郭建偉+陳佳宇+燕娜

摘 要：在信息化時(shí)代，科技情報(bào)業(yè)務(wù)對(duì)信息系統(tǒng)的依賴(lài)日益增強(qiáng)，相應(yīng)地，信息系統(tǒng)安全問(wèn)題已引起人們的關(guān)注。科技情報(bào)業(yè)務(wù)系統(tǒng)如果因系統(tǒng)軟硬件故障、黑客惡意攻擊、網(wǎng)絡(luò)病毒感染、文件非法拷貝而出現(xiàn)問(wèn)題，甚至癱瘓，將直接影響科技情報(bào)收集、分析、加工、發(fā)布等業(yè)務(wù)的正常運(yùn)行。

關(guān)鍵詞：科技情報(bào)；信息安全；信息系統(tǒng)；互聯(lián)網(wǎng)

中圖分類(lèi)號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2017）11-00-02

0 引 言

在構(gòu)建科技情報(bào)信息系統(tǒng)時(shí)，一定要充分考慮信息系統(tǒng)的安全問(wèn)題[1]，選擇適當(dāng)?shù)男畔踩夹g(shù)，構(gòu)建一個(gè)高效、安全的科技情報(bào)業(yè)務(wù)系統(tǒng)。本文將根據(jù)科技情報(bào)業(yè)務(wù)需要，結(jié)合實(shí)際工程經(jīng)驗(yàn)，介紹與科技情報(bào)業(yè)務(wù)相關(guān)的幾種信息安全技術(shù)?？萍记閳?bào)業(yè)務(wù)系統(tǒng)可根據(jù)實(shí)際情況，在系統(tǒng)的易用性、安全性和系統(tǒng)造價(jià)幾方面權(quán)衡，選擇適當(dāng)?shù)陌踩桨浮?/p>

宏觀(guān)上說(shuō)，信息安全就是通過(guò)密碼算法及相關(guān)軟、硬件保護(hù)個(gè)人信息和在互聯(lián)網(wǎng)上傳輸?shù)男畔ⅲ▌?dòng)態(tài)信息）[2]。PC端存儲(chǔ)固定信息；傳輸在互聯(lián)網(wǎng)上的信息則為動(dòng)態(tài)信息。數(shù)據(jù)加密技術(shù)是保證信息安全的方法，以防黑客盜取個(gè)人或公司的機(jī)密信息，同時(shí)保證合法用戶(hù)可查看正確的信息。計(jì)算機(jī)信息系統(tǒng)安全要求的具體內(nèi)容應(yīng)從五個(gè)安全層面、三個(gè)安全特性進(jìn)行考慮。五個(gè)安全層面是指實(shí)體層面（硬件系統(tǒng)，含設(shè)備、設(shè)施、介質(zhì)及環(huán)境）、系統(tǒng)層面（操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)）、網(wǎng)絡(luò)層面（網(wǎng)絡(luò)系統(tǒng)）、應(yīng)用層面（應(yīng)用系統(tǒng)）、管理層面（系統(tǒng)安全管理）。三個(gè)安全特性是指物理安全、運(yùn)行安全、信息安全。物理安全主要描述實(shí)體層面所涉及的硬件系統(tǒng)及其環(huán)境的安全；運(yùn)行安全則包括系統(tǒng)層面、網(wǎng)絡(luò)層面和應(yīng)用層面所涉及的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和應(yīng)用系統(tǒng)的運(yùn)行安全；信息安全則包括系統(tǒng)層面、網(wǎng)絡(luò)層面和應(yīng)用層面所涉及的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和應(yīng)用系統(tǒng)的信息安全。

1 與科技情報(bào)業(yè)務(wù)系統(tǒng)相關(guān)的安全技術(shù)

科技情報(bào)業(yè)務(wù)系統(tǒng)需要與內(nèi)部辦公系統(tǒng)、門(mén)戶(hù)網(wǎng)站等應(yīng)用系統(tǒng)集成，系統(tǒng)用戶(hù)可以是內(nèi)部工作人員、客戶(hù)以及遠(yuǎn)程合作伙伴等，需要充分考慮系統(tǒng)的安全性需求。在設(shè)計(jì)科技情報(bào)業(yè)務(wù)系統(tǒng)時(shí)，可采用的安全方案如下所示：

