現(xiàn)在許多信息系統(tǒng)都是部署在 Windows、Linux服務(wù)器系統(tǒng)中的，可是這些服務(wù)器系統(tǒng)自身存在的弊端，讓不少用戶對信息系統(tǒng)登錄安全存在不信任，怎樣才能改善單位信息系統(tǒng)登錄安全性呢？作為單位用戶來說，雖然不能借助重寫源代碼措施來避免服務(wù)器系統(tǒng)存在的先天性不足，但還是可以進行一些參數(shù)配置或其他防護措施，讓信息系統(tǒng)登錄操作變得更安全。

加強網(wǎng)絡(luò)防護

從實踐情況來看，單位信息系統(tǒng)的網(wǎng)絡(luò)安全應(yīng)該包含兩個方面，一個是傳輸網(wǎng)絡(luò)的運行安全，另外一個是業(yè)務(wù)網(wǎng)絡(luò)的運行安全。正常來說，傳輸網(wǎng)絡(luò)的安全往往依賴信息系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù)商或供應(yīng)商來保障，而業(yè)務(wù)網(wǎng)絡(luò)的安全通常要單位管理員自行部署針對性安全策略來進行保障。

在單位信息系統(tǒng)中構(gòu)建多層次病毒安全防護體系非常有必要。信息系統(tǒng)不管采用C/S結(jié)構(gòu)還是B/S結(jié) 構(gòu)，管理員都應(yīng)該在每一節(jié)點部署防病毒軟件，同時定期進行病毒庫的升級、更新工作，保證防病毒保護措施的有效性。此外，也要重視防病毒保護措施的超前防御特性，對信息系統(tǒng)中可能被病毒惡意利用的重要數(shù)據(jù)加以重點保護。除了要部署防病毒軟件外，管理員一定要在信息系統(tǒng)的內(nèi)網(wǎng)、外網(wǎng)間以及系統(tǒng)的重要出口位置處部署防火墻，依照實際訪問需求制定安全規(guī)則，來對信息系統(tǒng)的登錄行為進行有效控制，確保實現(xiàn)有目的地允許、拒絕、過濾、檢測，同時定期檢查系統(tǒng)防火墻日志內(nèi)容，從中發(fā)現(xiàn)潛在危險因素，快速拿出冗余防御、多層防御的應(yīng)急措施。

堵住系統(tǒng)漏洞

不少單位的信息系統(tǒng)中普遍存在SQL注入漏洞，非法用戶通過該漏洞創(chuàng)建控制語句提交給信息系統(tǒng)，往往就可以很輕松地盜得信息系統(tǒng)數(shù)據(jù)庫中超級用戶的登錄賬號，之后通過這個特權(quán)賬號進一步猜解信息系統(tǒng)登錄地址，同時登錄進去破壞系統(tǒng)數(shù)據(jù)庫數(shù)據(jù)。SQL注入漏洞可能是因為沒有對登錄賬號輸入進行合適過濾，或者對由API函數(shù)提交的系統(tǒng)數(shù)據(jù)庫查詢請求參數(shù)沒有過濾引起的。因為SQL注入基本都是從賬號輸入開始的，要是強制信息系統(tǒng)對所有登錄賬號輸入進行識別和過濾，那就可以堵住SQL注入漏洞了。如果信息系統(tǒng)是單位用戶自行開發(fā)研設(shè)的，那就只要調(diào)整或過濾“request.qerrystring”、“request.form”之類的請求參數(shù)，確?？梢赃^濾“select”、“%”、“#”等關(guān)鍵字。如果發(fā)現(xiàn)自己的信息系統(tǒng)是由免費代碼開發(fā)研設(shè)的，不妨嘗試使用信息系統(tǒng)內(nèi)置的預(yù)防SQL注入功能，來堵住SQL注入漏洞。

對于使用了免費代碼的信息系統(tǒng)來說，除了存在SQL注入漏洞外，還有可能存在ASP文件上傳這個安全漏洞，非法用戶通過該漏洞能向信息系統(tǒng)植入木馬，隨意對系統(tǒng)數(shù)據(jù)庫信息進行編輯、調(diào)整，甚至進行刪除等破壞性操作?？紤]到這種漏洞攻擊Windows服務(wù)器環(huán)境下的信息系統(tǒng)時，往往會用到FileSystemObject、Shell.Application、WScript.Shell、WScript.Network之類的系統(tǒng)組件，只要卸載這些組件，就能堵住ASP上傳漏洞。例如，在卸載WScript.Network組 件 時，可以逐一點擊“開始”、“運行”命令，展開系統(tǒng)運行文本框，在其中執(zhí)行“cmd”命令，輸 入“RegSrv32 WScript.Network /u”命令即可。此外，定期升級信息系統(tǒng)補丁程序，也能堵住系統(tǒng)漏洞。現(xiàn)在，很多信息系統(tǒng)之所以不安全，一個十分重要的原因就是，信息系統(tǒng)所在的服務(wù)器系統(tǒng)存在安全漏洞，只有及時安裝更新漏洞補丁程序，才能解決由漏洞引起的一系列系統(tǒng)登錄安全問題。所以，應(yīng)該養(yǎng)成定期更新漏洞補丁程序的良好習(xí)慣。

