信息系统安全体系防护策略

1、1、基本策略（1）系统安全威胁分析系统安全分析是把系统中复杂事物分成较简单的组成部分，找出各组成部分之间的内部联系，查明危害的过程。系统安全分析目的是为了在整个系统寿命周期内，根除或控制危害。也称系统危害分析。是安全系统工程中的一个重要程序和核心组成部分。由于安全系统有自己的某些特点，故系统安全分析与一般的系统分析有如下不同点：1）分析目的的相反性一般系统分析目的在于对正常运行系统进行分析辨识，以提高系统功能和经济效益，这种分析是常规分析。而系统安全分析目的，在于对可能破坏系统运行的潜在危险因素进行分析。因此必须进行深入细致的剖析，运用工程逻辑及其他有关方法，对有关因素及危险的因果关系作出合科

2、逻辑的思维推理和判断。2）分析结果的随机性由于安全系统是工程系统、管理系统和社会系统有机结合的特殊系统，是大量偶然因素作用的多变量的随机系统。因此，对系统存在的危险性及其大小、潜伏地点、传递关系以及可能波及的范围等的分析存在着一定的不确定性。分析结果的量化以概率型为主。概率为1表示事件必然发生，概率为零表示事件不可能发生，概率介于零和1之间则表示各种发生难易程度不同的事件。系统安全分析的主要内容有:系统中可能出现的各种危害及其相互关系；系统中的人、设备及环境等因素以及它们之间的关系；可能用于根除或控制某种危害的软件（如规程）和硬件（如设备、材料），以及各种可行的措施；一旦危害失控，所采取避免伤

3、害、减少损失、缩小或控制危害后果的措施。2）系统安全防护体系架构1）物理安全防护策略物理安全防护策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。主要包括：物理隔离物理隔离是指内部网不直接或间接地连接公共网。物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离，才能真正保证党政机关的内部信息网络不受来自互

4、联网的黑客攻击。此外，物理隔离也为政府内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。电磁泄漏防范抑制和防止电磁泄漏（即TEMPEST技术）是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统

5、的工作频率和信息特征。容灾备份灾难备份建设是一项周密的系统工程，也是一个全新的危机管理领域。灾难备份建设不仅需要进行灾难备份中心建设和IT系统购置，更需要有灾难备份技术、危机管理、风险管理、业务连续计划制订、灾难演练和灾难恢复等灾难备份专业领域知识。此外,灾难备份也不同于一般的IT项目，它是单位机构业务流程的延续，它需要建立完善的灾难备份中心运营管理体系，需要不断保持业务连续性计划的有效性，以保障灾难备份中心能持续发挥灾难备份功能。常见容灾系统按业务系统不同、所要求的RTO和RPO不同，可分为介质容灾、远程备份容灾、数据容灾和应用容灾等四种类型。介质容灾业务系统已将数据备份到可移动介质（如磁带

6、、光盘、胶片等）上，为了保证这些数据在灾难发生时能够被妥善的保存，并在系统重新安装或恢复后，将介质上的数据恢复回去，最简单的容灾方法就是将这些介质定期地以人工的方式收集到容灾中心，在容灾中心进行最为妥善的介质保存措施。远程备份容灾对恢复时间要求较高，没有在本地实施备份系统的部门，可通过远程网络直接将数据备份到容灾中心的存储池中，保证数据的安全性。采用这种容灾方式，一般要求恢复的数据时间点在灾难发生前的几十分钟到几个小时；而从灾难发生后，需要完成从恢复系统、恢复数据、直到实现对外提供应用服务这么一整套的恢复工作，所需要时间大约为几小时到一天。数据容灾数据容灾的保护对象是生产系统产生的业务数据。为

7、了更好地实现数据的容灾，数据容灾方案必须能够实现对数据库数据、基于文件系统的数据，甚至对系统的数据卷，进行实时有效保护。数据容灾的根本目的，是能够重新利用复制的数据。也就是说，数据容灾的核心是恢复，如果容灾的数据无法恢复和重新使用，就失去了容灾的意义。基于数据容灾的实现技术有很多，为了实现不同用户数据容灾的需要，容灾中心的数据容灾架构应该能够支持和实现多级别的数据容灾，根据功能框架的设计，需要实现的数据容灾方案包括：数据文件容灾实现数据库容灾实现存储网络层数据容灾实现数据卷容灾实现磁盘阵列级数据容灾2）网络安全防护策略防火墙防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以

