情報資源與信息安全

郭建偉+陳佳宇+燕娜

摘 要：在信息化時代，科技情報業務對信息系統的依賴日益增強，相應地，信息系統安全問題已引起人們的關注。科技情報業務系統如果因系統軟硬件故障、黑客惡意攻擊、網絡病毒感染、文件非法拷貝而出現問題，甚至癱瘓，將直接影響科技情報收集、分析、加工、發布等業務的正常運行。

關鍵詞：科技情報；信息安全；信息系統；互聯網

中圖分類號：TP309 文獻標識碼：A 文章編號：2095-1302（2017）11-00-02

0 引 言

在構建科技情報信息系統時，一定要充分考慮信息系統的安全問題[1]，選擇適當的信息安全技術，構建一個高效、安全的科技情報業務系統。本文將根據科技情報業務需要，結合實際工程經驗，介紹與科技情報業務相關的幾種信息安全技術。科技情報業務系統可根據實際情況，在系統的易用性、安全性和系統造價幾方面權衡，選擇適當的安全方案。

宏觀上說，信息安全就是通過密碼算法及相關軟、硬件保護個人信息和在互聯網上傳輸的信息（動態信息）[2]。PC端存儲固定信息；傳輸在互聯網上的信息則為動態信息。數據加密技術是保證信息安全的方法，以防黑客盜取個人或公司的機密信息，同時保證合法用戶可查看正確的信息。計算機信息系統安全要求的具體內容應從五個安全層面、三個安全特性進行考慮。五個安全層面是指實體層面（硬件系統，含設備、設施、介質及環境）、系統層面（操作系統、數據庫系統）、網絡層面（網絡系統）、應用層面（應用系統）、管理層面（系統安全管理）。三個安全特性是指物理安全、運行安全、信息安全。物理安全主要描述實體層面所涉及的硬件系統及其環境的安全；運行安全則包括系統層面、網絡層面和應用層面所涉及的操作系統、數據庫系統、網絡系統和應用系統的運行安全；信息安全則包括系統層面、網絡層面和應用層面所涉及的操作系統、數據庫系統、網絡系統和應用系統的信息安全。

1 與科技情報業務系統相關的安全技術

科技情報業務系統需要與內部辦公系統、門戶網站等應用系統集成，系統用戶可以是內部工作人員、客戶以及遠程合作伙伴等，需要充分考慮系統的安全性需求。在設計科技情報業務系統時，可采用的安全方案如下所示：

（1）結合公、私鑰技術、動態口令等技術[3]，登錄系統采用一次一變認證體制；

（2）真實用戶進入系統后，通過權限分配獲得管理用戶和用戶的權限；

（3）利用簽、驗服務，防止操作人員否認已修改的數據；

（4）用戶操作利用審計模塊統計，設定合理的安全監控措施；

（5）數據在傳輸過程中應運用合理的加密算法進行保密[4]；

（6）采用自動備份功能，加強對數據庫和系統中重要文檔、數據的備份；

（7）對數據庫關鍵字段可采用加密技術進行加密保護[5]；

（8）加強操作系統升級、打補丁等日常安全管理措施；

（9）在開發階段采用技術手段防止惡意登錄攻擊、SQL注入攻擊等常見的系統攻擊[6]。

2 訪問控制

科技情報業務系統的客體分為兩種類型，即靜態客體和動態客體。

（1）靜態客體。已經歸檔的調研報告、研究報告等屬于靜態客體，其內容保持不變，與訪問控制策略有關的安全屬性也不變。靜態客體主要用于查詢、統計等操作。

（2）動態客體。動態客體的內容會在流轉過程中發生變化，其安全屬性也會不斷變化。在流轉過程中可被各級人員處理的就屬于動態客體。動態客體在“歸檔”后轉化為靜態客體。

對于靜態客體，采用基于RBAC的規則，即先設置角色的權限屬性，再對用戶設置所屬角色。可以從角色所處的縱向（如行政級別）與橫向（如職能部門）兩個邏輯管理層上定義角色的權限范圍。縱向邏輯管理層側重于同一職能范圍內各級別部門與人員之間的業務處理，而橫向的邏輯管理層主要側重于在同一行政級別上各職能部門之間的業務協作。定義了角色的屬性后，系統管理員只需為用戶指定角色，即可完成權限設定操作。

對于動態客體，可定義動態客體在情報處理流轉階段的安全屬性，及主體在各流轉階段對客體的控制權限。這種對靜態客體和動態客體分別授權的優點是權責明確，操作簡便，可在復雜的流轉系統中對數據進行多級別的保護，尤其在發生人員調動和崗位調整時，可大大減少系統管理員的工作量。

3 單點登錄

單點登錄（Single Sing On，SSO）[7] 即在一個多系統共存的環境下，用戶在一處登錄后，就不用在其他系統中登錄，即用戶的一次登錄能得到其他所有系統的信任。單點登錄在大型網站里使用得非常頻繁，SSO的核心在于統一用戶認證，它可被看作是一個認證服務器，所有的登錄、認證請求都在這里完成，然后分發到相應應用。采用單點登錄的好處有以下幾方面：

