現在許多信息系統(tǒng)都是部署在 Windows、Linux服務器系統(tǒng)中的，可是這些服務器系統(tǒng)自身存在的弊端，讓不少用戶對信息系統(tǒng)登錄安全存在不信任，怎樣才能改善單位信息系統(tǒng)登錄安全性呢？作為單位用戶來說，雖然不能借助重寫源代碼措施來避免服務器系統(tǒng)存在的先天性不足，但還是可以進行一些參數配置或其他防護措施，讓信息系統(tǒng)登錄操作變得更安全。

加強網絡防護

從實踐情況來看，單位信息系統(tǒng)的網絡安全應該包含兩個方面，一個是傳輸網絡的運行安全，另外一個是業(yè)務網絡的運行安全。正常來說，傳輸網絡的安全往往依賴信息系統(tǒng)網絡基礎設施服務商或供應商來保障，而業(yè)務網絡的安全通常要單位管理員自行部署針對性安全策略來進行保障。

在單位信息系統(tǒng)中構建多層次病毒安全防護體系非常有必要。信息系統(tǒng)不管采用C/S結構還是B/S結 構，管理員都應該在每一節(jié)點部署防病毒軟件，同時定期進行病毒庫的升級、更新工作，保證防病毒保護措施的有效性。此外，也要重視防病毒保護措施的超前防御特性，對信息系統(tǒng)中可能被病毒惡意利用的重要數據加以重點保護。除了要部署防病毒軟件外，管理員一定要在信息系統(tǒng)的內網、外網間以及系統(tǒng)的重要出口位置處部署防火墻，依照實際訪問需求制定安全規(guī)則，來對信息系統(tǒng)的登錄行為進行有效控制，確保實現有目的地允許、拒絕、過濾、檢測，同時定期檢查系統(tǒng)防火墻日志內容，從中發(fā)現潛在危險因素，快速拿出冗余防御、多層防御的應急措施。

堵住系統(tǒng)漏洞

不少單位的信息系統(tǒng)中普遍存在SQL注入漏洞，非法用戶通過該漏洞創(chuàng)建控制語句提交給信息系統(tǒng)，往往就可以很輕松地盜得信息系統(tǒng)數據庫中超級用戶的登錄賬號，之后通過這個特權賬號進一步猜解信息系統(tǒng)登錄地址，同時登錄進去破壞系統(tǒng)數據庫數據。SQL注入漏洞可能是因為沒有對登錄賬號輸入進行合適過濾，或者對由API函數提交的系統(tǒng)數據庫查詢請求參數沒有過濾引起的。因為SQL注入基本都是從賬號輸入開始的，要是強制信息系統(tǒng)對所有登錄賬號輸入進行識別和過濾，那就可以堵住SQL注入漏洞了。如果信息系統(tǒng)是單位用戶自行開發(fā)研設的，那就只要調整或過濾“request.qerrystring”、“request.form”之類的請求參數，確?？梢赃^濾“select”、“%”、“#”等關鍵字。如果發(fā)現自己的信息系統(tǒng)是由免費代碼開發(fā)研設的，不妨嘗試使用信息系統(tǒng)內置的預防SQL注入功能，來堵住SQL注入漏洞。

對于使用了免費代碼的信息系統(tǒng)來說，除了存在SQL注入漏洞外，還有可能存在ASP文件上傳這個安全漏洞，非法用戶通過該漏洞能向信息系統(tǒng)植入木馬，隨意對系統(tǒng)數據庫信息進行編輯、調整，甚至進行刪除等破壞性操作?？紤]到這種漏洞攻擊Windows服務器環(huán)境下的信息系統(tǒng)時，往往會用到FileSystemObject、Shell.Application、WScript.Shell、WScript.Network之類的系統(tǒng)組件，只要卸載這些組件，就能堵住ASP上傳漏洞。例如，在卸載WScript.Network組 件 時，可以逐一點擊“開始”、“運行”命令，展開系統(tǒng)運行文本框，在其中執(zhí)行“cmd”命令，輸 入“RegSrv32 WScript.Network /u”命令即可。此外，定期升級信息系統(tǒng)補丁程序，也能堵住系統(tǒng)漏洞?，F在，很多信息系統(tǒng)之所以不安全，一個十分重要的原因就是，信息系統(tǒng)所在的服務器系統(tǒng)存在安全漏洞，只有及時安裝更新漏洞補丁程序，才能解決由漏洞引起的一系列系統(tǒng)登錄安全問題。所以，應該養(yǎng)成定期更新漏洞補丁程序的良好習慣。

