經(jīng)濟信息管理系統(tǒng)的安全技術(shù)探究

浙江財經(jīng)大學(xué)信息學(xué)院 許佳澤

隨著信息時代不可阻擋地到來，計算機以及通信技術(shù)在以人們無法想象的速度發(fā)展著。其在技術(shù)層面很大程度上支持和保障了當(dāng)代經(jīng)濟信息管理系統(tǒng)的穩(wěn)定與安全發(fā)展，在整個系統(tǒng)中成為一項非常關(guān)鍵的技術(shù)手段和主要的實用工具。當(dāng)然，計算機及其網(wǎng)絡(luò)系統(tǒng)不可避免地存在著一些脆弱性與特殊性，通常會被一些不法分子利用，破壞經(jīng)濟信息管理系統(tǒng)，這在當(dāng)今社會是非常惡劣和嚴重的。具體表現(xiàn)在不法分子的主要目的是牟取高額的經(jīng)濟暴利，對國家非常重要的經(jīng)濟信息管理系統(tǒng)，諸如銀行、房地產(chǎn)的交易、政府機關(guān)或者企事業(yè)單位、商業(yè)、稅收、期貨等的經(jīng)濟信息管理系統(tǒng)進行非法的入侵，導(dǎo)致系統(tǒng)的功能、數(shù)據(jù)以及應(yīng)用程序的完整性和保密性遭到很大程度的破壞，有意地制作和傳播一些計算機病毒；通過計算機技術(shù)的應(yīng)用實行金融詐騙，或者對資金進行盜竊和挪用；竊取國家的重要情報以及一些核心的商業(yè)機密。尤其值得一提的是，有些不法分子通過對計算機網(wǎng)絡(luò)技術(shù)的運用或者安裝無線裝置，從較遠的距離實現(xiàn)侵入性的犯罪，他們使用的技術(shù)水平越來越高端和先進，同時也具有越來越高的隱秘性，這使得經(jīng)濟信息管理系統(tǒng)存在的安全隱患更加令人擔(dān)憂。

從當(dāng)前的發(fā)展來看，經(jīng)濟領(lǐng)域中各個部門的發(fā)展都越來越迫切地需要計算機及通訊網(wǎng)絡(luò)技術(shù)的支持，并將此技術(shù)進行越來越廣泛的普及和推廣，對該技術(shù)也具有更大的依賴性，因而從辯證的觀點來看，它也就存在著越大的安全隱患。由此看來，系統(tǒng)安全所面臨的形勢是非常嚴峻的。目前專業(yè)人員與管理人員都已經(jīng)普遍地將關(guān)注的重點轉(zhuǎn)移到如何在技術(shù)與管理的層面采取策略上，從專業(yè)技術(shù)的方面進行有效的防范和保護。

1 在技術(shù)層面維護系統(tǒng)安全的對策

(1)首先要注重信息安全機構(gòu)的建立和健全，要保證各方面的專業(yè)人員的配備都十分到位，將安全策略、原則以及進行實施的具體方法都制定完備，同時做好后續(xù)的組織落實與管理和檢查工作。(2)安全技術(shù)方面的研究要加強，不斷更新技術(shù)水平，生產(chǎn)出新一代的信息安全產(chǎn)品。(3)要注重評估系統(tǒng)的安全系數(shù)，著眼點主要放在對數(shù)據(jù)的加密、管理密鑰、鑒別密碼、控制訪問、提高數(shù)據(jù)的完整性、做好審計的安全保證以及對軟件的維護等方面，將信息安全標準進行更加完整和完善的制備。(4)在對系統(tǒng)安全技術(shù)的研究上，應(yīng)當(dāng)將研究的方向和重點從單純的保密性及時地擴展為更加全面的信息安全研究，主要包括保密性、可用性以及完整性。(5)要對信息安全技術(shù)進行定期的培訓(xùn)，及時地做好信息安全教育，保證專業(yè)和管理人員的素質(zhì)能始終保持在較高的水平。

2 要提高安全技術(shù)的針對性

對于計算機和網(wǎng)絡(luò)系統(tǒng)來說，它所具備的脆弱性是固有的、不可避免的。同時，計算機在對信息進行處理時速度很快，重復(fù)性很大，這在潛在中就增大了系統(tǒng)安全所面臨的威脅。一旦有人捕捉到并利用了這些脆弱性，系統(tǒng)的安全性就會面臨嚴峻的威脅。所以，若想研究好安全技術(shù)，就必須明確經(jīng)濟信息管理系統(tǒng)的特點。具體來說有以下幾個方面：

