羅川

摘要：現(xiàn)如今，由于國家經(jīng)濟的迅速成長，計算機的應用逐漸普及。不管是從人們的日常生活需要中分析還是從人們工作角度分析，計算機在當今社會都有著不可替代的作用。計算機中的管理信息系統(tǒng)是種種應用于管理工作信息系統(tǒng)的抽象。具體來說，管理信息系統(tǒng)是一種基于管理科學理論，管理理念和管理活動的系統(tǒng)。而作為管理信息系統(tǒng)的一部分，計算機信息管理系統(tǒng)，在當今社會的發(fā)展中出現(xiàn)了一些讓人頭疼的弊端。該文將努力研究計算機管理信息系統(tǒng)存在的各種弊端，并根據(jù)具體情況給出相應的解決辦法。

關鍵詞：信息系統(tǒng)；弊端；對策

中圖分類號：TP315 文獻標識碼：A 文章編號：1009-3044（2016）08-0110-02

計算機信息管理系統(tǒng)簡稱CIMS（computer information management system）是一種面向價值信息和基于計算機管理活動的系統(tǒng)，是在計算機硬軟件和網(wǎng)絡環(huán)境下，并通過現(xiàn)代信息技術處理后的一個人機交互的管理信息系統(tǒng)。它具有以現(xiàn)代計算機硬件和網(wǎng)絡平臺為處理環(huán)境，由人，信息技術（含數(shù)據(jù)文件）和運行規(guī)程三大元素組成，其核心部分是管理系統(tǒng)。CIMS能充分利用現(xiàn)代信息技術處理技術，自動或半自動采集，存儲，處理，分析，傳遞和反饋重要的信息。

計算機信息系統(tǒng)弊端主要分為三種情況：一是由于計算機專業(yè)人員專業(yè)知識不扎實，操作能力低，職業(yè)道德素質差導致；二是由于國家對各類信息系統(tǒng)流入市場的監(jiān)督不嚴；三是由于信息系統(tǒng)固有缺陷。

1 計算機信息系統(tǒng)弊端的表現(xiàn)形式

1.1 計算機信息系統(tǒng)內部數(shù)據(jù)不符合實際情況

計算機信息系統(tǒng)內部數(shù)據(jù)不真實是指計算機人員通過添加，減少，更改輸入計算機核算系統(tǒng)的數(shù)據(jù)，或者輸入偽造的業(yè)務和數(shù)據(jù)，并對已有業(yè)務進行變改，將原本完整的業(yè)務人為切割成若干部分，分次錄入計算機信息系統(tǒng)，偽造輸出數(shù)據(jù)，或者人為調整輸出信息，非法進入計算機信息系統(tǒng)，篡改計算機核算系統(tǒng)生成的數(shù)據(jù)，利用內部控制信息系統(tǒng)的缺陷訪問機密文件，破壞計算機系統(tǒng)硬件或者損壞其軟件，包括制造或傳播計算機病毒，企圖癱瘓計算機信息系統(tǒng)，消除計算機內存信息數(shù)據(jù)等方式，造成計算機信息系統(tǒng)內部數(shù)據(jù)不符合實際情況。

1.2 計算機信息系統(tǒng)內部設計不完善

計算機信息系統(tǒng)內部設計不完善是指計算機信息在存儲介質上的安全問題與系統(tǒng)本身的設計理念與代碼等問題。一方面，TCP/IP協(xié)議數(shù)據(jù)流采用的是明文傳輸，因此計算機信息系統(tǒng)里面的信息很容易被盜取，篡改和偽造，特別是在使用FTP和TELNET命令時，如果用戶的賬號，口令是明文傳輸?shù)?，盜取者就可以使用sniffer等軟件截取信息系統(tǒng)里面財會人員的用戶賬號和登陸口令。

2 計算機信息系統(tǒng)弊端的原因

2.1 計算機內部安全性差

計算機內部安全性包括通過實施計算機內部軟件保護，保證軟件安全，保證內部數(shù)據(jù)安全等。計算機內部安全的研究內容非常廣泛，包括軟件的防盜，操作系統(tǒng)的安全，磁盤上的數(shù)據(jù)防破壞，防盜取以及磁盤上的數(shù)據(jù)備份與恢復等。由于磁盤容量較大，存儲數(shù)據(jù)方便，所以磁盤是目前存放計算機信息最常使用的載體。但由于磁性本身的介質都具有剩余磁效應現(xiàn)象，保留在磁性存儲介質中的數(shù)據(jù)可能會使存儲介質永久性磁化，所以保存在磁性本身介質上的數(shù)據(jù)可能會沒有清除干凈，永痕的保留在磁盤上。對于一些重要的信息，盡管已經(jīng)使用擦除軟件等手段擦除了信息。但如果擦除不徹底，就會在磁上面留下重要數(shù)據(jù)的跡印，一旦被別人利用，通過用強靈敏度磁頭等一些放大器材可以將磁上的數(shù)據(jù)還原，造成計算機數(shù)據(jù)的泄密。

