经济信息管理系统的安全技术探究

浙江财经大学信息学院 许佳泽

随着信息时代不可阻挡地到来，计算机以及通信技术在以人们无法想象的速度发展着。其在技术层面很大程度上支持和保障了当代经济信息管理系统的稳定与安全发展，在整个系统中成为一项非常关键的技术手段和主要的实用工具。当然，计算机及其网络系统不可避免地存在着一些脆弱性与特殊性，通常会被一些不法分子利用，破坏经济信息管理系统，这在当今社会是非常恶劣和严重的。具体表现在不法分子的主要目的是牟取高额的经济暴利，对国家非常重要的经济信息管理系统，诸如银行、房地产的交易、政府机关或者企事业单位、商业、税收、期货等的经济信息管理系统进行非法的入侵，导致系统的功能、数据以及应用程序的完整性和保密性遭到很大程度的破坏，有意地制作和传播一些计算机病毒；通过计算机技术的应用实行金融诈骗，或者对资金进行盗窃和挪用；窃取国家的重要情报以及一些核心的商业机密。尤其值得一提的是，有些不法分子通过对计算机网络技术的运用或者安装无线装置，从较远的距离实现侵入性的犯罪，他们使用的技术水平越来越高端和先进，同时也具有越来越高的隐秘性，这使得经济信息管理系统存在的安全隐患更加令人担忧。

从当前的发展来看，经济领域中各个部门的发展都越来越迫切地需要计算机及通讯网络技术的支持，并将此技术进行越来越广泛的普及和推广，对该技术也具有更大的依赖性，因而从辩证的观点来看，它也就存在着越大的安全隐患。由此看来，系统安全所面临的形势是非常严峻的。目前专业人员与管理人员都已经普遍地将关注的重点转移到如何在技术与管理的层面采取策略上，从专业技术的方面进行有效的防范和保护。

1 在技术层面维护系统安全的对策

(1)首先要注重信息安全机构的建立和健全，要保证各方面的专业人员的配备都十分到位，将安全策略、原则以及进行实施的具体方法都制定完备，同时做好后续的组织落实与管理和检查工作。(2)安全技术方面的研究要加强，不断更新技术水平，生产出新一代的信息安全产品。(3)要注重评估系统的安全系数，着眼点主要放在对数据的加密、管理密钥、鉴别密码、控制访问、提高数据的完整性、做好审计的安全保证以及对软件的维护等方面，将信息安全标准进行更加完整和完善的制备。(4)在对系统安全技术的研究上，应当将研究的方向和重点从单纯的保密性及时地扩展为更加全面的信息安全研究，主要包括保密性、可用性以及完整性。(5)要对信息安全技术进行定期的培训，及时地做好信息安全教育，保证专业和管理人员的素质能始终保持在较高的水平。

2 要提高安全技术的针对性

对于计算机和网络系统来说，它所具备的脆弱性是固有的、不可避免的。同时，计算机在对信息进行处理时速度很快，重复性很大，这在潜在中就增大了系统安全所面临的威胁。一旦有人捕捉到并利用了这些脆弱性，系统的安全性就会面临严峻的威胁。所以，若想研究好安全技术，就必须明确经济信息管理系统的特点。具体来说有以下几个方面：

(1)数据具有较高的存储密度。采用的介质是磁性存储，很容易遭到人为的破坏、删除或者修改，而且不会留下明显的痕迹。

(2)数据具有较强的可访问性。将代码和口令盗用后就能够非法性地进入到系统之内，并访问信息，复制或者删改数据。

(3)利用网络作案可以实现跨地域性。由于各个工作站可以共享网络信息系统内的资源，可以对通信线路进行充分的利用，对数据进行查询、调用和修改。具有越大的网络规模，所需要的线路就会越远，同时也会面临更大的危险性。

(4)具有较强的隐蔽性，在进行作案时，它与正常操作基本相同，如果不具备一定的专业知识就很难进行敏锐的辨别，外露痕迹并不非常明显，作案后很难被人发现，即使发现后也很难对案件进行侦破。

(5)技术水平较高，难以进行防范，具有显著的专业特点。对于计算机方面的专业人士来讲，如果能够熟谙系统，并将功夫下到位，安全防护就可以被突破；而若管理人员与安全人员的专业知识非常匮乏，当有人在对信息进行窃取和破坏时会让人很难觉察。

3 对技术进行分类

3.1 保密性的技术

所谓的保密性，就是系统中的信息有进行保密的要求，只有访问的方式被允许了，透露给被允许的人，通常情况下，为了防止泄露重要的信息，对信息进行加密时要采用密码技术，严格地限制机房的进出人员，并结合起对操作人员的权限控制，以此进行有效的管理。

3.2 可用性的技术

所谓的可用性，是指当系统中的信息有一定的需要时，就可以对其进行使用。并且当访问的用户具备合法性时，不能进行拒绝。与此同时，不会因为系统出现了故障或者错误的操作而造成信息的丢失，而且它还包括一些能力如当出现一些不正常的情况时仍然能够维持正常的运行。从另一方面来看，要对非法人员试图进入系统的行为进行及时的发现和阻止，并对合法用户的非法越权操作进行及时的拒绝。

