办公管理信息系统的安全性研究
管理信息系统实验报告范文
管理信息系统实验报告范文管理信息系统实验报告范文「篇一」一、实验目的1、能够正确运用系统分析的过程与方法,结合一个自选MIS项目,复习、巩固MIS分析的目的、MIS分析的内容、MIS分析方法和工具,提高系统分析实践能力。
2、熟悉业务流程图、数据流程图、数据字典的绘制。
3、熟悉Rational Rose工具的使用, 熟悉UML在MIS分析中的应用。
4、树立正确的系统分析思想,培养分析问题、解决问题的能力。
二、实验内容1、根据所述系统功能需求,开展实地调查或通过Internet查阅相关资料或结合个人经验,进行系统分析。
2、明确管理业务调查过程和方法,包括所选管理系统典型组织机构、管理功能及业务流程,优化并以图形建模。
3、明确数据流程的调查与分析过程,绘制数据流程图,编制数据字典。
4、学会使用Rational Rose软件来进行系统分析,使用UML描述分析系统的用例图、概念类图、顺序图、合作图、活动图和状态图。
三、操作步骤系统分析系统运行为C/S+B/S模式,包括图书的采访、编目、流通、查询、期刊管理、系统管理、字典管理、WEB检索与发布等八个子系统,内含操作员权限管理、读者管理、著者管理、出版社管理、图书分类管理、书商管理、订单管理,附带在线帮助系统和多媒体功效,具有技术先进、功能完备、用户友好、可靠性强、安全性高、扩展性强、适用于多操作系统和经济实用等特点。
系统同时支持Client/Server和Internet两种环境,能够适应图书馆自动化、网络化管理的需求。
图书馆管理系统系统特点:①系统采用客户机/服务器(Client/Server) + 浏览器/服务器(Browser/Server)模式,所有信息均存放在数据库服务器上,各客户机通过网络与数据库服务器通讯,WEB 服务通过ADO 模型访问数据库服务器,数据与应用安全地隔离,可确保数据存放的安全性。
② 开放的数据库结构,可让用户完成扩展功能,数据存储的可靠性和安全性提供了全面有效的保护。
办公管理信息系统的安全性研究
2 0 1 3 年 第1 o 期I 科技创新与应用
办 公管 理信 息系 统 的安 全性 研 究
秦 华
( 成都铁路局成都通信段 , 四川 成都 6 1 0 0 5的起用和 日渐普及 , 信 息系统基本数据库的存储安全 、 办公信息传送安全 以及信息的手法者身份 证非常重要 , 关系到整个网络 系统的安全使用 , 是 办公管理信 息系统得 以正常运 用的基础和保 障。文章 分析 了 目前办公 系统存 在 的潜 在 的安 全 威 胁 , 并在 此 基础 上 提 出 了解 决 方 案 。
关键 词 : 办公 管理 信 息 系统 ; 安全性; 研 究
P K I 作为 一种安 全 的基 础设施 ,可 以为不 同用户 的不 同安全 需求 提 供多 种安全 服 务 , 主要 包 括认证 性 服务 、 数 据完 整 l 生服务 、 数据 保密 性 服务和不 可否认 l 生 服务等 。它不仅 提供证书授 权管理 , 考虑 了信 息 安 全 保密 胜 、 完整性 、 可用性 、 可控 陛以及 防否认 陛的全 面需要 , 并且 考虑 了以基础 设施 的方式 进行建 设 、 提供 服务 , 这是 至今 为止解 决网络 信息 安 全 问题 的诸 多方案 中考虑 问题最 全面 的一种解 决方案 。在办公 管理 信 息系统 中, 通过 P K I 技术 的应用 , 可 以很好 的实 现应用 系统 的安全设 计, 保证信息系统的安全。 4 P K I 应用系统 的主要作 用 方面: 4 . 1对力公 管理信 息系统身份认 证 的作 用 身份认证 系统是 办公管 理信 息系统 的一个 重要关 卡 ,是保 证办公 1 . 1数据保密; 防止信息被截获或非法存取而泄密。 1 _ 2对 象认证 : 通信 双方 对各 自通信 对象 的合 法性 、 真实 性进 行确 管 理信 息系统信息 安全方 面的一个非 常重要 的手 段 。