人事檔案管理系統(tǒng)安全研究之主機系統(tǒng)安全防護

顧婷婷

摘 要：在信息時代，人事檔案管理工作已逐步實現(xiàn)網(wǎng)絡(luò)化和信息化，大大提高管理工作質(zhì)量和效率的同時，也帶來不可小覷的安全風險。基于此，本文從服務(wù)器操作系統(tǒng)安全、數(shù)據(jù)庫安全和用戶終端安全三個方面，給出了主機系統(tǒng)安全防護措施，以確保人事檔案管理系統(tǒng)的安全運行。

關(guān)鍵詞：檔案管理;主機系統(tǒng);安全防護

1 引言

互聯(lián)網(wǎng)+大數(shù)據(jù)的時代背景下，運用現(xiàn)代化的信息管理技術(shù)，構(gòu)建人事檔案管理系統(tǒng)成為必然的趨勢。人事檔案管理工作朝著標準化、規(guī)范化和科學化、信息化的方向發(fā)展.有助于解決傳統(tǒng)檔案管理中的諸多弊端，并大大提高人事檔案管理工作的質(zhì)量和效率，也為全面掌握人事信息、分析人才結(jié)構(gòu)等提供更大便利。但是，隨著人事檔案數(shù)字化的實現(xiàn)，系統(tǒng)安全問題逐漸凸顯出來，也成為系統(tǒng)面臨的最大風險和挑戰(zhàn)。如何提高人事檔案管理系統(tǒng)的安全防護能力和水平，是目前亟需解決的重點問題。

人事檔案管理系統(tǒng)的安全防護包括網(wǎng)絡(luò)環(huán)境安全防護、主機系統(tǒng)安全防護和應(yīng)用安全防護這幾個方面，本文主要就主機系統(tǒng)安全給出相應(yīng)的防護措施。

2 主機系統(tǒng)安全防護簡介

保護主機系統(tǒng)安全的目標是采用信息保障技術(shù)確保業(yè)務(wù)數(shù)據(jù)在進入、離開或駐留服務(wù)器時保持可用性、完整性和保密性，采用相應(yīng)的身份認證、訪問控制等手段阻止未授權(quán)訪問，采用主機防火墻、入侵檢測等技術(shù)確保主機系統(tǒng)的安全，進行事件日志審核以發(fā)現(xiàn)入侵企圖，在安全事件發(fā)生后通過對事件日志的分析進行審計追蹤，確認事件對主機的影響以進行后續(xù)處理。

本文將主機系統(tǒng)安全防護劃分為服務(wù)器操作系統(tǒng)安全防護、數(shù)據(jù)庫安全防護和用戶終端安全防護三個部分，分別給出相應(yīng)的安全防護措施。

3 服務(wù)器操作系統(tǒng)安全

操作系統(tǒng)是承載業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的基礎(chǔ)載體，是業(yè)務(wù)系統(tǒng)安全的主要防線，一旦操作系統(tǒng)的安全性出現(xiàn)問題，將對業(yè)務(wù)系統(tǒng)及業(yè)務(wù)數(shù)據(jù)安全造成嚴重威脅，關(guān)于操作系統(tǒng)安全，主要考慮如下安全措施：

3.1 操作系統(tǒng)基礎(chǔ)防護

在操作系統(tǒng)層面依據(jù)操作系統(tǒng)廠商或?qū)I(yè)安全組織所提供的安全列表對服務(wù)器操作系統(tǒng)進行安全加固。遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序。采用第三方安全工具增強操作系統(tǒng)安全性，如有部署于信息外網(wǎng)的二級系統(tǒng)，應(yīng)采用主機防火墻等組件進行主機網(wǎng)絡(luò)層面的訪問控制。采用主機入侵檢測或入侵防護手段檢測對服務(wù)器的入侵行為，由入侵檢測/防護系統(tǒng)記錄入侵的源IP、攻擊類型、攻擊的時間，并在發(fā)生入侵事件時進行及時報警或阻斷攻擊。

在采用Windows系統(tǒng)的主機層面安裝病毒防護系統(tǒng)，可采用服務(wù)器專用的服務(wù)器版防病毒軟件。安裝支持統(tǒng)一管理的防惡意代碼軟件，并及時更新防惡意代碼軟件和惡意代碼庫，主機防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫。采用主機入侵檢測系統(tǒng)組件或?qū)Ｓ冒踩浖ㄆ趯χ匾僮飨到y(tǒng)文件及業(yè)務(wù)系統(tǒng)應(yīng)用程序以數(shù)字簽名檢查的方式進行完整性檢查，以避免系統(tǒng)被植入木馬或設(shè)置后門程序。使用弱點掃描工具定期對系統(tǒng)漏洞及配置弱點進行掃描，對掃描發(fā)現(xiàn)的漏洞及配置弱點及時進行處理。及時更新廠商發(fā)布的核心安全補丁，更新補丁之前應(yīng)當在測試系統(tǒng)中進行測試，并制定詳細的回退計劃。進行遠程系統(tǒng)管理維護應(yīng)當采取加密、散列等措施對經(jīng)網(wǎng)絡(luò)傳輸?shù)恼J證信息進行處理，禁止明文傳送敏感信息。

