼，將賬號密碼借給他人，重要敏感信息存儲不規(guī)范，使用完信息系統(tǒng)后不及時退出或鎖定終端桌面等。②終端管理制度與管理流程不完善，僅有運維管理工作制度，未包含對終端使用者的要求與行為規(guī)范。③終端安全管理采用本地策略，缺乏計算機終端統(tǒng)一管控平臺，無法統(tǒng)一運維管控，對不同的計算機終端需網(wǎng)絡管理人員一一設定，且管控策略難管理。④無法批量對特定終端進行軟件分發(fā)。⑤無法有效防范外聯(lián)設備和移動存儲設備接入。⑥終端流動性大，且距離遠，運維人員無法及時處理使用過程中遇到的問題。⑦對終端存在的漏洞進行自動檢測與補丁修復面臨技術(shù)性難題［2］。⑧血站計算機終端采用的是Windows系統(tǒng)，而Windows XP、Windows 7已經(jīng)停止服務，這些系統(tǒng)即使安裝了防火墻、防病毒軟件等，也無法抵擋未知病毒、木馬等惡意程序的攻擊［3］。

3 終端安全管理措施

3.1 運用技術(shù)手段，加強安全管理

中心采用終端安全管理系統(tǒng)對局域網(wǎng)計算機終端統(tǒng)一安全管理，終端安全管理系統(tǒng)集防病毒、終端安全管控、終端審計等功能于一體，可進行病毒查殺、補丁修復、終端管控、防黑加固等。在數(shù)據(jù)中心部署服務器端，計算機終端通過Web頁面訪問服務器，下載安裝程序，或離線安裝客戶端。網(wǎng)絡管理人員通過服務器端控制中心對計算機終端進行統(tǒng)一管理與控制。

3.1.1 統(tǒng)一運維管控

將局域網(wǎng)計算機終端按照科室進行分組，根據(jù)各科室的實際業(yè)務工作需求，按照最小授權(quán)原則，制定統(tǒng)一安全管控策略與個性化安全管控策略；所有計算機終端均禁止修改IP地址、本地安全策略、注冊表等配置，禁用控制面板，禁止卸載和安裝應用程序，移動采血筆記本禁止使用WIFI網(wǎng)絡連接，未授權(quán)計算機終端禁止違規(guī)外聯(lián)移動存儲、光驅(qū)、打印機等設備。

3.1.2 病毒防護與系統(tǒng)加固

網(wǎng)絡管理人員在控制中心定期升級病毒庫，各計算機終端自動升級；根據(jù)各科室的業(yè)務工作時段設定計算機終端的病毒掃描、體檢及修復時間。各計算機終端品牌、配置不一致，操作系統(tǒng)多樣，可使用終端安全管理系統(tǒng)統(tǒng)一下發(fā)、安裝補丁，修復操作系統(tǒng)漏洞。使用Windows XP和WIN7系統(tǒng)加固功能，解決微軟停止Windows XP和WIN7服務帶來的安全威脅。計算機終端漏洞管理情況如圖1所示。

3.1.3 移動存儲介質(zhì)管理

使用移動存儲介質(zhì)管理功能，解決在安全管控的情況下使用移動存儲介質(zhì)，可以授權(quán)移動存儲介質(zhì)的使用范圍和讀寫權(quán)限，超出使用范圍則無法使用。

3.1.4 遠程運維管理

為避免因使用移動存儲設備帶來的安全風險，統(tǒng)一由管理人員使用終端安全管理系統(tǒng)分發(fā)軟件程序或文件至計算機終端，并可以通過“遠程桌面”功能安裝軟件程序、處理計算機終端異常問題。

3.1.5 統(tǒng)一資產(chǎn)管理

可對入網(wǎng)終端的計算機名、IP地址、MAC地址、計算機型號、類型、使用部門、用途、物理位置等信息進行詳細登記，分組管理，形成資產(chǎn)清單明細，并可以根據(jù)資產(chǎn)使用部門、資產(chǎn)類型、資產(chǎn)安全掃描情況進行統(tǒng)計匯總。

