应用安全性研究(精选12篇)
应用安全性研究 篇1
一、XSS浏览器模型的形式化描述
Web应用程序混合了控制代码与服务器端代码生成的输出内容, 这些信息会被当作客服端代码被浏览器过滤。被攻击者操控的数据由Web浏览器解释时, 会被作为Web开发编写的代码, 于是XSS攻击就产生了。例如, 一个博客Web应用程序在网页上发布匿名评论等不可信内容, 如果不小心攻击者就可以输入类似<script>...<script>的文本, 这可能被输出到服务器的HTML页面, 当用户访问该博客页面时, 其Web浏览器就会将攻击者控制的文本作为脚本代码而执行。
二、XSS过滤语境分析
2.1语境敏感性。XSS防御过滤需要解析不可信输入到Web应用程序中的结构和语义表现。例如, 当简单的HTML-entity编码被置入到HTML标记的主体内或嵌入到PCDATA的解析语境中, 就像HTML5定义一样, 它可以充当过滤程序以消除XSS攻击。然而, 当数据被放置在一个资源的URI (例, 标签的src或href属性) 时, HTML编码不足以阻止攻击, 就如同通过javascript:URI一样。
2.2过滤嵌套语境。在该模型中Web应用程序输出的字符串能被浏览器的多个次级解析器解析。也就是说这样的字符串被置于嵌套语境中, 即浏览器对其解释会导致浏览器遍历一个以上的边, 这样对嵌套语境的过滤会增加其复杂性。假设一个不可信字符串嵌入到脚本块中, 例如<script>var x=‘UNTRUSTED DATA’...</script>, 当大写字母的数据被浏览器读取, 它也就被同时置于两个语境中, 它会被Java Script解析器 (图1中“2.script”所示) 放置在一个Java Script字符串语境中。
2.3动态代码。理论上讲浏览器在解析文本时遍历过的边是可以任意长的, 这是因为浏览器可以动态评估代码。不可靠内容可以通过HTML和Java Script语境不断循环。由于不可信文本通过Java Script字符串和HTML语境 (图1中“3.event handlers”和“6.inner HTML/document write”所示) 反复注入, 静态地确定服务器上语境遍历是不可行的。原则上来讲, 因为动态代码评估, 纯服务器端的过滤不足以确定语境。在这些情况下, 为充分减少潜在的攻击需要进行客户端的过滤。如果没有恰当过滤这些动态评价就会导致通用类基于DOM的XSS攻击或客户端代码注入。这些漏洞不是由浏览器产生的, 而是因为XSS框架不能完全解析应用程序行为而产生的。
三、自动过滤的缺陷分析
3.1无自动过滤。有些框架提供了某种自动过滤支持, 对那些没有提供自动过滤支持的框架, 开发人员必须正确考虑在何处使用内置过滤模块或者客户过滤模块。通过手动过程容易出现错误, 即使经过了安全审计的应用程序也具有潜在风险。
3.2语境敏感性过滤。语境敏感性的自动过滤解决GWT、Clearsilver和Ctemplate三个框架。在这些框架中, 自动过滤引擎执行运行时解析, 在发送不可信数据之前记录语境, 然后正确的过滤模块会自动应用于那些追踪过不可信数据语境, 这些框架依赖于开发人员编写代码来识别不可信的数据。典型的策略是让开发人员编写代码模板, 将HTML内容与不可信数据变量分开。
结论
XSS框架模型对XSS过滤的安全具有重要意义, 示例显示了在服务器端执行的威胁过滤是如何通过浏览器的内容解析到DOM过程而被有效地“撤消”, 而这会引入客户端Java Script代码中的XSS漏洞。非信任性数据需要以不同的方式根据其语境在HTML文档中被过滤。自动清除与语境相关性, 自动清除可以安全地在一个语境中使用的过滤清除功能可能在另一个语境中使用是不安全的, 为了实现安全, 自动过滤必须与语境相关的, 否则它可能提供虚假的安全性。
摘要:web应用程序经常广泛应用在诸如医学、金融、军事等系统中, 然而这些领域都是对安全性要求很高的。研究了服务器端执行的威胁过滤通过浏览器的内容解析到DOM过程而被有效地撤消的XSS漏洞。提出了非信任性数据需要以不同的方式根据其语境在HTML文档中被过滤, 自动清除可以安全地在一个语境中使用的威胁清除功能而在另一个语境中使用是不安全的, 自动过滤必须与语境相关的。
关键词:Web,框架,语境,敏感性,过滤
参考文献
[1]陶亚平.Web应用安全漏洞扫描工具的设计与实现[D].电子科技大学, 2010.