(1)數(shù)據(jù)具有較高的存儲密度。采用的介質(zhì)是磁性存儲，很容易遭到人為的破壞、刪除或者修改，而且不會留下明顯的痕跡。

(2)數(shù)據(jù)具有較強的可訪問性。將代碼和口令盜用后就能夠非法性地進入到系統(tǒng)之內(nèi)，并訪問信息，復(fù)制或者刪改數(shù)據(jù)。

(3)利用網(wǎng)絡(luò)作案可以實現(xiàn)跨地域性。由于各個工作站可以共享網(wǎng)絡(luò)信息系統(tǒng)內(nèi)的資源，可以對通信線路進行充分的利用，對數(shù)據(jù)進行查詢、調(diào)用和修改。具有越大的網(wǎng)絡(luò)規(guī)模，所需要的線路就會越遠，同時也會面臨更大的危險性。

(4)具有較強的隱蔽性，在進行作案時，它與正常操作基本相同，如果不具備一定的專業(yè)知識就很難進行敏銳的辨別，外露痕跡并不非常明顯，作案后很難被人發(fā)現(xiàn)，即使發(fā)現(xiàn)后也很難對案件進行偵破。

(5)技術(shù)水平較高，難以進行防范，具有顯著的專業(yè)特點。對于計算機方面的專業(yè)人士來講，如果能夠熟諳系統(tǒng)，并將功夫下到位，安全防護就可以被突破；而若管理人員與安全人員的專業(yè)知識非常匱乏，當(dāng)有人在對信息進行竊取和破壞時會讓人很難覺察。

3 對技術(shù)進行分類

3.1 保密性的技術(shù)

所謂的保密性，就是系統(tǒng)中的信息有進行保密的要求，只有訪問的方式被允許了，透露給被允許的人，通常情況下，為了防止泄露重要的信息，對信息進行加密時要采用密碼技術(shù)，嚴格地限制機房的進出人員，并結(jié)合起對操作人員的權(quán)限控制，以此進行有效的管理。

3.2 可用性的技術(shù)

所謂的可用性，是指當(dāng)系統(tǒng)中的信息有一定的需要時，就可以對其進行使用。并且當(dāng)訪問的用戶具備合法性時，不能進行拒絕。與此同時，不會因為系統(tǒng)出現(xiàn)了故障或者錯誤的操作而造成信息的丟失，而且它還包括一些能力如當(dāng)出現(xiàn)一些不正常的情況時仍然能夠維持正常的運行。從另一方面來看，要對非法人員試圖進入系統(tǒng)的行為進行及時的發(fā)現(xiàn)和阻止，并對合法用戶的非法越權(quán)操作進行及時的拒絕。

3.3 完整性的技術(shù)

所謂的完整性，要求存在于系統(tǒng)中的信息是非常安全、精確和有效的。不會在人為因素的影響下出現(xiàn)信息內(nèi)容、形式和流向發(fā)生改變的情況。舉例來講，不能非法地復(fù)制、修改或者破壞系統(tǒng)原本的軟件和數(shù)據(jù)，在交換、傳遞以及存儲信息的過程中，應(yīng)當(dāng)能夠保證最終得到的信息的內(nèi)容以及順序是準確而真實的。

4 針對性措施分述

4.1 以信息保密性為針對點的安全技術(shù)

密碼技術(shù)：密碼技術(shù)的運用就是通過設(shè)計密碼來對信息進行偽裝，使得無關(guān)人員無法對信息的真正含義作出準確的理解。人員得到了合法化的授權(quán)后就可以對密碼進行恢復(fù)得到明文，這樣即使竊取到了信息也無法對其進行識別。

在設(shè)計密碼時，要注意密碼算法和密鑰這兩個重要因素。密碼算法主要是包括一些公式、法則以及運算的關(guān)系。而密鑰充當(dāng)?shù)囊厥撬惴ㄖ械目勺儏?shù)。明文與密文之間存在的數(shù)學(xué)關(guān)系就是由密鑰決定的。進行加密工作時，就是通過以密鑰為工具將明文進行轉(zhuǎn)換使其變?yōu)槊芪摹６M行解密時是將密文進行還原，最終得到明文。

4.2 以信息可用性為針對點的安全技術(shù)

4.2.1 識別與驗證

當(dāng)有人試圖進入系統(tǒng)時，系統(tǒng)會對其身份進行及時的識別和驗證，使其能夠獲得合法身份。為了能夠更加準確快捷地識別，每一個用戶都應(yīng)當(dāng)領(lǐng)導(dǎo)一個規(guī)定好的并且具有唯一性的標識，常見的標識主要包括口令、驗證卡以及用戶特征這樣幾點。所謂的口令系統(tǒng)，是將系統(tǒng)中預(yù)先設(shè)置好的口令與用戶提供的口令進行比對，以此來對用戶的身份進行辨別。一般情況下，口令是由用戶進行選擇的，在進入時由用戶輸入口令，經(jīng)過系統(tǒng)的比對來確定用戶是否是合法的。而驗證卡一般情況下都是磁卡或者IC卡，采取接觸式或者非接觸式的方法對人員進行識別，識別的依據(jù)主要是用戶的指紋、語言等生物特征或者是簽名，具有較高的精度。