8、阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。目前的防火墙主要有以下三种类型;（1）包过滤防火墙：包过滤防火墙设置在网络层，可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表，信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型（TCP、UDP、ICMP等）、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时，则允许数据包通过，否则禁止通过。这种防火墙可以用于禁止外部

9、不合法用户对内部的访问，也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包，无法实施对应用级协议的处理，也无法处理UDP、RPC或动态的协议。（2）代理防火墙：代理防火墙又称应用层网关级防火墙，它由代理服务器和过滤路由器组成，是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连，并对数据进行严格选择，然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容

10、、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务（如多媒体）。现要较为流行的代理服务器软件是WinGate和ProxyServer。（3）双穴主机防火墙：该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡，分别连接不同的网络。双穴主机从一个网络收集数据，并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据，从而保护了内部网络不被非法访问。可信边界网关可信边界安全网关是基于SSL协议的独立远程接入安全平台，无

11、需改变网络结构和应用模式，为基于B/S和C/S架构的网络应用提供身份认证、传输安全和访问控制等安全服务。完全支持Web应用，以及Exchange、SMB、FTP、Telnet、CRM、ERP、Mail、Oracle和SQLServer等C/S模式应用。可信边界安全网关支持广泛的身份认证机制，包括第三方的Radius认证系统、第三方动态口令认证系统以及第三方基于PKI的认证系统。集控探针网闸网闸（GAP）全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。（一）当用户的网络需要保证高强度的安全，同

12、时又与其它不信任网络进行信息交换的情况下，如果采用物理隔离卡，用户必须使用开关在内外网之间来回切换，不仅管理起来非常麻烦，使用起来也非常不方便，如果采用防火墙，由于防火墙自身的安全很难保证，所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入，安全性无法保证。在这种情况下，安全隔离网闸能够同时满足这两个要求，弥补了物理隔离卡和防火墙的不足之处，是最好的选择。（二）对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络对应的上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。（三）安装了相应的应用模块之后，安全隔离网闸可以在保证安全的前

13、提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据，并可以在网络之间交换定制的文件。3）应用安全防护策略1）病毒防范计算机病毒是指编制者在计算机程序中插入的破坏性计算机功能或者毁坏数据以影响计算机使用,并能自我复制的一组计算机指令或者程序代码.象细菌一样,并能自我复制.计算机病毒扩散性很强,又常常难以根除.它们能把自身附着在各种类型的文件上.比如.EXE.RAR.等等有时会替换正常的系统文件当文件被复制或从一个用户传递到另一个用户时,它们就随同文件一起蔓延开来.主要特征:(1)非授权可执行性(2)隐藏性(3)传染性(4)潜伏性(5)表现性或破坏性(6)可触发性计算机病毒分

14、类一般分为1引导型病毒2.文件型病毒3.复合型病毒按破坏程度可以分为良性病毒和恶性病毒.根据计算机病毒的特点，应从以下几方面来开展工作，以期达到防治计算机病毒的最佳效果。建立严格的访问体系：用户的访问控制可分为三个过程：用户名的识别与验证；用户口令的识别与验证；用户账号的识别与验证。在这三个过程中，若其中任何一个不能通过，计算机系统就会将用户视为非法用户，阻止其访问。建立用户名、口令及账号的识别与验证体系，严格控制用户访问，这是防范病毒入侵的第一道防线。建立有效的病毒检测、阻挡和清除体系：给计算机系统建立有效的病毒检测、阻挡和清除体系，如安装防火墙，检查网络之间流通的数据包，限制不符合安全策略