比如 , 目前办公管 理 信息系统 应用 的身份认 证仍采 用 ” 用户名/ 口令 ” 的方式 来验证 用户 的 认, 以防第三 者假 冒。 这 种方式 存在着许 多安全 隐患 , 一 是 口令设 置的太 简单 可能会 1 _ 3数据完 整性 : 阻止 非法实 体对交换 数 据的修改 、 插入 、 删 除及 防 合 法 陛。 被 他人猜 出来或盗用 , 此 外 口令 在网络上传 输时可 能被监 听而 泄露 。 止 数据丢 失 , 导致不真 实 的信息 服务 。 1 . 4 防抗抵 赖 : 用 于证实 已发 生过 的操作 , 防止 交易 双方 发生 的行 为 了解决 这一安 全隐患 ,可以在办 公管理 信息 系统 中采 用 P K I 系 统 中数 字授权证 书将 用户身 份权 限绑定 , 替 代原先 的访 问控制 列表 的 为 抵赖 。 1 5 访 问控 制 : 防止非 授权用户 非法使用 系统资源 。 方法, 实现基 于数字证 书 的访 问控制 。 4 . 2对办 公管理信 息系统文 件处理 的作 用 2办公管理 息系统 潜在威胁 的处理方 式 文件 处理系统 是办公 管理信 息系统 的核心 组成部分 ,在其 安全 l 生 以上办 公管理 信息系统所 面临 的安全威胁 可 以通过 P K I 系统有效 加 以解决 。P K I ( P u b l i c K e y I n f r a s t r u c t u r e ) 是一 种遵循 标准 的利用 公 方面要 考虑 的主要是 如何对 力 公 文件进行 加密 盒签名处 理 ,防止文件 这种方 钥 加密技 术 ,他能够 为所有 网络应 用提供 加密盒 数字签 名等 密码服 务 的泄密和对签名抵赖。以往对文件加密通常使用对称加密方式, 及所必需的密钥和证书管理体系 , 简单来说, P K I 就是利用公钥理论和 式密钥 分配复 杂 , 管理 的难度 较大 ; 而 目前在 签名处 理上还 没有 实现 真 技 术建 立的提 供安全 的基础设 施 。用户 可 以用 P K I 平 台提供 的服务 进 正意 义 的电子签 名 , 容 易 出现签 名伪 造 , 签 名 重要 , 对签 名 文件 的篡改 行 安全 的电子交 易 , 通信和互 联网上 的各种 活动 。为解决 I n t e r n e t 的安 以及签名 的抵赖 等安全 隐患。 在办 公管理 息系统 中采用基 于 P K I 技术 的数字信 封可 以保证 文 全 问题 , 世 界各 国对其 进行 了多 年 的研 究 , 初 步形 成 了一套 完 整 的 I n — 生。数 字信封综 合 了对 称和不 对称加 密体 制 t e me t 安全解决方案, 即目前被广泛采用的 P K I 瑚 基础设施。P K I ( 公 件传 输的保 密性 和可认证 l 钥基础 设施 ) 技 术采 用证实 管理公钥 , 通过第 三方 的可信 任机构 _ c A认 的优 势 , 即不 直接使 用对方公 钥加 密 明文 , 而仅用 它保护实 际用 于加 密 只有 规定 的接 收者才能 阅 证 中心把用 户 的公 钥和用 户 的其 他标识 信息 捆绑在一 起 ,在 互联 网上 明文 的对 称秘钥 。这样在对 文件进行 加密 时 , 并 且每次 加密 信 息是 都使 用不 同 的随机 对称 秘钥 , 一 次一 密 , 验证用 户的身 份 。目 前, 通 用的办法 是采用建 立在 P K I 基 础之上 的数 字 读原 文 , 即使 某 次对称秘 钥被破 译 了 , 也 只会泄 露该 次 证书, 通过把要传输的数字信息进行加密和签名 , 保证信息传输的机密 密码 破译 的可能性 很小 , 不会影 响到其 它密 文的传递 。 同样 , 采 用基 于 P K I 技术 的 性、 真实性 、 完整性和不可否认 l 生, 从而保{ 正 信息的安全传输。P K I 是基 会话 的信 息 , 于公 钥算 法 的技术 , 为 网上 通信 提 供安 全服 务 的基 础设施 , 是创 建 、 颁 电子 签名对 文件 进行签名 , 使得 签名文档 的任何 改动都 会暴 露出来 , 保 并 且将 用户数字 证书 与数字公 章 紧密结合 , 使 发、 管理、 注销公钥证 书所涉 及到 的所有 软件 、 硬件 的集合体 。