另外，在計算機操作系統(tǒng)中，使用類似格式化命名時format或刪除命令del時，僅僅能破壞或刪除文件的目錄結構和文件指針等信息，磁盤上的原有文件內容仍然原封不動的保留在磁盤上，只要不在磁盤中另存放數(shù)據(jù)，使unformat等方法就可以非常完整地將在磁盤上的數(shù)據(jù)恢復出來。而且，在如今流行的windows操作系統(tǒng)下甚至可以從回收站找回被清除的信息數(shù)據(jù)，利用這些內部安全問題就能夠盜取重要的機密數(shù)據(jù)。

2.2 計算機信息系統(tǒng)機密技術不強

計算機信息系統(tǒng)加密技術不強是指計算機信息系統(tǒng)中的信息很容易被盜密者利用計算機專業(yè)技術盜取。第一種方式就是盜密者通過唯密文的計算機技術方法對計算機系統(tǒng)的數(shù)據(jù)進行盜取。在這種方式下，盜密者除了擁有所截獲的一些消息密文外，沒有其他可利用的信息，盜密者通過盡可能多的密文去推算出加密信息的密匙，從而輕松的推算出信息系統(tǒng)的賬戶與登錄密碼。第二種方式就是盜密者已經(jīng)掌握了相當數(shù)量的密文，并且已經(jīng)了解一些明文密對，盜密者通過用加密信息想出用來加密的密匙或者一個算法，進而推算出信息系統(tǒng)財務人員登錄系統(tǒng)的賬號和密碼。

2.3 計算機網(wǎng)絡安全隱患

計算機網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件，軟件及其系統(tǒng)中的信息得到安全保障，不因偶然的原因而遭到破壞，篡改，泄露，系統(tǒng)安全連續(xù)可靠正常的運行，網(wǎng)絡連接不中斷。網(wǎng)絡安全隱患主要由兩大方面構成：一方面是由于計算機網(wǎng)絡被攻擊者從網(wǎng)絡上盜取通信內容，這類攻擊通常被稱為被動攻擊或者截獲。另一方面是由攻擊者通過主動攻擊方式造成計算機網(wǎng)絡安全隱患，常表現(xiàn)形式為攻擊者修改原本的信息內容，這里也包括徹底中斷傳送的報文，甚至把完全偽造的報文傳送給接收方。

2.4 計算機技術人員專業(yè)知識不扎實，操作能力不強，素質低

計算機信息系統(tǒng)的內部結構，運行情況，操作方法只有計算機專業(yè)技術人員才知道。內部程序的使用，篡改，只有通過專業(yè)知識才能正確的操作。計算機專業(yè)技術人員通過告訴他人信息系統(tǒng)內部操作方法，從中獲取利益，這樣的表現(xiàn)形式完全是由于計算機專業(yè)技術人員職業(yè)道德缺失造成的。另外，由于計算機專業(yè)在大學課程中整體難度較大，一般的人很難將其學精，學好，甚而至于有的計算機專業(yè)的學生打著是本專業(yè)人才的幌子，設計出低質價高，使用不便的信息系統(tǒng)。

