罗川

摘要：现如今，由于国家经济的迅速成长，计算机的应用逐渐普及。不管是从人们的日常生活需要中分析还是从人们工作角度分析，计算机在当今社会都有着不可替代的作用。计算机中的管理信息系统是种种应用于管理工作信息系统的抽象。具体来说，管理信息系统是一种基于管理科学理论，管理理念和管理活动的系统。而作为管理信息系统的一部分，计算机信息管理系统，在当今社会的发展中出现了一些让人头疼的弊端。该文将努力研究计算机管理信息系统存在的各种弊端，并根据具体情况给出相应的解决办法。

关键词：信息系统；弊端；对策

中图分类号：TP315 文献标识码：A 文章编号：1009-3044（2016）08-0110-02

计算机信息管理系统简称CIMS（computer information management system）是一种面向价值信息和基于计算机管理活动的系统，是在计算机硬软件和网络环境下，并通过现代信息技术处理后的一个人机交互的管理信息系统。它具有以现代计算机硬件和网络平台为处理环境，由人，信息技术（含数据文件）和运行规程三大元素组成，其核心部分是管理系统。CIMS能充分利用现代信息技术处理技术，自动或半自动采集，存储，处理，分析，传递和反馈重要的信息。

计算机信息系统弊端主要分为三种情况：一是由于计算机专业人员专业知识不扎实，操作能力低，职业道德素质差导致；二是由于国家对各类信息系统流入市场的监督不严；三是由于信息系统固有缺陷。

1 计算机信息系统弊端的表现形式

1.1 计算机信息系统内部数据不符合实际情况

计算机信息系统内部数据不真实是指计算机人员通过添加，减少，更改输入计算机核算系统的数据，或者输入伪造的业务和数据，并对已有业务进行变改，将原本完整的业务人为切割成若干部分，分次录入计算机信息系统，伪造输出数据，或者人为调整输出信息，非法进入计算机信息系统，篡改计算机核算系统生成的数据，利用内部控制信息系统的缺陷访问机密文件，破坏计算机系统硬件或者损坏其软件，包括制造或传播计算机病毒，企图瘫痪计算机信息系统，消除计算机内存信息数据等方式，造成计算机信息系统内部数据不符合实际情况。

1.2 计算机信息系统内部设计不完善

计算机信息系统内部设计不完善是指计算机信息在存储介质上的安全问题与系统本身的设计理念与代码等问题。一方面，TCP/IP协议数据流采用的是明文传输，因此计算机信息系统里面的信息很容易被盗取，篡改和伪造，特别是在使用FTP和TELNET命令时，如果用户的账号，口令是明文传输的，盗取者就可以使用sniffer等软件截取信息系统里面财会人员的用户账号和登陆口令。

2 计算机信息系统弊端的原因

2.1 计算机内部安全性差

计算机内部安全性包括通过实施计算机内部软件保护，保证软件安全，保证内部数据安全等。计算机内部安全的研究内容非常广泛，包括软件的防盗，操作系统的安全，磁盘上的数据防破坏，防盗取以及磁盘上的数据备份与恢复等。由于磁盘容量较大，存储数据方便，所以磁盘是目前存放计算机信息最常使用的载体。但由于磁性本身的介质都具有剩余磁效应现象，保留在磁性存储介质中的数据可能会使存储介质永久性磁化，所以保存在磁性本身介质上的数据可能会没有清除干净，永痕的保留在磁盘上。对于一些重要的信息，尽管已经使用擦除软件等手段擦除了信息。但如果擦除不彻底，就会在磁上面留下重要数据的迹印，一旦被别人利用，通过用强灵敏度磁头等一些放大器材可以将磁上的数据还原，造成计算机数据的泄密。

另外，在计算机操作系统中，使用类似格式化命名时format或删除命令del时，仅仅能破坏或删除文件的目录结构和文件指针等信息，磁盘上的原有文件内容仍然原封不动的保留在磁盘上，只要不在磁盘中另存放数据，使unformat等方法就可以非常完整地将在磁盘上的数据恢复出来。而且，在如今流行的windows操作系统下甚至可以从回收站找回被清除的信息数据，利用这些内部安全问题就能够盗取重要的机密数据。

