MIS开发中信息安全对策研究.docVIP

MIS开发中信息安全对策研究 　　摘要：本文以项目开发为背景，分析了MIS开发及应用过程中存在的信息安全问题，并就此提出了相应的解决方案和对策。 　　关键词：MIS;信息安全;对策 　　● 引言 　　随着管理信息系统（MIS）的广泛应用，各企事业单位的信息处理方式发生了根本性的变化，信息管理效率得到了很大的提高。然而，管理信息系统在开发及应用过程中的信息安全问题却往往被开发人员所忽视，由此给用户带来了不可估量的损失，并且安全事件的发生呈现出逐渐增长的态势。如何保证和加强管理信息系统中的信息安全，已成为开发人员和用户迫切需要解决的问题。 　　● 信息安全问题分析 　　伴随着企事业单位信息化进程的加快，信息资源的价值也在快速体现出来。与此同时，MIS的安全问题日渐凸显，已成为信息时代人们必须要面临的挑战。分析其原因，有恶意攻击、安全缺陷、软件漏洞、结构隐患和环境因素等，而对于系统开发人员，安全问题产生的具体原因主要表现在以下几个方面。 　　1.开发人员的安全意识薄弱 　　在MIS的开发过程中，开发人员由于各种原因，把精力主要放在了系统是否能够满足用户的需要、是否具备用户要求的各项功能、是否能够按照约定时间完成开发任务等方面，却忽视了安全性这一关键问题。如此，难免会给用户将来管理各类信息留下安全隐患。究其原因，主要是由于开发人员对于信息的安全防范存在惰性，安全意识、观念比较淡薄。 　　2.系统设计中存在漏洞 　　系统安全的首要防线是建立完善的访问控制体系，阻止非法用户对系统敏感信息的访问。安全设计包括对后台数据的安全访问控制和通过前端界面对数据进行访问。然而，开发人员在系统设计过程中，可能由于某些原因没有充分考虑到这些问题，最终导致用户权限的分配不合理，模块间信息共享存在漏洞等问题，为信息安全留下诸多隐患。 　　3.开发的技术方法落后 　　半个多世纪以来，软件开发技术在理论、观念、目标和技术方法等方面都发生了巨大变化。 　　在软件分析与设计方面，从最初的单一程序开发发展到应用系统的结构化方法（DFD图、IDEF0图、软件结构图等），从结构化方法发展到面向对象方法（类、UML）;在软件开发语言方面，从最初的汇编语言发展到各种高级与中级语言，从平台有关到平台无关;在软件开发工具方面，从命令行调试到集成界面调试，再到可视化编程;在软件开发支撑环境方面，近年来出现了各种分布式软件开发技术（.NET、COM/DCOM、CORBA、Java RMI、JMS、EJB等），也涌现出各种中间件、各种数据库管理系统的新功能、两层及多层C/S体系、SOA、Web Service等。所有这些，都为软件开发的效率和质量带来了有力的保障。 　　然而，到目前为止，在大多数软件项目实施中完全采用新技术（如面向对象的方法），来分析与设计软件系统的情况远不如我们所想象的普遍，尽管大家都一再表示它应该是最佳的选择。但自顶而下，根据需求进行模块划分的方法仍然是现阶段软件行业的主流技术手段。 　　● 应对策略研究 　　MIS的开发是一个长期、复杂、庞大的系统工程，在开发过程中需要投入大量的人力、财力、物力等资源。为了最大限度地满足用户对信息管理的需求，提高信息管理的效率，保证信息的安全，我们提出了以下对策。 　　1.提高开发人员的安全意识 　　软件的安全性已经深深地影响到大众的生活、工作甚至国家安全，软件企业和开发人员需要承担起提供安全和保护隐私的责任，这也要求软件企业充分意识到风险的存在。第二届中国软件安全峰会就曾经把主题确定为“软件安全：意识比技术更重要”，彰显了会议主办方和策划者们对提高软件安全意识的迫切心情。 　　随着软件安全问题的日益突出，虽然各种解决方法被陆续提出。但是，作为软件项目开发人员首先应该通过提高安全意识来解决软件的安全问题。只有思想上引起足够重视，开发人员才会意识到软件安全的必要性和迫切性，才会去分析安全问题的产生原因，才会去研究安全问题的解决方法并提出解决方案。 　　2.加强系统的安全设计 　　（1）系统的访问权限设计 　　①后台数据库的安全访问控制。 　　数据库是MIS的后台，也是信息系统的核心。实现数据库的安全，也就是保证数据库中信息的完整、可用，并防止非授权用户窃取或篡改信息。保证数据库的安全是一项非常重要的工作，如果没有完整的安全性设计，就可能因数据库遭到破坏而导致整个系统瘫痪。 　　大中型的数据库管理系统（如SQL Server）都具有功能强大的数据安全体系。数据对象的增、删、改、查、运行等操作权限都可以分配给相应的用户。通过后台的权限分配设计，用户对数据对象进行操作时只能行使允许范围内的权限，而不能越权。 　　②前端软件界面的访问权限控制。 　　为了防止非法用户通过前端用户界面访问数据，信息系统在开发的过程中，也应该采取用户权限分配策