（1）用戶信息的一致性。對于保證整個系統用戶信息的一致性有非常重要的作用和好處，同時也方便了后期整個系統的維護和升級。

（2）用戶操作的方便性。單點登錄系統的建立，對于用戶在各子系統中來回自由切換非常方便和有利。

（3）方便系統的安全模塊升級和維護。由于單點登錄是將整個大系統中的用戶靜態、動態信息和密鑰作為一個模塊進行定制和維護，保證了安全，因此，各應用系統宜采用此方法對用戶的動態、靜態信息和密鑰進行管理和維護。

4 數字簽名

數字簽名就是通過某種密碼運算生成一系列符號及代碼，組成電子密碼進行簽名[8]。

數據簽名基于組合密鑰和對稱加密算法建立數字簽名和簽名驗證協議，采用智能卡和加密卡硬件設備建立客戶機端簽名系統和驗證中心的簽名驗證系統，采用符合國家商用密碼標準的SM1算法，保障數字簽名系統安全可靠，驗證協議高效快速。

5 安全傳輸通道endprint

安全套接層協議（Secure Socket Layer，SSL）是一種安全傳輸協議，該協議最初由Netscape企業發展而來，目前已成為互聯網上用來鑒別網站和網頁瀏覽者身份和服務器的合法性認證工具。

認證用戶和服務器的合法性，使得它們能夠確信數據將被發送到正確的客戶機和服務器上。客戶機和服務器都有各自的識別號，這些識別號由公開密鑰編號。為驗證用戶是否合法，安全套接層協議要求握手交換數據進行數字認證，以此來確保用戶的合法性。

加密數據以隱藏被傳送的數據。安全套接層協議所采用的加密技術既有對稱密鑰技術，也有公開密鑰技術。在客戶機與服務器進行數據交換前，交換SSL初始握手信息，在SSL握手信息中采用各種加密技術對其加密，以保證其機密性和數據的完整性，用數字證書進行鑒別，以防止非法用戶對其進行破譯。

保護數據的完整性。安全套接層協議采用Hash函數和機密共享的方法來提供信息的完整性服務，建立客戶機與服務器之間的安全通道，使所有經過安全套接層協議處理的業務在傳輸過程中都能完整、準確地到達目的地。

6 日常安全管理措施

若操作系統存在漏洞，將會給不速之客和惡性病毒可乘之機，所以很有必要查找并修補操作系統漏洞。首先徹底掃描科技情報業務系統上的每臺服務器和客戶端，查清其漏洞情況。除了經常追加最新補丁外，考慮到很多攻擊SQL數據庫的病毒主要針對該賬號口令為空的情形，“sa”賬號一定要設置復雜口令，同時避免將“sa”帳號的密碼寫于應用程序或腳本中。可采用隨機數技術防止攻擊者對系統惡意登錄攻擊。每次刷新登錄頁面，系統都會產生一個由隨機數字和字母組成的圖片，用戶登錄時必須正確輸入這些隨機產生的字符（即驗證碼），否則不能進入系統。這是一個非常常見且易于實現，但實際效果很好的防止惡意攻擊的方法，采用驗證碼可防止攻擊者通過不斷嘗試登錄來增加數據庫進行驗證時的負擔，尤其對一些非手工的嘗試性登錄進行攔截，以減輕服務器的壓力。使用圖片則是為了防止某些軟件通過代碼直接讀取驗證碼的內容，避免通過查看源文件輕易獲取驗證碼字符串。

7 結 語

為防止因系統軟硬件故障、黑客惡意攻擊、網絡病毒感染、文件非法拷貝而出現問題導致網絡癱瘓，本文選擇適當的信息安全技術，構建一個高效、安全的科技情報業務系統，可有效保障系統安全，具有良好的社會效益。

參考文獻

[1]李紅艷.科技情報系統安全體系結構研究[D].西安：西安電子科技大學，2010.

[2]張浩.基于LSM的安全審計系統的設計與實現[D].成都：電子科技大學，2006.

[3]謝曉東.基于數字證書的身份認證技術研究[D].青島：中國海洋大學，2009.

[4]劉平.淺談網絡數據的加密傳輸[J].電腦知識與技術（學術交流），2008，1（3）：421-424.

[5]徐軍，盧建朱.數據庫字段安全分級的加密方案[J].計算機工程，2008，34（4）：179-180.

[6]張卓.SQL注入攻擊技術及防范措施研究[D].上海：上海交通大學，2007.

[7]肖俊才，薛婧.單點登錄（SSO）系統在電子政務中的應用[J].電腦知識與技術（學術交流），2011，7（10）：6856-6858.

[8]吳素研，李瑛，胡祥義，等.基于組合對稱密鑰帶加密數字簽名方法的研究[J].電子科技大學學報，2009，38（S1）：75-78.endprint