其核 心元 证 了签名 文档 的完整 陛 , 得数 字公章可 以唯一确 定签章者 的身份 , 保证 了签名 的不可抵赖性 。 素是数 字证 明 , 核 心执行 者是 C A认 证机构 。 建 立 一个安 全 、 高效、 稳定 的办公 管理信 息 系统 , 是信 息化 建设 发 3 P K I 应 用系统 的基 本组成 P K I 技术作 为信 息系统建设 中安全基础设 施的重要 组成 P K I 技术是信 息安全技 术的核心 。P K I 的基础技 术包 括加密 、 数字 展 的重要体现 。 可为办公管理信 息系统提供整体安全保障, 满足信息系统的保密 签名、 数据完整 性机制 、 数 字信封 、 双重数 字签名等 。—个典 型 、 完整 、 有 部分 , 完整性 、 可 控性 、 不 可否认 陛等安 全需求 , 在信 息化建 设 中必将 有着 效的 P K I 应用 系统至少 应具有 以下部分 : ( 1 ) 公 钥密码证 书管理 。( 2 ) 黑 性 、 名 单的发布 和管理 。 ( 3 ) 密钥 的备 份和恢复 。 ( 4 ) 自 动更 新密钥 。 ( 5 ) 自 动 良好的应用前 景 。 管 理历史密 钥 。( 6 ) 支 持交叉认 证 。 1力 公 管理 信息系统存 在的潜 在威胁 办公管理 信 息系统是基于先 进 的网络互 联基础 上 的分 布式 软件 系 统, 通过有 效 的资 源共享 和信 息交 流 、 发布 达到 提高 个人 工作 效 率 、 降 低 劳动强 度 、 减少 重复 劳动 的 目的 。它强调人 与人之 间 、 各部 门之 间 的 协 同工作 , 以及 相互之 间进行有 效的交 流和 沟通 。近 年 以 I n t r a n e t 为基 础的 O A构 造 出了人与 系统 和谐 的办 公环 境 , 实 现 内外 信息 传递 、 工作 日程安排 、 工作流应用 自动化等等, 极大地改变了传统办公室以人工为 主 的工作 方式 , 提 高 了管 理水平 和工 作效率 , 节约 了办公空 间 。但 同 时 也 带来 了许多 网络安全 问题 。其面 临的安全 威胁 主要表 现在 以下几个
办公信息系统安全检查
办公信息系统安全检查随着数字化时代的到来,办公信息系统在企业、学校等各个领域中扮演着不可或缺的角色。
然而,随之而来的是信息安全问题的增加。
保障办公信息系统的安全对于保护个人隐私、维护商业秘密以及防范网络攻击至关重要。
本文将介绍办公信息系统安全检查的重要性以及如何执行一次全面而有效的安全检查。
首先,进行办公信息系统安全检查是为了预防和发现潜在的威胁和漏洞。
不论是内部员工的不当使用,还是外部黑客的攻击,都可能造成系统崩溃、数据泄露以及信息丢失等严重后果。
通过定期进行安全检查,我们能够及时识别并修复可能存在的漏洞,加强系统的安全性。
其次,进行安全检查可以确保合规性。
随着数据保护法规的增加,各个行业都有自己的合规要求。
例如,金融机构需要保护客户的财务信息,医疗机构需要确保病人的隐私数据不会泄露。
通过进行安全检查,我们可以评估自己是否符合相关法规,并及时采取措施以防止违规行为的发生。
接下来,让我们了解一下如何执行一次全面而有效的办公信息系统安全检查。
1. 审查网络安全策略和规定:确保企业或机构制定了明确的网络安全策略,并与员工进行充分的培训,以确保他们了解并遵守相关规定。
2. 检查防火墙和入侵检测系统:审查防火墙和入侵检测系统的配置,并确保其能够及时检测并阻止潜在的攻击。
3. 审查密码策略和访问控制:评估密码策略的复杂性和有效性,并确认合适的访问控制措施已被采取,以限制未经授权的访问。
4. 检查数据备份和恢复策略:确保系统中的数据得到定期备份,并能够在系统崩溃或数据丢失的情况下进行快速恢复。
5. 网络漏洞扫描和安全漏洞修复:使用专业工具进行网络漏洞扫描,并及时修复发现的安全漏洞。
