摘要:为适应日益网络化的电子政务工作要求,需要搭建对内对外的申报和管理平台,实现科技管理的信息化、科学化和网络化。科技管理系统的使用已经普及,基于网络环境下的科技管理系统的安全隐患也日益显露出来。因此,进行科技管理系统的网络信息安全防范十分必要。文章阐述了科技管理系统的安全现状,并给出科技管理系统的安全防范措施。
关键词:科技管理系统;安全防范
作者简介:范强贤(1975-),男,江苏连云港,高级工程师;研究方向:信息技术推广,信息平台建设,科技成果转化,科技创业孵化
随着我国信息技术的发展及适应日益网络化的电子政务工作要求,需要搭建对内对外的申报和管理平台,实现科技管理的信息化、科学化和网络化。科技管理系统的使用已经普及,基于网络环境下的科技管理系统的安全隐患也日益显露出来。因此,进行科技管理系统的网络信息安全防范十分必要。
1科技管理系统的安全现状
随着网络信息技术的迅猛发展,网络信息已成为人们日常工作和生活的重要载体,但网络信息系统是一把“双刃剑”,由于技术和社会等因素影响,网络在给人们带来方便、大幅度提高生产力水平的同时,其安全缺陷也给个人、单位乃至整个国家的信息安全带来了较大冲击。作为政府部门的科技管理外网,安全方面显得尤为重要。攻击者可以利用网络的一些缺陷,实行计算机网络攻击和入侵,造成数据的改写或损坏,用户的非法访问有可能造成敏感数据泄露、系统瘫痪、业务中断等。科技管理系统的网络安全风险主要表现在以下几种形式。(1)来自互联网的各种攻击行为。互联网的信息共享增加了安全防范的难度,黑客入侵、网络病毒入侵、非法访问、恶意破坏、越权使用资源、信息窃取等已经成为影响网络安全的普遍因素,其可能使用的常见技术手段包括:非法扩充权限、植入木马、拒绝服务攻击、利用系统漏洞、使用开放的端口、采用snifer等监听窃取非法手段获取数据。(2)来自科技管理系统外网内部或外部,包括伪造身份访问、篡改密码、数据等非法越权访问。(3)数据安全风险。科技管理系统在进行事务处理、项目审批等过程中,必然留下大量的个人、集体隐私信息,这些重要的数据意味着重大的经济利益,核心数据储存在计算机网络服务器必然有非法分子窥知,通常会利用病毒和黑客手段来非法获取,为己谋取非法经济利益。(4)非法逻辑访问的手段和方法很多,如:SQL注入攻击、逻辑炸弹、口令入侵等。根据有关调查,我国在网络安全方面的投入还不到网络建设资金总数的1%,比欧美国家更是低得多。各科技管理系统的建立也是各科技单位根据需要招标采购或是自行开发,由于资金和技术的限制,系统本身基本上只关注了客户需求的表面性功能模块的研发,由于企业对于安全问题的不重视或是存在侥幸心理,加上缺乏专门的技术人员和专业指导,对于科技管理软件网络安全的性能层面投入不多,管理软件的安全问题普遍不容乐观。
2科技管理系统的安全防范
2.1提高用户的安全防范意识
安全要防患于未然,需要不断提高自身的网络信息安全意识,学习防护知识,不断提高安全技能,制定防范措施和预案,赢得主动权才能确保网络信息系统安全可靠的运行。树立安全意识,强化责任,定期排查电脑病毒,防止用户名和密码随意泄露,严格按照安全管理规范运行操作,接入设备和数据来源一定要合法化,切忌随意接入网络和使用非法软件。针对科技管理系统业务过程的改造,因系统在大批量申报项目的使用人员中,用户名和密码的复杂化容易遗忘,使大多数用户在使用本系统时,宁可选择简单密码,因而存在系统登录时密码过于简单的普遍现象,对于恶意使用者非常容易通过用户名密码猜测登录,一旦登录成功,对有恶意行为的防范,面临崩溃。针对这种疏漏,首先采用登录注册时的固定电话锁定信息修改请求来源,方可修改使用人员的邮件或手机号码信息,再通过发送手机随机验证码或邮件随机验证码,从面完成密码的自主、便捷修改,在此基础上完成密码的繁杂化条件设定,减轻维护人员的压力,防范用户名、密码层面出现较大的疏漏。从这个意义上说,要面向业务过程,从代码级层面解决管理过程中技术维护的便利与安全性。针对业务进行安全关键技术研究的同时,也要开展制度建设和人员培训,更全面地解决安全防范。还要考虑到网络结构的可移值性,方便今后与科技创业服务大厦的设备及资源整合,不能造成资源浪费。
2.2加强科技管理系统网络安全技术的研究
虽然我国在不断地开发研究,但是现阶段的计算机网络安全技术仍旧与西方发达国家存在一定的差距,因此继续加强计算机网络技术安全性的研发工作非常有必要。可以通过引进国外先进技术建立自身核心安全管理技术,同时,要做好相关的技术结合工作,确保管理系统的安全。