4.2.2 對訪問進行控制

做好訪問控制，不僅能夠?qū)Ψ欠ㄓ脩暨M入系統(tǒng)的企圖進行及時的阻攔，而且能夠有效地防止合法用戶進行的不合法操作行為。若要防止非法用戶進入系統(tǒng)內(nèi)部，就需要對系統(tǒng)的識別與驗證方式進行嚴格的控制，這是一次控制；而要及時阻攔合法用戶的非法操作行為，需要對授權(quán)訪問方式進行進一步的控制，這也被稱為二次控制。所謂的二次控制也就是授權(quán)訪問，通常情況下采用的原則是最小特權(quán)，也就是說，用戶所擁有的權(quán)利只是最小的必須訪問權(quán)的集合。要做好訪問控制，需要按照用戶的需求對訪問權(quán)限進行具體的分類。只有滿足最高級別的特權(quán)是由安全管理員擁有的，比如訪問并操作系統(tǒng)全部資源的權(quán)利，分配或者收回用戶對某部分資源進行訪問的權(quán)利等。

4.3 以完整性為針對點的安全技術(shù)

4.3.1 軟硬件的可靠性要加強

在實際的操作過程中會遇到一些偶然性的事故，舉例來講有自然災(zāi)害，系統(tǒng)中軟硬件的突發(fā)性故障、由于用戶操作的失誤造成的覆蓋或者誤刪數(shù)據(jù)，由于沒有進行恰當(dāng)?shù)目刂贫斐傻木W(wǎng)絡(luò)系統(tǒng)中數(shù)據(jù)的不一致，沒有成功地處理事物造成數(shù)據(jù)的丟失等。目前主要的工作是進行積極有效的預(yù)防，使得人為出錯得到最大程度的減少和避免，最為重要的一點，軟、硬件設(shè)備的可靠性應(yīng)當(dāng)進行著力的提高。

4.3.2 對數(shù)據(jù)進行過濾

針對一些不法分子對數(shù)據(jù)進行有目的破壞的行為，采取的主要方式是進行口令核對和權(quán)限驗證，除此之外可以將功率器加到用戶與數(shù)據(jù)庫之間，在一方面，通過過濾用戶，保證用戶操作行為的合法性；從另一個角度來講，數(shù)據(jù)庫對用戶發(fā)送的數(shù)據(jù)會通過過濾器過濾，只有數(shù)據(jù)得到了用戶權(quán)限的允許，才能夠進一步地回送給用戶，這樣才能夠有效地防止數(shù)據(jù)的非法破壞。

5 結(jié)語

目前，我國對于經(jīng)濟信息管理系統(tǒng)安全技術(shù)的研究尚處于萌芽階段，很多地方還很不成熟。站在針對系統(tǒng)本身進行保護的核心技術(shù)的角度上來看，目前只是僅僅對一些從國外進口的低級安全產(chǎn)品有了初步的了解和認識，正在進行努力的消化和不斷的嘗試。盡管通過應(yīng)用一些安全技術(shù)，在很大程度上保障了系統(tǒng)的安全，但是與安全的實際需求相比還是存在著較大的差距的。與此同時，就安全技術(shù)本身來說，目前還處在不斷發(fā)展和完善的狀態(tài)，進行防范和不法分子的破壞是一對主要矛盾。安全技術(shù)的控制和管理工作需要由人來操作和完成，當(dāng)權(quán)力過于集中在一個人的身上時，系統(tǒng)就會面臨很大的風(fēng)險，尤其是，一些人的舞弊行為是無法通過安全技術(shù)來防范的。因而不能單純依靠技術(shù)的發(fā)展來解決問題，而要通過完善各方面，使行政管理、人員教育等方面更加完美化。

[1]王璐玲.關(guān)注加拿大新《消費品安全法案》[J].標準科學(xué),2010(05).

[2]朱成哲.民營企業(yè)發(fā)展的法律保障[J].北方經(jīng)貿(mào),2004(06).

[3]袁翔珠.從網(wǎng)絡(luò)犯罪看我國的網(wǎng)絡(luò)立法[J].沿海企業(yè)與科技,2002(03).

[4]程宗璋.國企工作人員的玩忽職守犯罪是否應(yīng)追究其刑事責(zé)任[J].經(jīng)營與管理,1999(03).

[5]黃素梅.論泛珠三角區(qū)域合作的法律保障[J].特區(qū)經(jīng)濟,2006(09).