6. 检查移动设备管理:评估移动设备的安全性,并确保已实施适当的策略,以防止设备丢失或遭受未经授权的访问。
7. 审查网络日志和监控系统:确保网络日志和监控系统正常工作,并进行定期检查,以便及时发现异常活动。
通过以上的步骤,我们可以全面评估办公信息系统的安全性,并及时采取措施来修复和加固系统。
如何在远程办公中提高信息安全性
如何在远程办公中提高信息安全性在当今数字化的时代,远程办公已经成为一种常见的工作模式。
然而,伴随着远程办公的便捷性,信息安全问题也日益凸显。
如何在远程办公中确保信息的安全性,成为了企业和个人都必须面对和解决的重要问题。
一、加强员工的信息安全意识培训员工是信息安全的第一道防线。
很多信息安全事故的发生,往往是由于员工缺乏信息安全意识。
因此,企业需要定期为员工提供信息安全培训,让他们了解信息安全的重要性,以及在远程办公中可能面临的风险。
培训内容可以包括:如何识别钓鱼邮件和网络诈骗、如何设置强密码、如何避免在公共网络中泄露敏感信息、如何正确使用办公设备和软件等等。
通过实际案例的分析,让员工更加直观地了解信息安全事故的危害和后果,从而提高他们的警惕性。
此外,企业还可以制定信息安全手册,明确规定员工在远程办公中的行为准则和操作规范,让员工有章可循。
二、使用安全可靠的远程办公工具和平台选择合适的远程办公工具和平台是保障信息安全的基础。
企业在选择时,应优先考虑那些具有良好口碑、提供强大安全保障措施的产品。
例如,使用具有加密传输功能的远程桌面软件,确保数据在传输过程中不被窃取或篡改。
选择支持多因素身份验证的办公平台,如密码、指纹、短信验证码等,增加账户的安全性。
同时,要确保所使用的工具和平台能够及时更新补丁,修复可能存在的安全漏洞。
企业还应该对这些工具和平台进行定期的安全评估和监测,及时发现并解决潜在的安全风险。
三、建立完善的网络安全防护体系在远程办公环境中,网络安全至关重要。
企业需要建立完善的网络安全防护体系,包括防火墙、入侵检测系统、防病毒软件等。
防火墙可以限制外部网络对内部网络的访问,只允许合法的流量通过。
入侵检测系统能够实时监测网络中的异常活动,及时发出警报并采取相应的措施。
防病毒软件则可以防止病毒、恶意软件等对办公设备的侵害。
此外,企业还可以采用虚拟专用网络(VPN)技术,为远程办公员工提供安全的网络连接。
计算机系统安全性分析
计算机系统安全性分析摘要:1引言随着计算机科学技术的迅速发展和广泛应用,计算机系统的安全问题已成为人们十分关注的重要课题。
对计算机系统的威胁和攻击主要有两类:一类是对计算机系统实体的威胁和攻击;一类是对信息的威胁和攻击。
计算机犯罪和计算机病毒则包含了对实体和信息两个方面的威胁和攻击。
计算机系统实体所面临的威胁和攻击主要指各种自然灾害、场地和环境因素的影响、战争破坏和损失、设备故障、人为破坏、各种媒体设备的损坏和丢失。
对实体的威胁和攻击,不仅造成国家财产的严重损失,而且会造成信息的泄漏和破坏。
因此,对计算机系统实体的安全保护是防止对信息威胁和攻击的有力措施。
对信息的威胁和攻击主要有两种方式:一种是信息泄漏,一种是信息破坏。
信息泄漏是指故意或偶然地侦收、截获、窃取、分析、收集到系统中的信息,特别是机密信息和敏感信息,造成泄密事件。
信息的破坏是指由于偶然事故或人为因素破坏信息的完整性、正确性和可用性,如各种软硬件的偶然故障,环境和自然因素的影响以及操作失误造成的信息破坏,尤其是计算机犯罪和计算机病毒造成信息的修改、删除或破坏,将导致系统资源被盗或被非法使用,甚至使系统瘫痪。
2、计算机系统安全概述计算机系统(computersystem)也称计算机信息系统(ComputerInformationSystem),是由计算机及其相关的和配套的设备、设施(含网络)构成的,并按一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
计算机系统安全(computersystemsecurity)中的“安全”一词是指将服务与资源的脆弱性降到最低限度。
