旅游企业管理信息系统中输入、处理、输出的都是重要的信息,有非常重要的经济价 值,特别是对于现在的开放式网络信息系统来说,系统很容易遭到非法人员、黑客和病毒 的入侵,传输的数据也可能被截取、篡改、删除。因此,加强系统安全管理非常重要。
4.5.1 影响旅游管理信息系统安全的因素
计算机信息系统的安全是指系统的硬件、软件和数据受到保护,不因自然的和人为的
原因而遭到破坏、更改和显露,计算机系统能连续正常运行。它包括硬件安全、软件安全、
数据安全和运行安全。影响它的因素是多方面的,归纳起来,有以下三大类。
1.人为因素
人为因素是指系统运行中由人的行为造成的不利因素,主要有两类。一类是系统的合 法使用者失误造成的损失,如操作失误、管理不善、录入错误、应急措施不足等。另一类 是故意制造的损失,即各种类型的计算机犯罪、计算机病毒制造和信息窃取、篡改等。
2.自然因素
自然因素是指各种由自然界、环境等的影响造成的对旅游管理系统的不利因素,如水 灾、火灾、雷电、地震以及环境空间中存在着的电磁波等。这一类因素的危害主要是针对 系统设备、存储介质、通信线路等的。
3.技术因素
技术因素主要涉及三个方面:第一是物理方面,主要是指计算机系统及各种附加设备 的管理与维护,包括主计算机系统的可靠与稳定、存储介质的保管、网络结构的合理与适 用、电源电压外变化或中断故障处理以及是否有电磁泄露抑制措施等;第二是软件方面,
主要是指软件(包括系统软件、支撑软件和应用软件)是否有重大缺陷,软件在发生故障 或者遭受破坏后是否具有自恢复能力等;第三是数据方面,主要指系统的数据保护能力,
如能否限制、制止数据的恶意或无意的修改、窃取和非法使用,有否数据的安全性、正确 性、有效性、相容性检查与控制等。
一个信息系统如果能够做到以下几点,则认为是安全的。一是能防止对信息的非法窃 取;二是可以预防泄露和毁坏事件的发生;三是在毁坏后的更正以及恢复正常工作的能力 较强,所需时间较短。
4.5.2 加强系统安全的常用措施
为了确保旅游管理信息系统的安全,可以在系统安全管理方面采取以下两项措施。
1.严格制度管理
加强管理可以从制度上对信息系统的安全起保护作用,它是信息系统安全最主要的一 道防线。在实际业务中,可以考虑制定如下具体管理制度:
(1)建立计算机管理和监察机构,制定系统安全目标和具体的管理制度。
(2)对计算机系统的关键场所,如主机房、网络控制室、数据介质库房和终端室,
应视不同情况进行安全保护,重要部位应安装电视监视设备,有的区域应设置报警系统。
(3)计算机系统启用前进行安全性检查,重要部门的计算机在启用前要报请有关部 门进行安全保密检查,如有否计算机病毒或逻辑炸弹等非法程序侵入等。
(4)执行主要任务的机构应该做到专机、专盘、专用;重要数据应定时、及时备份。
(5)采用口令识别、分级授权、存取控制等成熟的安全技术。
(6)进行安全审计,掌握非法用户访问或合法用户的非法操作,以便发现潜在的问 题,及时制止非法活动或者对刚出现的问题采取补救措施。
(7)禁止使用来历不明的磁盘,严禁玩游戏;慎重使用共享软件,尽量不从网上下
载软件,来历不明的电子邮件不要随便查阅。
2.加强宣传教育
开展计算机信息系统安全的宣传和教育工作,使社会全体人员了解计算机信息系统安 全的重要性,提高个人修养,加强职业道德,是保障信息系统安全,杜绝隐患的重要工作 内容。西方有一句名言:Ignorance is the computer felon,s first line of defense(无知是计算 机犯罪的第一道防线),当我们对于计算机安全问题有了明确的了解,并加以警惕以后,一 切针对系统的影响、干扰与破坏就会得到有力的控制。