2.2 计算机信息系统机密技术不强

计算机信息系统加密技术不强是指计算机信息系统中的信息很容易被盗密者利用计算机专业技术盗取。第一种方式就是盗密者通过唯密文的计算机技术方法对计算机系统的数据进行盗取。在这种方式下，盗密者除了拥有所截获的一些消息密文外，没有其他可利用的信息，盗密者通过尽可能多的密文去推算出加密信息的密匙，从而轻松的推算出信息系统的账户与登录密码。第二种方式就是盗密者已经掌握了相当数量的密文，并且已经了解一些明文密对，盗密者通过用加密信息想出用来加密的密匙或者一个算法，进而推算出信息系统财务人员登录系统的账号和密码。

2.3 计算机网络安全隐患

计算机网络安全是指网络系统的硬件，软件及其系统中的信息得到安全保障，不因偶然的原因而遭到破坏，篡改，泄露，系统安全连续可靠正常的运行，网络连接不中断。网络安全隐患主要由两大方面构成：一方面是由于计算机网络被攻击者从网络上盗取通信内容，这类攻击通常被称为被动攻击或者截获。另一方面是由攻击者通过主动攻击方式造成计算机网络安全隐患，常表现形式为攻击者修改原本的信息内容，这里也包括彻底中断传送的报文，甚至把完全伪造的报文传送给接收方。

2.4 计算机技术人员专业知识不扎实，操作能力不强，素质低

计算机信息系统的内部结构，运行情况，操作方法只有计算机专业技术人员才知道。内部程序的使用，篡改，只有通过专业知识才能正确的操作。计算机专业技术人员通过告诉他人信息系统内部操作方法，从中获取利益，这样的表现形式完全是由于计算机专业技术人员职业道德缺失造成的。另外，由于计算机专业在大学课程中整体难度较大，一般的人很难将其学精，学好，甚而至于有的计算机专业的学生打着是本专业人才的幌子，设计出低质价高，使用不便的信息系统。

3 计算机信息系统弊端的解决对策

3.1 建立网络信息各方面的安全体系

随着信息化时代的到来，计算机信息系统的网络安全问题也越来越复杂。因此，将计算机信息系统的网络划分为不同的业务区域，对计算机信息系统的每个版块进行不同等级的保护，是进行计算机信息系统安全保护的首要步骤。计算机信息系统网络安全是指同一个系统内，根据信息系统的信息，使用方面，安全目标和策略等元素的不同来划分不同逻辑的子网或网络，每个逻辑区域内部有相同的安全保护需求，相互信任，具有相同的安全访问权限控制和边界控制策略，而且相同的网络安全领域共享同样的安全策略。通过制定计算机信息系统网络安全分层保护可以使计算机网络整体架构更加清晰，为系统的安全规划和设计提供保障，同时也可以使得计算机网络安全问题的维护工作更加容易进行。另外建立网络安全体系也可以有效防范信息系统的网络安全问题。网络信息各方面的安全体系可以用边界防卫，入侵检测与安全反应等技术构成。其一通过使用数据加密，数据完整性检测，防火墙，访问控制和公正仲裁等方式将安全边界防卫设置在需要保护的信息周边，主要来阻止病毒入侵，黑客攻击，冒名顶替，线路窃听等试图盗取信息系统内部资料的行为。其二通过对行为，安全日志，审计数据或者其他网络上可以获得的信息进行操作，检测入侵者的攻击行为与正常用户的行为是否有明显的差异，以此来判断是否有入侵者想趁机破坏信息系统里面的信息，或者直接破坏信息系统的内部运行程序。

3.2加强计算机技术人员的继续教育

计算机技术人员的专业知识和实际操作能力会严重影响到信息系统软件的使用质量。因此，一方面，学校应加强重视对计算机专业技术人员的教育和实际操作能力的培训，全面提高计算机技术人员的专业能力。同时，计算机技术人员的职业道德素质也会严重影响整个社会信息系统的安全性，通过对计算机技术专业人员职业道德素质的教育，进一步提高计算机专业人员的职业道德素质，让他们时刻保持一颗正直，客观，公正，不为利益出卖职业道德的职业心；另一方面，计算机专业人员也应该自己进行进一步的自主学习，不管在什么时候，都应该保持学习的态度，时刻更新自己的专业知识，使自己的实际操作能力跟得上时代的步伐，设计出更符合时代进步的信息系统。

3.3 增强计算机信息系统的加密技术

所谓加密技术就是最广泛使用的保密措施，用各种方式把有用信息变为乱码传输，到达目的后再用技术手段还原信息。而计算机信息系统的加密技术是指通过加密的方法将财务人员的登陆账号和登录口令通过加密，产生不可理解的密文，让盗密者在破解时所花费的成本高于从盗取中所获得的收益，从而使盗密者主动放弃盗取财务人员账号和登陆密码的想法。