脆弱性是指计算机系统的任何弱点。
国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
”此概念偏重于静态信息保护。
也有人将“计算机安全”定义为:“计算机的硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄露,系统连续正常运行。
管理信息系统的安全性研究
题 以及可 以采取 的各种安全措施 , 并介绍 了S L注入式攻击及相应的防范措施。 Q 关键词 : 管理信息系统; 安全性; 安全措施; 软件体 系结构 ;Q S L注入
中图分 类号 :P 1 T 35 文献标 识码 : A 文章编 号 :02— 29 20 0 07 0 10 27 (06)4— 02— 4
Ab t a t T e s c rt f t e Ma a e n n om ain S s m s t e mo t i o tn r b e e sr c : h e u y o n g me t I f r t y t i h o e i h s mp ra t p o lms r — s a c e n o c r e y t e MI e eo e sa d u es T e p o a l e u t r b e n e C I — e r h d a d c n e n d b h S d v lp r n s i . h r b b e s c r y p o lms a d t OT i h e s o dn eal d s c r y sr tg e r r s n e o te s f r r h tc u e, aa a e s s m e u t p n i g d t i e u t tae i sae p e e td f m ot e ac i t r d t b s y t s c r y e i r h wa e e i
T e Se u i s a c fMa a e h c r y Re e r h o n g me tIf r t n Sy t m t n n o ma i s e o
LI Z n —h , —la , U he ua HE Pi in DAIW e i—d i
浅谈信息系统项目管理的安全管理
浅谈信息系统项目管理的安全管理随着信息技术的飞速发展,信息系统项目管理的安全管理变得越来越重要。
在信息系统项目管理中,安全管理是指项目团队通过一系列的管理措施和技术手段来保护信息系统的安全,确保系统正常运行,防范各种安全威胁。
本文将从信息系统项目管理的安全管理角度进行探讨,包括安全管理的重要性、安全管理的要点和安全管理的挑战等方面。
一、安全管理的重要性信息系统在各个领域的应用越来越广泛,如金融、医疗、教育、政府等。
这些系统中包含大量的敏感信息,一旦系统遭受到攻击或泄露,将会给组织和用户带来巨大的损失。
信息系统项目管理中的安全管理显得尤为重要。
安全管理可以保护信息系统。
通过对系统进行安全管理,可以及时发现和解决系统中存在的安全问题,避免系统遭受攻击或泄露,保护系统的正常运行。
安全管理可以保护用户隐私和权益。
信息系统中包含大量用户的个人信息和隐私数据,安全管理可以保护用户的隐私和权益,确保用户的信息不被泄露或滥用。
安全管理可以提高组织的声誉和信誉。
信息系统的安全问题一旦曝光,将会对组织的声誉和信誉产生负面影响,做好安全管理可以提高组织的声誉和信誉。
安全管理可以降低组织的经济损失。
一旦信息系统遭受攻击或泄露,将给组织带来巨大的经济损失,包括数据损失、系统维护成本、用户信任损失等,做好安全管理可以降低组织的经济损失。
由此可见,信息系统项目管理中的安全管理对于保护系统、用户和组织的利益都具有非常重要的意义。
在信息系统项目管理中,安全管理涉及到多个方面,包括技术手段、管理策略、人员培训等。
下面将针对这些方面进行具体的探讨。
1. 技术手段在信息系统项目管理中,安全管理的技术手段非常重要。
这些技术手段包括网络安全、数据加密、访问控制、漏洞修复等。