3.3 完整性的技术

所谓的完整性，要求存在于系统中的信息是非常安全、精确和有效的。不会在人为因素的影响下出现信息内容、形式和流向发生改变的情况。举例来讲，不能非法地复制、修改或者破坏系统原本的软件和数据，在交换、传递以及存储信息的过程中，应当能够保证最终得到的信息的内容以及顺序是准确而真实的。

4 针对性措施分述

4.1 以信息保密性为针对点的安全技术

密码技术：密码技术的运用就是通过设计密码来对信息进行伪装，使得无关人员无法对信息的真正含义作出准确的理解。人员得到了合法化的授权后就可以对密码进行恢复得到明文，这样即使窃取到了信息也无法对其进行识别。

在设计密码时，要注意密码算法和密钥这两个重要因素。密码算法主要是包括一些公式、法则以及运算的关系。而密钥充当的要素是算法中的可变参数。明文与密文之间存在的数学关系就是由密钥决定的。进行加密工作时，就是通过以密钥为工具将明文进行转换使其变为密文。而进行解密时是将密文进行还原，最终得到明文。

4.2 以信息可用性为针对点的安全技术

4.2.1 识别与验证

当有人试图进入系统时，系统会对其身份进行及时的识别和验证，使其能够获得合法身份。为了能够更加准确快捷地识别，每一个用户都应当领导一个规定好的并且具有唯一性的标识，常见的标识主要包括口令、验证卡以及用户特征这样几点。所谓的口令系统，是将系统中预先设置好的口令与用户提供的口令进行比对，以此来对用户的身份进行辨别。一般情况下，口令是由用户进行选择的，在进入时由用户输入口令，经过系统的比对来确定用户是否是合法的。而验证卡一般情况下都是磁卡或者IC卡，采取接触式或者非接触式的方法对人员进行识别，识别的依据主要是用户的指纹、语言等生物特征或者是签名，具有较高的精度。

4.2.2 对访问进行控制

做好访问控制，不仅能够对非法用户进入系统的企图进行及时的阻拦，而且能够有效地防止合法用户进行的不合法操作行为。若要防止非法用户进入系统内部，就需要对系统的识别与验证方式进行严格的控制，这是一次控制；而要及时阻拦合法用户的非法操作行为，需要对授权访问方式进行进一步的控制，这也被称为二次控制。所谓的二次控制也就是授权访问，通常情况下采用的原则是最小特权，也就是说，用户所拥有的权利只是最小的必须访问权的集合。要做好访问控制，需要按照用户的需求对访问权限进行具体的分类。只有满足最高级别的特权是由安全管理员拥有的，比如访问并操作系统全部资源的权利，分配或者收回用户对某部分资源进行访问的权利等。

4.3 以完整性为针对点的安全技术

4.3.1 软硬件的可靠性要加强

在实际的操作过程中会遇到一些偶然性的事故，举例来讲有自然灾害，系统中软硬件的突发性故障、由于用户操作的失误造成的覆盖或者误删数据，由于没有进行恰当的控制而造成的网络系统中数据的不一致，没有成功地处理事物造成数据的丢失等。目前主要的工作是进行积极有效的预防，使得人为出错得到最大程度的减少和避免，最为重要的一点，软、硬件设备的可靠性应当进行着力的提高。

4.3.2 对数据进行过滤

针对一些不法分子对数据进行有目的破坏的行为，采取的主要方式是进行口令核对和权限验证，除此之外可以将功率器加到用户与数据库之间，在一方面，通过过滤用户，保证用户操作行为的合法性；从另一个角度来讲，数据库对用户发送的数据会通过过滤器过滤，只有数据得到了用户权限的允许，才能够进一步地回送给用户，这样才能够有效地防止数据的非法破坏。

5 结语

目前，我国对于经济信息管理系统安全技术的研究尚处于萌芽阶段，很多地方还很不成熟。站在针对系统本身进行保护的核心技术的角度上来看，目前只是仅仅对一些从国外进口的低级安全产品有了初步的了解和认识，正在进行努力的消化和不断的尝试。尽管通过应用一些安全技术，在很大程度上保障了系统的安全，但是与安全的实际需求相比还是存在着较大的差距的。与此同时，就安全技术本身来说，目前还处在不断发展和完善的状态，进行防范和不法分子的破坏是一对主要矛盾。安全技术的控制和管理工作需要由人来操作和完成，当权力过于集中在一个人的身上时，系统就会面临很大的风险，尤其是，一些人的舞弊行为是无法通过安全技术来防范的。因而不能单纯依靠技术的发展来解决问题，而要通过完善各方面，使行政管理、人员教育等方面更加完美化。

[1]王璐玲.关注加拿大新《消费品安全法案》[J].标准科学,2010(05).

[2]朱成哲.民营企业发展的法律保障[J].北方经贸,2004(06).

[3]袁翔珠.从网络犯罪看我国的网络立法[J].沿海企业与科技,2002(03).

[4]程宗璋.国企工作人员的玩忽职守犯罪是否应追究其刑事责任[J].经营与管理,1999(03).

[5]黄素梅.论泛珠三角区域合作的法律保障[J].特区经济,2006(09).