尹艷平

（貴州省血液中心，貴州 550002）

0 引言

隨著采供血業(yè)務(wù)的不斷發(fā)展，采供血業(yè)務(wù)信息化加強(qiáng)，各級(jí)血站的核心業(yè)務(wù)越來越依賴于信息系統(tǒng)的可靠運(yùn)行。然而，近年來網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻，國(guó)內(nèi)外針對(duì)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的網(wǎng)絡(luò)入侵事件頻發(fā)［1］，計(jì)算機(jī)終端作為整個(gè)局域網(wǎng)網(wǎng)絡(luò)的“最后一公里”，其安全性關(guān)系到局域網(wǎng)網(wǎng)絡(luò)的整體安全。因此，應(yīng)結(jié)合采供血業(yè)務(wù)實(shí)際，綜合分析影響血站局域網(wǎng)計(jì)算機(jī)終端安全的因素，采取相應(yīng)的技術(shù)與管理措施，保障計(jì)算機(jī)終端安全，保證采供血業(yè)務(wù)安全、穩(wěn)定運(yùn)行。

1 血站局域網(wǎng)計(jì)算機(jī)終端分類

根據(jù)計(jì)算機(jī)終端的使用者以及承載的業(yè)務(wù)來區(qū)分，計(jì)算機(jī)終端主要分為以下幾類：

（1）移動(dòng)采血計(jì)算機(jī)終端。該類終端主要用于流動(dòng)采血點(diǎn)和站外固定采血點(diǎn)，進(jìn)行獻(xiàn)血者篩查、體檢、登記等工作。

（2）站內(nèi)固定計(jì)算機(jī)終端。分布于各業(yè)務(wù)工作區(qū)域，用于血液采集、制備、檢測(cè)、發(fā)放等各項(xiàng)業(yè)務(wù)工作。

（3）管理計(jì)算機(jī)終端。該類終端主要指用于網(wǎng)絡(luò)管理的計(jì)算機(jī)終端，以及進(jìn)行各項(xiàng)業(yè)務(wù)管理工作的計(jì)算機(jī)終端。

2 原計(jì)算機(jī)終端管理情況分析

中心局域網(wǎng)計(jì)算機(jī)終端與互聯(lián)網(wǎng)計(jì)算機(jī)終端物理隔離，分布在各業(yè)務(wù)工作區(qū)域與業(yè)務(wù)管理工作區(qū)域。存在的主要問題如下：①員工網(wǎng)絡(luò)安全意識(shí)淡薄，主要表現(xiàn)在使用信息系統(tǒng)默認(rèn)密碼，將賬號(hào)密碼借給他人，重要敏感信息存儲(chǔ)不規(guī)范，使用完信息系統(tǒng)后不及時(shí)退出或鎖定終端桌面等。②終端管理制度與管理流程不完善，僅有運(yùn)維管理工作制度，未包含對(duì)終端使用者的要求與行為規(guī)范。③終端安全管理采用本地策略，缺乏計(jì)算機(jī)終端統(tǒng)一管控平臺(tái)，無法統(tǒng)一運(yùn)維管控，對(duì)不同的計(jì)算機(jī)終端需網(wǎng)絡(luò)管理人員一一設(shè)定，且管控策略難管理。④無法批量對(duì)特定終端進(jìn)行軟件分發(fā)。⑤無法有效防范外聯(lián)設(shè)備和移動(dòng)存儲(chǔ)設(shè)備接入。⑥終端流動(dòng)性大，且距離遠(yuǎn)，運(yùn)維人員無法及時(shí)處理使用過程中遇到的問題。⑦對(duì)終端存在的漏洞進(jìn)行自動(dòng)檢測(cè)與補(bǔ)丁修復(fù)面臨技術(shù)性難題［2］。⑧血站計(jì)算機(jī)終端采用的是Windows系統(tǒng)，而Windows XP、Windows 7已經(jīng)停止服務(wù)，這些系統(tǒng)即使安裝了防火墻、防病毒軟件等，也無法抵擋未知病毒、木馬等惡意程序的攻擊［3］。

3 終端安全管理措施

3.1 運(yùn)用技術(shù)手段，加強(qiáng)安全管理

中心采用終端安全管理系統(tǒng)對(duì)局域網(wǎng)計(jì)算機(jī)終端統(tǒng)一安全管理，終端安全管理系統(tǒng)集防病毒、終端安全管控、終端審計(jì)等功能于一體，可進(jìn)行病毒查殺、補(bǔ)丁修復(fù)、終端管控、防黑加固等。在數(shù)據(jù)中心部署服務(wù)器端，計(jì)算機(jī)終端通過Web頁面訪問服務(wù)器，下載安裝程序，或離線安裝客戶端。網(wǎng)絡(luò)管理人員通過服務(wù)器端控制中心對(duì)計(jì)算機(jī)終端進(jìn)行統(tǒng)一管理與控制。

