浙江財(cái)經(jīng)大學(xué)信息學(xué)院 許佳澤

隨著信息時(shí)代不可阻擋地到來(lái)，計(jì)算機(jī)以及通信技術(shù)在以人們無(wú)法想象的速度發(fā)展著。其在技術(shù)層面很大程度上支持和保障了當(dāng)代經(jīng)濟(jì)信息管理系統(tǒng)的穩(wěn)定與安全發(fā)展，在整個(gè)系統(tǒng)中成為一項(xiàng)非常關(guān)鍵的技術(shù)手段和主要的實(shí)用工具。當(dāng)然，計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)不可避免地存在著一些脆弱性與特殊性，通常會(huì)被一些不法分子利用，破壞經(jīng)濟(jì)信息管理系統(tǒng)，這在當(dāng)今社會(huì)是非常惡劣和嚴(yán)重的。具體表現(xiàn)在不法分子的主要目的是牟取高額的經(jīng)濟(jì)暴利，對(duì)國(guó)家非常重要的經(jīng)濟(jì)信息管理系統(tǒng)，諸如銀行、房地產(chǎn)的交易、政府機(jī)關(guān)或者企事業(yè)單位、商業(yè)、稅收、期貨等的經(jīng)濟(jì)信息管理系統(tǒng)進(jìn)行非法的入侵，導(dǎo)致系統(tǒng)的功能、數(shù)據(jù)以及應(yīng)用程序的完整性和保密性遭到很大程度的破壞，有意地制作和傳播一些計(jì)算機(jī)病毒；通過(guò)計(jì)算機(jī)技術(shù)的應(yīng)用實(shí)行金融詐騙，或者對(duì)資金進(jìn)行盜竊和挪用；竊取國(guó)家的重要情報(bào)以及一些核心的商業(yè)機(jī)密。尤其值得一提的是，有些不法分子通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的運(yùn)用或者安裝無(wú)線(xiàn)裝置，從較遠(yuǎn)的距離實(shí)現(xiàn)侵入性的犯罪，他們使用的技術(shù)水平越來(lái)越高端和先進(jìn)，同時(shí)也具有越來(lái)越高的隱秘性，這使得經(jīng)濟(jì)信息管理系統(tǒng)存在的安全隱患更加令人擔(dān)憂(yōu)。

從當(dāng)前的發(fā)展來(lái)看，經(jīng)濟(jì)領(lǐng)域中各個(gè)部門(mén)的發(fā)展都越來(lái)越迫切地需要計(jì)算機(jī)及通訊網(wǎng)絡(luò)技術(shù)的支持，并將此技術(shù)進(jìn)行越來(lái)越廣泛的普及和推廣，對(duì)該技術(shù)也具有更大的依賴(lài)性，因而從辯證的觀點(diǎn)來(lái)看，它也就存在著越大的安全隱患。由此看來(lái)，系統(tǒng)安全所面臨的形勢(shì)是非常嚴(yán)峻的。目前專(zhuān)業(yè)人員與管理人員都已經(jīng)普遍地將關(guān)注的重點(diǎn)轉(zhuǎn)移到如何在技術(shù)與管理的層面采取策略上，從專(zhuān)業(yè)技術(shù)的方面進(jìn)行有效的防范和保護(hù)。

1 在技術(shù)層面維護(hù)系統(tǒng)安全的對(duì)策

(1)首先要注重信息安全機(jī)構(gòu)的建立和健全，要保證各方面的專(zhuān)業(yè)人員的配備都十分到位，將安全策略、原則以及進(jìn)行實(shí)施的具體方法都制定完備，同時(shí)做好后續(xù)的組織落實(shí)與管理和檢查工作。(2)安全技術(shù)方面的研究要加強(qiáng)，不斷更新技術(shù)水平，生產(chǎn)出新一代的信息安全產(chǎn)品。(3)要注重評(píng)估系統(tǒng)的安全系數(shù)，著眼點(diǎn)主要放在對(duì)數(shù)據(jù)的加密、管理密鑰、鑒別密碼、控制訪問(wèn)、提高數(shù)據(jù)的完整性、做好審計(jì)的安全保證以及對(duì)軟件的維護(hù)等方面，將信息安全標(biāo)準(zhǔn)進(jìn)行更加完整和完善的制備。(4)在對(duì)系統(tǒng)安全技術(shù)的研究上，應(yīng)當(dāng)將研究的方向和重點(diǎn)從單純的保密性及時(shí)地?cái)U(kuò)展為更加全面的信息安全研究，主要包括保密性、可用性以及完整性。(5)要對(duì)信息安全技術(shù)進(jìn)行定期的培訓(xùn)，及時(shí)地做好信息安全教育，保證專(zhuān)業(yè)和管理人員的素質(zhì)能始終保持在較高的水平。

