信息系统的安全隐患及措施

信息系统的安全隐患及措施

单庆燕

烟台南山学院  山东省龙口市    265700

摘要：在新时代办公中，对计算机网络技术应用的愈加广泛，当前很多重要业务系统都与其相互结合，无纸办公就是一大特色。信息系统既让工作更简洁便捷化，又显著提高工作效率。在大多数企业中，办公自动化系统、门户网站系统以及财务管理系统等都在日常工作中被充分应用，我们在得到便利的同时也不能忽视诸多网络信息系统安全问题。本研究旨在探讨信息系统的安全隐患及措施，具体如下。

关键词:信息系统 ；安全隐患；措施

一、新时代办公中信息系统存在的具体安全隐患

1.管理漏洞层出不穷

1.1管理措施薄弱、防范技术措施不够坚固

依据相关安全测试人员最终统计结果发现，虽然大部分网站使用静态网页页面，但网站后台管理系统面对互联网呈开放形式，而且页面发布界面也处于开放形势。在此情形下，后台管理管理员口令设置比较薄弱，测试人员若想破解只需通过简单口令暴力破解程序就可迎刃而解，然后就可以冒充管理员身份在页面发布系统进行登录，成功登陆后完成相应的删除或上传页面这样操作。假如黑客通过相关手段入侵了某网站的后台管理系统，那么整个网站页面就可任意被修改，从而造成不堪设想的后果。

具体说来，静态网页之所以被篡改，主要是由如下问题造成的：①后台管理页面设计不够完善，根本没有采用比较科学健全的密保措施，也没有对主要功能进行隐藏保护，完全就是对互联网公开可见，自然就成为入侵主要入口；②后台管理员账户设置不够合理，没有设置比较安全的验证机制，一些不法分子只需利用相关工具就可顺利登录；③在后台管理页面所设置的登录口令不够强，在较短时间内，使用暴力软件就可将管理员的账号口令顺利破解出；④网页防篡改产品没有被合理使用，致使网页在遭到篡改后，管理员不能对问题及时发现，也不能将网页顺利还原。

1.2程序漏洞过多，文件配置不够合理

仔细梳理相关安全测试人员的统计结果，大多数网站都不可避免存在SQL 注入。虽然我们没有将SQL注入归纳为网页程序安全漏洞问题中，但是它却会致使网页数据库被肆意篡改、导致一些重要信息系统动态网页费恶意修改，具体如下：①网站存在SQL注入点，通过该漏洞，攻击者可将网站数据库的基本信息顺利获取；②网站使用了第三方开源软件，但却没有通过比较严格合理的代码审查，从而致使很多漏洞信息存在于软件中，攻击者利用这些漏洞轻易获取想要的信息；没有为网站数据库配置比较合理的文件，攻击者可以对网站文件目录进行继续搜寻分析，快速找到可进入后台管理的页面；④管理员根本没有在后台管理页面中为每个登录用户设置登录名与口令，攻击者在登录后，只需使用默认登录名和口令就可轻松进入，从而将后门程序轻易上传，并对整个网站采用后门程序进行控制，在网站中随意篡改数据。

1.3安全意识有待提升，管理层措施不够完善

根据详细分析发现，因为安全意识比较低、相关管理层设置的措施不够完善等，是内部人员篡改数据的主要原因。在重要信息系统中，内部人员篡改数据具体问题如下：①未设置科学合理的数据库访问权限，未对访问角色进行细致划分，未将不同权限分配给不同角色，基于上述原因，致使访问用户可越权对数据库进行访问；②安全审计不合理，监控不到位。比如，相关安全审计系统不能完全捕捉到内部人员具体实施犯罪的过程，致使不能准确追查。同时，也没有使用比较好的监控机制对整个犯罪实施过程进行监控，对内部人员比较严重的犯罪行为不能及时给予警告并阻断，从而造成不可挽回的后果；③在内部人员提交辞呈后，没有对其以往所使用的系统口令进行及时变更，也没有将与离职人员相关的账户等完全删除。