3 計算機信息系統(tǒng)弊端的解決對策

3.1 建立網(wǎng)絡信息各方面的安全體系

隨著信息化時代的到來，計算機信息系統(tǒng)的網(wǎng)絡安全問題也越來越復雜。因此，將計算機信息系統(tǒng)的網(wǎng)絡劃分為不同的業(yè)務區(qū)域，對計算機信息系統(tǒng)的每個版塊進行不同等級的保護，是進行計算機信息系統(tǒng)安全保護的首要步驟。計算機信息系統(tǒng)網(wǎng)絡安全是指同一個系統(tǒng)內，根據(jù)信息系統(tǒng)的信息，使用方面，安全目標和策略等元素的不同來劃分不同邏輯的子網(wǎng)或網(wǎng)絡，每個邏輯區(qū)域內部有相同的安全保護需求，相互信任，具有相同的安全訪問權限控制和邊界控制策略，而且相同的網(wǎng)絡安全領域共享同樣的安全策略。通過制定計算機信息系統(tǒng)網(wǎng)絡安全分層保護可以使計算機網(wǎng)絡整體架構更加清晰，為系統(tǒng)的安全規(guī)劃和設計提供保障，同時也可以使得計算機網(wǎng)絡安全問題的維護工作更加容易進行。另外建立網(wǎng)絡安全體系也可以有效防范信息系統(tǒng)的網(wǎng)絡安全問題。網(wǎng)絡信息各方面的安全體系可以用邊界防衛(wèi)，入侵檢測與安全反應等技術構成。其一通過使用數(shù)據(jù)加密，數(shù)據(jù)完整性檢測，防火墻，訪問控制和公正仲裁等方式將安全邊界防衛(wèi)設置在需要保護的信息周邊，主要來阻止病毒入侵，黑客攻擊，冒名頂替，線路竊聽等試圖盜取信息系統(tǒng)內部資料的行為。其二通過對行為，安全日志，審計數(shù)據(jù)或者其他網(wǎng)絡上可以獲得的信息進行操作，檢測入侵者的攻擊行為與正常用戶的行為是否有明顯的差異，以此來判斷是否有入侵者想趁機破壞信息系統(tǒng)里面的信息，或者直接破壞信息系統(tǒng)的內部運行程序。

3.2加強計算機技術人員的繼續(xù)教育

計算機技術人員的專業(yè)知識和實際操作能力會嚴重影響到信息系統(tǒng)軟件的使用質量。因此，一方面，學校應加強重視對計算機專業(yè)技術人員的教育和實際操作能力的培訓，全面提高計算機技術人員的專業(yè)能力。同時，計算機技術人員的職業(yè)道德素質也會嚴重影響整個社會信息系統(tǒng)的安全性，通過對計算機技術專業(yè)人員職業(yè)道德素質的教育，進一步提高計算機專業(yè)人員的職業(yè)道德素質，讓他們時刻保持一顆正直，客觀，公正，不為利益出賣職業(yè)道德的職業(yè)心；另一方面，計算機專業(yè)人員也應該自己進行進一步的自主學習，不管在什么時候，都應該保持學習的態(tài)度，時刻更新自己的專業(yè)知識，使自己的實際操作能力跟得上時代的步伐，設計出更符合時代進步的信息系統(tǒng)。

3.3 增強計算機信息系統(tǒng)的加密技術

所謂加密技術就是最廣泛使用的保密措施，用各種方式把有用信息變?yōu)閬y碼傳輸，到達目的后再用技術手段還原信息。而計算機信息系統(tǒng)的加密技術是指通過加密的方法將財務人員的登陸賬號和登錄口令通過加密，產(chǎn)生不可理解的密文，讓盜密者在破解時所花費的成本高于從盜取中所獲得的收益，從而使盜密者主動放棄盜取財務人員賬號和登陸密碼的想法。

在當今社會必須要使用加密技術來保護信息系統(tǒng)中數(shù)據(jù)的安全。眾所周知，使用互聯(lián)網(wǎng)進行傳輸、發(fā)送計算機信息系統(tǒng)里面的信息是日常業(yè)務往來中的重要手段，但是互聯(lián)網(wǎng)是基于TCP/IP協(xié)議存在，TCP/IP協(xié)議由于本身具有不安全性就需要引起人們的高度重視。為了保證信息系統(tǒng)內部資料的保密性安全，可采取的加密等保護措施，包括數(shù)據(jù)加密、身份認證和安全通信協(xié)議。數(shù)據(jù)加密是指發(fā)送方將一個消息通過加密密鑰和加密函數(shù)轉換為密文，而接收方就以相對稱的方法還原成明文。第一，常見的數(shù)據(jù)加密技術可以分為三種，一是利用密鑰加密技術，即利用一個密鑰對消息加密，另一方得到消息后，使用同一個密鑰進行解密。二是通過公開密鑰加密技術，這種加密技術使用一對密鑰進行加密，一個是公開密鑰，一個是私有密鑰。加密時使用公開密鑰對信息系統(tǒng)內部資料進行加密，接受者收到信息可以使用私有密鑰解密。三是不用考慮解密問題，用戶只需要對自己的資料進行加密后，與原來的加密校對就可以了。