15、要求的分组通过，从而及时识别并阻挡病毒入侵；例如可安装360安全卫士、ESETN0D32Antivirus等防、杀毒软件，以定期查杀计算机中潜伏的病毒，并应实时更新其病毒库。建立数据信息的加密体系：保密性是阻止病毒入侵，保障计算机系统安全的一个重要方面。利用计算机进行数据处理可大大提高工作效率，但在数据信息的存储、使用和传输的同时，也增加了泄密的可能性。因此，建立数据信息的加密体系，利用编码技术，对数据信息按密级进行加密，即使数据被第三方截获，也会因为不知道密码而无法了解信息的真实含义，从而保证数据信息不易被读出和更改，保证其完整性建立完善的备份和恢复体系：给计算机系统建立完善的备份和恢复体系

16、也是防止病毒入侵，减少病毒破坏的积极有效的措施之一。要建立强大的数据库触发器和恢复重要数据的操作以及更新任务，确保在任何情况下使重要数据均能最大限度地得到恢复，以尽量减小病毒感染所造成的损失。建立定期评审体系：没有一种防范计算机病毒的方法是永久有效的，病毒的攻击手段也在不断更新和进化。因此，要在与计算机病毒的对抗中保持领先地位，必须给我们的计算机建立一个定期评审体系，根据发展趋势，在关键技术环节上如计算机病毒的数学模型、入侵方式、安全策略及防御技术等实施跟踪研究，实时监控病毒的发展，及时改进病毒的防范对策，是一个应持续进行的必要措施。数据加密数据加密又称密码学，它是一门历史悠久的技术，指通过加

17、密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护信息的安全的作用。传统加密方法有两种，替换和置换。上面的例子采用的就是替换的方法：使用密钥将明文中的每一个字符转换为密文中的一个字符。而置换仅将明文的字符按不同的顺序重新排列。单独使用这两种方法的任意一种都是不够安全的，但是将这两种方法结合起来就能提供相当高的安全程度。数据加密标准(DataEncryptionStandard,简称DES)就采用了这种结合算法，它由IBM制定，并在1977年成为美

18、国官方加密标准。加密技术的分类如下：对称加密技术对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥，这种方法在密码学中叫做对称加密算法，对称加密算法使用起来简单快捷，密钥较短，且破译困难，除了数据加密标准(DNS),另一个对称密钥加密系统是国际数据加密算法(IDEA),它比DNS的加密性好，而且对计算机功能要求也没有那么高OIDEA加密标准由PGP(PrettyGoodPrivacy)系统使用。非对称加密技术1976年，美国学者Dime和Henman为解决信息公开传送和密钥管理问题，提出一种新的密钥交换协议，允许在不安全的媒体上的通讯双方交换信

19、息，安全地达成一致的密钥，这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（publickey）和私有密（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。3）身份认证身份认证是在计算机网络中确认操作者身份的过程。身份认证可分为用户与主机间的认证和主机与主机之间的认证，用户与主机之间的认证可以基于如下一个或几个因素：

20、用户所知道的东西：例如口令、密码等，用户拥有的东西,例如印章、智能卡（如信用卡等）；用户所具有的生物特征：例如指纹、声音、视网膜、签字、笔迹等。在真实世界，对用户的身份认证基本方法可以分为这三种：（1）根据你所知道的信息来证明你的身份（whatyouknow，你知道什么）；（2）根据你所拥有的东西来证明你的身份（whatyouhave，你有什么）；（3）直接根据独一无二的身体特征来证明你的身份（whoyouare，你是谁），比如指纹、面貌等。在网络世界中手段与真实世界中一致，为了达到更高的身份认证安全性，某些场景会将上面3种挑选2中混合使用，即所谓的双因素认证。常见身份认证技术比较如下：用户名

21、/密码方式用户名/密码是最简单也是最常用的身份认证方法，是基于“whatyouknow”的验证手段。每个用户的密码是由用户自己设定的，只有用户自己才知道。只要能够正确输入密码，计算机就认为操作者就是合法用户。实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。即使能保证用户密码不被泄漏，由于密码是静态的数据，在验证过程中需要在计算机内存中和网络中传输，而每次验证使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式一种是极不安全的身份

