罗光明

摘要：本文探讨了物理安全建设，分析研究了信息管理系统安全策略、及安全管理。

关键词：信息管理系统；物理安全；安全策略

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2017）10-0207-02

为深入贯彻落实中央有关教育信息化的战略部署，完成《国家中长期教育改革和发展规划纲要（2010-2020年）》确定的教育信息化目标任务、全面深入推进“十三五”教育信息化工作，信息化建设成为了四川水利职业技术学院发展的一个重要组成部分。信息化建设作为教育行业的重点发展方向，使得信息管理系统成为了教育信息化建设发展中的一个极其重要的工具。如何安全的利用这个工具提高教育服务的效率和质量是关系到教育信息化持续发展的重大问题。随着信息化程度的提高，使用信息管理系统开展工作覆盖了学院各个部门。信息管理系统的大量使用，使得建设安全的信息管理系统成为了维持学院各重要业务开展的首要问题。

1 物理安全建设

物理安全建设主要包括了相关硬件设备的安全，以及存放硬件机房的环境安全。信息管理系统的硬件设备以及相关配件应该综合考虑防火（配备气体消防器）、防水防潮（避免进水漏水）、防雷击（建筑物防雷，设备增加避雷器，交流电源接地）、防静电（机房使用防静电地板，设备接地与屏蔽）还有电磁防护（接地，隔离和屏蔽）等问题。

环境安全方面：信息管理系统的硬件存放机房位置的选择应该在周边人流量较少的地方。机房应配备精密空调，控制适当的温湿度；配备防盗措施、门禁系统，进入机房可以采用物理钥匙加识别系统的双重保险方式提高安全性，通过指纹、密码、磁性身份卡等手段对人员进行识别和记录管理；配备UPS不间断电源系统，保证信息管理系统的业务不因停电而中断；还应建立机房动环监控系统，对机房的动力电源、UPS不间断电源、消防系统、烟火、漏水、温度、湿度等方面进行监控，并对异常情况报警[1]。

设备物理安全方面：应该增加专职安保人员专门针对机房所在区域进行的24小时的巡逻、检查，保障硬件设备的物理安全。产品厂商、技术人员等进入机房采用出入管理登记制度，严格查验有关证件，详细记录进出时间、进入原因以及进出人员等关键信息，并由管理人员陪同进入。建立机房日常巡查制度，每天安排管理人员进入机房进行常规检查，杜绝各种安全隐患。

2 信息管理系统安全策略

安全策略对于信息管理系统安全来说是至关重要的。建立信息系统安全防范策略，建设全面的网络安全系统，确保系统安全、数据安全、应用安全和资源安全等。把防火墙、行为管理、入侵檢测、病毒防护、VPN等安全系统和网管系统结合在一起，实现系统之间的联动和网络管理与安全的一致性，制定整体的、动态的网络安全管理策略，形成一个高效的安全防范体系。

为了更好的防范网络攻击，保障学院各信息管理系统安全，采用了几点安全策略[2]：（1）更换传统防火墙为下一代防火墙（NGFW），能够进行入侵风险检测、实时漏洞风险检测、僵尸主机检测、DoS攻击检测、可以全面应对应用层威胁，使得网络安全性能大幅提高。（2）对各信息管理系统开展常态化的安全检查，主要针对SQL注入攻击、跨站脚本攻击、弱口令、木马病毒、端口开放情况、系统管理权限、访问权限和网页篡改等情况进行监控，检查保管系统安全日志。（3）建立了访问控制策略，通过ACL（访问控制列表）、行为审计设备、流控设备等方式设置访问控制安全策略，防止对任何资源进行未授权的访问，控制用户对服务器、目录、文件等网络资源的访问，提高网络整体安全性。（4）使用安全审计系统，建设了专门的审计监测服务器，联合成都市网监对各个应用系统重要安全事件进行审计，审计结果直接传送至成都市公安局网监大队，极大提高了突发事件的处理速度。（5）及时更新系统补丁，制定计算机病毒与恶意代码防护策略。严格对移动存储工具（介质）接入系统以及软件的安装进行管控，如需使用或安装必须经过专业查杀工具进行计算机病毒与恶意代码的检测。（6）容灾备份方面：对信息管理系统数据进行即时备份，当出现异常情况和设备故障时，能及时恢复业务，保证了数据的完整性。（7）应急处理方面：制定了系统安全应急预案，进行了系统安全事件演习，能够快速处理突发网络信息安全事故。

3 信息管理系统安全管理

安全管理运行机制结构图1所示，在信息系统安全管理方面，健全了安全管理的运行机制，制定了《四川水利职业技术学院信息化工作管理办法》，成立了四川水利职业技术学院信息化工作领导小组，下设信息化办公室。学院各部门在学院信息化工作领导小组领导下开展信息化建设工作。各部门的主要负责人为本部门信息化工作的第一责任人，设置了信息化主管领导，具体负责本部门业务系统的规划、建设、推广及信息安全工作，负责信息化工作相关规章制度的贯彻执行；设置信息管理系统管理员工作岗位，配备相关专职（或兼职）技术管理人员，负责部门业务管理系统的及时更新与维护，保证系统的正常运行和安全性。

信息系统安全管理另一个重要因素是人员培训。主要包括两个方面[3]：（1）系统的安全运行，整个过程都离不开系统管理人员的技术和管理能力，应对管理员进行系统的全面的培训，用以不断提升系统管理人员技术技能和安全意识，提升其抵御系统威胁的能力。（2）对于广大师生员工，也应该开展基础的网络信息安全方面和信息管理系统使用方面的培训；并通过多种手段对网络信息安全的制度、危害和防御手段等内容进行宣传，强化师生员工的信息安全意识，防微杜渐，防范于未然。

4 结语

本文通过对四川水利职业技术学院信息管理系统安全建设多方面的实施和研究，学院信息系统安全方面整体情况较好，取得了不错的效果，尤其是在健全的管理机制、管理制度的制定和日常管理方面，比较完善规范。相信对于各兄弟高职院校信息管理系统的安全建设工作应该有所帮助和借鉴。

参考文献

[1]陈健峰.如何建设高安全性的信息系统[J].有线电视技术，2012，（1）：65-68.

[2]黄斌.企业安全信息系统建设研究[J].计算机安全，2011，（12）：47-50.

[3]米尔阿力木江.电力信息系统安全建设的研究[J].电子技术与软件工程，2014，（20）：223.endprint