[2]刘驰.基于协议分析的漏洞挖掘技术研究[D].北京邮电大学, 2010.
应用安全性研究 篇2
安全度在钢铁企业安全成本预测中应用研究
企业的.安全生产状况与安全成本之间的关系是一种非线性关系.难以用定量的方法定义,安全度作为系统安全水平的定量描述,探讨安全度与安全成本之间的关联意义深远.以安全管理水平较高、安全投入充分、经济与技术都非常先进的钢铁企业为研究对象,运用灰色关联分析方法研究了安全度与安全成本的关系,指出了改善和维护安全生产条件费用、安全管理费用是影响企业安全度的最重要因素.
作 者:曾丽 作者单位:武汉钢铁,集团,公司安全环保部,湖北,武汉,430081刊 名:现代商贸工业英文刊名:MODERN BUSINESS TRADE INDUSTRY年,卷(期):200921(8)分类号:X92关键词:安全度 安全成本 灰色关联度
矿井通风系统安全评价研究及应用 篇3
关键词:矿井通风系统;安全评价;应用
0.引言
随着我国的经济得到了迅速的发展,在对资源开发方面也得到了加大,在近些年的发展当中,一些矿井事故的发生率愈来愈频繁。在工业技术的迅速发展和在工矿企业中的实际应用,在很大程度上促进了社会经济的繁荣,但是与此同时也带来了一些负面的效应,也就是大型的工业系统的复杂化的程度已经愈来愈高,这就使得一些灾难性的事故频繁发生,这些不仅给我国的国民经济带来了巨大损失,同时也给社会造成了很大的心理压力。
1.当前矿井通风系统现状分析
我国的矿井通风理论以及技术在上世纪五十年代就已经有了一定的进展,能够对井巷通风阻力进行广泛的研究和测定,并且也建立了各种作业面的紊流传质方程以及污染物的浓度分析计算的方法,从而对风量的计算提供了理论上的依据。在随着社会的不断发展过程中,极端及技术以及网络技术的应用对矿井的通风系统的分析提高了效率,在新进技术的支持下矿井的生产能力有了大幅度的提升,在开采的深度以及强度方面不断的得到了加强。
在上世纪十年代初期,在我国的矿井通风理论和技术的研究上有了迅速的发展,并取得了令人瞩目的成果,与此同时,对矿井通风系统的评价研究的工作也在不断发展着,一些评价方法也被应用在这一系统当中[1]。
2.矿井通风系统安全评价原则分析
在我国的矿井通风系统方面是比较复杂的且是动态的系统,所以就会受到诸多外在因素的影响,要想实现安全评价的相关目标,就要在指标体系上能够完善以及科学,这也是进行系统评价的一个重要基础,对评价的结果有着直接性的影响。在这一过程中要能够建立与之相关的原则,只有遵循這些原则才能够有效的将矿井通风系统的安全评价得以有效的应用。
2.1系统性原则
首先在矿井通风系统的系统性原则方面有着整体性以及相关性和目的性、有序性以及适应性的特点,其中的整体性特点主要就是在矿井通风系统的各评价指标是有机整体,它们在内容上虽然有着不同但是在综合以及统一形成的整体作用下就有着一些新的功能,在这些功能的实现下安全评价的结果才能够准确的对整体性加以反映。而相关性就是安全评价和评价指标间有着一定的联系和以来,以此来达到合理的评价目的。系统是为能够达到一定的目的而存在的,而建立系统的目的就是对矿井通风系统的安全状态进行有效的评价[2]。
2.2科学性原则
在矿井通风系统的安全评价的科学性原则方面,由于其系统事故的发生有着一些自然的规律,故此其评价指标在选择的过程中就需要有着客观性以及科学性,在理论知识的掌握上要能够进行实际的分析,在经验的基础上对安全评价的指标概念进行明确,与此同时要能够和客观的规律相符合,主观的安全指标是不可取的,在真实客观的基础上才能够保持其科学性[3]。
2.3可测性原则
还有就是在对矿井通风系统的安全评价系统进行建立的过程中要能够和实际得到契合,要将需要的数据进行现场的搜集还要能够在测试的可操作性上比较强,从而避免一些比较复杂的的程序。