嚴(yán)控賬號權(quán)限

無論是在Windows服務(wù)器環(huán)境下，還是在Linux服務(wù)器環(huán)境下，管理員都能通過權(quán)限控制機制，來為不同類型的用戶賬號授予不同的登錄操作權(quán)限，確保信息系統(tǒng)登錄更加安全。以Windows服務(wù)器環(huán)境為例，管理員需要分別設(shè)置好標(biāo)準(zhǔn)賬戶、管理員賬戶、特殊賬戶的登錄權(quán)限。

標(biāo)準(zhǔn)賬號通常由登錄用戶自行創(chuàng)建，它隸屬于“Users”組，擁有普通登錄操作權(quán)限，該賬號可以運行信息系統(tǒng)中的大部分應(yīng)用程序。創(chuàng)建該賬號的操作很簡單，只要依次單擊“開始”、“設(shè)置”、“控制面板”命令，逐一點擊控制面板窗口中的“添加或刪除用戶賬戶”、“管理賬戶”、“創(chuàng)建一個新賬戶”選項，之后展開創(chuàng)建新賬戶的菜單，輸入好賬戶名稱，同時在下方選擇好標(biāo)準(zhǔn)用戶選項，確認(rèn)后保存設(shè)置即可。創(chuàng)建好新的標(biāo)準(zhǔn)賬號后，雙擊該賬號名稱，切換到對應(yīng)賬號管理對話框，按下“創(chuàng)建密碼”按鈕，設(shè)置好該賬號的登錄密碼，確保信息系統(tǒng)登錄安全。

管理員賬戶可以對信息系統(tǒng)進行最高權(quán)限的登錄操作，該類型賬戶可以分為信息系統(tǒng)內(nèi)置的“administrator”賬戶，以及登錄用戶自行創(chuàng)建的用戶賬戶，其 中“administrator”賬戶默認(rèn)無權(quán)對服務(wù)器系統(tǒng)文件進行修改或刪除。由于安全原因，有些版本的Windows服務(wù)器系統(tǒng)默認(rèn)禁用了“administrator”賬戶，要想重新使用該賬號時，可以有幾種不同操作方式。一是命令操作法。逐一點選“開始”、“所有程序”、“附件”、“命令提示符”選項，打開目標(biāo)選項的快捷菜單，點擊“以管理員身份運行”命令，彈出MS-DOS窗口。在其中輸入“net user administrator/active:yes” 命 令 并回車，這樣系統(tǒng)管理員“administrator”賬戶就會被成功啟用。以后想再次禁用該賬號時，只要在MSDOS窗口中使用“net user administrator /active:no”命令即可。二是窗口操作法。用鼠標(biāo)右鍵單擊系統(tǒng)桌面上的“我的電腦”或“計算機”圖標(biāo)，點選右鍵菜單中的“管理”命令，切換到計算機管理窗口，將鼠標(biāo)定位到“計算機管理（本地）”、“系統(tǒng)工具”、“本地用戶和組”、“用戶”節(jié)點上，雙擊指定節(jié)點下的“administrator”賬號，打開對應(yīng)賬號選項設(shè)置框，取消“賬戶已禁用”選項前面的勾號，同時勾選“用戶不能更改密碼”選項，確認(rèn)后退出設(shè)置對話框。這樣也能成功啟用“administrator”用戶賬號。

如果想創(chuàng)建一個其他名稱的系統(tǒng)管理員賬號時，可以依次選擇“開始”、“控制面板”、“所有控制面板項”、“用戶賬戶”、“管理賬戶”選項，在賬戶管理界面中按下“創(chuàng)建一個新賬戶”按鈕，彈出新賬戶創(chuàng)建對話框，設(shè)置好合適的系統(tǒng)管理員賬號名稱，同時選中“管理員”選項，點擊“創(chuàng)建賬戶”按鈕即可。創(chuàng)建好了系統(tǒng)管理員權(quán)限的賬號后，還必須為該賬號設(shè)置相對復(fù)雜的登錄密碼，確保該賬號的使用安全。

為了強制用戶創(chuàng)建更加安全的登錄賬戶，還需逐一點選“開始”、“運行”命令，在展開的系統(tǒng)運行框中輸入“gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運行狀態(tài)。將鼠標(biāo)跳轉(zhuǎn)到“本地計算機策略”、“計算機設(shè)置”、“Windows設(shè) 置”、“安 全 設(shè)置”、“賬戶策略”、“密碼策略”分支上，用鼠標(biāo)雙擊指定分支下的“密碼必須符合復(fù)雜性要求”組策略，切換到組策略選項設(shè)置框中，勾選“已啟用”選項，單擊“確定”按鈕后標(biāo)準(zhǔn)用戶以后在創(chuàng)建登錄密碼時，一定要符合復(fù)雜性要求。同樣地，根據(jù)實際要求，設(shè)置好密碼長度最小值、密碼最短使用期限、密碼最長使用期限等組策略。

