AFC系统终端机房环境安全规范与管理

摘 要：AFC系统终端机房的安全规范与管理一直是一个难以解决的问题，对于如何减轻维护的工作量、提高效率以及安全防护，已有很多这方面的文章，笔者根据多年的实践经验，提出一套切实可行的解决。

关键词：AFC;机房管理;机房安全

问题的提出

AFC系统终端机房是集ACC、LCC、AFC设备、自动化环境监控及设备为一体的重要场所。为最太程度发挥机房的使用效率.延長使用寿命，同时为保怔计算机安全运行，确保AFC系统的信息安全防护，笔者根据AFC系统终端机房房管理的现状，指出了机房管理中各项的工作管理要点与安全规范。为了提高管理与维护质量，笔者从安全规范及管理制度两个方面进行探究，旨在寻找符合AFC系统终端机房安全规范与管理的理想措施。

（1）AFC系统终端机房进出入的安全管理方面，由于AFC系统终端机房集各项功能为一体的机房，那么将存在来大量的人员进出情况，从而带来不确定的隐患;（2）AFC系统终端机房环境安全定置化管理方面，由于机房配置众多，布局相对复杂，存在一定的机房环境安全的风险;（3）AFC系统终端机房环境移动介质管理方面，由于AFC系统终端机房属于企业生产环境，众多系统接口在没有统一管理的情况下，易发生信息安全事故;（4）AFC系统终端机房信息安全规范方面，AFC系统负责处理地铁票务运营前后台生产业务，关系到公共交通稳定运营，由于系统架构复杂，终端设备众多，系统安全管理复杂。

解决方案

AFC系统终端机房是涉及运营监控、运营数据及系统维护的重要场所，由于AFC系统所需要的保密性及安全要求，为解决这两个问题，所以依据笔者多年工作经验从各方面探究总结出以下的机房管理措施：

AFC系统终端机房进出安全管理方面

（1） AFC系统终端机房大门应处于常闭状态，除值班外，仅允许门禁白名单人员进入，其余人员进入终端室必须提前填写情况说明，由上级领导同意后，在白名单人员陪同下方可进入。（2）所有进出入AFC系统终端机房人员需按要求填写机房进出入记录，且需具体写明进入AFC系统终端机房的工作内容。

AFC系统终端机房环境安全定置化管理方面

（1）AFC系统终端机房内未经允许不得摄影、摄像。有关AFC系统终端环境的图片或录像未经许可严禁对外发布;（2）非工作人员，不得触碰AFC系统终端机房上所有非办公设备;（3）在AFC系统终端机房内活动或工作时，应着装规范、行为举止端正、保持安静;（4）AFC系统终端环境内禁止吸烟、乱扔垃圾、大声喧哗等行为;（5）进入AFC系统终端机房人员不得携带任何易燃易爆、腐蚀性、强电磁、辐射性等对设备正常运行及工作人员人身安全构成威胁的物品;（6）任何操作人员未经主管领导同意，不得擅自安装软件，违者追究其责任;（7）未经许可，严禁任何AFC系统终端机房信息对外发布。（8）终端设备使用人员不得随意拆卸计算机或其他终端设备的设备箱体，不得随意插拔配线或加装无线共享、数据转发、中继设备;（9）在对控制、维护终端进行维护或调阅重要数据时，注意观察周边是否有不相干人员。未经授权不得将重要数据导出、打印或拍照，重要技术资料不得随意放置;（10）工作人员必须注意保护计算机信息，对登录系统的口令要注意保密。不得让任何无关人员使用内网计算机，不得擅自或让其他非专业技术人员修改内网计算机的重要设置;

AFC系统终端机房环境移动介质管理方面

（1）系统的维护、使用人员，不允许使用未进行统一检查和处理的移动存储设备接入系统;（2）移动存储设备在接入系统前，须先通过防病毒软件进行病毒查杀;（3）用于接入核心设备的移动存储介质，需填写存储介质管理记录统一进行申领、发放登记、管理、回收、销毁，涉及秘密的存储介质应按照上级部门要求统一销毁;（4）对于需要送出维修的或携带数据的设备，应对数据进行备份后彻底清除（必须使用低级格式化工具，并进行多次全盘读写），防止数据恢复和信息泄露;（5）使用人员应定期对存放重要数据的存储介质进行检查，确认其数据或软件没有损坏或丢失;（6）数据存储介质须存放在安全的地方，存放环境应远离电磁干扰，注意和防尘、防潮。（7）接入AFC生产系统的移动存储设备应在使用前或每周杀毒一次，并将杀毒记录登记在存储介质管理记录中。

AFC系统终端机房信息安全规范方面

信息安全：（1）AFC系统与非AFC系统网络的边界，必须安装防火墙/网闸隔离，并制定访问控制等防护策略;（2）不具备私有骨干网络接入条件的场所，需要接入设备的，需采用数据专线/VPN方式接入;（3）网络设备的数据配置、调整、升级、备份只允许由技术管理人员进行操作;（4）中央及网络管理员需每月查看网络设备的日志信息，并填写操作记录，存在异常时立即告知有技术资质岗位;（5）网络设备管理维护不得采用Telnet协议，必须采用ssh协议进行加密连接;（6）使用网络服务提供商的网络服务，必须明确服务内容、服务等级、服务责任，以便对网络外服进行有效管理;（7）技术管理人员应定期对登录网络设备或管理平台，进行监控，并进行安全测试或扫描。

系统安全：（1）技术管理人员须针对系统内服务器、终端等设备的操作系统、软件、数据库制定安全策略，对系统服务、端口采取最小使用原则进行控制，由中央及网络管理员根据安全策略对设备进行配置。（2）技术管理人员应针对不同用户分配用户账号，并限制访问权限;（3）技术管理人员须定期登录系统，检查操作系统及软件补丁更新情况;（4）技术管理人员应打开车站终端设备/服务器/数据库的日志功能，日志包含运行日志/告警日志/错误日志/访问日志，并定期进行收集、查看及分析。（5）技术管理人员应建立官方授权或经安全检测的软件库，不得随意使用不明途径下载、复制的软件;（6）在安装或运行系统软件时，如出现安全风险提示，不得擅自运行，应立即将情况向技术管理人员汇报处理。

密钥安全：（1）密钥管理人员调离密钥管理岗位，应及时向本单位交出本人所保管的密钥、加密机及有关文件、资料、物品等;（2）密钥管理人员不得与无关人员谈论密码秘密;不得在非保密载体上记载密钥秘密;不得携带密钥、加密机或与加密机有关的资料去与工作无关的地方，确因工作需要并经批准携带密钥外出，应做到密不离人;（3）任何人员需使用密钥时，需逐级向系统部门领导申请，申请审批通过后，方可领用密钥。

参考文献

[1] 谈高校多媒体教学机房管理[J].甘肃高师学报，2006，（2）：73-75

[2] 电子阅览室及公共机房管理与维护[J].现代图书情报技术，2006，（8）：80-85

[3] 计算机公共机房管理资源整合[J].实验室研究与探索，2010，（2）：73-75

作者简介： 方皓  性别-出生年：1988  籍贯到市：云南省昆明市  民族： 汉

职称：助理工程师  学历：本科  研究方向：AFC系统自动化