2 要提高安全技術(shù)的針對(duì)性

對(duì)于計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)，它所具備的脆弱性是固有的、不可避免的。同時(shí)，計(jì)算機(jī)在對(duì)信息進(jìn)行處理時(shí)速度很快，重復(fù)性很大，這在潛在中就增大了系統(tǒng)安全所面臨的威脅。一旦有人捕捉到并利用了這些脆弱性，系統(tǒng)的安全性就會(huì)面臨嚴(yán)峻的威脅。所以，若想研究好安全技術(shù)，就必須明確經(jīng)濟(jì)信息管理系統(tǒng)的特點(diǎn)。具體來(lái)說(shuō)有以下幾個(gè)方面：

(1)數(shù)據(jù)具有較高的存儲(chǔ)密度。采用的介質(zhì)是磁性存儲(chǔ)，很容易遭到人為的破壞、刪除或者修改，而且不會(huì)留下明顯的痕跡。

(2)數(shù)據(jù)具有較強(qiáng)的可訪問(wèn)性。將代碼和口令盜用后就能夠非法性地進(jìn)入到系統(tǒng)之內(nèi)，并訪問(wèn)信息，復(fù)制或者刪改數(shù)據(jù)。

(3)利用網(wǎng)絡(luò)作案可以實(shí)現(xiàn)跨地域性。由于各個(gè)工作站可以共享網(wǎng)絡(luò)信息系統(tǒng)內(nèi)的資源，可以對(duì)通信線(xiàn)路進(jìn)行充分的利用，對(duì)數(shù)據(jù)進(jìn)行查詢(xún)、調(diào)用和修改。具有越大的網(wǎng)絡(luò)規(guī)模，所需要的線(xiàn)路就會(huì)越遠(yuǎn)，同時(shí)也會(huì)面臨更大的危險(xiǎn)性。

(4)具有較強(qiáng)的隱蔽性，在進(jìn)行作案時(shí)，它與正常操作基本相同，如果不具備一定的專(zhuān)業(yè)知識(shí)就很難進(jìn)行敏銳的辨別，外露痕跡并不非常明顯，作案后很難被人發(fā)現(xiàn)，即使發(fā)現(xiàn)后也很難對(duì)案件進(jìn)行偵破。

(5)技術(shù)水平較高，難以進(jìn)行防范，具有顯著的專(zhuān)業(yè)特點(diǎn)。對(duì)于計(jì)算機(jī)方面的專(zhuān)業(yè)人士來(lái)講，如果能夠熟諳系統(tǒng)，并將功夫下到位，安全防護(hù)就可以被突破；而若管理人員與安全人員的專(zhuān)業(yè)知識(shí)非常匱乏，當(dāng)有人在對(duì)信息進(jìn)行竊取和破壞時(shí)會(huì)讓人很難覺(jué)察。

3 對(duì)技術(shù)進(jìn)行分類(lèi)

3.1 保密性的技術(shù)

所謂的保密性，就是系統(tǒng)中的信息有進(jìn)行保密的要求，只有訪問(wèn)的方式被允許了，透露給被允許的人，通常情況下，為了防止泄露重要的信息，對(duì)信息進(jìn)行加密時(shí)要采用密碼技術(shù)，嚴(yán)格地限制機(jī)房的進(jìn)出人員，并結(jié)合起對(duì)操作人員的權(quán)限控制，以此進(jìn)行有效的管理。

3.2 可用性的技術(shù)

所謂的可用性，是指當(dāng)系統(tǒng)中的信息有一定的需要時(shí)，就可以對(duì)其進(jìn)行使用。并且當(dāng)訪問(wèn)的用戶(hù)具備合法性時(shí)，不能進(jìn)行拒絕。與此同時(shí)，不會(huì)因?yàn)橄到y(tǒng)出現(xiàn)了故障或者錯(cuò)誤的操作而造成信息的丟失，而且它還包括一些能力如當(dāng)出現(xiàn)一些不正常的情況時(shí)仍然能夠維持正常的運(yùn)行。從另一方面來(lái)看，要對(duì)非法人員試圖進(jìn)入系統(tǒng)的行為進(jìn)行及時(shí)的發(fā)現(xiàn)和阻止，并對(duì)合法用戶(hù)的非法越權(quán)操作進(jìn)行及時(shí)的拒絕。

3.3 完整性的技術(shù)