通过这些技术手段,可以有效地保护系统的安全,阻止各种安全威胁的侵害。
网络安全是保护信息系统的重要手段之一。
网络安全包括防火墙、入侵检测、虚拟专用网络等技术手段,可以有效地防范网络攻击和非法入侵。
信息系统安全需求分析
信息系统安全需求分析在当今数字化的时代,信息系统已经成为企业、组织乃至个人生活中不可或缺的一部分。
从企业的核心业务流程到个人的日常社交娱乐,信息系统的应用无处不在。
然而,随着信息系统的广泛应用,其安全问题也日益凸显。
信息系统安全需求分析作为保障信息系统安全的重要环节,对于识别潜在风险、制定有效的安全策略以及确保系统的稳定运行具有至关重要的意义。
信息系统安全需求分析的首要任务是明确系统的业务目标和功能需求。
只有充分了解系统的用途和预期效果,才能准确判断哪些方面的安全需求最为关键。
例如,一个在线金融交易系统,其业务目标是确保资金交易的安全和准确,那么对于数据的保密性、完整性和可用性就有着极高的要求。
而对于一个内部办公系统,可能更侧重于访问控制和数据备份恢复方面的安全需求。
在进行信息系统安全需求分析时,需要对系统的用户群体进行详细的分类和研究。
不同类型的用户,如管理员、普通员工、外部合作伙伴等,其对系统的访问权限和操作需求各不相同。
管理员可能需要拥有全面的系统管理权限,以进行配置和维护工作;普通员工则可能只需要访问与其工作相关的特定功能和数据;外部合作伙伴可能仅在特定时间段内获得有限的访问权限。
明确这些用户角色和权限,有助于制定精准的访问控制策略,防止未经授权的访问和操作。
数据是信息系统的核心资产,因此数据安全是信息系统安全需求分析的重点之一。
需要考虑数据在采集、传输、存储和处理等各个环节中的安全性。
对于敏感数据,如个人身份信息、财务数据等,必须采取加密措施,确保其保密性。
同时,要建立数据备份和恢复机制,以应对可能出现的数据丢失或损坏情况。
此外,还需要制定数据访问和使用的规范,明确谁可以在何种情况下访问和处理哪些数据,防止数据被滥用。
网络环境也是影响信息系统安全的重要因素。
分析系统所面临的网络威胁,如黑客攻击、病毒感染、网络监听等,并制定相应的防护措施是必不可少的。
这包括设置防火墙、入侵检测系统、防病毒软件等网络安全设备,以及采用安全的网络协议和加密技术,保障网络通信的安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
办公管理信息系统的安全性研究
随着办公管理信息系统的起用和日渐普及,信息系统基本数据库的存储安全、办公信息传送安全以及信息的手法者身份证非常重要,关系到整个网络系统的安全使用,
1 办公管理信息系统存在的潜在威胁
办公管理信息系统是基于先进的网络互联基础上的分布式软件系统,通过有效的资源共享和信息交流、发布达到提高个人工作效率、降低劳动强度、减少重复劳动的目的。
它强调人与人之间、各部门之间的协同工作,以及相互之间进行有效的交流和沟通。
近年以Intranet为基础的OA构造出了人与系统和谐的办公环境,实现内外信息传递、工作日程安排、工作流应用自动化等等,极大地改变了传统办公室以人工为主的工作方式,提高了管理水平和工作效率,节约了办公空间。
但同时也带来了许多网络安全问题。
其面临的安全威胁主要表现在以下几个方面:
1.1 数据保密;防止信息被截获或非法存取而泄密。
1.2 对象认证:通信双方对各自通信对象的合法性、真实性进行确认,以防第三者假冒。
1.3 数据完整性:阻止非法实体对交换数据的修改、插入、删除及防止数据丢失,导致不真实的信息服务。
1.4 防抗抵赖:用于证实已发生过的操作,防止交易双方发生的行为抵赖。
1.5 访问控制:防止非授权用户非法使用系统资源。
2 办公管理信息系统潜在威胁的处理方式
以上办公管理信息系统所面临的安全威胁可以通过PKI系统有效加以解决。
PKI(Public Key Infrastructure)是一种遵循标准的利用公钥加密技术,他能够为所有网络应用提供加密盒数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全的基础设施。