二、重要信息系统的信息安全

1.网络方面的信息安全

网络环境的安全运行，需要网络安全为信息系统提供强有力支撑。 其一，用高效的网络服务保障网络设备的安全运行。其二，对网上所有传输数据的完整性、保密性、可用性等进行保障。在对外部攻击进行抵御时，网络环境可谓第一道重要防线，只有对其各方面防护到位，才能保障其顺利运行。当前，各种丰富资源在开放的网络环境下进行不断共享与流动，虽然方便了我们却也打开了罪恶的潘多拉魔盒。因此，我们需要从共享与安全两个方面保护网络安全，采用合适方法在二者之间找到最契合的平衡点，在确保安全的情况下尽可能将资源共享最大程度化，从而达到网络安全的理想目标。

与其他方面安全要求相比，因为网络本身具有的开放性等特征，因此在使用时更要注重网络安全的整体性。比如，对网络整体结构进行全面关注，关注网络的外部边界与内部边界，对网络设备自身安全等方面也要进行必要的局部关注。

依据相关网络安全要求，要尽量满足广域网络、城域网络等通信网络的网络设别，依据网络管理机制设置安全设备。比如，使用防火墙、边界完整性检查系统、入侵检测系统等满足局域网安全要求。但是，任何设备不能为结构安全提供保障，需要结合网络安全结构的具体设计进行设置。

2.应用方面的信息安全 

对于信息系统而言，应用安全可以看作是整体防御的最后一道防线，它是除了对网络安全防护、主机系统防护之外的重要防线。然而，与网络以及主机安全相比，应用系统安全具有较大的不同，需要依据用户的具体业务流程和实际业务需求进行开发，因此有比较独特的一面。同时，与其他安全机制相比，应用系统安全具有更大的复杂性与灵活性。用户是应用系统所直接面对的，它要为用户提供必要的数据处理相关信息，所以能将更多与信息保护相关的安全功能提供给应用系统。

应用安全要求如何才能实现，它需要通过实现应用系统与应用平台系统的安全功能进行满足。比如，假如我们使用的应用系统为多层结构，那么需要对不同层的应用使用同样强度的身份鉴别，还需要对其采用不同的访问控制，从而确保最大的安全性。但是，在应用中还需要在同一个层面实现对通信的保密性与完整性。

3.数据安全及备份恢复 

在对系统的运行进行维持中，包括系统数据、用户数据以及业务数据等所有信息系统所处理的数据都发挥着不可估量的作用。假如因为管理不善致使数据遭到泄露、遭到犯罪的恶意修改或肆意毁坏，在不同程度上都会造成一定影响，从而对系统的正常运行产生危害。对于各类数据来说，信息系统的网络、应用以及主机系统等各个层面都在不间断进行传输、大容量存储以及灵活处理，因此需要相当的物理环境、应用程序以及数据库等对数据进行必要保护。

4.完善安全管理制度 

“人”是信息安全中最活跃的因素。因此，完备的安全管理政策与完善的制度，都可以确保信息安全功能的实现。比如，制定比较健全的法律法规、制定合理的约束政策、制定完善的安全指南帮助等。安全管理制度，即安全工作的具体政策、相关规范以总体方针，以及比较详细的安全管理活动管理制度、详细的日常操作日程等。

在对信息系统实施必要的安全管理中，有效的安全管理制度发挥着举足轻重的作用，如果制定合理，不仅能带领全体员工积极主动加入到信息安全的行动中，还能将因为管理实物对系统安全造成的损害降到最低。

参考文献

[1]顾钦平.计算机网络信息安全管理系统面临的问题及应对策略[J].中国新通信,2021,23(22):141-142.

[2]张映勇.计算机网络信息安全管理系统面临的问题探讨[J].江苏通信,2021,37(02):110-111.

[3]李宏伟,王力.基于大数据的学生档案信息安全管理系统[J].电子测试,2021(02):90-91.

[4], 企业信息安全管理系统. 安徽省,安徽瑞邦智能科技有限公司,2020-12-04.

[5]敖翔.物联网信息安全管理系统设计与实现[J].信息与电脑(理论版),2020,32(13):91-93.

[6]王明君.基于云计算的网络信息安全管理系统设计[J].电子技术与软件工程,2019(04):183.

[7]徐勇辉.基于云计算的网络信息安全管理系统设计[J].信息与电脑(理论版),2018(24):116-117+120.