计算机管理信息系统安全分析及应对机制

　1 引言
　　计算机管理信息系统由于网络的开放性、系统存储数据的敏感性以及用户对系统开发和使用安全性不够重视等原因，使得系统的安全性问题日益突出，有的甚至危害到国家政治、经济的安全，为此有必要加强系统安全的研究与设计，尽可能防范各种潜在的威胁。
　　2 计算机管理信息系统存在的安全问题
　　2.1 用户身份认证
　　用户身份认证是整个系统安全的第一道关口，如何有效地控制非法用户登录和使用是非常重要的安全问题。如果控制不当，可能会造成严重的信息泄密问题。
　　2.2 合法用户权限分配
　　计算机管理信息系统应该为合法用户根据不同的身份、职务、岗位设置不同的安全级别角色，使其具有不同的权限。通过权限设置控制其对系统的操作。如果权限设置不当，极可能出现合法用户超越自身权限访问、修改敏感数据的现象，对数据和系统安全构成威胁。
　　2.3 黑客攻击
　　计算机管理信息系统中存放大量敏感文件和数据，非常容易成为别有用心的人的攻击目标，尤其是政府机构性质的办公网络，甚至会成为国际黑客的攻击目标。黑客可能利用网络扫描、网络嗅探、特洛伊木马、SQL注入等方式进行攻击。为此必须要加强身份认证和加密技术的研究与应用，增大黑客攻击和窃取数据的难度，增大其破解成本，让其知难而退，达到防范目的。
　　2.4 内部人员使用不当或故意破坏
　　由于培训不彻底或工作人员对安全问题重视程度不够，往往会造成工作人员在使用过程中操作不当，不仅无法充分发挥系统效用，也会对系统造成损害，甚至敏感数据泄露，从而对系统安全构成威胁。
　　3 典型安全问题解决策略及实现
　　3.1 智能身份卡认证
　　“用户名+密码”的方式是进行身份认证最常用的方法，但易受到字典猜测攻击、网络窃听、重放攻击、盗用用户数据等攻击。所以应用智能身份卡认证的方式，增强用户认证方面的安全性。用户登录系统时，首先需要通过智能卡认证。验证过程如图1所示。
　　具体步骤：（1）用户提出访问请求；（2）首先要求输入PIN并核对，如果核对不成功，则认为是非法用户；如何核对成功，则改变智能卡的安全状态，可以使用卡内的私有秘钥；（3）从智能卡中读出用户的数字证书，使用公开秘钥验证数字证书的合法性；（4）系统产生一个随机数r1，在智能卡内部使用用户私有秘钥Key1对随机数进行加密（得到d1）并反馈给系统；（5）系统使用公开秘钥Key2和之前产生的随机数r1对反馈结果进行验证[Key2（r1）是否等于d1]。如果相同则为合法用户。
　　3.2 MD5加密认证
　　由于用户密码强度有限，如果在网络中直接传输明码，存在着明显的安全漏洞。由于MD5加密在计算机加密广泛使用，故使用MD5算法对密码进行加密，具体步骤：（1）将用户输入密码pw用MD5方法加密，得到str1=md5（pw）；（2）得到从服务器传给客户端的一个随机数rand1，将str1和rand1组合成一个字符串（str=md5（str1）+rand1）后，返回服务器；（3）将str反馈给服务器。服务器端将数据库中存储的已经用MD5方法加密过的用户密码yhpw，与服务器之前生成的随机数rand1，最终得到str0=md5（pw+rand1）；（5）将str与str0进行比较，如果相同，则为合法用户，此时登录系统才算验证完毕。
　　用C#实现的MD5函数（方法）：首先将要加密的字符串编码为一个字节序列；其次使用加密服务提供程序将该字节序列变为MD5的哈希值；最后将outPut字节数组转换成字符串并加以替换后返回结果。具体代码如下：private string GetMd5Hash（string strInput）
　　{ //将一组字符编码为一个字节序列
　　byte[] result = es（strInput）；
　　//使用加密服务提供程序计算输入数据的MD5哈希值
　　MD5 md5 = new MD5CryptoServiceProvider（）；
　　byte[] outPut = eHash（result）；
　　//将字节数组转换为字符串，替换后并返回结果
　　return ng（outPut）.Replace（"-"， ""）；
　　}
　　3.3 系统权限控制
　　计算机管理信息系统用户权限管理是系统安全的重要组成部分，也是重要的系统资源的访问控制方法，其目的是为了更好地保护和利用系统的信息资源，提高信息系统的安全性，控制用户访问各种信息资源。
　　将工作人员按照职能和岗位不同划分成不同的角色，每种角色具有不同的系统权限，根据权限动态生成功能菜单，从而限制和控制人员访问和使用系统资源。这种权限管理的缺点是只能控制用户在系统中对应的操作功能，不能控制用户对一个具体公文的访问，因此控制粒度较粗，无法实现细粒度的访问控制。
　　4 结束语
　　要在管理信息系统的设计、开发、应用等环节中贯彻始终，按照系统的实际需求，选择合适的安全防护策略和相关技术，在性能、安全、成本等各方面寻求平衡点。
　　参考文献
　　[1] 纪兆辉，胡孔法.基于和XML实现数据交换[J].微计算机信息，2009（ 6）：265-266.
　　[2] 广东数据通信网络有限公司.广东公诚监理公司计算机管理信息系统一项目需求调研.2006年.
　　[3] 韩水玲，马敏，王涛等.数字证书应用系统的设计与实现[J].信息网络安全，2012，（09）：43-45.
　　[4] 陈永强，谢维成，李茜.SQL Server数据库企业应用系统开发[M].北京：清华大学出版社，2004.
　　作者简介：
　　徐文亭（1977-），男，汉族，山东大学，本科，工程师；主要研究方向和关注领域：C#、系统安全、计算机管理。