嚴控賬號權限

無論是在Windows服務器環(huán)境下，還是在Linux服務器環(huán)境下，管理員都能通過權限控制機制，來為不同類型的用戶賬號授予不同的登錄操作權限，確保信息系統(tǒng)登錄更加安全。以Windows服務器環(huán)境為例，管理員需要分別設置好標準賬戶、管理員賬戶、特殊賬戶的登錄權限。

標準賬號通常由登錄用戶自行創(chuàng)建，它隸屬于“Users”組，擁有普通登錄操作權限，該賬號可以運行信息系統(tǒng)中的大部分應用程序。創(chuàng)建該賬號的操作很簡單，只要依次單擊“開始”、“設置”、“控制面板”命令，逐一點擊控制面板窗口中的“添加或刪除用戶賬戶”、“管理賬戶”、“創(chuàng)建一個新賬戶”選項，之后展開創(chuàng)建新賬戶的菜單，輸入好賬戶名稱，同時在下方選擇好標準用戶選項，確認后保存設置即可。創(chuàng)建好新的標準賬號后，雙擊該賬號名稱，切換到對應賬號管理對話框，按下“創(chuàng)建密碼”按鈕，設置好該賬號的登錄密碼，確保信息系統(tǒng)登錄安全。

管理員賬戶可以對信息系統(tǒng)進行最高權限的登錄操作，該類型賬戶可以分為信息系統(tǒng)內置的“administrator”賬戶，以及登錄用戶自行創(chuàng)建的用戶賬戶，其 中“administrator”賬戶默認無權對服務器系統(tǒng)文件進行修改或刪除。由于安全原因，有些版本的Windows服務器系統(tǒng)默認禁用了“administrator”賬戶，要想重新使用該賬號時，可以有幾種不同操作方式。一是命令操作法。逐一點選“開始”、“所有程序”、“附件”、“命令提示符”選項，打開目標選項的快捷菜單，點擊“以管理員身份運行”命令，彈出MS-DOS窗口。在其中輸入“net user administrator/active:yes” 命 令 并回車，這樣系統(tǒng)管理員“administrator”賬戶就會被成功啟用。以后想再次禁用該賬號時，只要在MSDOS窗口中使用“net user administrator /active:no”命令即可。二是窗口操作法。用鼠標右鍵單擊系統(tǒng)桌面上的“我的電腦”或“計算機”圖標，點選右鍵菜單中的“管理”命令，切換到計算機管理窗口，將鼠標定位到“計算機管理（本地）”、“系統(tǒng)工具”、“本地用戶和組”、“用戶”節(jié)點上，雙擊指定節(jié)點下的“administrator”賬號，打開對應賬號選項設置框，取消“賬戶已禁用”選項前面的勾號，同時勾選“用戶不能更改密碼”選項，確認后退出設置對話框。這樣也能成功啟用“administrator”用戶賬號。

如果想創(chuàng)建一個其他名稱的系統(tǒng)管理員賬號時，可以依次選擇“開始”、“控制面板”、“所有控制面板項”、“用戶賬戶”、“管理賬戶”選項，在賬戶管理界面中按下“創(chuàng)建一個新賬戶”按鈕，彈出新賬戶創(chuàng)建對話框，設置好合適的系統(tǒng)管理員賬號名稱，同時選中“管理員”選項，點擊“創(chuàng)建賬戶”按鈕即可。創(chuàng)建好了系統(tǒng)管理員權限的賬號后，還必須為該賬號設置相對復雜的登錄密碼，確保該賬號的使用安全。

為了強制用戶創(chuàng)建更加安全的登錄賬戶，還需逐一點選“開始”、“運行”命令，在展開的系統(tǒng)運行框中輸入“gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運行狀態(tài)。將鼠標跳轉到“本地計算機策略”、“計算機設置”、“Windows設 置”、“安 全 設置”、“賬戶策略”、“密碼策略”分支上，用鼠標雙擊指定分支下的“密碼必須符合復雜性要求”組策略，切換到組策略選項設置框中，勾選“已啟用”選項，單擊“確定”按鈕后標準用戶以后在創(chuàng)建登錄密碼時，一定要符合復雜性要求。同樣地，根據實際要求，設置好密碼長度最小值、密碼最短使用期限、密碼最長使用期限等組策略。