3.2 完善終端管理制度，提高管理水平

3.2.1 完善網(wǎng)絡管理制度，規(guī)范員工行為

中心修訂完善網(wǎng)絡安全管理制度，分別從采供血應用軟件使用、計算機終端使用以及業(yè)務數(shù)據(jù)使用等方面進行規(guī)定，員工須按要求定期修改具有一定復雜度的密碼，系統(tǒng)使用完后立即退出；禁止私自修改計算機終端硬件配置及私自使用采供血業(yè)務數(shù)據(jù)等；采供血業(yè)務工作人員申請注冊采供血信息系統(tǒng)，須按照最小授權(quán)原則，僅授予工作崗位必須權(quán)限；同時，加強對相關服務商人員的管理，局域網(wǎng)設備的安裝維護均需執(zhí)行授權(quán)和審批管理制度，審批通過后才可實施。

3.2.2 建立計算機終端運維工作流程，保證全生命周期安全

中心建立覆蓋局域網(wǎng)計算機終端全生命周期的安全管理工作流程，首先，由需求科室提出入網(wǎng)申請，網(wǎng)絡管理人員安裝終端安全管理系統(tǒng)、采供血信息系統(tǒng)以及相應的驅(qū)動程序，并進行資產(chǎn)登記；其次，網(wǎng)絡管理人員進行日常巡檢，檢查終端安全與使用情況，及時處理終端在運行以及使用過程中的問題，終端使用者未按規(guī)定使用的，按照相應規(guī)定處理；最后，終端報廢審批后，取消相應配置信息，拆除具有存儲功能的硬件和固件，統(tǒng)一銷毀處理。

3.2.3 加強網(wǎng)絡安全培訓，提高網(wǎng)絡安全意識與技術(shù)水平

人員作為信息系統(tǒng)的使用者、管理者，是信息系統(tǒng)管理不可分割的重要組成部分。從某種角度來說，人為因素給信息系統(tǒng)帶來的安全威脅超過其他因素造成的威脅［4］。中心將網(wǎng)絡安全培訓納入年度培訓計劃，采用內(nèi)部培訓與外部培訓相結(jié)合的方式加強網(wǎng)絡安全培訓，對一般員工進行網(wǎng)絡安全意識與技能培訓，對網(wǎng)絡管理人員進行網(wǎng)絡安全管理與專業(yè)技術(shù)的培訓。結(jié)合網(wǎng)絡安全宣傳周進行主題活動宣傳，充分參與各級部門組織的網(wǎng)絡安全知識競答、技能大賽等活動，全面提高員工的網(wǎng)絡安全意識與安全防護水平［5］。

4 結(jié)果

4.1 終端安全性提高

通過終端安全管理系統(tǒng)的統(tǒng)一管控，避免了移動存儲設備和外聯(lián)設備接入帶來的風險，以及因私自修改終端配置導致的終端不可用或安全風險。避免員工私自連接不安全網(wǎng)絡，安裝未知軟件程序而帶來的安全風險。及時進行病毒庫升級與補丁修復，有效減少終端安全風險。通過技術(shù)與管理措施相結(jié)合，有效提升員工網(wǎng)絡安全意識，規(guī)范員工行為，進一步保障采供血局域網(wǎng)網(wǎng)絡安全。

4.2 運維效率提升

使用終端安全管理系統(tǒng)進行批量運維管控、批量修復系統(tǒng)漏洞，并可監(jiān)控各計算機終端的漏洞修復情況，節(jié)約對計算機終端逐一管控設置與系統(tǒng)漏洞修復的時間。通過從計算機終端的應用程序、網(wǎng)絡防護、違規(guī)外聯(lián)、外設使用等多個維度進行管控策略配置，并將其應用到相應的計算機終端分組，極大簡化了運維工作。計算機終端資產(chǎn)管理信息化，降低管理復雜度，降低失誤概率。通過遠程桌面管理功能，可以快速響應、處理移動采血計算機終端的問題，節(jié)約路程時間，提高工作效率，保障采供血工作穩(wěn)定、有序進行。

5 結(jié)語

中心從管理與技術(shù)兩方面加強局域網(wǎng)計算機終端安全管理，有效地提高了計算機終端安全性，提升了運維效率和管理水平。但存在終端安全管理系統(tǒng)與個別設備軟件不兼容的情況，應做好不兼容計算機終端的安全管理工作，采用多種方式加強技術(shù)管控，同時應根據(jù)管理制度執(zhí)行終端安全管理系統(tǒng)的的管理和使用，及時修訂與優(yōu)化，持續(xù)改進，不斷提高局域網(wǎng)網(wǎng)絡的整體安全性。