2.4其他原则
除了以上的原则之外还有着普遍性原则以及特殊性原则和定性、定量指标相结合的原则,在对其指标的建立过程中,要能够将特殊性和普遍性得到兼顾,在对矿井通风系统当中所存在的普遍共性指标建立评价层,而对一些比较特殊的情况就要将关系选取以及结构的层次得以应用。同时在事物的发展变化过程中还要能够将定量以及定性进行结合,把定性指标转化为定量化的指标,从而实现指标值的量化原则。
3.安全评价指标相关影响因素分析
3.1矿井危险因素
在矿井通风系统方面主要是相关装置以及通风动力和井巷、通风设施所构成,主要的目的就是在通风动力的作用下,以最为经济的方式来向井下各用风的地点进行提供优质的质量空气,进而对作业人员的安全实行保护。并且能够在发生危险的时候可以有效的对风向和风量加以控制,这样就能够将灾害危险的程度控制到最低。在这一过程中就需要对相关的影响通风系统的因素进行了解,从而有效的从根本上加以控制[4]。在矿井的危险因素方面,主要就是在工矿中比较典型的灾害对通风系统产生的影响,这其中就包含了瓦斯爆炸以及火灾等。
3.2安全管理因素
而在安全管理的因素方面主要就是人为因素,最为常见的就是管理人员的年限以及技术人员所占的比例以及受训的时间等。在矿井通风系统当中的安全管理人员在受教育的年限愈长学历愈高,在对一些理论的知识掌握上愈是牢靠那么这一指标值也就愈高。这对实际的安全有着重要的影响。
3.3通风环境因素
还有就是在通风环境这一影响因素方面,它主要是在井下的通风系统作业的环境,其中的温度以及风速和空气的质量都对安全评价指标有着影响。其中在粉尘的浓度上应当是越低越好,在矿井的空气温度也是构成矿内气候条件的一个重要因素,温度的过高或者是过低都会对人体有一定的影响,在温度上最为适宜的是在十五到二十摄氏度,对矿内的温度产生影响的因素主要是地面空气的温度以及空气受压缩以及膨胀和岩石的温度等。
3.4通风设备因素
在通风的设备这一影响因素上主要就是在通风系统中,各种设备的安全性对通风系统的安全性有着直接的影响,其中最为主要的就是通风机的运转性能以及瓦斯的抽放率和隔爆设施的完好情况。在通风设备方面主要是承担着全矿的通风任务,故此是昼夜运转的,这和矿井内的工作人员的安全有着密切的关系,其稳定的运转能够保证通风系统的稳定。
nlc202309051145
4.具体安全评价应用分析
在对具体的安全评价进行应用过程中,本文主要以A矿井为例进行阐述,该矿井建于上世纪六十年代在2012年批准核定生产能力达到一百八十万吨,实际生产一百六十万吨。在当前该矿井的生产状况为通过走向长壁后退方式进行的开采,矿井的通风方式是中央边界式,在通风的方法上为抽出式,其中在进风井有四个,回风井一个。在二零一一年的瓦斯坚定的结果是相对涌出量是2.01m3/t,CO2相对涌出量是3.15m3/t,是属于瓦斯矿井。在通风系统的基本参数方面主要是通过阻力测定数据进行的计算,在通风阻力所测定的各项实测数据基础上,根据矿井当前的实际情况来建立网络解算模型进行网络计算。
根据该矿井的通风系统的实际情况,为能够客观真实的反映实际情况,最大化的减少评价的误差,在相关的规程以及细则的严格执行的基础上,然后再结合矿井的通风安全专家以及现场的通风安全的技术人员等进行赋值并计算。在这一矿井的多年运行开采以及自我改造情况下,使得风流不稳定的风度所占据的比例比较大,所以要对通风网络进行优化,把现行的单通道通风系统改成两个子系统,然后再采取分区式的通风方式来降低不稳定的风路分支数。还有就是在这一矿井中的角联风路数的量过多,由此就给风路风阻在调节的过程中增添了很多的难度,为了能够有效的保障通风网络的稳定性,所以要能够对工作面上的角聯风路的关联分支加以风阻调节,并要能够对其风机的工况点进行优化调整。