Windows服 務 器 系統(tǒng) 中 還 有“system”、“trustedInstaller” 這些特殊類型的賬號，它們所擁有的登錄權限比“administrator”賬戶還高，所以對待特殊類型賬號，信息系統(tǒng)管理員應該加以高度重視。與“administrator”賬號一樣，“system”賬號也是管理員級別的賬號，只是該賬號在登錄操作權限上有所不同。在平時對信息系統(tǒng)登錄操作的過程中，經常會遇到無法清除頑固惡意程序、不能刪除數據、丟失密碼以及其他一些要求高權限操作的問題，對待這類問題，往往通過“system”這樣的特殊限賬號才可以解決。“trustedInstaller”賬號的登錄操作權限也比“administrator” 賬 號要高一些，它擁有最高的磁盤訪問權限。因此，當遇到一些數據文件怎么也刪除不了時，可以考慮在“trustedInstaller” 賬號狀態(tài)下執(zhí)行文件刪除操作，相信操作多半會成功的?！皌rustedInstaller”賬號默認對所有系統(tǒng)文件擁有完全控制權限，而“administrator”賬號往往只有“只讀”或“只讀和運行”等權限，這也是系統(tǒng)管理員登錄信息系統(tǒng)后，無法刪除系統(tǒng)文件的原因之一。

使用混合驗證

通過密碼進行登錄認證有不少問題。簡單的密碼容易使重要數據遭受盜竊。復雜冗長的密碼內容對登錄用戶來說不太方便，況且復雜的密碼也不一定絕對安全。非法用戶常常緊盯薄弱的環(huán)節(jié)，而當前，登錄密碼正是最合適的攻擊目標。非法用戶喜歡收集密碼數據庫，同時嘗試釣魚攻擊，引誘用戶泄露信息系統(tǒng)中的重要數據。

非法用戶會偷偷竊取合法用戶的登錄密碼，或者猜測密碼，同時在信息系統(tǒng)管理員不知情時悄悄使用密碼?；谶@些情況，管理員還是有其他一些能夠選用的密碼替代品或其他登錄驗證形式，而現在比較流行的選擇都是基于手機的。有些登錄驗證使用手機的短信內容進行登錄驗證，而有些信息系統(tǒng)通過安裝在用戶手機上的“軟件令牌”，智能創(chuàng)建一次性登錄密碼，而有些信息系統(tǒng)通過公鑰基礎設施、數字證書以及生物識別進行登錄驗證。軟件令牌形式不一定非要在移動手機上，在普通臺式計算機、筆記本電腦甚至平板電腦上，它也會被經常用到。

相對于密碼這種單重形式的登錄驗證，有些系統(tǒng)管理員開始喜歡上雙重認證，而且其實現方法有很多種，達到的安全防范效果也不錯。特別要提醒的是，最健壯的雙重驗證包括一種物理組件和登錄密碼。從更廣泛的范圍來看，最健壯的雙重驗證或許是新USB安全密鑰。這些安全登錄措施雖然已經出現了很長時間，不過僅僅是最近才開始應用在終端計算機系統(tǒng)上。其他更安全的登錄驗證措施，還包括多重驗證、基于知識的驗證、第三因素認證等。

強化全程追蹤

為了對信息系統(tǒng)的登錄訪問做到全程追蹤，系統(tǒng)管理員有必要采取安全日志記錄和審計措施，自動跟蹤、記錄任何登錄訪問操作。日后，一旦單位信息系統(tǒng)發(fā)生登錄安全問題時，管理員能夠通過查詢、分析相關安全日志記錄，來快速定位登錄安全問題產生的根源，同時可以拿出針對性的解決辦法來。至于怎樣設置安全審計和日志功能，管理員可以根據單位信息系統(tǒng)的實際情況來進行，一般對類似訪問控制、加密保護、系統(tǒng)登錄、網絡認證這樣與安全有關的事件，都必須要啟用安全審計與日志記錄功能。