論信息資源管理系統的安全技術

邱定彬

（四川省阿壩州中等職業技術學校 四川 阿壩州茂 623200）

論信息資源管理系統的安全技術

邱定彬

（四川省阿壩州中等職業技術學校 四川 阿壩州茂 623200）

信息資源管理系統相對其他軟件而言，對于系統的安全性要求要更高，為了促使信息資源系統盡快解決好安全問題，消除外部威脅，本文以信息資源管理系統為研究對象，首先針對當前系統所面臨的內部問題以及外部威脅進行了論述，接著從現下最為流行的網絡安全技術談起，分別闡述了各項技術的具體作用和原理，并指出仍然需要不斷的完善網絡安全管理制度以及升級更新相對應的安全技術。

信息資源管理系統；網絡安全；數字簽名

1.信息資源管理系統存在的安全問題

1.1 系統操作平臺存在漏洞

在完成對信息資源管理系統的操作過程中，用戶必須基于操作平臺方可實現。因為操作平臺將為信息管理系統提供信息傳輸和接收的運行環境，但是一旦信息管理系統代碼編寫過程中出現漏洞的情況之下，必然會直接為系統帶來一定的安全隱患，從而進一步影響到系統進程在合法權限之下的正常創建，如果非法進程實現入侵并控制了系統的操作平臺，那么信息資源管理系統將會直接暴露到受外部病毒攻擊的危險之中，進而使得系統的安全性受到極大的威脅。

1.2 網絡環境存在外部威脅

由于信息資源管理系統必然會接入到網絡之中，但是隨之而來的則是開放的互聯網網絡環境中帶來的威脅和隱患。

首先第一點，當信息資源管理系統中的注冊用戶通過外部互聯網來獲取資源和信息時，必然會可能出現因為信息配置錯誤，或者口令輸入有誤而使得系統的入口被他人惡意竊取并侵入到其中來，從而影響到信息資源管理系統的安全性。

第二點，當互聯網中的非法用戶通過合法注冊，獲取到系統登錄權限后，很可能利用系統的安全漏洞，通過破壞網絡傳輸協議，侵入到系統數據庫中惡意篡改機密信息，這些致命攻擊將使得信息資源受到嚴重的經濟損失。

第三點，互聯網中的很多黑客為了通過非法入侵的手段來獲得一些具有重要價值的資源信息，往往會通過信息資源管理系統的后臺漏洞躲過安全防護機制，然后實行入侵，從而為其帶來不可彌補的損失。

綜合以上三點可以看出，信息資源管理系統的安全問題在整個互聯網領域當中仍然較為普遍，而且至今尚未被完全解決。

2.信息資源系統安全管理中的關鍵技術

2.1 動態口令技術

動態口令技術，從本質上而言，其實是用戶借助服后臺服務器的口令驗算算法和密碼算法進行動態生成登陸口令的一項技術。憑借這項技術，用戶登錄到系統中去的口令不僅無需強行記憶，而且具有不可重復性。

目前，實現動態口令技術的方式主要由三種，分別是：口令序列認證技術、時間同步認證方式和挑戰應答認證技術；口令序列認證的運行原理，重點在于系統內部設定的單向算法和 Hash算法，這兩種算法將幫助系統實現口令的認證與匹配，而且每一次登陸以后系統都會重新初始化。而時間同步認證則通過時間戳來控制用戶的口令獲取保持與系統同步，每當用戶發送登錄請求時，系統都會根據時間戳來計算出相應的口令，且該口令會被服務器加以認證，最后完成口令匹配過程以后就可登陸成功。挑戰/應當認證技術相較前兩種技術而言，其生成口令的方式略有不同，需要經過服務器通過特殊的內置算法，計算出用戶應答數是否和挑戰書相對應，當兩者吻合則表示服務器接受挑戰，然后通過口令認證。

2.2 數字簽名技術

在當前，由于信息資源管理系統所保存、使用以及通信的各類信息大多是以電子的形式而存在的。因此，為了保證用戶所獲取以及上傳的信息在驗證時不受其他因素的干擾，從而破壞其完整性，數字簽名技術也就逐漸開始被普及開來。數字簽名，同傳統蚊子簽名相比，不僅在被驗證時具有良好的兼容性，而且對于數據的唯一性和保密性也表現得非常優秀。具體來說，數字簽名其實是通過一種特殊算法生成的一組比特串，然后幫助信息數據實現傳輸，其中數字簽名會根據被簽消息的具體類型而有所變化。從其分類上來說，如果按照消息的特征來分類，則可被分為單個消息的數字簽名以及壓縮消息的數字簽名；如果根據簽名用戶的數量來分，則可被分為多用戶數字簽名和單用戶數字簽名。

2.3 備份技術

備份技術主要是為了保證信息資源管理系統在面臨特殊情況之下，仍然能夠使得數據庫內所存儲的數據的完整性不被破壞，專門開設另外的硬件設備和軟件資源來實現對重要數據的備份保護工作，從其類型來說，主要分為以下幾種備份技術：l）硬件備份。2）系統備份。3）應用系統備份。4）數據備份。

通常對于信息資源管理系統來說，兩種數據備份方式會被結合起來使用，這樣無論是面對系統的自動崩潰或者外界病毒的惡意侵入，還是出現數據大規模丟失、泄露的特殊情況，都能夠確保數據得以完整恢復。

2.4 加密技術

為了保證信息資源管理系統內數據的安全性，隔絕非法操作以及越權行為給系統所帶來的安全威脅，需要對系統數據庫內的重要數據利用加密算法來完成加密。下面是當前常用的加密處理操作。

l）文件加密：將涉及重要信息的文件進行加密，它是進入應用系統時解密，在退出應用系統時再進行加密。

2）記錄加密：記錄加密的操作對象主要是針對系統中的日志記錄，這些記錄由于涉及到系統的運行、后臺的數據交互信息，以及系統性能的記錄內容，因此需要通過加密算法完成加密。

3）字段加密：系統根據數據庫存儲數據的最小單位來完成對數據字段的加密操作，針對字段的加密算法現階段比較流行的主要有DES算法、基于多項式共享口令的算法等等。

3.總結

綜上所述，面對如今互聯網領域技術更新飛快的發展趨勢，為了更好地解決當今網絡環境中限制其發展的安全問題，就必須促使從事互聯網行業的工作者在大力發展網絡安全技術的同時還應當不斷完善一系列的網絡安全法律政策并且不斷加強人們的網絡安全意識和網絡道德。

[1]趙文勝.論信息安全的刑法保障[D].武漢大學，2014.

[2]萬敏.基于信息安全技術的高校學籍管理系統的開發研究[D].電子科技大學，2007.

[3]陳榮藝.電子政務中信息安全技術的應用研究[D].廣東工業大學，2013.

[4]史亞巍.我國政府信息資源管控研究[D].中央民族大學，2015.