（1）結(jié)合公、私鑰技術(shù)、動(dòng)態(tài)口令等技術(shù)[3]，登錄系統(tǒng)采用一次一變認(rèn)證體制；

（2）真實(shí)用戶(hù)進(jìn)入系統(tǒng)后，通過(guò)權(quán)限分配獲得管理用戶(hù)和用戶(hù)的權(quán)限；

（3）利用簽、驗(yàn)服務(wù)，防止操作人員否認(rèn)已修改的數(shù)據(jù)；

（4）用戶(hù)操作利用審計(jì)模塊統(tǒng)計(jì)，設(shè)定合理的安全監(jiān)控措施；

（5）數(shù)據(jù)在傳輸過(guò)程中應(yīng)運(yùn)用合理的加密算法進(jìn)行保密[4]；

（6）采用自動(dòng)備份功能，加強(qiáng)對(duì)數(shù)據(jù)庫(kù)和系統(tǒng)中重要文檔、數(shù)據(jù)的備份；

（7）對(duì)數(shù)據(jù)庫(kù)關(guān)鍵字段可采用加密技術(shù)進(jìn)行加密保護(hù)[5]；

（8）加強(qiáng)操作系統(tǒng)升級(jí)、打補(bǔ)丁等日常安全管理措施；

（9）在開(kāi)發(fā)階段采用技術(shù)手段防止惡意登錄攻擊、SQL注入攻擊等常見(jiàn)的系統(tǒng)攻擊[6]。

2 訪(fǎng)問(wèn)控制

科技情報(bào)業(yè)務(wù)系統(tǒng)的客體分為兩種類(lèi)型，即靜態(tài)客體和動(dòng)態(tài)客體。

（1）靜態(tài)客體。已經(jīng)歸檔的調(diào)研報(bào)告、研究報(bào)告等屬于靜態(tài)客體，其內(nèi)容保持不變，與訪(fǎng)問(wèn)控制策略有關(guān)的安全屬性也不變。靜態(tài)客體主要用于查詢(xún)、統(tǒng)計(jì)等操作。

（2）動(dòng)態(tài)客體。動(dòng)態(tài)客體的內(nèi)容會(huì)在流轉(zhuǎn)過(guò)程中發(fā)生變化，其安全屬性也會(huì)不斷變化。在流轉(zhuǎn)過(guò)程中可被各級(jí)人員處理的就屬于動(dòng)態(tài)客體。動(dòng)態(tài)客體在“歸檔”后轉(zhuǎn)化為靜態(tài)客體。

對(duì)于靜態(tài)客體，采用基于RBAC的規(guī)則，即先設(shè)置角色的權(quán)限屬性，再對(duì)用戶(hù)設(shè)置所屬角色?？梢詮慕巧幍目v向（如行政級(jí)別）與橫向（如職能部門(mén)）兩個(gè)邏輯管理層上定義角色的權(quán)限范圍?？v向邏輯管理層側(cè)重于同一職能范圍內(nèi)各級(jí)別部門(mén)與人員之間的業(yè)務(wù)處理，而橫向的邏輯管理層主要側(cè)重于在同一行政級(jí)別上各職能部門(mén)之間的業(yè)務(wù)協(xié)作。定義了角色的屬性后，系統(tǒng)管理員只需為用戶(hù)指定角色，即可完成權(quán)限設(shè)定操作。

對(duì)于動(dòng)態(tài)客體，可定義動(dòng)態(tài)客體在情報(bào)處理流轉(zhuǎn)階段的安全屬性，及主體在各流轉(zhuǎn)階段對(duì)客體的控制權(quán)限。這種對(duì)靜態(tài)客體和動(dòng)態(tài)客體分別授權(quán)的優(yōu)點(diǎn)是權(quán)責(zé)明確，操作簡(jiǎn)便，可在復(fù)雜的流轉(zhuǎn)系統(tǒng)中對(duì)數(shù)據(jù)進(jìn)行多級(jí)別的保護(hù)，尤其在發(fā)生人員調(diào)動(dòng)和崗位調(diào)整時(shí)，可大大減少系統(tǒng)管理員的工作量。

