杨涛



计算机信息系统安全管理策略

杨涛

西安文理学院信息工程学院，陕西 安康 725300

随着计算机技术的进步发展，计算机信息管理系统已经被广泛地应用到各行各业中。计算机信息系统的应用为人们的生产、管理、生活、工作等带来便利的同时，也带来了巨大的安全隐患。计算机信息系统一旦遭受入侵破坏将给用户带来巨大的损失，严重威胁到财产的安全。基于此，指出了计算机信息系统存在的安全问题，并就这些问题提出了安全管理策略。

计算机；信息系统；安全管理

计算机信息在储存、传输的过程中都有可能因为系统遭受入侵而造成信息的外泄、数据被破坏、信息造篡改等安全性问题。信息系统安全管理就是要通过运用一些技术性手段、管理手段来防止数据信息的泄露、被恶意篡改、破坏等问题，以保障信息系统管理的安全。信息系统安全管理在目前使用较多的是防火墙设置、入侵检测、数据加密等技术手段，但却很少有行之有效的安全管理策略，使得系统还存在一定的安全隐患。所以，信息系统的安全管理既是技术过程，也是一整套复杂的管理过程[1]。

1 计算机信息系统安全问题

1.1 遭受人为恶意攻击

遭受人为恶意攻击是计算机信息系统面对的最大威胁，这种攻击行为是人们在使用计算机过程中经常遇到的问题。人为恶意攻击有这么几种途径：一种主动正面的攻击，通过非法冒充、窃取并干扰信息数据信息，通过地址扫描、端口扫描等方式破坏重点信息的有效性、完整性和可用性；一种是被动攻击，它是以窃取、截取、破译和非法复制为手段，在不影响信息系统正常工作的前提下获取机密信息；一种是通过非法入侵到网络系统中实施远程控制，删除或篡改计算机信息系统中的一些重要配置文件、网络资料、网站主页资料，从而使整个计算机信息系统瘫痪，无法正常运作。

1.2 计算机病毒的入侵

计算机病毒也是破坏计算机信息系统安全性的一种主要威胁。一些非法用户利用计算机病毒来对计算机信息系统进行攻击，从而使计算机信息系统出现运行速度慢、死机、系统崩溃等问题。造成计算机病毒入侵的重要原因之一就是管理不力，比如没有设置防火墙，才使得病毒有入侵的机会。

1.3 软件漏洞成为被攻击的入口

软件在开发时，为方便编程人员调试、开发远程，一般都会预留方便程序进入的“后门”。正是这个后门的存在，才使其成为缺陷，给黑客的非法入侵提供了便利的通道。

1.4 管理环节薄弱不到位

任何操作系统和软件都会有不安全因素的存在，管理人员要重视这些问题的存在，在进入到计算机信息系统之前要现确认系统环节是否安全，只有确认安全了才可以运行系统[2]。但在实际操作中，人们往往会忽略这一点，才会导致系统遭受攻击造成系统瘫痪或信息泄露。比如，相关的操作人员没有退出登录就直接离开终端，一些重要信息存放在电脑的不安全位置，这些做法都是导致信息系统有可能遭受入侵的安全隐患。

2 计算机信息系统安全管理策略

2.1 计算机信息管理系统结构设计要科学合理

计算机信息管理系统结构设计科学合理化是系统安全性的前提保障，所以在信息系统设计时要特别重视信息系统设计方案的安全可靠。信息系统局域网是以交换机为中心，以路由器为边界的网络数据传输模式。中心交换机具有访问控制功能，所以可以采用物理分段和逻辑分段来实现计算机信息系对局域网的安全防范和控制，从而防止来自网络的非法截取、盗用和侦听，进而确保计算机信息系统的安全。

2.2 操作系统安全管理

操作系统安全管理是指操作系统能够对计算机信息系统的硬件和软件资源进行有效控制，对程序运行期间使用资源的合法性进行检查，利用对程序和数据的读、写管理，防止对计算机信息系统造成破坏，从而有效保护信息的完整性、可用性和保密性。操作系统安全管理的方法有用户认证、隔离、存取控制[3]。用户认证就是用户访问计算机信息系统时，系统会对用户进行合法性认证，要求用户输入用户名、口令，或是指纹鉴别。隔离技术，是在电子数据处理成分周围建立屏障，通过物理隔离、时间隔离、逻辑隔离或密码技术隔离来实现。存取控制就是检查程序运行访问资源的合法性，并通过控制对数据和程序的读写、修改、删除和执行等操作来到保护作用，以有效阻止对信息的破坏行为。数据完整性由错误控制进行保护。

2.3 数据库安全

数据库安全性包括以下几个方面：第一，完整性。设置操作权限，规定只有授权用户才能修改信息，禁止非授权用户对信息进行修改。第二，可用性。数据库确保能为授权用户提供有权存取使用的信息。第三，保密性。只有授权的用户才能存取调用信息，确保信息的保密不得泄露。实现数据库的安全可以通过用户认证、身份鉴别、访问控制和数据库内外加密来实现。用户认证，除了操作系统用户认证外，还要求用户对通行字、日期和时间进行检查认证。访问控制就是运用安全级元素确定、视图技术等方法，确保用户只能访问已授权的数据，并保证不同用户对同组数据拥有不同访问权限。数据库内外加密就是对数据库以数据元素、域或记录形式加密。常用的加密方法有DES加密、子密钥数据库加密和秘密同态加密。

2.4 访问控制

访问控制是保证系统安全的关键技术，包括对处理状态下的信息进行保护，对所有直接存取数据信息的行为进行授权，对程序执行期间访问资源的合法性进行检查，追踪并控制对数据和程序进行读、写、修改、删除等操作，通过最小授权、存取权分立、实体权限的时效性和对存取访问的监督检查、访问控制表、访问控制矩阵和能力表等方法来实现。

3 结束语

计算机信息系统的安全不是单靠简单的几个技术手段就能够保障的，而是需要结合管理手段、操作规范等方面来共同维护，这样才能提高计算机信息系统的安全性。因此，要正确认识到计算机信息系统存在的问题，并综合运用管理手段和技术手段来提高安全性。

[1]王新安.现代医院信息系统的安全管理策略[J].医学信息，2011（12）：27.

[2]常宇.网络管理信息系统的安全隐患及措施分析[J].城市建设理论研究，2013（23）：14.

[3]孟岩.计算机信息系统安全的对策探讨[J].信息与电脑，2010（6）：15.

TP393.08

A

1009-6434（2016）05-0019-01