尹艳平

（贵州省血液中心，贵州 550002）

0 引言

随着采供血业务的不断发展，采供血业务信息化加强，各级血站的核心业务越来越依赖于信息系统的可靠运行。然而，近年来网络安全形势日趋严峻，国内外针对基础设施和重要信息系统的网络入侵事件频发［1］，计算机终端作为整个局域网网络的“最后一公里”，其安全性关系到局域网网络的整体安全。因此，应结合采供血业务实际，综合分析影响血站局域网计算机终端安全的因素，采取相应的技术与管理措施，保障计算机终端安全，保证采供血业务安全、稳定运行。

1 血站局域网计算机终端分类

根据计算机终端的使用者以及承载的业务来区分，计算机终端主要分为以下几类：

（1）移动采血计算机终端。该类终端主要用于流动采血点和站外固定采血点，进行献血者筛查、体检、登记等工作。

（2）站内固定计算机终端。分布于各业务工作区域，用于血液采集、制备、检测、发放等各项业务工作。

（3）管理计算机终端。该类终端主要指用于网络管理的计算机终端，以及进行各项业务管理工作的计算机终端。

2 原计算机终端管理情况分析

中心局域网计算机终端与互联网计算机终端物理隔离，分布在各业务工作区域与业务管理工作区域。存在的主要问题如下：①员工网络安全意识淡薄，主要表现在使用信息系统默认密码，将账号密码借给他人，重要敏感信息存储不规范，使用完信息系统后不及时退出或锁定终端桌面等。②终端管理制度与管理流程不完善，仅有运维管理工作制度，未包含对终端使用者的要求与行为规范。③终端安全管理采用本地策略，缺乏计算机终端统一管控平台，无法统一运维管控，对不同的计算机终端需网络管理人员一一设定，且管控策略难管理。④无法批量对特定终端进行软件分发。⑤无法有效防范外联设备和移动存储设备接入。⑥终端流动性大，且距离远，运维人员无法及时处理使用过程中遇到的问题。⑦对终端存在的漏洞进行自动检测与补丁修复面临技术性难题［2］。⑧血站计算机终端采用的是Windows系统，而Windows XP、Windows 7已经停止服务，这些系统即使安装了防火墙、防病毒软件等，也无法抵挡未知病毒、木马等恶意程序的攻击［3］。

3 终端安全管理措施

3.1 运用技术手段，加强安全管理

中心采用终端安全管理系统对局域网计算机终端统一安全管理，终端安全管理系统集防病毒、终端安全管控、终端审计等功能于一体，可进行病毒查杀、补丁修复、终端管控、防黑加固等。在数据中心部署服务器端，计算机终端通过Web页面访问服务器，下载安装程序，或离线安装客户端。网络管理人员通过服务器端控制中心对计算机终端进行统一管理与控制。

3.1.1 统一运维管控

将局域网计算机终端按照科室进行分组，根据各科室的实际业务工作需求，按照最小授权原则，制定统一安全管控策略与个性化安全管控策略；所有计算机终端均禁止修改IP地址、本地安全策略、注册表等配置，禁用控制面板，禁止卸载和安装应用程序，移动采血笔记本禁止使用WIFI网络连接，未授权计算机终端禁止违规外联移动存储、光驱、打印机等设备。

3.1.2 病毒防护与系统加固

网络管理人员在控制中心定期升级病毒库，各计算机终端自动升级；根据各科室的业务工作时段设定计算机终端的病毒扫描、体检及修复时间。各计算机终端品牌、配置不一致，操作系统多样，可使用终端安全管理系统统一下发、安装补丁，修复操作系统漏洞。使用Windows XP和WIN7系统加固功能，解决微软停止Windows XP和WIN7服务带来的安全威胁。计算机终端漏洞管理情况如图1所示。

