现在许多信息系统都是部署在 Windows、Linux服务器系统中的，可是这些服务器系统自身存在的弊端，让不少用户对信息系统登录安全存在不信任，怎样才能改善单位信息系统登录安全性呢？作为单位用户来说，虽然不能借助重写源代码措施来避免服务器系统存在的先天性不足，但还是可以进行一些参数配置或其他防护措施，让信息系统登录操作变得更安全。

加强网络防护

从实践情况来看，单位信息系统的网络安全应该包含两个方面，一个是传输网络的运行安全，另外一个是业务网络的运行安全。正常来说，传输网络的安全往往依赖信息系统网络基础设施服务商或供应商来保障，而业务网络的安全通常要单位管理员自行部署针对性安全策略来进行保障。

在单位信息系统中构建多层次病毒安全防护体系非常有必要。信息系统不管采用C/S结构还是B/S结 构，管理员都应该在每一节点部署防病毒软件，同时定期进行病毒库的升级、更新工作，保证防病毒保护措施的有效性。此外，也要重视防病毒保护措施的超前防御特性，对信息系统中可能被病毒恶意利用的重要数据加以重点保护。除了要部署防病毒软件外，管理员一定要在信息系统的内网、外网间以及系统的重要出口位置处部署防火墙，依照实际访问需求制定安全规则，来对信息系统的登录行为进行有效控制，确保实现有目的地允许、拒绝、过滤、检测，同时定期检查系统防火墙日志内容，从中发现潜在危险因素，快速拿出冗余防御、多层防御的应急措施。

堵住系统漏洞

不少单位的信息系统中普遍存在SQL注入漏洞，非法用户通过该漏洞创建控制语句提交给信息系统，往往就可以很轻松地盗得信息系统数据库中超级用户的登录账号，之后通过这个特权账号进一步猜解信息系统登录地址，同时登录进去破坏系统数据库数据。SQL注入漏洞可能是因为没有对登录账号输入进行合适过滤，或者对由API函数提交的系统数据库查询请求参数没有过滤引起的。因为SQL注入基本都是从账号输入开始的，要是强制信息系统对所有登录账号输入进行识别和过滤，那就可以堵住SQL注入漏洞了。如果信息系统是单位用户自行开发研设的，那就只要调整或过滤“request.qerrystring”、“request.form”之类的请求参数，确保可以过滤“select”、“%”、“#”等关键字。如果发现自己的信息系统是由免费代码开发研设的，不妨尝试使用信息系统内置的预防SQL注入功能，来堵住SQL注入漏洞。

对于使用了免费代码的信息系统来说，除了存在SQL注入漏洞外，还有可能存在ASP文件上传这个安全漏洞，非法用户通过该漏洞能向信息系统植入木马，随意对系统数据库信息进行编辑、调整，甚至进行删除等破坏性操作。考虑到这种漏洞攻击Windows服务器环境下的信息系统时，往往会用到FileSystemObject、Shell.Application、WScript.Shell、WScript.Network之类的系统组件，只要卸载这些组件，就能堵住ASP上传漏洞。例如，在卸载WScript.Network组 件 时，可以逐一点击“开始”、“运行”命令，展开系统运行文本框，在其中执行“cmd”命令，输 入“RegSrv32 WScript.Network /u”命令即可。此外，定期升级信息系统补丁程序，也能堵住系统漏洞。现在，很多信息系统之所以不安全，一个十分重要的原因就是，信息系统所在的服务器系统存在安全漏洞，只有及时安装更新漏洞补丁程序，才能解决由漏洞引起的一系列系统登录安全问题。所以，应该养成定期更新漏洞补丁程序的良好习惯。

严控账号权限

无论是在Windows服务器环境下，还是在Linux服务器环境下，管理员都能通过权限控制机制，来为不同类型的用户账号授予不同的登录操作权限，确保信息系统登录更加安全。以Windows服务器环境为例，管理员需要分别设置好标准账户、管理员账户、特殊账户的登录权限。

标准账号通常由登录用户自行创建，它隶属于“Users”组，拥有普通登录操作权限，该账号可以运行信息系统中的大部分应用程序。创建该账号的操作很简单，只要依次单击“开始”、“设置”、“控制面板”命令，逐一点击控制面板窗口中的“添加或删除用户账户”、“管理账户”、“创建一个新账户”选项，之后展开创建新账户的菜单，输入好账户名称，同时在下方选择好标准用户选项，确认后保存设置即可。创建好新的标准账号后，双击该账号名称，切换到对应账号管理对话框，按下“创建密码”按钮，设置好该账号的登录密码，确保信息系统登录安全。