22、认证方式。IC卡认证智能卡的英文名称有“smartcard与“integratedcircuitcard,后者经常译作集成电路卡，简称IC卡。IC卡是由专门的厂商通过专门的设备生产，不可复制的硬件。它把集成电路芯片封装入塑料基片中，厚度为0.760.80mm。IC卡芯片可以写入数据与存贮数据，根据芯片功能的差别，可以将其分为三类：（1）存储型：卡内集成电路为电可擦的可编程只读存储器（EEPROM）。（2）逻辑加密型：卡内集成电路具有加密逻辑和EEPROM。（3）CPU型卡：集成电路包括CPU、EPROM、随机存储器（RAM）以及固化在只读存储器（ROM）中的卡内操作系统COS（chipoper

23、atingsystem）从对IC卡上进行信息存储和处理的方式来看可以分为接触卡和感应卡。前者由读写设备的接触片上的触点相接触接通电路进行信息读写，后者通过非接触式的技术进行信息读写。IC卡通过在芯片中存有与用户身份相关的数据，由合法用户随身携带,登录时必须将IC卡插入专用的读卡器读取其中的信息，以验证用户的身份。IC卡认证是基于“whatyouhave”的手段，通过IC卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从IC卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息。动态口令动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一

24、次的技术。它采用一种叫作动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份认证。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。动态口令系统通常由客户端的动态口令卡和安全认证服务器以及应用程序代理（agent）三部分组成。每个动态口令

25、卡保存有用户密钥，动态口令卡ID号。卡中的时钟计数器（T）每隔1秒自动加1,每64秒用用户密钥与ID号自动运算加密算法，加密时钟计数器T得出一个8位的字符串显示在液晶显示器上，并保存在RAM中，每到64秒刷新一次。客户输入所有信息被送到后台服务器，后台服务器将客户ID和动态口令D传送到安全认证服务器，安全认证服务器根据客户ID从用户数据库中调出该用户的用户密钥、卡初始化时间t和ID号，用用户密钥和ID号将接收到的口令字进行脱密变换，将脱密得到的时间参数于系统时间进行比较，考虑通信延迟及时钟误差作出接受或拒绝的判断。动态口令技术采用一次一密的方法，有效保证了用户身份的安全性。但是如果客户端与服务

26、器端的时间或次数不能保持良好的同步，就可能发生合法用户无法登录的问题。并且用户每次登录时需要通过键盘输入一长串无规律的密码，一旦输错就要重新操作，性受到影响。USBKey认证USBKey身份认证是采用软硬件相结合、一次一密的强双因子认证模式。USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。基于USBKey身份认证系统主要有两种应用模式：一是基于冲击/响应的认证模式，二是基于PKI体系的认证模式。每个USBKey硬件都具有用户PIN码，以实现双因子认证功能。USBKey内置单向散列算法（MD5），

27、预先在USBKey和服务器中存储一个证明用户身份的密钥，当需要在网络上验证用户身份时，先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数并通过网络传输给客户端（此为冲击）。客户端将收到的随机数提供给插在客户端上的USBKey，由USBKey使用该随机数与存储在USBKey中的密钥进行带密钥的单向散列运算（HMAC-MD5）并得到一个结果作为认证证据传送给服务器（此为响应）。与此同时，服务器使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC-MD5运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户，原理如下图所示。冲击响应模式可以保证用户身

28、份不被仿冒，却无法保护用户数据在网络传输过程中的安全。而基于PKI（PublicKeyInfrastrueture，公钥基础设施）构架的数字证书认证方式可以有效保证用户的身份安全和数据安全。数字证书是由可信任的第三方认证机构颁发的一组包含用户身份信息（密钥）的数据结构，PKI体系通过采用加密算法构建了一套完善的流程，保证数字证书持有人的身份安全。然而，数字证书本身也是一种数字身份，还是存在被复制的危险。使用USBKey可以保障数字证书无法被复制，所有密钥运算由USBKey实现，用户密钥不在计算机内存出现也不在网络中传播，只有USBKey的持有人才能够对数字证书进行操作。生物特征认证生物特征认证