例如对矿井通风系统环境进行模糊综合评价:令[0,0.6]不合格,[0.6, 0.7]及格,[0.7,0.8]中等,[0.7,0.8]良好,[0.8,1]为优秀。几位位专家评价的结果分数为:0.87,0.73,0.68,0.73,0.67,0.58,0.91,0.81,0.78,0.85则评价的结果为如下表所示。
表1 评价表
级别不合格合格中等良好优秀
数量12331
频率1/102/103/103/101/10
通过这一模糊统计评价的方法来确定隶属函数并将其分为几个级别,这样能够将验证模糊综合评价的结果的合理性以及可信性得以保持。
5.结语
综上所述,在当前我国对矿井通风系统的安全评价的研究已经有了很大的进展,这一系统有着多环节以及非线性和动态性的特点,而安全评价是一项改善工业安全生产以及管理现状等比较有效的长效机制,所以在这一方面的研究要能够得到有效的加强。在矿井通风系统的研究已有了七十多年的历史,在当前技术比较发达的阶段,对其安全评价的准确性以及科学性将得到更加有效的加强。
【参考文献】
[1]李基隆,刘炳锋,林吉飞,董娟,夏建波.两阶段法在矿井通风系统评价中的应用研究[J].工矿自动化,2014,(07).
[2]王时彬,陈日辉,孟祥允,刘世涛.计分法在矿井通风系统方案优选中的应用[J].中国钨业,2014,(03).
[3]王彦波,张黔生,陈建,谢贤平. 基于灰色层次分析的矿井通风综合评价模型研究[J].矿冶,2014,(03).
[4]赵红红,蒋曙光,王云航,陈国明,陶卫勇.改进AHP在大柳塔矿通风系统评价中的应用[J].矿业研究与开发,2014,(02).
作者简介:吴瑞明(1985-),男,汉族,山西大同人,太原理工大学矿业工程学院在职研究生,研究方向:矿山通风及安全评价,工作单位:大同煤矿集团有限责任公司燕子山矿机电管理部,助理工程师
Web应用系统的安全性研究 篇4
随着互联网的发展,越来越多的人加入了使用互联网行业的大军。随之而来的安全问题的相关任务,其重要性变得日益重要。例如,Web应用系统面临的安全性越来越多,所以保证Web应用系统的安全性,对其进行有针对性的研究也就提上了日程。
本文针对Web应用系统的相关内容进行探讨,重点以安全性研究为首要目标。通过相关内容的介绍,对Web应用系统的认识进行进一步的掌握,尤其是对安全危险的常规性问题的认识、安全方案等内容。
1 Web应用系统的技术特点
只有清楚地认识到Web应用系统,及其技术特点,才能更好地去保障系统的安全性。这一部分,将具体介绍Web应用系统的技术特点。如图1所示,Web应用系统的相关技术离不开浏览器、服务器这些技术的。
浏览器:用来浏览Web应用系统,所以浏览器是必不可少的一个组成。
服务器:用来进行数据的传输与处理的。
网页:因为是Web类系统,所以期间会需要网页作为媒介来提供一些支撑。
2 面临安全危险的常规性问题
对Web应用系统安全性进行研究,总结相关安全性问题,具体包括应用程序安全问题、主动性攻击、被动性攻击等。下面,主要对常规性问题分别进行分析介绍。
2.1 系统面临的危险
经常会发生这样的情况:如系统受到攻击,或者系统有漏洞从而发生危险等。通过系统造成安全的,可以有不同的手段。主要包括:干扰系统的运行、让数据变得不完整、绕过授权对系统进行访问、伪造用户的信息等内容后在系统进行登录等。
如果想要对上述危险安全的手段加以阻止,需要从途径上切断这些造成安全影响的相关危险。途径主要包含以下几方面。
(1)通过系统存在的漏洞来威胁系统安全