在当今社会必须要使用加密技术来保护信息系统中数据的安全。众所周知，使用互联网进行传输、发送计算机信息系统里面的信息是日常业务往来中的重要手段，但是互联网是基于TCP/IP协议存在，TCP/IP协议由于本身具有不安全性就需要引起人们的高度重视。为了保证信息系统内部资料的保密性安全，可采取的加密等保护措施，包括数据加密、身份认证和安全通信协议。数据加密是指发送方将一个消息通过加密密钥和加密函数转换为密文，而接收方就以相对称的方法还原成明文。第一，常见的数据加密技术可以分为三种，一是利用密钥加密技术，即利用一个密钥对消息加密，另一方得到消息后，使用同一个密钥进行解密。二是通过公开密钥加密技术，这种加密技术使用一对密钥进行加密，一个是公开密钥，一个是私有密钥。加密时使用公开密钥对信息系统内部资料进行加密，接受者收到信息可以使用私有密钥解密。三是不用考虑解密问题，用户只需要对自己的资料进行加密后，与原来的加密校对就可以了。

第二种是通过身份认证来加强信息系统内部资料的安全性，身份认证是指用户在登录系统前，必须让系统明白自己的身份，当用户身份的真实性得到确认后，系统才可以确定用户人员在系统中原先设好的操作权限。身份认证的方法常分为知识、令牌、生理特征和行为特征的身份认证等四种方法。通过上述的加密技术，能有效地保护信息系统内部资料的安全性、完整性。

3.4加强计算机信息系统安全管理措施

计算机信息系统保护安全管理的实施包括人员安全管理、系统建设安全管理和系统运维管理三个方面。首先是进行人员安全管理，依据国家计算机急响应中心发布的数据资料，在所有计算机信息系统安全事件中，约有百分之五十二是由人为因素造成的，因此，人员安全管理和控制是信息系统安全管理中的重要环节，是安全管理的关键，除加强法制建设，通过法律制裁形成威慑，并通过伦理道德教育，提高计算机技术人员的职业道德素质外，还应采取科学的管理措施，减少计算机专业技术人员作案的机态，其次是进行系统建设安全管理，由于系统建设的过程将在很大程度上决定信息系统的定位和雏形，系统建设初期的管理不善，很有可能会引起后期系统应用技术 的混乱，并进一步导致信息系统安全隐患的产生。所以，对于系统的建设应该建立一套完整的管理方案，用完善的管理措施对其进行管理，这样不仅仅可以保证建设过程的有序和安全，对于安全事件产生原因的追溯和补救措施的应用都有着非常有效的作用。信息系统建设管理包括系统定级，安全方案设计，产品采购和使用，自行软件开发，工程实施，测试验收、系统交付、安全服务商选择，系统备案和等级测试，最后是信息系统运维管理。传统的信息安全策略往往只着眼于防范来自外界的安全威胁和阻断试图进入系统内部的攻击。然而，只考虑外围的威胁已经不能满足现今系统的安全需要，系统运维管理主要的控制点包括环境管理、设备管理、资产管理、介质管理、密码管理、变更管理、网络安全管理、系统安全管理、恶意代码防范管理、安全事件处置、应急预案管理、备份与恢复管理、监控和安全中心管理共十三个控制点。

最后，企业在整个过程中也应扮演重要的角色，具体包括人员录用，人员离岗，人员考核和人员安全意识教育和培训。安全意识和教育是适当的并关联于员工的角色、职责和技能，应包括关于已知威胁的信息，向谁咨询进一步安全建设和合适的报告信息安全事故的渠道，可以包括信息安全风险与控制、法律责任、业务相关控制、信息处理设施的使用等。用人单位应制定安全教育和培训计划，针对不同岗位应制定不同培训计划，并按照计划对各类在岗人员进行安全意识教育，岗位技能培训和相关安全技术培训可以通过书面安全策略，员工签署业务保密协议，利用各媒体在单位内部宣讲安全问题，强制执行安全规定，鼓励员工蹲守职业道德精神。同时，应对安全责任和违法的惩戒措施进行规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒。

参考文献：

[1] 李超.信息系统安全等级保护实务[M].北京：科学出版社，2013.

[2] 武新华，张慧娟，李秋菊.加密解密安全攻略[M].中国铁道，2008（1）.

[3] 陈泽茂，朱婷婷，严博. 成璐信息系统安全[M]. 武汉：武汉大学出版社，2013.