所謂的完整性，要求存在于系統(tǒng)中的信息是非常安全、精確和有效的。不會(huì)在人為因素的影響下出現(xiàn)信息內(nèi)容、形式和流向發(fā)生改變的情況。舉例來(lái)講，不能非法地復(fù)制、修改或者破壞系統(tǒng)原本的軟件和數(shù)據(jù)，在交換、傳遞以及存儲(chǔ)信息的過(guò)程中，應(yīng)當(dāng)能夠保證最終得到的信息的內(nèi)容以及順序是準(zhǔn)確而真實(shí)的。

4 針對(duì)性措施分述

4.1 以信息保密性為針對(duì)點(diǎn)的安全技術(shù)

密碼技術(shù)：密碼技術(shù)的運(yùn)用就是通過(guò)設(shè)計(jì)密碼來(lái)對(duì)信息進(jìn)行偽裝，使得無(wú)關(guān)人員無(wú)法對(duì)信息的真正含義作出準(zhǔn)確的理解。人員得到了合法化的授權(quán)后就可以對(duì)密碼進(jìn)行恢復(fù)得到明文，這樣即使竊取到了信息也無(wú)法對(duì)其進(jìn)行識(shí)別。

在設(shè)計(jì)密碼時(shí)，要注意密碼算法和密鑰這兩個(gè)重要因素。密碼算法主要是包括一些公式、法則以及運(yùn)算的關(guān)系。而密鑰充當(dāng)?shù)囊厥撬惴ㄖ械目勺儏?shù)。明文與密文之間存在的數(shù)學(xué)關(guān)系就是由密鑰決定的。進(jìn)行加密工作時(shí)，就是通過(guò)以密鑰為工具將明文進(jìn)行轉(zhuǎn)換使其變?yōu)槊芪?。而進(jìn)行解密時(shí)是將密文進(jìn)行還原，最終得到明文。

4.2 以信息可用性為針對(duì)點(diǎn)的安全技術(shù)

4.2.1 識(shí)別與驗(yàn)證

當(dāng)有人試圖進(jìn)入系統(tǒng)時(shí)，系統(tǒng)會(huì)對(duì)其身份進(jìn)行及時(shí)的識(shí)別和驗(yàn)證，使其能夠獲得合法身份。為了能夠更加準(zhǔn)確快捷地識(shí)別，每一個(gè)用戶(hù)都應(yīng)當(dāng)領(lǐng)導(dǎo)一個(gè)規(guī)定好的并且具有唯一性的標(biāo)識(shí)，常見(jiàn)的標(biāo)識(shí)主要包括口令、驗(yàn)證卡以及用戶(hù)特征這樣幾點(diǎn)。所謂的口令系統(tǒng)，是將系統(tǒng)中預(yù)先設(shè)置好的口令與用戶(hù)提供的口令進(jìn)行比對(duì)，以此來(lái)對(duì)用戶(hù)的身份進(jìn)行辨別。一般情況下，口令是由用戶(hù)進(jìn)行選擇的，在進(jìn)入時(shí)由用戶(hù)輸入口令，經(jīng)過(guò)系統(tǒng)的比對(duì)來(lái)確定用戶(hù)是否是合法的。而驗(yàn)證卡一般情況下都是磁卡或者IC卡，采取接觸式或者非接觸式的方法對(duì)人員進(jìn)行識(shí)別，識(shí)別的依據(jù)主要是用戶(hù)的指紋、語(yǔ)言等生物特征或者是簽名，具有較高的精度。

4.2.2 對(duì)訪問(wèn)進(jìn)行控制

做好訪問(wèn)控制，不僅能夠?qū)Ψ欠ㄓ脩?hù)進(jìn)入系統(tǒng)的企圖進(jìn)行及時(shí)的阻攔，而且能夠有效地防止合法用戶(hù)進(jìn)行的不合法操作行為。若要防止非法用戶(hù)進(jìn)入系統(tǒng)內(nèi)部，就需要對(duì)系統(tǒng)的識(shí)別與驗(yàn)證方式進(jìn)行嚴(yán)格的控制，這是一次控制；而要及時(shí)阻攔合法用戶(hù)的非法操作行為，需要對(duì)授權(quán)訪問(wèn)方式進(jìn)行進(jìn)一步的控制，這也被稱(chēng)為二次控制。所謂的二次控制也就是授權(quán)訪問(wèn)，通常情況下采用的原則是最小特權(quán)，也就是說(shuō)，用戶(hù)所擁有的權(quán)利只是最小的必須訪問(wèn)權(quán)的集合。要做好訪問(wèn)控制，需要按照用戶(hù)的需求對(duì)訪問(wèn)權(quán)限進(jìn)行具體的分類(lèi)。只有滿(mǎn)足最高級(jí)別的特權(quán)是由安全管理員擁有的，比如訪問(wèn)并操作系統(tǒng)全部資源的權(quán)利，分配或者收回用戶(hù)對(duì)某部分資源進(jìn)行訪問(wèn)的權(quán)利等。