管理员账户可以对信息系统进行最高权限的登录操作，该类型账户可以分为信息系统内置的“administrator”账户，以及登录用户自行创建的用户账户，其 中“administrator”账户默认无权对服务器系统文件进行修改或删除。由于安全原因，有些版本的Windows服务器系统默认禁用了“administrator”账户，要想重新使用该账号时，可以有几种不同操作方式。一是命令操作法。逐一点选“开始”、“所有程序”、“附件”、“命令提示符”选项，打开目标选项的快捷菜单，点击“以管理员身份运行”命令，弹出MS-DOS窗口。在其中输入“net user administrator/active:yes” 命 令 并回车，这样系统管理员“administrator”账户就会被成功启用。以后想再次禁用该账号时，只要在MSDOS窗口中使用“net user administrator /active:no”命令即可。二是窗口操作法。用鼠标右键单击系统桌面上的“我的电脑”或“计算机”图标，点选右键菜单中的“管理”命令，切换到计算机管理窗口，将鼠标定位到“计算机管理（本地）”、“系统工具”、“本地用户和组”、“用户”节点上，双击指定节点下的“administrator”账号，打开对应账号选项设置框，取消“账户已禁用”选项前面的勾号，同时勾选“用户不能更改密码”选项，确认后退出设置对话框。这样也能成功启用“administrator”用户账号。

如果想创建一个其他名称的系统管理员账号时，可以依次选择“开始”、“控制面板”、“所有控制面板项”、“用户账户”、“管理账户”选项，在账户管理界面中按下“创建一个新账户”按钮，弹出新账户创建对话框，设置好合适的系统管理员账号名称，同时选中“管理员”选项，点击“创建账户”按钮即可。创建好了系统管理员权限的账号后，还必须为该账号设置相对复杂的登录密码，确保该账号的使用安全。

为了强制用户创建更加安全的登录账户，还需逐一点选“开始”、“运行”命令，在展开的系统运行框中输入“gpedit.msc”命令，开启系统组策略编辑器运行状态。将鼠标跳转到“本地计算机策略”、“计算机设置”、“Windows设 置”、“安 全 设置”、“账户策略”、“密码策略”分支上，用鼠标双击指定分支下的“密码必须符合复杂性要求”组策略，切换到组策略选项设置框中，勾选“已启用”选项，单击“确定”按钮后标准用户以后在创建登录密码时，一定要符合复杂性要求。同样地，根据实际要求，设置好密码长度最小值、密码最短使用期限、密码最长使用期限等组策略。

Windows服 务 器 系统 中 还 有“system”、“trustedInstaller” 这些特殊类型的账号，它们所拥有的登录权限比“administrator”账户还高，所以对待特殊类型账号，信息系统管理员应该加以高度重视。与“administrator”账号一样，“system”账号也是管理员级别的账号，只是该账号在登录操作权限上有所不同。在平时对信息系统登录操作的过程中，经常会遇到无法清除顽固恶意程序、不能删除数据、丢失密码以及其他一些要求高权限操作的问题，对待这类问题，往往通过“system”这样的特殊限账号才可以解决。“trustedInstaller”账号的登录操作权限也比“administrator” 账 号要高一些，它拥有最高的磁盘访问权限。因此，当遇到一些数据文件怎么也删除不了时，可以考虑在“trustedInstaller” 账号状态下执行文件删除操作，相信操作多半会成功的。“trustedInstaller”账号默认对所有系统文件拥有完全控制权限，而“administrator”账号往往只有“只读”或“只读和运行”等权限，这也是系统管理员登录信息系统后，无法删除系统文件的原因之一。

使用混合验证

通过密码进行登录认证有不少问题。简单的密码容易使重要数据遭受盗窃。复杂冗长的密码内容对登录用户来说不太方便，况且复杂的密码也不一定绝对安全。非法用户常常紧盯薄弱的环节，而当前，登录密码正是最合适的攻击目标。非法用户喜欢收集密码数据库，同时尝试钓鱼攻击，引诱用户泄露信息系统中的重要数据。

非法用户会偷偷窃取合法用户的登录密码，或者猜测密码，同时在信息系统管理员不知情时悄悄使用密码。基于这些情况，管理员还是有其他一些能够选用的密码替代品或其他登录验证形式，而现在比较流行的选择都是基于手机的。有些登录验证使用手机的短信内容进行登录验证，而有些信息系统通过安装在用户手机上的“软件令牌”，智能创建一次性登录密码，而有些信息系统通过公钥基础设施、数字证书以及生物识别进行登录验证。软件令牌形式不一定非要在移动手机上，在普通台式计算机、笔记本电脑甚至平板电脑上，它也会被经常用到。

相对于密码这种单重形式的登录验证，有些系统管理员开始喜欢上双重认证，而且其实现方法有很多种，达到的安全防范效果也不错。特别要提醒的是，最健壮的双重验证包括一种物理组件和登录密码。从更广泛的范围来看，最健壮的双重验证或许是新USB安全密钥。这些安全登录措施虽然已经出现了很长时间，不过仅仅是最近才开始应用在终端计算机系统上。其他更安全的登录验证措施，还包括多重验证、基于知识的验证、第三因素认证等。

强化全程追踪

为了对信息系统的登录访问做到全程追踪，系统管理员有必要采取安全日志记录和审计措施，自动跟踪、记录任何登录访问操作。日后，一旦单位信息系统发生登录安全问题时，管理员能够通过查询、分析相关安全日志记录，来快速定位登录安全问题产生的根源，同时可以拿出针对性的解决办法来。至于怎样设置安全审计和日志功能，管理员可以根据单位信息系统的实际情况来进行，一般对类似访问控制、加密保护、系统登录、网络认证这样与安全有关的事件，都必须要启用安全审计与日志记录功能。