1、管理信息系统的安全论文:管理信息系统的安全策略探讨摘要:随着管理信息系统越来越广泛深入的应用,安全问题也越来越引起人们的关注和重视,如何防范对信息系统的破坏已成为管理信息系统在建设和运行时必须考虑的重要问题。论述了管理信息系统安全策略问题。关键词:管理信息系统;安全策略;MIS1 基于信息系统的网络连接模式的安全策略传统的MIS 系统的核心是 C/S(Client/Server- 客户端/服务器)架构。我们不难看出:C/S 模式主要由客户应用程序、服务器管理程序和中间件 3 个部分组成,由于客户端实现与服务器的直接相连,没有中间环节,因此响应速度快;CS配备的是点对点的结构模式,适用于局域网、
2、安全性可以得到可靠的保证。国内目前的大部分 ERP(财务)软件运用比较广泛。由于服务器连接个数和数据通信量的限制,这种结构的软件适于在用户数目不多的局域网内使用,因此有一定的局限性。再者一个企业拥有一种制度模式,从而导致系统(应用软件)标准不统一,缺少通用性,业务的变更,需要重新设计和开发,增加了维护和管理的难度,因此进一步的业务拓展困难较多,因而不适合企业现代化的发展。随着 Internet 获得愈来愈广泛的应用,采用 C/S 结构软件必然会制约企业未来的发展。从而促进着基于局域网的企业网开始采用 Internet 技术来构筑或改建自己的企业网。基于 Internet 的 MIS 系统的核心
3、是BS(Browser/Server-浏览器/服务器)架构。我们可以看出:所谓 B/S 结构,就是只安装维护一个服务器(Server) ,而客户端采用浏览器(Browse)运行软件,即浏览器/服务器结构。由于浏览器的出现,使得客户机具有统一的浏览器客户端软件,而且方便了用户的使用;其跨平台的、一点对多点及多点对多点的应用软件结构,实现了信息的共享,提供了用户交流的广阔的平台。由于其一对多的特性应用服务器运行数据负荷较重,一旦服务器崩溃或发生其他问题,后果将不堪设想。再者 B/S 结构建立在广域网之上,实现了信息资源的共享,但同时面对着众多客户端,从而给 B/S 的安全带来很大的挑战。因此企业会
4、将资金大量投入到服务器设备的扩容和安全方面上去。系统网络结构数据库服务器在防火墙里面,Web 服务器在外边,也可以在防火墙里面,可以在 Internet 上,也可在 Intranet 上。核心管理人员通过内部局域网访问数据库服务器,一般使用者可以通过内部局域网或互联网访问 Web 服务器,浏览者可以通过互联网访问 Web 服务器。接入模式基于信息系统的网络相关的安全策略:硬件方面我们可以使用防火墙等技术实现,在这里就不做介绍了,结合下面的技术我们要讨论的是,基于网络编程设计对 B/S 架构进行局部划分管理,以 ASP 技术进行简单的说明:在这里可以在利用ASP 的对象来实现,那么可以简单 f
5、对一定范围内的用户进行一个简单的划分,假定划分 IP 段内的用户具有访问login.asp 的权限,那么可以先用 Request 对象的ServerVariables(“REMOTE_ADDR ”)来获取客户端 IP,让后在第 8 期用条件语句来判断用户是否合法,不合法的用户使用 Re-sponse.End 程序终止当前程序,具体可以通过以下程序实现(假定 172.16.102.*段内的用户具有访问权限):我们可以总结出使用网络架构、防火墙技术及网络编程设计可以实现管理信息系统简单的安全防御,那么单方面的应用一定具有局限性,如何更好的服务于管理信息系统安全防范呢?我们在前面已经做出了通信安全的
6、分析,那么如何实现存储安全防范呢?我们将从数据库的角度作为切入点。2 基于数据库的安全策略信息数据是企业中非常重要的资源,因此保证数据库的安全可靠、正确有效是非常重要的问题。一般的数据库管理系统(DBMS )都有提供了一定的数据保护功能。数据库保护也称为数据控制,主要包括数据的安全性、完整性、并发控制和数据库的恢复等。数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。由于数据库系统中存放着大量的数据,且为许多用户所共享,因此安全性问题是必须首先要解决的。一般计算机系统中的安全措施是按照“用户标识和鉴别” 、 “DBMS 存取控制” 、 “操作系统(OS)级安全控制”
7、、 “(数据库)DB 密码存储”来一级一级设置的。那么我们结合前面所述的通信安全,通过用户权限来浅析管理信息系统的存储安全问题。可以看出页面或软件是具体的应用程序,位于数据库结构的最顶端,直接面向着广大用户;数据库位于结构的最底端,即服务器的物理存储上,其物理特性相对安全;而联系应用程序与数据库的纽带则为 DBMS。数据库的两种映射将数据的定义和描述可以从应用程序中分离出去保证了数据库系统具有较高的逻辑独立性和物理独立性。因此能够利用应用程序与存储模式和存储设备的独立性,对之进行行之有效的安全设计。就以 ASP 技术进行简要的说明:首先对应用程序建立数据库信息,创建一个授权用户的信息表(用户名
8、和密码) ,一个简单的二维表,来描述用户权限。再次,在网络服务器上创建数据库 DSN。通过控制面板的 ODBC 数据源管理器对 DSN 进行设置,在 Web 服务器上打开“控制面板” ,选中“ODBC” ,在“系统 DSN”下选“添加” ,选定你希望的数据库种类、名称、位置等。即使在没有任何用户登录的情况下,也可以提供对数据库 DSN 的访问支持。在多个页面使用我们可以通过 Session 来实现控制。如果有很多网页需要传送数据,就可以很简单的通过 DSN 文件路径来完成而不需要传送数据到每个页面了。出于安全考虑,DSN文件一般放置在主机目录的子目录中,这样不明访问者就访问不了这个目录。DSN
9、 文件需要在 ASP 和 ADO 一起访问数据库。名称为:“_dsn”在主机帐户的根目录中,那么我们可以把程序稍作改动来实现。例:Set thisfile=Conn.OpenTextFile(“dsn.txt” ),在这里就不详细介绍了。综上所述,管理信息系统是基于计算机与网络的一门科学,网络与数据库的并行使用,保障了其安全性,我们所做出的安全策略正是基于 MIS 核心技术的网络与数据库应用方面,所构造的即为混合式接入模式的、基于网络编程与数据库应用的多功能安全体系。参考文献:1薛华成.管理信息系统M.北京:清华大学出版社,2003.2曾学军.浅析 B/S 和 C/S 结构的开发与应用 J.电脑知识与技术(学术交流) ,2007(8).3吕锋.基于 Web 的网络数据库安全系统研究J.武汉工业学院学报,2003(2).4袁春华.基于 ASPNET 下 Web 应用程序的安全性探讨J.科技经济市场, 2007(5).5敬莉萍.浅谈数据库安全技术若干问题的探讨J .电脑知识与技术,2008(2).