3 單點(diǎn)登錄

單點(diǎn)登錄（Single Sing On，SSO）[7] 即在一個(gè)多系統(tǒng)共存的環(huán)境下，用戶(hù)在一處登錄后，就不用在其他系統(tǒng)中登錄，即用戶(hù)的一次登錄能得到其他所有系統(tǒng)的信任。單點(diǎn)登錄在大型網(wǎng)站里使用得非常頻繁，SSO的核心在于統(tǒng)一用戶(hù)認(rèn)證，它可被看作是一個(gè)認(rèn)證服務(wù)器，所有的登錄、認(rèn)證請(qǐng)求都在這里完成，然后分發(fā)到相應(yīng)應(yīng)用。采用單點(diǎn)登錄的好處有以下幾方面：

（1）用戶(hù)信息的一致性。對(duì)于保證整個(gè)系統(tǒng)用戶(hù)信息的一致性有非常重要的作用和好處，同時(shí)也方便了后期整個(gè)系統(tǒng)的維護(hù)和升級(jí)。

（2）用戶(hù)操作的方便性。單點(diǎn)登錄系統(tǒng)的建立，對(duì)于用戶(hù)在各子系統(tǒng)中來(lái)回自由切換非常方便和有利。

（3）方便系統(tǒng)的安全模塊升級(jí)和維護(hù)。由于單點(diǎn)登錄是將整個(gè)大系統(tǒng)中的用戶(hù)靜態(tài)、動(dòng)態(tài)信息和密鑰作為一個(gè)模塊進(jìn)行定制和維護(hù)，保證了安全，因此，各應(yīng)用系統(tǒng)宜采用此方法對(duì)用戶(hù)的動(dòng)態(tài)、靜態(tài)信息和密鑰進(jìn)行管理和維護(hù)。

4 數(shù)字簽名

數(shù)字簽名就是通過(guò)某種密碼運(yùn)算生成一系列符號(hào)及代碼，組成電子密碼進(jìn)行簽名[8]。

數(shù)據(jù)簽名基于組合密鑰和對(duì)稱(chēng)加密算法建立數(shù)字簽名和簽名驗(yàn)證協(xié)議，采用智能卡和加密卡硬件設(shè)備建立客戶(hù)機(jī)端簽名系統(tǒng)和驗(yàn)證中心的簽名驗(yàn)證系統(tǒng)，采用符合國(guó)家商用密碼標(biāo)準(zhǔn)的SM1算法，保障數(shù)字簽名系統(tǒng)安全可靠，驗(yàn)證協(xié)議高效快速。

5 安全傳輸通道endprint

安全套接層協(xié)議（Secure Socket Layer，SSL）是一種安全傳輸協(xié)議，該協(xié)議最初由Netscape企業(yè)發(fā)展而來(lái)，目前已成為互聯(lián)網(wǎng)上用來(lái)鑒別網(wǎng)站和網(wǎng)頁(yè)瀏覽者身份和服務(wù)器的合法性認(rèn)證工具。

認(rèn)證用戶(hù)和服務(wù)器的合法性，使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶(hù)機(jī)和服務(wù)器上。客戶(hù)機(jī)和服務(wù)器都有各自的識(shí)別號(hào)，這些識(shí)別號(hào)由公開(kāi)密鑰編號(hào)。為驗(yàn)證用戶(hù)是否合法，安全套接層協(xié)議要求握手交換數(shù)據(jù)進(jìn)行數(shù)字認(rèn)證，以此來(lái)確保用戶(hù)的合法性。

加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。安全套接層協(xié)議所采用的加密技術(shù)既有對(duì)稱(chēng)密鑰技術(shù)，也有公開(kāi)密鑰技術(shù)。在客戶(hù)機(jī)與服務(wù)器進(jìn)行數(shù)據(jù)交換前，交換SSL初始握手信息，在SSL握手信息中采用各種加密技術(shù)對(duì)其加密，以保證其機(jī)密性和數(shù)據(jù)的完整性，用數(shù)字證書(shū)進(jìn)行鑒別，以防止非法用戶(hù)對(duì)其進(jìn)行破譯。

保護(hù)數(shù)據(jù)的完整性。安全套接層協(xié)議采用Hash函數(shù)和機(jī)密共享的方法來(lái)提供信息的完整性服務(wù)，建立客戶(hù)機(jī)與服務(wù)器之間的安全通道，使所有經(jīng)過(guò)安全套接層協(xié)議處理的業(yè)務(wù)在傳輸過(guò)程中都能完整、準(zhǔn)確地到達(dá)目的地。