3.2 身份認證及賬號管理

制定安全策略實現(xiàn)賬號及權(quán)限申請、審批、變更、撤銷流程，定義用戶口令管理策略以限定用戶口令的長度、復雜度、生存周期等。禁止多個用戶共享賬號，制定用戶登錄錯誤鎖定、會話超時退出等安全策略。限制管理員權(quán)限使用，一般日常操作中使用一般權(quán)限用戶，僅在必要時切換至管理員賬號進行操作。根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶執(zhí)行業(yè)務(wù)操作所必需的最小權(quán)限，操作系統(tǒng)特權(quán)用戶不得同時作為數(shù)據(jù)庫管理員。嚴格限定默認賬號的訪問權(quán)限，重命名系統(tǒng)默認賬號，修改賬號的初始口令，及時刪除不用的、過期的賬號。

3.3 安全審計

以系統(tǒng)日志方式對用戶行為、系統(tǒng)資源異常訪問等重要安全事件進行審計。審計記錄應(yīng)包括事件的日期、時間、類型、主客體標識和事件結(jié)果等，保護審計進程，避免審計進程未預(yù)期的中斷。加強對日志記錄的保護，避免被意外刪除、修改或覆蓋。審計范圍應(yīng)當覆蓋到服務(wù)器每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶，定期根據(jù)日志記錄數(shù)據(jù)進行事件分析，生成審計報表。

4 數(shù)據(jù)庫安全

數(shù)據(jù)庫是人事檔案管理系統(tǒng)數(shù)據(jù)的承載體，保存著極為重要的人事信息。保證數(shù)據(jù)庫安全，主要考慮如下安全措施：

對于數(shù)據(jù)庫連接賬號使用安全的口令策略，制定口令長度、復雜度及生存周期等規(guī)則，制定管理用戶登錄錯誤鎖定、會話超時退出等安全策略。采用最小授權(quán)原則，授予用戶執(zhí)行業(yè)務(wù)操作所需的最小數(shù)據(jù)訪問權(quán)限。在對數(shù)據(jù)庫性能不造成重大影響的前提下，進行數(shù)據(jù)庫事件審計，并定期檢查數(shù)據(jù)庫審核記錄，加強對日志記錄的保護，避免被意外刪除、修改或覆蓋。對權(quán)限較敏感的存儲過程加強管理，如刪除不必要的敏感存儲過程。及時更新經(jīng)過安全測試的數(shù)據(jù)庫管理系統(tǒng)補丁。定期對存儲于數(shù)據(jù)庫中的業(yè)務(wù)數(shù)據(jù)進行備份，并定期或在系統(tǒng)環(huán)境發(fā)生變化時進行備份恢復測試。

5 用戶終端安全防護

人事檔案管理員每天通過個人PC、筆記本電腦等終端設(shè)備訪問人事檔案管理系統(tǒng)，有效地保障用戶終端的安全，在很大程度上也降低了整個人事檔案管理系統(tǒng)所面臨的安全風險，主要考慮如下安全措施：

用戶終端必須安裝防病毒系統(tǒng)，及時更新病毒定義代碼及防毒引擎，設(shè)定防病毒策略，定期進行病毒查殺。管理員集中監(jiān)測防病毒軟件事件報告，了解網(wǎng)絡(luò)中的病毒感染及處理情況。選擇采用防病毒套件的防惡意代碼模塊或?qū)Ｓ玫姆缾阂獯a系統(tǒng)進行惡意代碼防護。制定嚴格的安全策略，禁止用戶自行下載安裝不明軟件。管理員集中監(jiān)測惡意代碼事件報告，并進行相應(yīng)處理。及時更新操作系統(tǒng)及核心應(yīng)用安全補丁，管理員監(jiān)測各用戶終端安全補丁更新情況，發(fā)現(xiàn)問題后及時進行處理。采取措施控制主機設(shè)備使用，如限制主機對光盤、移動硬盤、優(yōu)盤等移動介質(zhì)的使用?？刹捎肳indows域管理方式，針對不同安全需求定制不同的Windows域安全策略分發(fā)至終端主機?？刹捎每杉泄芾淼闹鳈C防火墻、入侵檢測/防護系統(tǒng)進行安全防護，或采用集合防火墻、入侵檢測/防護等功能的面終端安全管理套件進行整合的用戶終端安全防護。

6 結(jié)語

與傳統(tǒng)的人事檔案管理相比，數(shù)字化管理的優(yōu)勢更加明顯，是未來發(fā)展的必然趨勢。這不僅能夠為用戶提供更加便捷的服務(wù)，同時也帶來了安全挑戰(zhàn)，不斷加強人事檔案信息的管理和保護就成為重中之重。要充分利用高端的科技手段來提升人事檔案管理系統(tǒng)的安全防護能力和水平，加強檔案資源的安全管理和維護，進一步改善現(xiàn)有的安全保障體系，增強管理人員的安全意識，才能使得人事檔案管理工作的建設(shè)更加完善、長久的發(fā)展下去。

參考文獻

[1]項永鋒.檔案信息系統(tǒng)安全風險防范的原則和策略[J].魅力中國，2019年2月.

[2]張軍君.檔案信息系統(tǒng)運行安全管理研究[J].辦公室業(yè)務(wù)，2019（4）：86-87.

[3]崔淑艷.探討電子政務(wù)系統(tǒng)環(huán)境下檔案文件的安全保障措施[J].管理教育，2019年04月（上）.