唐坤 刘静

摘要：伴随着当代网络信息技术的不断发展，网络安全方面的新挑战也随之而来。随着计算机对人们的生活越来越重要，网络安全的问题会被越来越重视，计算机信息系统建设中的网络安全问题已经不容忽视。本文从信息系统网络安全的重要性、存在的问题以及安全保障三个方面进行了分析。

关键词：计算机;信息系统;网络安全;应用

1 信息系统网络安全的重要性

自20世纪90年代开始，计算机技术飞速发展，社会随着信息技术的发展和创新也经历了庞大的变化和改革，这场变革存在于各行各业之中，占据了社会经济发展的重要地位。随着计算机网络技术的逐步提升，基于計算机网络设计开发的信息系统存在诸多特性，如多元性和公开性，但是在信息系统使用过沉重却存在逾权访问、敏感信息泄露、盗窃掌控权等威胁行为。

在信息技术迅速发展的当下，人们的生活逐渐离不开互联网，生活中的各个方面都会使用到互联网，在使用互联网处理生活中的衣食住行等各方面需求时，必然需要在网上输入个人相关信息，此时，就存在巨大的安全隐患，个人隐私的保护问题。随着大数据时代的到来，就算不输入任何信息，但系统还是会记录下你的网页浏览记录，悄无声息的将个人隐私泄露出去。在工作之中，人们通常使用聊天软件进行交流，如果在使用中不注意使用环境和场景，极有可能会泄露很多重要的商业信息以及商业机密等。站在经济角度来讲，不少黑客入侵是为了有意盗取重要资料来给公司造成重大商业损失。站在个人角度来讲，隐私权是每个人都合法拥有的，在互联网大数据时代，信息系统每时每刻都在收集着人们的信息，所有人的生活习惯等信息都在被悄无声息地记录着，这些对某个人来说没有价值的信息，被某些心怀不轨之人就加以利用之后就可能对个人造成重大伤害。

2 信息系统的网络安全问题

2.1信息系统的运行机制欠缺监管

互联网平台有着速度快、容量大等特点，随着移动互联网以及5G技术的迅速发展，每个人都可以轻松的使用互联网，在互联网上活动，互联网缩小了世界的距离，不管人们相隔多么遥远，只要有网络就可以分享自己的生活，而且运行成本低廉，这几点都是互联网带来的好处及优点，但互联网在缩短人们之间距离的同时，同样也给犯罪分子创造了机会。由于体量巨大，所以互联网的掌控尤其困难，如果缺乏管理规范，大量不法分子就可以乘虚而入利用网络安全漏洞及用户较差的网络防范意识，进行窃取用户信息、传播非法信息等危害互联网安全的行为。因此在互联网运行中，需要科学完备的管理方法，加大在网络漏洞、恶意病毒木马等多个方面的管理，才能有效遏制不法分子。

2.2信息系统自身存在漏洞

当前计算机网络一直采用的固定的IP协议制度，每一个互联网端口都使用一个自己固定独立的IP地址，然而，通过某些方法将IP地址进行修改，使信息系统内的数据库等敏感资源会对外界显露出来，互联网安全的相关协议在现阶段还并不完善，这些缺陷都给病毒和木马乘虚而入创造机会。病毒和木马的破坏性、传染性非常强，篡改及盗取计算机中的信息，严重的时候还会出现网络瘫痪。

3 信息系统的网络安全保障

3.1用户身份鉴别

认定登录到系统的用户。用户注册的时候，应标记注册用户，建议使用特定标记主键进行标记，在整个系统的生命周期中，需要保证用户标志信息系统的完整性和唯一性。需采用基于增强管控的口令，在用户出现异常重新登录或每次登录到系统时都需要使用该口令。为了确保身份鉴别的保密性和完整性，密码的存储和传输均采用加密机制处理，并限制登录次数和恶意试探登录，同一账号每次登录3次失败，系统自动退出，每天允许六次录入登录信息错误，超过六次账号将自动锁定。满足以下强化口令要求：（1）登录口令长度最低为十二位，至少每季度更新一次，新口令最低五次内不能再次出现;（2）采用毫无规则的混乱排序方法，必须使用符号加字母加数字的方式;（3）系统默认的账户、口令必须可以重新命名和更改。（4）如果上述对于口令的设置要求不被系统支持，则可以缩短更换时间，但应该使用系统支持的最大长度的口令;也可以使用一次性口令的认证方式。

3.2自主访问控制

系统为确保系统数据、应用数据的安全访问，采取了自主访问控制。访问主体对访问客体访问权限的设置叫作访问控制，严格的访问控制可以确保计算机系统在合法范围之内使用。自主访问控制是信息系统对授权之后的使用人进行权限上的访问限制，这样有利于对有客体的资源请求进行限制，从而禁止非授权的用户非法请求客体资源。不同权限级别的访问主体仅能访问限定范围的业务模块，且上级权限的访问主体可以控制自身创建客体的访问。

以数据库的方式存放系统内所有用户、业务数据，数据库的管理系统可以自主访问控制数据库的表级/记录、字段。对于表级的访问控制，通过oracle自带工具对不同权限的主体设定select、insert、update、delete权限;对于记录、字段级的访问控制，通过建立视图的方式进行操作权限限定。

3.3标记与强制访问控制

对于直接登录系统的主体，系统建立了3级权限管理，系统根据登录用户的不同级别展现不同的系统业务。可以设计如下强制访问控制措施：（1）划分权限应按系统特权用户进行，从而达到特权用户权限分开的目的，并且需要分配这些用户需要的最低权限配置来达到目的。（2）配置敏感标记，由安全管理人员对强制访问控制的策略所包含的主、客体进行配置，从而达到由系统按照约定规则强制性控制主体访问客体资源的行为。（3）对系统配置进行访问限制，必须采用基于角色的访问控制策略。

3.4安全审计

系统安全审计主要包括审计日志查阅、审计数据产生、审计日志存储。实时监控人员登录、硬件状态、软件业务操作、通讯状态等，进行安全日志记录，并对软件异常操作进行实时报警及操作控制，提高系统的安全性能。安全审计事件记录了系统访问主体对系统的访问事件，包括：主体身份、时间、事件描述、事件结果、事件类型、备注信息。不同的访问主体对应限定的业务功能操作权限，系统可全面记录所有访问主体对系统的访问情况，并提供记录查阅、追溯功能。