2.3做好科技管理软件的技术防范
要求代码提供方进行全面的安全检测,对已有的服务器运行的平台代码进行全面检查,进行编程防范、数据库配置防范、操作系统配置防范。对数据库连接用户限制权限,按照不同类型操作用户建立独立账户,授予权限与操作相匹配,防止操作权限过多发生越权操作、权限与责任不对等。
2.4数据库账号创建与管理的安全防范
数据库安全系统首先要对每一名用户进行数据库账号的创立,任何用户在进行数据库操作时需要经过系统的安全设置检验。在这一环节中所有默认的数据库用户的账号被锁定与终止,如果需要激活某账号,则需要重新分配,建立自己的账号并进行管理是维护数据库安全的最佳尝试。对数据库的账号进行安全管理的实质是对具体操作进行分析并获取最终控制权。
2.5操作系统的配置防范
操作系统通常都提供一些安全功能,充分利用好系统提供的安全功能,也是有效防止攻击的重要手段之一。在实际工作中,通常可以利用不同的操作系统在安全方面的优势来防范攻击,对于安装的Windows系列操作系统而言,在硬盘分区时有FAT和NTFS两种方式可选,通常建议选择NTFS作为文件系统的格式,相比FAT文件系统,NTFS文件系统在性能、安全、可靠性方面提供了很多高级功能,通过它可以实现任意文件及文件夹的加密和权限设置、磁盘配额和压缩等高级功能,因此NTFS会更加安全。另外,操作系统提供的文件权限设置和加密功能保护数据库文件也是非常有效的安全防范手段。比如:如果应用系统采用IIS提供信息服务,就需要对Web站点目录设置合适的访问权限,一般情况下,不要给予目录以写入和允许目录浏览权限,只给予.ASP文件目录以脚本的权限,而不要给予执行权限等。根据目前科技管理系统中的实际情况,需要按照系统的应用特点分别进行安全分析和设计,将科技管理的安全提升到较高的安全级别,确保整个网络安全、稳健的运行。
2.6及时更新杀毒软件,配备防火墙
计算机网络安全在面对黑客以及病毒攻击时,如果没有专业性的病毒查杀软件,计算机网络安全系数将大大降低。所以,要为计算机安装正版的专业性较强的杀毒软件,设置自己的扫描日程,若没有自动地打描日程表,可以设定一个提醒装置,保障定期对计算机扫描,并及时更新杀毒软件。另外,要在计算机上安装防火墙,并对其进行合理、有效的设置,过滤信息报,屏蔽非信任的IP地址,禁止非信息IP访问科技管理系统,使入侵者必须先穿越防火墙安全设定才能进入到计算机。在使用防火墙的过程中,管理员应对防火墙显示的重要信息进行记录,否则无法及时发现、处理安全隐患。重点解决的关键技术问题,第一要从代码层级入手,解决平台安全漏洞,其次是建立全面的安全保障措施、灾备方案。
2.7加强计算机网络的访问控制
现在的网络覆盖面太广,人们几乎可以随时随地地登录互联网进行操作,因此,在访问网络之前,必须保证网络资源的安全性,才能够维护网络安全。由于大多数病毒都是通过服务器入侵到计算机的,因此在进行网络访问的过程中,必须加强网络服务器的安全控制工作。与此同时,网络管理员还应该加强网络监控的力度,对于可能导致安全隐患的页面全面锁定控制。与此同时,还应该定期对网络端口进行全面的安全检查,并且通过设置网络的进入权限,全方位地防范不法分子的入侵。为了确保在信息网络系统进行通信、处理和使用的信息内容,在各个物理位置、逻辑区域、存储于传输介质中,处于动态和静态过程中的保密性、完整性和可用性,以及与人、网络、环境有关的技术安全、结构安全和管理安全。简言之,安全就是保证网络信息系统的合法用户在允许的时间内、从允许的地点、通过允许的方法对允许范围内的信息进行允许的处理,同时能有效防范非法用户访问与攻击网络信息系统。
2.8防止垃圾邮件和反间谍软件的入侵
要防范垃圾邮件的入侵,不仅不能响应自己的电子邮件,也必须保护好自己的邮件的地址。同时,可以在邮件服务器、接受黑名单机器上设置垃圾邮箱锅炉功能,采用过滤器和黑名单降低垃圾邮件出现的几率,并保存合法文件。
3结语
总之,随着社会的不断发展,信息技术的广泛应用,科技管理软件水平也在不断进步,人们在享受它带来管理便利的同时,千万不能忽视技术和网络环境方面存在的安全问题,要把管理系统的安全防范工作作为一项系统工程,综合考虑技术、管理、制度、人员等各方面因素,全方位地解决安全问题,建立科技管理系统的安全、有效的保障体系。
作者:范强贤 单位:连云港市生产力促进局