Windows服 務(wù) 器 系統(tǒng) 中 還 有“system”、“trustedInstaller” 這些特殊類型的賬號，它們所擁有的登錄權(quán)限比“administrator”賬戶還高，所以對待特殊類型賬號，信息系統(tǒng)管理員應(yīng)該加以高度重視。與“administrator”賬號一樣，“system”賬號也是管理員級別的賬號，只是該賬號在登錄操作權(quán)限上有所不同。在平時對信息系統(tǒng)登錄操作的過程中，經(jīng)常會遇到無法清除頑固惡意程序、不能刪除數(shù)據(jù)、丟失密碼以及其他一些要求高權(quán)限操作的問題，對待這類問題，往往通過“system”這樣的特殊限賬號才可以解決?！皌rustedInstaller”賬號的登錄操作權(quán)限也比“administrator” 賬 號要高一些，它擁有最高的磁盤訪問權(quán)限。因此，當(dāng)遇到一些數(shù)據(jù)文件怎么也刪除不了時，可以考慮在“trustedInstaller” 賬號狀態(tài)下執(zhí)行文件刪除操作，相信操作多半會成功的?！皌rustedInstaller”賬號默認(rèn)對所有系統(tǒng)文件擁有完全控制權(quán)限，而“administrator”賬號往往只有“只讀”或“只讀和運行”等權(quán)限，這也是系統(tǒng)管理員登錄信息系統(tǒng)后，無法刪除系統(tǒng)文件的原因之一。

使用混合驗證

通過密碼進行登錄認(rèn)證有不少問題。簡單的密碼容易使重要數(shù)據(jù)遭受盜竊。復(fù)雜冗長的密碼內(nèi)容對登錄用戶來說不太方便，況且復(fù)雜的密碼也不一定絕對安全。非法用戶常常緊盯薄弱的環(huán)節(jié)，而當(dāng)前，登錄密碼正是最合適的攻擊目標(biāo)。非法用戶喜歡收集密碼數(shù)據(jù)庫，同時嘗試釣魚攻擊，引誘用戶泄露信息系統(tǒng)中的重要數(shù)據(jù)。

非法用戶會偷偷竊取合法用戶的登錄密碼，或者猜測密碼，同時在信息系統(tǒng)管理員不知情時悄悄使用密碼?；谶@些情況，管理員還是有其他一些能夠選用的密碼替代品或其他登錄驗證形式，而現(xiàn)在比較流行的選擇都是基于手機的。有些登錄驗證使用手機的短信內(nèi)容進行登錄驗證，而有些信息系統(tǒng)通過安裝在用戶手機上的“軟件令牌”，智能創(chuàng)建一次性登錄密碼，而有些信息系統(tǒng)通過公鑰基礎(chǔ)設(shè)施、數(shù)字證書以及生物識別進行登錄驗證。軟件令牌形式不一定非要在移動手機上，在普通臺式計算機、筆記本電腦甚至平板電腦上，它也會被經(jīng)常用到。

相對于密碼這種單重形式的登錄驗證，有些系統(tǒng)管理員開始喜歡上雙重認(rèn)證，而且其實現(xiàn)方法有很多種，達到的安全防范效果也不錯。特別要提醒的是，最健壯的雙重驗證包括一種物理組件和登錄密碼。從更廣泛的范圍來看，最健壯的雙重驗證或許是新USB安全密鑰。這些安全登錄措施雖然已經(jīng)出現(xiàn)了很長時間，不過僅僅是最近才開始應(yīng)用在終端計算機系統(tǒng)上。其他更安全的登錄驗證措施，還包括多重驗證、基于知識的驗證、第三因素認(rèn)證等。

強化全程追蹤

為了對信息系統(tǒng)的登錄訪問做到全程追蹤，系統(tǒng)管理員有必要采取安全日志記錄和審計措施，自動跟蹤、記錄任何登錄訪問操作。日后，一旦單位信息系統(tǒng)發(fā)生登錄安全問題時，管理員能夠通過查詢、分析相關(guān)安全日志記錄，來快速定位登錄安全問題產(chǎn)生的根源，同時可以拿出針對性的解決辦法來。至于怎樣設(shè)置安全審計和日志功能，管理員可以根據(jù)單位信息系統(tǒng)的實際情況來進行，一般對類似訪問控制、加密保護、系統(tǒng)登錄、網(wǎng)絡(luò)認(rèn)證這樣與安全有關(guān)的事件，都必須要啟用安全審計與日志記錄功能。