用户可以用PKI平台提供的服务进行安全的电子交易,通信和互联网上的各种活动。
为解决Internet的安全问题,世界各国对其进行了多年的研究,初步形成了一套完整的Internet安全解决方案,即目前被广泛采用的PKI-公钥基础设施。
PKI(公钥基础设施)技术采用证实管理公钥,通过第三方的可信任机构-CA认证中心把用户的公钥和用户的其他标识信息捆绑在一起,在互联网上验证用户的身份。
目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。
PKI是基于公钥算法的技术,为网上通信提供安全服
务的基础设施,是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。
其核心元素是数字证明,核心执行者是CA认证机构。
3 PKI应用系统的基本组成
PKI技术是信息安全技术的核心。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
一个典型、完整、有效的PKI应用系统至少应具有以下部分:(1)公钥密码证书管理。
(2)黑名单的发布和管理。
(3)密钥的备份和恢复。
(4)自动更新密钥。
(5)自动管理历史密钥。
(6)支持交叉认证。
PKI作为一种安全的基础设施,可以为不同用户的不同安全需求提供多种安全服务,主要包括认证性服务、数据完整性服务、数据保密性服务和不可否认性服务等。
它不仅提供证书授权管理,考虑了信息安全保密性、完整性、可用性、可控性以及防否认性的全面需要,并且考虑了以基础设施的方式进行建设、提供服务,这是至今为止解决网络信息安全问题的诸多方案中考虑问题最全面的一种解决方案。
在办公管理信息系统中,通过PKI技术的应用,可以很好的实现应用系统的安全设计,保证信息系统的安全。
4 PKI应用系统的主要作用
4.1 对办公管理信息系统身份认证的作用
身份认证系统是办公管理信息系统的一个重要关卡,是保证办公管理信息系统信息安全方面的一个非常重要的手段。
比如,目前办公管理信息系统应用的身份认证仍采用”用户名/口令”的方式来验证用户的合法性。
这种方式存在着许多安全隐患,一是口令设置的太简单可能会被他人猜出来或盗用,此外口令在网络上传输时可能被监听而泄露。
为了解决这一安全隐患,可以在办公管理信息系统中采用PKI系统中数字授权证书将用户身份权限绑定,替代原先的访问控制列表的方法,实现基于数字证书的访问控制。
4.2 对办公管理信息系统文件处理的作用
文件处理系统是办公管理信息系统的核心组成部分,在其安全性方面要考虑的主要是如何对办公文件进行加密盒签名处理,防止文件的泄密和对签名抵赖。
以往对文件加密通常使用对称加密方式,这种方式密钥分配复杂,管理的难度较大;而目前在签名处理上还没有实现真正意义的电子签名,容易出现签名伪造,签名重要,对签名文件的篡改以及签名的抵赖等安全隐患。
在办公管理信息系统中采用基于PKI技术的数字信封可以保证文件传输的保密性和可认证性。
数字信封综合了对称和不对称加密体制的优势,即不直接使用对方公钥加密明文,而仅用它保护实际用于加密明文的对称秘钥。
这样在对文
件进行加密时,只有规定的接收者才能阅读原文,并且每次加密信息是都使用不同的随机对称秘钥,一次一密,密码破译的可能性很小,即使某次对称秘钥被破译了,也只会泄露该次会话的信息,不会影响到其它密文的传递。
同样,采用基于PKI技术的电子签名对文件进行签名,使得签名文档的任何改动都会暴露出来,保证了签名文档的完整性,并且将用户数字证书与数字公章紧密结合,使得数字公章可以唯一确定签章者的身份,保证了签名的不可抵赖性。
建立一个安全、高效、稳定的办公管理信息系统,是信息化建设发展的重要体现。
PKI技术作为信息系统建设中安全基础设施的重要组成部分,可为办公管理信息系统提供整体安全保障,满足信息系统的保密性、完整性、可控性、不可否认性等安全需求,在信息化建设中必将有着良好的应用前景。