29、是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有不同的生物特征，因此几乎不可能被仿冒。近年来，随着计算机技术和其他相关技术的发展创造的有利条件，生物识别技术得到了迅速发展。在网络环境下的身份认证系统中，应用指纹作为身份确认依据是理想的方法。原因在于：指纹是独一无二的，不存在相同的指纹，这样可以保证被认证对象与需要验证的身份依据之间严格的一一对应关系。指纹是相对固定的，很难发生变化，可以保证用户安全信息的长期有效性。而人脸的特征则易受外界的影响而变化

30、，如表情、眼镜、胡须等，识别难度大；另外由于人脸的特征比较复杂，特征提取工作很难准确进行。扫描指纹的速度很快，使用非常方便，便于获取指纹样本，易于开发认证系统，实用性强，而且指纹仪也较易实现。而视网膜不仅难于采样，也没有形成标准的样本库供开发者使用。一个人的十指指纹皆不相同，可以方便地利用多个指纹，提高系统的安全性，也不会增加系统的设计负担。指纹识别中使用的模板并非最初的指纹图，而是从指纹图中提取的关键特征，这样可使系统模板库的存储量减小。另外，对输入的指纹图提取关键特征后，可以大大减少网络传输的负担，便于实现指纹异地匹配。随着固体传感器技术的发展，指纹传感器的价格正逐渐下降，在许多应用中基于

31、指纹的生物认证系统的成本是可以承受的。指纹识别技术主要涉及指纹图像采集、指纹图像处理、特征提取、保存数据、特征值的比对和匹配等过程。首先，通过指纹读取设备读取到人体指纹图像，并对原始图像进行初步的处理，使之更清晰。然后，指纹辨识算法建立指纹的数字表示特征数据，这是一种单方向的转换，可以从指纹转换成特征数据但不能从特征数据转换成指纹，而且两枚不同的指纹产生不同的特征数据。特征文件存储从指纹上找到被称为“细节点”（minutiae）的数据点，也就是那些指纹纹路的分叉点或末梢点。这些数据通常称为模板。最后，通过计算机把两个指纹的模板进行比较，计算出它们的相似程度，得到两个指纹的匹配结果。要确保基于指

32、纹特征的用户身份认证系统的整体安全性，必须对基于指纹特征的网络身份认证方案设计一个安全的身份认证协议。良好的身份认证协议应该满足以下几个要求：能够准确识别被认证对象的身份；能够明确重要事件的责任人，并实现签名，避免事后抵赖；能够保障数据在存储和传送时的安全。基于指纹的电子商务身份认证系统与已经广泛使用的指纹锁和指纹登录系统等应用在系统结构和认证方式上有很大不同。在一般的应用情况下，指纹图像或模板实现存入本地指纹模板库，在使用时用户经指纹仪读入指纹图像，经处理后在本地匹配，匹配的结果决定用户是否合法。在网络环境下（B/S结构），用户（客户端）如果要访问远程服务器所管理的信息资源，在获得相关资源访

33、问权限之前，必须通过指纹身份认证，所有的信息资源访问权限都在身份认证系统（服务器端）管理之下，未通过身份认证的用户不能访问信息资源。为增强系统安全性，在客户端和服务器之间传输的所有数据包括指纹模板、用户的访问请求、服务器的反馈信息都要经过加密。同时，指纹模板及相关的用户认证、注册信息都保存在一个本地安全数据库中，此数据库只有本地进程能访问，以防用户信息泄漏。当模板内置于服务器时，通过客户端的指纹传感器获得用户的指纹信息，该信息被加上数字签名后传送到服务器，在服务器首先校验签名是否有效，再与预先注册的模板进行比较，并完成身份认证。（3）系统安全风险评估由于信息系统生命周期的各个阶段的安全防范目的

34、不同，致使使用风险评估的目的也各不相同，因此，信息系统生命周期每个阶段进行的风险评估产生的作用也各不相同。信息系统的生命周期分为设计、实施、运行维护和最终销毁这四个主要阶段，每个阶段进行相应的信息系统安全风险评估的主要作用如下所示：1）在信息系统生命周期的设计和实施阶段，使用信息系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施，帮助制定有效的安全防范策略，确定安全防范的投入最佳成本，说服机构领导同意安全策略的完全实施等作用。2）在信息系统生命周期的运行维护阶段，使用信息系统安全风险评估可以起到如下的作用：了解防火墙、IDS及其它安全设备是否真的按原先配置的意图在运行，它们实际的