6 日常安全管理措施

若操作系統(tǒng)存在漏洞，將會(huì)給不速之客和惡性病毒可乘之機(jī)，所以很有必要查找并修補(bǔ)操作系統(tǒng)漏洞。首先徹底掃描科技情報(bào)業(yè)務(wù)系統(tǒng)上的每臺(tái)服務(wù)器和客戶(hù)端，查清其漏洞情況。除了經(jīng)常追加最新補(bǔ)丁外，考慮到很多攻擊SQL數(shù)據(jù)庫(kù)的病毒主要針對(duì)該賬號(hào)口令為空的情形，“sa”賬號(hào)一定要設(shè)置復(fù)雜口令，同時(shí)避免將“sa”帳號(hào)的密碼寫(xiě)于應(yīng)用程序或腳本中?？刹捎秒S機(jī)數(shù)技術(shù)防止攻擊者對(duì)系統(tǒng)惡意登錄攻擊。每次刷新登錄頁(yè)面，系統(tǒng)都會(huì)產(chǎn)生一個(gè)由隨機(jī)數(shù)字和字母組成的圖片，用戶(hù)登錄時(shí)必須正確輸入這些隨機(jī)產(chǎn)生的字符（即驗(yàn)證碼），否則不能進(jìn)入系統(tǒng)。這是一個(gè)非常常見(jiàn)且易于實(shí)現(xiàn)，但實(shí)際效果很好的防止惡意攻擊的方法，采用驗(yàn)證碼可防止攻擊者通過(guò)不斷嘗試登錄來(lái)增加數(shù)據(jù)庫(kù)進(jìn)行驗(yàn)證時(shí)的負(fù)擔(dān)，尤其對(duì)一些非手工的嘗試性登錄進(jìn)行攔截，以減輕服務(wù)器的壓力。使用圖片則是為了防止某些軟件通過(guò)代碼直接讀取驗(yàn)證碼的內(nèi)容，避免通過(guò)查看源文件輕易獲取驗(yàn)證碼字符串。

7 結(jié) 語(yǔ)

為防止因系統(tǒng)軟硬件故障、黑客惡意攻擊、網(wǎng)絡(luò)病毒感染、文件非法拷貝而出現(xiàn)問(wèn)題導(dǎo)致網(wǎng)絡(luò)癱瘓，本文選擇適當(dāng)?shù)男畔踩夹g(shù)，構(gòu)建一個(gè)高效、安全的科技情報(bào)業(yè)務(wù)系統(tǒng)，可有效保障系統(tǒng)安全，具有良好的社會(huì)效益。

參考文獻(xiàn)

[1]李紅艷.科技情報(bào)系統(tǒng)安全體系結(jié)構(gòu)研究[D].西安：西安電子科技大學(xué)，2010.

[2]張浩.基于LSM的安全審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2006.

[3]謝曉東.基于數(shù)字證書(shū)的身份認(rèn)證技術(shù)研究[D].青島：中國(guó)海洋大學(xué)，2009.

[4]劉平.淺談網(wǎng)絡(luò)數(shù)據(jù)的加密傳輸[J].電腦知識(shí)與技術(shù)（學(xué)術(shù)交流），2008，1（3）：421-424.

[5]徐軍，盧建朱.數(shù)據(jù)庫(kù)字段安全分級(jí)的加密方案[J].計(jì)算機(jī)工程，2008，34（4）：179-180.

[6]張卓.SQL注入攻擊技術(shù)及防范措施研究[D].上海：上海交通大學(xué)，2007.

[7]肖俊才，薛婧.單點(diǎn)登錄（SSO）系統(tǒng)在電子政務(wù)中的應(yīng)用[J].電腦知識(shí)與技術(shù)（學(xué)術(shù)交流），2011，7（10）：6856-6858.

[8]吳素研，李瑛，胡祥義，等.基于組合對(duì)稱(chēng)密鑰帶加密數(shù)字簽名方法的研究[J].電子科技大學(xué)學(xué)報(bào)，2009，38（S1）：75-78.endprint