搜索
浅析网络环境下信息系统安全设计摘要:当前我国已经入信息化社会,信息系统在多个领域得以广泛应用,并被越来越多的人所欢迎。但是很多组织由于过于依赖信息系统的功能,并忽略了网络环境下信息系统运转存在的风险,造成不必要的损失。该文将对信息系统的安全设计等问题进行分析与阐述,提高信息系统的应用效率与安全性。关键词:网络环境;信息系统;安全中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)18-4338-02信息系统安全主要指保障信息系统结构安全的设计,与信息系统有关的安全因素及相关的安全服务、安全技术与安全管理的总和。从系统的控制角度与设计过程来看,信息系统安全主要在信息的处理、存储、集散、传输过程中保证完整性、机密性、可追溯性、可用性以及抗依赖性的系统控制、辨别、策略与过程。与之相应的安全管理目标就是在确保信息系统能在充分安全的环境中运行,并由可靠的操作人员按照规范与标准使用网络系统、计算机系统、数据库及应用系统,确保信息安全战略与组织目标的实现。1网络环境下信息系统潜在的不安全因素1.1物理环境因素物理环境中主要涉及到计算机硬件、网络设备、数据安全等问题,其中对信息系统产生影响的主要因素为:辐射、静电、硬件故障、自然灾害等,以及偷窃、盗用等人为因素。静电既可能对计算机的运行造成随机故障,还有可能导致计算机某些器件的毁坏。另外,除了光缆以外的通信介质都存在不同程度的电磁辐射,而电脑入侵者就可以通过利用电磁辐射,对各种协议分析仪或者信道检测器等窃听,通过对信息的分析,能轻易得到用户口令、帐号、ID等重要安全信息。1.2系统数据库安全计算机病毒实际上是人为编写的程序,主要隐藏在计算机系统中,具有较强的复制与传播功能,且具有一定破坏性。目前,已发现的存在病毒已超过五万种,并且每天都在不断增长。有病毒造成的信息系统安全威胁,在网络经济案件中占76%。过去,计算机病毒主要侵入单个微机系统软件中,但是随着网络条件的日益壮大,很多计算机病毒通过网络信息传播,极易在短时间内对大批的计算机形成灾难性破坏。另外,计算机黑客也是破坏信息系统安全的主要因素,计算机黑客主要指采取不正当手段盗窃他人密码或口令,闭关非法入侵对方计算机信息系统的行为。由于目前已有大量的黑客网站提供共计软件并介绍攻击方法,让更多的人企图利用系统漏洞,黑客技术的日益成熟已被越来越多的人认可,因此系统与站点的攻击潜在危险较严重。黑客的主要目标就是偷窃他人资料、寻求有用信息,甚至干扰或破坏他人的信息系统。1.3计算机病毒与黑客对于信息系统来说,数据库是系统安全最重要的部分。一个稳定的数据库加密系统必须满足以下要求:一是建立安全模式,从计算机系统到数据库的应用程序、访问后台数据等都需要经过安全认证。当用户访问数据库,必须通过数据库的应用程序才能进入数据库系统中,要求用户必须提交用户名与密码口令认证,才能明确身份,进入下一步操作。二是当对数据库中的图表、存储过程、触发器等进行操作时,也需要对数据库访问的身份进行认证。如果数据库系统存在安全隐患,那么信息系统将受到最直接威胁。1.4人员管理问题所有信息系统的安全,都依赖于最初设计的网络安全策略和操作人员的管理规范。因为所有的安全技术与安全体制都是围绕以上策略来选择并使用,如果安全策略环节出了问题,那么安全系统就形同虚设。对于安全策略而言,既要考虑外部对网络的攻击,也要考虑内部人员管理问题,并限制系统管理员、用户、网络安全员的权限与责任。2网络环境下提高信息系统安全设计的思考2.1加设防火墙防火墙技术主要建立在现代化通信网络与信息安全技术的基础上,并在专用网络及公用网络环境中的应用越来越广泛,尤其以互联网为主。防火墙主要指在不同网络中或者网络安全区域之间设置的一系列部件组合。它是不同网络或者安全区域之间交流信息的唯一出入口,可以根据信息系统的安全策略进行控制,如允许、拒绝或监测出入网络的信息流,且其本身具有较强的抗攻击能力。在网络环境下,防火墙已成为提供信息安全服务并实现网络与信息安全的基础设备。在计算机的逻辑上来讲,防火墙实际上是一个限制器、一个分离器,也属于分析器,能对信息系统的内部网络与互联网之间的所有活动实行监控,以保证内部网络的安全。防火墙作为信息系统安全的主要屏障,一个防火墙就是一个阻塞点、控制点,能较好保障信息系统的安全性,并通过对不安全信息的过滤而降低风险。由于只有经过严格筛选的应用协议才能通过防火墙认证,因此网络环境下的信息系统变得更加安全。通过防火墙加强对信息系统安全的设计,主要包括以下策略:一是通过对防火墙中心的安全配置方案,将所有的安全软件,如身份认证、加密、口令及审计等作用都配置到防火墙中。二是提高对网络存取与访问的监控审计,在信息系统的运行过程中,所有通过防火墙的访问都会被防火墙作出日志记录,并对网络使用情况提供统计数据。