35、安全防范效果是否有满足安全目标的要求；了解安全防范策略是否切合实际，是否被全面执行；检验机构内部员工的安全意识，网络操作行为及数据使用方式是否正常；当信息系统因某种原因做出硬件或软件调整后，使用信息系统安全风险评估来确定原本的安全措施是否依然有效，如果不行，应当在哪些方面做出相应的修改等等。3）在信息系统生命周期的最终销毁阶段，可以使用信息系统安全风险评估来检验应当完全销毁的数据或设备，确实已经不能被任何方式所恢复；淘汰的信息系统中的设备确实已经被妥善保管，没有被流失出去的危险等作用。2、主要技术（1）防数据损毁技术当许多的数据集中在某一地或者某几地的时候，人们不禁产生一种担心：所有的鸡蛋放在

36、一个篮子里，会不会遭遇覆巢之灾？如何为高校宝贵的数据铸一道坚实的防线呢？除了数据的安全，信息化部门管理人员必须思考的另外一个问题是：如何保证业务的连续性？当我们的用户越来越多，信息中断、网络中断所产生的后果就更严重，更不被原谅。于是，我们意识到自己的责任和可能面临的风险，我们试图寻求新的出路建灾备中心，为数据准备另外一只篮子。不论建设数据级别还是应用级别的灾备中心，它都会是数据安全的最后一道防线。首先，这确实是一个非常耗费资金的项目，一旦你决定实施容灾，那么，你就得给予许多的配套机制、人员、策略等等。同时，还要有思想准备或许在有生之年，这套灾备系统都派不上用场。然而一旦它发挥作用，那将使得你无

37、比庆幸你当初明智地实施了容灾，你保全了你的数据，你使得你的用户不会发出惊呼：“服务停止了！”作为高校的信息化部门管理人员，应当站在校园CIO的角度上，放眼全校，制定出综合、统筹的策略，需要完成三个阶段的工作。首先，对需求进行分析，对风险进行评估，确定将要采取的容灾级别以及模式。容灾备份是一项系统工程，它要求我们反复进行需求分析，不同的数据在应用中的重要程度不同，而且恢复的紧迫程度也不一样。因此，对应不同的数据，采用的数据复制和容灾方式也有所不同，一定要对各个业务系统的数据进行分类，分别制定备份策略。其次，需要我们不断地了解各种技术与实现方式，寻找最切合自身实际的技术路线、方案以及产品。此外，还

38、需要投入精力维护灾备中心,当把所有数据备份以后，务必要测试备份数据的恢复，尤其重要的是要做灾难演练，从而使灾备中心在灾难真正发生之后发挥最大的效果。高校信息化建设是一个持续发展的系统工程，最终目的是要发挥教育信息化的最大效益。而保障信息化建设的安全，保护各类信息资产的安全是贯穿始终的责任，居安思危，未雨绸缪，才能有备无患。（2）防“摆渡”攻击技术摆渡攻击时一种专门针对移动存储设备，从与互联网物理隔离的内部网络中窃取文件资料的信息攻击手段。在现实生活中，被河流隔断的两岸往往利用渡船进行摆渡实现相互交通，摆渡攻击原理与之非常类似。政府机关、军队、银行、科研机构等重要部门和涉密单位出于信息安全的考虑

39、，一般将单位自建的内部网络与互联网之间实施严格的物理隔离，u盘一度成为内、外网离线交换文件数据的首选工具。摆渡攻击就是利用u盘作为“渡船”达到间接从内网中秘密窃取文件资料的目的。应严禁在联接互联网计算机与涉密计算机之间混用优盘等移动存储介质；安装针对“摆渡”程序的杀毒软件并及时更新升级；从互联网上下载资料应采用单向导入方式以确保安全。（2）防信息窃密技术一、利用计算机漏洞窃密漏洞是指计算机操作系统、设备产品和应用程序由于自身结构复杂、安全设计不周等原因，在研制过程中产生的先天技术缺陷。大型软件每1000-4000行源程序就可能存在一个漏洞。存在漏洞的计算机，如果接入互联网，就可能被窃密者进行远