3.1.1 統(tǒng)一運(yùn)維管控

將局域網(wǎng)計(jì)算機(jī)終端按照科室進(jìn)行分組，根據(jù)各科室的實(shí)際業(yè)務(wù)工作需求，按照最小授權(quán)原則，制定統(tǒng)一安全管控策略與個(gè)性化安全管控策略；所有計(jì)算機(jī)終端均禁止修改IP地址、本地安全策略、注冊(cè)表等配置，禁用控制面板，禁止卸載和安裝應(yīng)用程序，移動(dòng)采血筆記本禁止使用WIFI網(wǎng)絡(luò)連接，未授權(quán)計(jì)算機(jī)終端禁止違規(guī)外聯(lián)移動(dòng)存儲(chǔ)、光驅(qū)、打印機(jī)等設(shè)備。

3.1.2 病毒防護(hù)與系統(tǒng)加固

網(wǎng)絡(luò)管理人員在控制中心定期升級(jí)病毒庫，各計(jì)算機(jī)終端自動(dòng)升級(jí)；根據(jù)各科室的業(yè)務(wù)工作時(shí)段設(shè)定計(jì)算機(jī)終端的病毒掃描、體檢及修復(fù)時(shí)間。各計(jì)算機(jī)終端品牌、配置不一致，操作系統(tǒng)多樣，可使用終端安全管理系統(tǒng)統(tǒng)一下發(fā)、安裝補(bǔ)丁，修復(fù)操作系統(tǒng)漏洞。使用Windows XP和WIN7系統(tǒng)加固功能，解決微軟停止Windows XP和WIN7服務(wù)帶來的安全威脅。計(jì)算機(jī)終端漏洞管理情況如圖1所示。

3.1.3 移動(dòng)存儲(chǔ)介質(zhì)管理

使用移動(dòng)存儲(chǔ)介質(zhì)管理功能，解決在安全管控的情況下使用移動(dòng)存儲(chǔ)介質(zhì)，可以授權(quán)移動(dòng)存儲(chǔ)介質(zhì)的使用范圍和讀寫權(quán)限，超出使用范圍則無法使用。

3.1.4 遠(yuǎn)程運(yùn)維管理

為避免因使用移動(dòng)存儲(chǔ)設(shè)備帶來的安全風(fēng)險(xiǎn)，統(tǒng)一由管理人員使用終端安全管理系統(tǒng)分發(fā)軟件程序或文件至計(jì)算機(jī)終端，并可以通過“遠(yuǎn)程桌面”功能安裝軟件程序、處理計(jì)算機(jī)終端異常問題。

3.1.5 統(tǒng)一資產(chǎn)管理

可對(duì)入網(wǎng)終端的計(jì)算機(jī)名、IP地址、MAC地址、計(jì)算機(jī)型號(hào)、類型、使用部門、用途、物理位置等信息進(jìn)行詳細(xì)登記，分組管理，形成資產(chǎn)清單明細(xì)，并可以根據(jù)資產(chǎn)使用部門、資產(chǎn)類型、資產(chǎn)安全掃描情況進(jìn)行統(tǒng)計(jì)匯總。

3.2 完善終端管理制度，提高管理水平

3.2.1 完善網(wǎng)絡(luò)管理制度，規(guī)范員工行為

中心修訂完善網(wǎng)絡(luò)安全管理制度，分別從采供血應(yīng)用軟件使用、計(jì)算機(jī)終端使用以及業(yè)務(wù)數(shù)據(jù)使用等方面進(jìn)行規(guī)定，員工須按要求定期修改具有一定復(fù)雜度的密碼，系統(tǒng)使用完后立即退出；禁止私自修改計(jì)算機(jī)終端硬件配置及私自使用采供血業(yè)務(wù)數(shù)據(jù)等；采供血業(yè)務(wù)工作人員申請(qǐng)注冊(cè)采供血信息系統(tǒng)，須按照最小授權(quán)原則，僅授予工作崗位必須權(quán)限；同時(shí)，加強(qiáng)對(duì)相關(guān)服務(wù)商人員的管理，局域網(wǎng)設(shè)備的安裝維護(hù)均需執(zhí)行授權(quán)和審批管理制度，審批通過后才可實(shí)施。