3.1.3 移动存储介质管理

使用移动存储介质管理功能，解决在安全管控的情况下使用移动存储介质，可以授权移动存储介质的使用范围和读写权限，超出使用范围则无法使用。

3.1.4 远程运维管理

为避免因使用移动存储设备带来的安全风险，统一由管理人员使用终端安全管理系统分发软件程序或文件至计算机终端，并可以通过“远程桌面”功能安装软件程序、处理计算机终端异常问题。

3.1.5 统一资产管理

可对入网终端的计算机名、IP地址、MAC地址、计算机型号、类型、使用部门、用途、物理位置等信息进行详细登记，分组管理，形成资产清单明细，并可以根据资产使用部门、资产类型、资产安全扫描情况进行统计汇总。

3.2 完善终端管理制度，提高管理水平

3.2.1 完善网络管理制度，规范员工行为

中心修订完善网络安全管理制度，分别从采供血应用软件使用、计算机终端使用以及业务数据使用等方面进行规定，员工须按要求定期修改具有一定复杂度的密码，系统使用完后立即退出；禁止私自修改计算机终端硬件配置及私自使用采供血业务数据等；采供血业务工作人员申请注册采供血信息系统，须按照最小授权原则，仅授予工作岗位必须权限；同时，加强对相关服务商人员的管理，局域网设备的安装维护均需执行授权和审批管理制度，审批通过后才可实施。

3.2.2 建立计算机终端运维工作流程，保证全生命周期安全

中心建立覆盖局域网计算机终端全生命周期的安全管理工作流程，首先，由需求科室提出入网申请，网络管理人员安装终端安全管理系统、采供血信息系统以及相应的驱动程序，并进行资产登记；其次，网络管理人员进行日常巡检，检查终端安全与使用情况，及时处理终端在运行以及使用过程中的问题，终端使用者未按规定使用的，按照相应规定处理；最后，终端报废审批后，取消相应配置信息，拆除具有存储功能的硬件和固件，统一销毁处理。

3.2.3 加强网络安全培训，提高网络安全意识与技术水平

人员作为信息系统的使用者、管理者，是信息系统管理不可分割的重要组成部分。从某种角度来说，人为因素给信息系统带来的安全威胁超过其他因素造成的威胁［4］。中心将网络安全培训纳入年度培训计划，采用内部培训与外部培训相结合的方式加强网络安全培训，对一般员工进行网络安全意识与技能培训，对网络管理人员进行网络安全管理与专业技术的培训。结合网络安全宣传周进行主题活动宣传，充分参与各级部门组织的网络安全知识竞答、技能大赛等活动，全面提高员工的网络安全意识与安全防护水平［5］。

4 结果

4.1 终端安全性提高

通过终端安全管理系统的统一管控，避免了移动存储设备和外联设备接入带来的风险，以及因私自修改终端配置导致的终端不可用或安全风险。避免员工私自连接不安全网络，安装未知软件程序而带来的安全风险。及时进行病毒库升级与补丁修复，有效减少终端安全风险。通过技术与管理措施相结合，有效提升员工网络安全意识，规范员工行为，进一步保障采供血局域网网络安全。

4.2 运维效率提升

使用终端安全管理系统进行批量运维管控、批量修复系统漏洞，并可监控各计算机终端的漏洞修复情况，节约对计算机终端逐一管控设置与系统漏洞修复的时间。通过从计算机终端的应用程序、网络防护、违规外联、外设使用等多个维度进行管控策略配置，并将其应用到相应的计算机终端分组，极大简化了运维工作。计算机终端资产管理信息化，降低管理复杂度，降低失误概率。通过远程桌面管理功能，可以快速响应、处理移动采血计算机终端的问题，节约路程时间，提高工作效率，保障采供血工作稳定、有序进行。

5 结语

中心从管理与技术两方面加强局域网计算机终端安全管理，有效地提高了计算机终端安全性，提升了运维效率和管理水平。但存在终端安全管理系统与个别设备软件不兼容的情况，应做好不兼容计算机终端的安全管理工作，采用多种方式加强技术管控，同时应根据管理制度执行终端安全管理系统的的管理和使用，及时修订与优化，持续改进，不断提高局域网网络的整体安全性。