三是避免内部信息的泄漏,通过防火墙对信息系统的划分,可以实现对内部网络的重点隔离,对内部重点部位加强限制,并隔离外部敏感网络安全,以免对全局网络产生影响。除了安全作用,有些防火墙还支持互联网服务中的内部网络技术系统,通过这种系统的应用,将信息系统分配到全世界各地的专用子网中,并连成有机整体,既节省了专用的通信线路,也给信息共享提供了整体的技术保障。2.2数据库的安全凭证在数据库中,经过身份认证的用户,只是获得进入应用系统与数据库的证明,但是用户在应用系统与数据库中可以进行什么操作,就需要由“存取控制”与“访问控制”的权限分配及约束。其中,“存取控制”主要指与数据库有关,对当前用户能操作哪些对象、能进行哪些操作的决定作用;“访问控制”则是与应用系统有关,对当前用户可以操作应用系统中的哪些模块,包括工作流程的管理等。通过这两种形式,能将用户应用系统的访问范围降低,数据库的操作对象权限也更加深入,但是对于数据库来说,通过对图标、存储、触发器等方式对数据的保护,以及对“敏感数据”的加密处理,这也是数据库信息系统安全设计的重要策略。对于数据库的安全问题,必须采取有效措施,才能从根本上解决信息系统的安全问题。主要从以下几方面着手:一是解决过高权限问题可以通过查询级别的访问控制来实现。对于数据库访问控制,仅细化到表是远远不够的,必须细化到其中特定的行与列。查询级别的访问控制形式不仅能控制员工恶意访问、滥用过高权利问题,还能避免他人的恶意威胁问题。二是加强密钥的动态管理。在数据库的客体之间,有较为复杂的逻辑关系,通过其中一个逻辑行为就能看到其他多个数据库中的物理客体。三是对数据的合理处理。首先,应加强对数据类型的处理,否则DBMS则会由于加密后的数据与定义不符的数据类型而遭遇拒绝加载,其次应对数据的存储问题进行分析,实现数据库的加密可基本不增设空间的开销。以当前条件来看,对数据系统关系运算过程中相匹配的字段,如索引字段及表间连接码等数据最好不采取加密,而文献由于和关系数据库的索引技术有区别,是允许加密的项目。2.3定期备份管理在信息系统的安全设计中,应按照规定及时采取定期备份数据处理,完善应用程序与系统软件,并对备份的存储介质加强安全保护。一般数据应采取每天备份的形式,而应用程序与系统软件由于一般变化不大,可每周或者每月进行备份。对于整个信息系统的备份频率主要由信息系统读写与修改的情况决定。如果信息系统中的操作参数或者安全控制参数等发生改变,应对整个系统进行重新备份。对于已经备份好的资料应注意维护与保存,内部审计师也应加强对其存放的检查工作,并对存放场所的安全可靠性进行评价。2.4加强系统安全的人员管理安全管理主要用于信息系统不被非授权登陆及有意或者无意的篡改、卸载等行为。系统安全管理员作为信息系统的直接操作者与执行者,对信息系统的安全起到至关重要的作用。他们主要工作在于创建账号信息、分配登陆权限、设置系统的安全管理参数、实时监控等。因此,应对信息系统的管理者与操作者加强培训,让他们对系统登陆权限有所了解,提高信息系统安全意识,同时培训中还应包括对系统安全管理员能力的测评。另外,系统安全管理员还应执行的重要工作,就是当信息系统操作与管理的相关员工辞职或者被解聘时,应立即删除用户帐号并更新。这就要求人力资源部门与信息系统安全管理部门加强沟通与协作。由上可见,网络环境下的信息系统安全设计是一个综合性、系统性的问题,并且涉及到大范围、多层次内容。随着计算机技术的不断发展及数据库应用技术的范围扩大,信息系统安全设计必须走上立体发展道路。因此,在进行信息系统安全设计时不能孤立的思考问题,必须结合实际采取层层设防,才能真正保障安全问题。同时应认识到,信息系统安全是一个长期问题,只有不断完善并改进技术手段,才能真正提高系统的稳定性与持久性。参考文献:[1]程逸云.安全策略在信息系统中的应用[J].电脑与电信,2009(11).[2]张欣.信息安全风险评估方案设计与应用[D].济南:山东大学,2009.[3]崔焯雄.浅谈网络环境下数据库的安全及防范措施[J].计算机光盘软件与应用,2010(13).[4]李红娇.安全操作系统的访问控制与实时报警[D].上海:上海交通大学,2008.[5]李凤华.分布式信息系统安全的理论与关键技术研究[D].西安:西安电子科技大学,2009.[6]余志伟,唐任仲.面向业务活动的信息系统安全模型[J].浙江大学学报:工学版,2007(11).[7]李娟娟.安全信息系统的应用及分析[J].机械管理开发,2009(5).[8]陈亮.信息系统安全风险评估模型研究[J].中国人民公安大学学报:自然科学版,2007(4).[9]张连华,张洁,白英彩.信息系统对象的安全视角建模[J].计算机应用与软件,2006(8).[10]邱敏.浅谈信息系统的安全保密[J].广播电视信息,2009(6).注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文