40、程利用、攻击和控制。防范对策：严禁将涉密计算机接入互联网；及时对计算机操作系统和应用程序“打补丁”；安装“防火墙”和杀毒软件；关闭不必要的端口和服务。二、利用“木马”技术窃密“木马”就是在正常文件的伪装下，对目标计算机实施远程控制的“间谍”软件。在全部病毒破坏事件中，“木马”攻击占到90%。“木马”植入的方式多种多样，其中以邮件的方式最为常见。当打开有“木马”程序的邮件或邮件附件时，“木马”就会悄悄的植入和控制计算机，窃密者就可实施网络远程窃密。防范对策：严禁将涉密计算机接入互联网；不随意打开不明电子邮件，尤其是不轻易打开邮件附件；计算机必须安装杀毒软件并及时更新升级。三、利用“嗅探”技术窃密

41、“嗅探”是指秘密植入特定功能程序，用以隐蔽探测、记录诸如网络内部结构、键盘操作、口令密码等信息的窃密技术。计算机如果曾经联接过互联网且被攻击者盯上，就可能被其利用“嗅探”技术进行窃密。一旦这台计算机再次联入互联网，这些涉密信息就会被悄悄取走。防范对策：严禁将涉密计算机接入互联网；用于联接互联网的计算机，任何情况下不得处理涉密信息；定期对上网计算机操作系统进行重装处理。四、利用“摆渡”技术窃密“摆渡”就是利用移动存储介质在不同的计算机之间隐蔽传递数据信息的窃密技术。移动存储介质（如优盘）插入上互联网计算机就会感染“摆渡”程序，再插入涉密计算机时，优盘内的“摆渡”程序能按事先设定好的策略将文件数据

42、从涉密计算机中复制到优盘隐藏目录下，同时将自身的“摆渡”程序复制到涉密计算机中，一旦此优盘又插入上互联网计算机，涉密文件数据就会被“摆渡”程序转移到上网计算机中，此时窃密者即可实现远程窃取。防范对策：五、利用数据恢复技术窃密数据恢复是指运用软、硬件技术，对删除或因介质损坏等丢失的数据予以还原的过程。优盘、硬盘等存储介质存储的文件数据即便被删除或格式化处理，窃密者可以通过专用软件予以恢复，从而实现窃密。防范对策：严禁在联接互联网的计算机上使用处理过涉密信息的移动存储介质；涉密存储介质淘汰、报废时，必须作彻底物理销毁；严禁将秘密载体当作废品出售。六、利用口令破解窃密口令是计算机系统的第一道防线。计

43、算机系统经常利用口令来验证用户身份，区分访问权限。口令破解是指以口令为攻击目标，进行猜测破译，或避开口令验证，冒充合法用户潜入目标计算机，取得控制权的过程。实际应用中，即使计算机打了“补丁”，安装了病毒防护软件，设置了开机口令密码，黑客仍然可以通过口令破解进入该计算机，从而达到破坏或窃密的目的。口令越长，组合越复杂，破译难度越大，所需破译时间越多。防范对策：口令密码设置应当采用多种字符和数字混合编制，要有足够的长度（至少8位以上），并定期更换；涉密信息系统必须按照保密标准，采取符合要求的口令密码、智能卡或USBkey、生理特征身份鉴别方式。七、利用预设后门窃密“后门”是计算机、操作系统、程控交换机等设备在制造过程中，被人为设置的可用于远程维护、信息收集或设备操控的隐蔽功能。该窃密方式主要通过在计算机等产品设备中设置后门装置，通过指令激活操控，窃取涉密信息。防范对策：大力提升国家信息技术水平和自主研发生产能力；关键信息设备应尽量选用国内技术与产品；加强对引进设备与软件系统的安全检查和漏洞发现，阻断信息外泄的渠道。八、利用无线上网、计算机无线外围设备窃密计算机无线外设是指部分或全部采用无线电（光）波这一传输媒质进行连接的装置。无线网卡、无线键盘、无