第二種是通過身份認證來加強信息系統(tǒng)內部資料的安全性，身份認證是指用戶在登錄系統(tǒng)前，必須讓系統(tǒng)明白自己的身份，當用戶身份的真實性得到確認后，系統(tǒng)才可以確定用戶人員在系統(tǒng)中原先設好的操作權限。身份認證的方法常分為知識、令牌、生理特征和行為特征的身份認證等四種方法。通過上述的加密技術，能有效地保護信息系統(tǒng)內部資料的安全性、完整性。

3.4加強計算機信息系統(tǒng)安全管理措施

計算機信息系統(tǒng)保護安全管理的實施包括人員安全管理、系統(tǒng)建設安全管理和系統(tǒng)運維管理三個方面。首先是進行人員安全管理，依據(jù)國家計算機急響應中心發(fā)布的數(shù)據(jù)資料，在所有計算機信息系統(tǒng)安全事件中，約有百分之五十二是由人為因素造成的，因此，人員安全管理和控制是信息系統(tǒng)安全管理中的重要環(huán)節(jié)，是安全管理的關鍵，除加強法制建設，通過法律制裁形成威懾，并通過倫理道德教育，提高計算機技術人員的職業(yè)道德素質外，還應采取科學的管理措施，減少計算機專業(yè)技術人員作案的機態(tài)，其次是進行系統(tǒng)建設安全管理，由于系統(tǒng)建設的過程將在很大程度上決定信息系統(tǒng)的定位和雛形，系統(tǒng)建設初期的管理不善，很有可能會引起后期系統(tǒng)應用技術 的混亂，并進一步導致信息系統(tǒng)安全隱患的產(chǎn)生。所以，對于系統(tǒng)的建設應該建立一套完整的管理方案，用完善的管理措施對其進行管理，這樣不僅僅可以保證建設過程的有序和安全，對于安全事件產(chǎn)生原因的追溯和補救措施的應用都有著非常有效的作用。信息系統(tǒng)建設管理包括系統(tǒng)定級，安全方案設計，產(chǎn)品采購和使用，自行軟件開發(fā)，工程實施，測試驗收、系統(tǒng)交付、安全服務商選擇，系統(tǒng)備案和等級測試，最后是信息系統(tǒng)運維管理。傳統(tǒng)的信息安全策略往往只著眼于防范來自外界的安全威脅和阻斷試圖進入系統(tǒng)內部的攻擊。然而，只考慮外圍的威脅已經(jīng)不能滿足現(xiàn)今系統(tǒng)的安全需要，系統(tǒng)運維管理主要的控制點包括環(huán)境管理、設備管理、資產(chǎn)管理、介質管理、密碼管理、變更管理、網(wǎng)絡安全管理、系統(tǒng)安全管理、惡意代碼防范管理、安全事件處置、應急預案管理、備份與恢復管理、監(jiān)控和安全中心管理共十三個控制點。

最后，企業(yè)在整個過程中也應扮演重要的角色，具體包括人員錄用，人員離崗，人員考核和人員安全意識教育和培訓。安全意識和教育是適當?shù)牟㈥P聯(lián)于員工的角色、職責和技能，應包括關于已知威脅的信息，向誰咨詢進一步安全建設和合適的報告信息安全事故的渠道，可以包括信息安全風險與控制、法律責任、業(yè)務相關控制、信息處理設施的使用等。用人單位應制定安全教育和培訓計劃，針對不同崗位應制定不同培訓計劃，并按照計劃對各類在崗人員進行安全意識教育，崗位技能培訓和相關安全技術培訓可以通過書面安全策略，員工簽署業(yè)務保密協(xié)議，利用各媒體在單位內部宣講安全問題，強制執(zhí)行安全規(guī)定，鼓勵員工蹲守職業(yè)道德精神。同時，應對安全責任和違法的懲戒措施進行規(guī)定并告知相關人員，對違反違背安全策略和規(guī)定的人員進行懲戒。

參考文獻：

[1] 李超.信息系統(tǒng)安全等級保護實務[M].北京：科學出版社，2013.

[2] 武新華，張慧娟，李秋菊.加密解密安全攻略[M].中國鐵道，2008（1）.

[3] 陳澤茂，朱婷婷，嚴博. 成璐信息系統(tǒng)安全[M]. 武漢：武漢大學出版社，2013.