4.5.3 保障系统安全的主要技术对策
为了保证旅游管理信息系统的安全,可以考虑采用以下常用的技术对策。
1.安全监视技术
安全监视技术是一种采用监视程序对用户登记及存取状况进行自动记录以保护系统 安全的方法。用户登记包括对用户进入系统的时间、终端号、用户回答口令的时间与次数 等情况的自动记录。为了防止非法者进入,监视系统将对口令出错达到规定次数的用户报 警并拒绝其进入。对用户存取状况的监视系统将自动记录下用户操作运行的程序、所使用 的数据文件名称、增删情况、越权行为和次数等,形成用户使用日志,还将记录对被保护 的信息的维护状况,特别是违反保密规定的行为。
2.“防火墙”技术
“防火墙”技术是运行特定安全软件的计算机系统,它在内部网与外部网之间构成一 个保护层,使得只有被授权的通信才能通过保护层,从而阻止未经授权的访问、非法入侵 和破坏行为。
3.计算机安全加权
计算机安全加权是通过对用户、设备和数据文件授予不同级别的权限,以防止非法应 用。用户权限,是对具有进入系统资格的合法用户,根据不同情况划分不同类别,使其对 不同的数据对象和设备所享有的操作被授予不同的使用权限。设备权限,用于对设备(特 别是终端和输出设备)能否进入系统的某一层次、部分以及能否输出和拷贝系统程序、运 行程序或数据的规定。数据的存取控制权限,包括对数据的只读、读/写、打开、运行、删 除、查找、修改等不同级别操作权限的规定。
4.用户认证技术
用户认证技术是一种由计算机验证回答身份是否合法的保密技术。一般有以下几种:
一是利用用户的专有信息,利用记忆方法,采用口令字、密码或通行字保密,其缺点是失 窃后不留痕迹。二是利用用户的专用物品,比如钥匙、磁卡或 IC 卡插入计算机的识别器以 验证身份。三是利用保密算法,用户采用某一过程或函数对某些数据进行计算,计算机根 据其结果来验证身份。四是利用用户的生理特征测定,如采用指纹、声音、视网膜等由计 算机识别以验证身份,来控制访问。
5.计算机数据加密技术
计算机数据加密技术是一种为防止数据在传输过程或计算机存储系统中被非法获得
或篡改而采用的技术。具体做法是将原始的数据(明文)按照某些特定的复杂规律(算法)
转变成难以辨认的数据(密码)。这样即使非法窃取到了数据也无法使用。而合法用户可按 照规定方法将其译为明文。
4.5.4 一般旅游企业采用的系统安全方案
一般来说,旅游管理信息系统的安全性是与其方便性、经济性相对立的,如果想提高 安全性,势必要影响信息系统操作的方便性,同时也会增加系统的经济成本。所以,在实 际系统运作中,各个旅游企业要根据自身经济状况以及系统安全要求,立足现有技术条件,
根据系统实际需要,以数据加密为基础,采用防火墙、用户认证、数字签名、存取控制等 不同手段,对信息系统中的敏感数据进行保护,是目前比较有效实用的一种方式。为保证 网络环境下旅游管理系统的安全,一般安全要求不太高的企业采用的安全措施主要有:
(1)加强系统安全的制度建设,进行安全知识宣传,加强系统使用人员的安全意识。
(2)直接利用操作系统、数据库、电子邮件以及应用系统提供的安全控制机制,对 用户的权限进行控制和管理。
(3)在网络内的桌面工作站上安装防病毒软件,加强病毒防范。
(4)在 Intranet 与 Internet 的连接处加装防火墙和隔离设备。
(5)对重要信息的传输采用加密技术和数字签名技术。
对于处理秘密、机密甚至绝密信息的办公系统而言,这些安全措施远远不足,系统还 很容易遭到黑客和病毒的入侵,传输的数据也可能被截取、篡改。因此,对有的旅游管理 信息系统,例如旅游行业办公系统还需要建立自己独立的 Intranet,必要时在物理上与外部 网络世界隔离。