论信息资源管理系统安全技术.docVIP

论信息资源管理系统的安全技术 　　【摘 要】信息资源管理系统相对其他软件而言，对于系统的安全性要求要更高，为了促使信息资源系统尽快解决好安全问题，消除外部威胁，本文以信息资源管理系统为研究对象，首先针对当前系统所面临的内部问题以及外部威胁进行了论述，接着从现下最为流行的网络安全技术谈起，分别阐述了各项技术的具体作用和原理，并指出仍然需要不断的完善网络安全管理制度以及升级更新相对应的安全技术 【关键词】信息资源管理系统；网络安全；数字签名 1.信息资源管理系统存在的安全问题 1.1系统操作平台存在漏洞 在完成对信息资源管理系统的操作过程中，用户必须基于操作平台方可实现。因为操作平台将为信息管理系统提供信息传输和接收的运行环境，但是一旦信息管理系统代码编写过程中出现漏洞的情况之下，必然会直接为系统带来一定的安全隐患，从而进一步影响到系统进程在合法权限之下的正常创建，如果非法进程实现入侵并控制了系统的操作平台，那么信息资源管理系统将会直接暴露到受外部病毒攻击的危险之中，进而使得系统的安全性受到极大的威胁 1.2网络环境存在外部威胁 由于信息资源管理系统必然会接入到网络之中，但是随之而来的则是开放的互联网网络环境中带来的威胁和隐患 首先第一点，当信息资源管理系统中的注册用户通过外部互联网来获取资源和信息时，必然会可能出现因为信息配置错误，或者口令输入有误而使得系统的入口被他人恶意窃取并侵入到其中来，从而影响到信息资源管理系统的安全性 第二点，当互联网中的非法用户通过合法注册，获取到系统登录权限后，很可能利用系统的安全漏洞，通过破坏网络传输协议，侵入到系统数据库中恶意篡改机密信息，这些致命攻击将使得信息资源受到严重的经济损失 第三点，互联网中的很多黑客为了通过非法入侵的手段来获得一些具有重要价值的资源信息，往往会通过信息资源管理系统的后台漏洞躲过安全防护机制，然后实行入侵，从而为其带来不可弥补的损失 综合以上三点可以看出，信息资源管理系统的安全问题在整个互联网领域当中仍然较为普遍，而且至今尚未被完全解决 2.信息资源系统安全管理中的关键技术 2.1动态口令技术 动态口令技术，从本质上而言，其实是用户借助服后台服务器的口令验算算法和密码算法进行动态生成登陆口令的一项技术。凭借这项技术，用户登录到系统中去的口令不仅无需强行记忆，而且具有不可重复性 目前，实现动态口令技术的方式主要由三种，分别是：口令序列认证技术、时间同步认证方式和挑战应答认证技术；口令序列认证的运行原理，重点在于系统内部设定的单向算法和Hash算法，这两种算法将帮助系统实现口令的认证与匹配，而且每一次登陆以后系统都会重新初始化。而时间同步认证则通过时间戳来控制用户的口令获取保持与系统同步，每当用户发送登录请求时，系统都会根据时间戳来计算出相应的口令，且该口令会被服务器加以认证，最后完成口令匹配过程以后就可登陆成功。挑战/应当认证技术相较前两种技术而言，其生成口令的方式略有不同，需要经过服务器通过特殊的内置算法，计算出用户应答数是否和挑战书相对应，当两者吻合则表示服务器接受挑战，然后通过口令认证 2.2数字签名技术 在当前，由于信息资源管理系统所保存、使用以及通信的各类信息大多是以电子的形式而存在的。因此，为了保证用户所获取以及上传的信息在验证时不受其他因素的干扰，从而破坏其完整性，数字签名技术也就逐渐开始被普及开来。数字签名，同传统蚊子签名相比，不仅在被验证时具有良好的兼容性，而且对于数据的唯一性和保密性也表现得非常优秀。具体来说，数字签名其实是通过一种特殊算法生成的一组比特串，然后帮助信息数据实现传输，其中数字签名会根据被签消息的具体类型而有所变化。从其分类上来说，如果按照消息的特征来分类，则可被分为单个消息的数字签名以及压缩消息的数字签名；如果根据签名用户的数量来分，则可被分为多用户数字签名和单用户数字签名 2.3 备份技术 备份技术主要是为了保证信息资源管理系统在面临特殊情况之下，仍然能够使得数据库内所存储的数据的完整性不被破坏，专门开设另外的硬件设备和软件资源来实现对重要数据的备份保护工作，从其类型来说，主要分为以下几种备份技术：l）硬件备份。2）系统备份。3）应用系统备份。4）数据备份 通常对于信息资源管理系统来说，两种数据备份方式会被结合起来使用，这样无论是面对系统的自动崩溃或者外界病毒的恶意侵入，还是出现数据大规模丢失、泄露的特殊情况，都能够确保数据得以完整恢复 2.4加密技术 为了保证信息资源管理系统内数据的安全性，隔绝非法操作以及越权行为给系统所带来的安全威胁，需要对系统数据库内的重要数据利用加密算法来完成加密。下面是当前常用的加密处理操作 l）文件加