摘要:伴随互联网技术的全面发展,信息系统(IS,Information system)安全问题是现在人们都重点关注的问题。信息系统管理(IMS,Information Management System)的安全问题在一定程度上是由风险所造成,所以,风险管理即保障IS安全的先决条件。此次研究将以浅析信息系统管理中的安全问题作为切入点,讲述如下相关内容。
关键词:信息系统管理;安全问题;研究
1.信息系统管理中的安全技术
现阶段IMS相对成熟的安全技术包括:(1)Identity Recognition Technology(2)Access Control Technology(3)Data Encryption Technology(4)Firewall Technology(5)Digital Signature Technology。
1.1 Identity Recognition Technology(简称IRT)
计算机系统安全体系的核心目标即控制对相关数据的访问。现阶段用于IRT的技术主要包括下述几类:
(1)通过使用者身份、口令以及密钥等技术予以身份的辨识。
(2)通过使用者的指纹以及签字等技术予以身份辨识。
(3)通过使用者的身份证件等予以身份辨识。
(4)多种方法交互使用予以身份辨识。
人头口令辨识即为现阶段使用最为广泛的一种辨识技术,此类IRT体系在技术上需要通过两步处理即可完成:首先是给予身份标识。其次进行辨识。口令辨识的优点即简便快捷,可以在一定程度上抵御攻击。现阶段对IRT攻击途径包括猜测、冒名登录以及搜索系统口令表等形式。
1.2 Access Control Technology(简称ACT)
ACT能够避免攻击者非法入侵系统,不过ACT对系统中的合法用户的破坏却显得捉襟见肘。现阶段对系统中使用者非授权的ACT主包括下属两类:(1)任意访问控制与强制访问控制。前者即使用者能够随意在系统内访问目标,包括目录式访问控制以及访问控制单元、访问控制矩阵以及面向系统构架流程的访问控制。后者即使用者与文件均有固定的安全参数,通过系统管理工作者依附于相关矩阵程序予以设定,使用者没有修改权限。若系统设置的使用者安全属性不允许其访问特定文件,那么使用者无论是否为该文件的所属者都无法进行访问。
1.3 Data Encryption Technology(简称DET)
DET是现阶段解决身份辨识、系统辨识以及数据传输的核心技术。近年加密算法呈多元化趋势,其中包括Web浏览器的SSL,S-HTTP密码安全协议,依附于互联网的PTC保密通信协议,依附于IP终端的WAN协议等。上述算法的基础即对称密钥密码矩阵以及半隐性密钥密码矩阵阵列,前者现阶段已被广泛应用于IS,相对便捷、稳定;而后者属于起步阶段,但在IS中具有开阔的应用前景。
1.4 Firewall Technology(简称FT)
FT即internet间的安全端。现阶段以FT为核心所开的相关产品包括下属两种:(1)Infonetics(2)JCG JHR-N916R。Infonetics的功能主要是对经路由器的相关数据包予以过滤,滤除相关有害数据。
期刊文章分类查询,尽在期刊图书馆
1.5 Digital Signature Technology(简称DST)
DST是处理网络通信流程出现伪造、冒充以及篡改等问题的一种技术,DST主要涵盖接收端可以核实传输端对报文的签名等。
2.信息系统管理安全控制的有效途径
2.1构建技术控制建模
技术控制建模需根据在保护计算机系统以及弥补技术漏洞的前提条件进行。计算机系统基本是通过软件、计算机语言、网络传输技术与数据所构成,所以在进行技术控制建模的过程中要依附于上述几方面,并建立能制衡的软件程序控制模型等模型。
2.2构建安全稽核机制
计算机安全稽核即系统安全工程的重头戏,相关人员会采用安全稽核去验证系统的安全性,在此基础上评估系统风险系数,在此基础上有指向性的选用安全措施。计算机安全稽核包括内、外两类。前者主要依附于系统内部所固有的功能实现,内部稽查的核心任务即稽查系统中相关数据的处理以及运行状态。后者则是对相关安全标准与方式予以稽核。而以时间为基点,那么安全稽核又包括下属几类:
(1)预先稽核。预先稽核是对新开发项目予以稽核,其主要检验开发项目的相关流程是否匹配于安全标准,深化过程安全控制。
(2)事后稽核。在完成系统建成的基础上进行稽核。
2.3构建安全监察体系
通过文献发现,现阶段IMS安全保护的主要问题是没有特定的机构进行监督并检查IMS的安全情况,仅对IMS产品安全性能予以认证,对可能发生问题的计算机应用过程的安全管理工作只提出要求,并没有落实监督。所以,信息产业部在《计算机信息系统管理安全保护条例》中出台了安全监察的相关章节。
安全监察包括内部主动与外部强制两类。 前者主要通过IMS安全负责人、审计师、系统分析工作者等组成。其职责是依附于国家与行业的法规,拟定避免非授权存取数据、使用计算机的标准,制订安全系统的分析、检测以及分析指标等。后者即信息计算机管理监察部门依附于法律,对IMS行使安全检查、监督。其职责为检查、引导及监督系统的安全、环境安全、软件安全、网络安全与数据安全,在此基础上进行系统的计划及安全教育,推动有关系统设计、机房指标与安全组织建立的发展,负责处理关于IMS安全等相关事件,协同有关部门侦破IMS安全案件。计算机安全监察组织要从防范计算机犯罪的层面出发,通过实际举措对已投入使用的IMS予以综合监察。举例说明,构建IMS安全登记台帐,阶段性的对系统安全予以综合检测;对存在隐患的系统第一时间出示整改令。
2.4构建安全运行体系
安全技术的实施针对IMS抵御攻击,确保数据的安全性具有深远的意义。所有的安全攻击都需要一个过程,有针对性的采取措施。所以,要按照IMS的安全需求出台确保IMS安全运行的相关准则。
3.结束语
综上所述,目前,IMS已被广泛的应用于各行各业,同时经互联网与世界相连,IS安全从根本影响到国家的安危。所以,我们要构建管理高效且稳定可靠的IMS安全机制。
参考文献
[1]奥斯曼•哈迪(Osman Abdalla Mohamed Elhadi);尼罗河省(苏丹)管理信息系统开发规划研究[D];吉林大学;2015年.
[2]林长涛;大连市金州新区财政投资评审管理信息系统的设计与实现[D];电子科技大学;2015年.
[3]杨建林;潍坊市铁路段职工教育管理信息系统的设计与实现[D];电子科技大学;2015年.
[4]赵龙刚;基于B/S的高校学生学籍管理信息系统的设计与实现[D];中国海洋大学;2016年.
论文作者:高翔
论文发表刊物:《基层建设》2019年第19期
论文发表时间:2019/9/21
标签:系统论文; 现阶段论文; 信息系统论文; 使用者论文; 技术论文; 依附于论文; 身份论文; 《基层建设》2019年第19期论文;