3.2.2 建立計(jì)算機(jī)終端運(yùn)維工作流程，保證全生命周期安全

中心建立覆蓋局域網(wǎng)計(jì)算機(jī)終端全生命周期的安全管理工作流程，首先，由需求科室提出入網(wǎng)申請(qǐng)，網(wǎng)絡(luò)管理人員安裝終端安全管理系統(tǒng)、采供血信息系統(tǒng)以及相應(yīng)的驅(qū)動(dòng)程序，并進(jìn)行資產(chǎn)登記；其次，網(wǎng)絡(luò)管理人員進(jìn)行日常巡檢，檢查終端安全與使用情況，及時(shí)處理終端在運(yùn)行以及使用過程中的問題，終端使用者未按規(guī)定使用的，按照相應(yīng)規(guī)定處理；最后，終端報(bào)廢審批后，取消相應(yīng)配置信息，拆除具有存儲(chǔ)功能的硬件和固件，統(tǒng)一銷毀處理。

3.2.3 加強(qiáng)網(wǎng)絡(luò)安全培訓(xùn)，提高網(wǎng)絡(luò)安全意識(shí)與技術(shù)水平

人員作為信息系統(tǒng)的使用者、管理者，是信息系統(tǒng)管理不可分割的重要組成部分。從某種角度來說，人為因素給信息系統(tǒng)帶來的安全威脅超過其他因素造成的威脅［4］。中心將網(wǎng)絡(luò)安全培訓(xùn)納入年度培訓(xùn)計(jì)劃，采用內(nèi)部培訓(xùn)與外部培訓(xùn)相結(jié)合的方式加強(qiáng)網(wǎng)絡(luò)安全培訓(xùn)，對(duì)一般員工進(jìn)行網(wǎng)絡(luò)安全意識(shí)與技能培訓(xùn)，對(duì)網(wǎng)絡(luò)管理人員進(jìn)行網(wǎng)絡(luò)安全管理與專業(yè)技術(shù)的培訓(xùn)。結(jié)合網(wǎng)絡(luò)安全宣傳周進(jìn)行主題活動(dòng)宣傳，充分參與各級(jí)部門組織的網(wǎng)絡(luò)安全知識(shí)競(jìng)答、技能大賽等活動(dòng)，全面提高員工的網(wǎng)絡(luò)安全意識(shí)與安全防護(hù)水平［5］。

4 結(jié)果

4.1 終端安全性提高

通過終端安全管理系統(tǒng)的統(tǒng)一管控，避免了移動(dòng)存儲(chǔ)設(shè)備和外聯(lián)設(shè)備接入帶來的風(fēng)險(xiǎn)，以及因私自修改終端配置導(dǎo)致的終端不可用或安全風(fēng)險(xiǎn)。避免員工私自連接不安全網(wǎng)絡(luò)，安裝未知軟件程序而帶來的安全風(fēng)險(xiǎn)。及時(shí)進(jìn)行病毒庫升級(jí)與補(bǔ)丁修復(fù)，有效減少終端安全風(fēng)險(xiǎn)。通過技術(shù)與管理措施相結(jié)合，有效提升員工網(wǎng)絡(luò)安全意識(shí)，規(guī)范員工行為，進(jìn)一步保障采供血局域網(wǎng)網(wǎng)絡(luò)安全。

4.2 運(yùn)維效率提升

使用終端安全管理系統(tǒng)進(jìn)行批量運(yùn)維管控、批量修復(fù)系統(tǒng)漏洞，并可監(jiān)控各計(jì)算機(jī)終端的漏洞修復(fù)情況，節(jié)約對(duì)計(jì)算機(jī)終端逐一管控設(shè)置與系統(tǒng)漏洞修復(fù)的時(shí)間。通過從計(jì)算機(jī)終端的應(yīng)用程序、網(wǎng)絡(luò)防護(hù)、違規(guī)外聯(lián)、外設(shè)使用等多個(gè)維度進(jìn)行管控策略配置，并將其應(yīng)用到相應(yīng)的計(jì)算機(jī)終端分組，極大簡(jiǎn)化了運(yùn)維工作。計(jì)算機(jī)終端資產(chǎn)管理信息化，降低管理復(fù)雜度，降低失誤概率。通過遠(yuǎn)程桌面管理功能，可以快速響應(yīng)、處理移動(dòng)采血計(jì)算機(jī)終端的問題，節(jié)約路程時(shí)間，提高工作效率，保障采供血工作穩(wěn)定、有序進(jìn)行。

5 結(jié)語

中心從管理與技術(shù)兩方面加強(qiáng)局域網(wǎng)計(jì)算機(jī)終端安全管理，有效地提高了計(jì)算機(jī)終端安全性，提升了運(yùn)維效率和管理水平。但存在終端安全管理系統(tǒng)與個(gè)別設(shè)備軟件不兼容的情況，應(yīng)做好不兼容計(jì)算機(jī)終端的安全管理工作，采用多種方式加強(qiáng)技術(shù)管控，同時(shí)應(yīng)根據(jù)管理制度執(zhí)行終端安全管理系統(tǒng)的的管理和使用，及時(shí)修訂與優(yōu)化，持續(xù)改進(jìn)，不斷提高局域網(wǎng)網(wǎng)絡(luò)的整體安全性。