4.3 以完整性為針對(duì)點(diǎn)的安全技術(shù)

4.3.1 軟硬件的可靠性要加強(qiáng)

在實(shí)際的操作過(guò)程中會(huì)遇到一些偶然性的事故，舉例來(lái)講有自然災(zāi)害，系統(tǒng)中軟硬件的突發(fā)性故障、由于用戶(hù)操作的失誤造成的覆蓋或者誤刪數(shù)據(jù)，由于沒(méi)有進(jìn)行恰當(dāng)?shù)目刂贫斐傻木W(wǎng)絡(luò)系統(tǒng)中數(shù)據(jù)的不一致，沒(méi)有成功地處理事物造成數(shù)據(jù)的丟失等。目前主要的工作是進(jìn)行積極有效的預(yù)防，使得人為出錯(cuò)得到最大程度的減少和避免，最為重要的一點(diǎn)，軟、硬件設(shè)備的可靠性應(yīng)當(dāng)進(jìn)行著力的提高。

4.3.2 對(duì)數(shù)據(jù)進(jìn)行過(guò)濾

針對(duì)一些不法分子對(duì)數(shù)據(jù)進(jìn)行有目的破壞的行為，采取的主要方式是進(jìn)行口令核對(duì)和權(quán)限驗(yàn)證，除此之外可以將功率器加到用戶(hù)與數(shù)據(jù)庫(kù)之間，在一方面，通過(guò)過(guò)濾用戶(hù)，保證用戶(hù)操作行為的合法性；從另一個(gè)角度來(lái)講，數(shù)據(jù)庫(kù)對(duì)用戶(hù)發(fā)送的數(shù)據(jù)會(huì)通過(guò)過(guò)濾器過(guò)濾，只有數(shù)據(jù)得到了用戶(hù)權(quán)限的允許，才能夠進(jìn)一步地回送給用戶(hù)，這樣才能夠有效地防止數(shù)據(jù)的非法破壞。

5 結(jié)語(yǔ)

目前，我國(guó)對(duì)于經(jīng)濟(jì)信息管理系統(tǒng)安全技術(shù)的研究尚處于萌芽階段，很多地方還很不成熟。站在針對(duì)系統(tǒng)本身進(jìn)行保護(hù)的核心技術(shù)的角度上來(lái)看，目前只是僅僅對(duì)一些從國(guó)外進(jìn)口的低級(jí)安全產(chǎn)品有了初步的了解和認(rèn)識(shí)，正在進(jìn)行努力的消化和不斷的嘗試。盡管通過(guò)應(yīng)用一些安全技術(shù)，在很大程度上保障了系統(tǒng)的安全，但是與安全的實(shí)際需求相比還是存在著較大的差距的。與此同時(shí)，就安全技術(shù)本身來(lái)說(shuō)，目前還處在不斷發(fā)展和完善的狀態(tài)，進(jìn)行防范和不法分子的破壞是一對(duì)主要矛盾。安全技術(shù)的控制和管理工作需要由人來(lái)操作和完成，當(dāng)權(quán)力過(guò)于集中在一個(gè)人的身上時(shí)，系統(tǒng)就會(huì)面臨很大的風(fēng)險(xiǎn)，尤其是，一些人的舞弊行為是無(wú)法通過(guò)安全技術(shù)來(lái)防范的。因而不能單純依靠技術(shù)的發(fā)展來(lái)解決問(wèn)題，而要通過(guò)完善各方面，使行政管理、人員教育等方面更加完美化。

[1]王璐玲.關(guān)注加拿大新《消費(fèi)品安全法案》[J].標(biāo)準(zhǔn)科學(xué),2010(05).

[2]朱成哲.民營(yíng)企業(yè)發(fā)展的法律保障[J].北方經(jīng)貿(mào),2004(06).

[3]袁翔珠.從網(wǎng)絡(luò)犯罪看我國(guó)的網(wǎng)絡(luò)立法[J].沿海企業(yè)與科技,2002(03).

[4]程宗璋.國(guó)企工作人員的玩忽職守犯罪是否應(yīng)追究其刑事責(zé)任[J].經(jīng)營(yíng)與管理,1999(03).

[5]黃素梅.論泛珠三角區(qū)域合作的法律保障[J].特區(qū)經(jīng)濟(jì),2006(09).