如图2所示,以跨站的形式来实现脚本技术的攻击,也叫作存储式跨站脚本攻击。此类安全威胁的形式往往是一些黑客或者不怀好意思的人,将一些带有目的性的代码植入其中,然后被发到服务器,一旦没有被服务器查验到,恶意代码也就顺利到达用户端了,这样整体的XSS攻击也就顺理成章了。
值得注意的是,这里被植入的代码,一般都是通过Flash、VBScript、HTML、Java Script、Active X等形式来进行了。
(2)通过系统设计时存在的系统体系的安全缺陷威胁系统安全
以图3所示,如果URL是被攻击者伪装后的恶意Javascript,当用户执行URL请求操作时,也就顺理成章被传送到服务器。服务器如果也没有发现相关恶意危险。当URL中的数据被浏览器处理,也就开始了恶意代码执行过程,整个危险就非常严重了。
(3)通过后台等安全意识薄弱环节找机会威胁系统安全
一般此类环节中的安全问题,同操作人员或者相关的技术认识不完善等有着关联,可以考虑人为因素的相关内容。比如,本来需要启动防火墙,来保护网络,但是操作人员人为的将电脑中的防火墙进行了关闭,就非常可能发生严重的安全危险。
2.2 发生受主动攻击的危险
受主动攻击的危险,发生形式往往以截获信息、更改信息的方式,或者冒充系统管理程序,对一部分用户的使用行为进行拒绝或中止,最终实现将数据单元的真实数据获取,或者进行恶意处理等行为,从而造成危险。
2.3 发生受被动攻击的危险
受被动攻击的危险,发生形式往往是通过获取的用户信息等内容,然后以“无恶意”的形式去使用相关信息等内容,虽然造成危险的机会可能比受主动攻击的危险要小,但是如果成功登录系统等,也同样是有一定程度危险的。
2.4 应用程序的安全问题
作为应用系统,都会与应用程序挂购,同样的应用程序的安全问题,也会直接影响到系统的安全。此类问题的相关危险情况,经过相关研究机构的分析,以漏洞(占25%)、注入(占15%)、执行(占10%)、引用(占8%)这几步为例,分别占到了安全性攻击的较大百分比。具体的内容与说明以及相关问题,如图4所示。
3 Web应用系统的安全方案
想要更好地去保障Web应用系统的安全性,从安全的方方面面考虑,并以此为出发点,形成一套系统的安全方案,才能给予Web应用系统更好地安全保障。其中,配置服务器及其相关应用的部署,都是安全方案必不可少的部分。
(1)配置服务器
对于服务器的配置,可以分别通过WWW服务器、FTP服务器、E-mail服务器,最终来完成安全配置。出于安全方面的考虑,需要为服务器设置站点。然后,再结合相关的安全措施,这样才是最终合理的配置服务器方案。关于配置服务器的相关安全方案,可参照图5所示相关步骤。
(2)应用部署
在完成服务器配置之后,接下来对相关内容,进行应用部署是必不可少的步骤。具体包括安全漏洞、服务器漏洞、IIS安全这三方面的部置。图6所示相关内容,对其中的应用部置出于安全考虑,相关的步骤要点进行了概括。做好图6的相关操作,整体应用部署也就部署到位了,相应的系统也就比较安全了。
4 给出解决方案——有效解决安全问题的几种办法
在了解了相关安全方面所存在的问题之后,如何解决这些安全问题,以避免尽量少发生安全危险,就是摆在面前的需要解决的迫在眉睫的任务。以下内容将给出解决方案。
(1)创建防火墙
给电脑安装防火墙,就像给一间房屋建立了围墙,能够让在电脑中的数据等变得安全,并且有了一定的保护作用。网络中“建”有防火墙,能够有效阻止黑客入侵,同时保护其中的相关信息。
(2)使用加密技术
加密技术应用比较广泛。比如给电脑的登录加密,给手机的登录加密,甚至是我们在银行进行存款,也一定会需要进行密码的添加,然后通过输入密码完成验证之后,来进行下一步的操作。
(3)定期进行入侵检测操作
通过一定时间间隔内,对系统进行入侵检测操作,也是解决安全问题的一种方式。进行入侵检测,需要有安全策略。具体可通过文件系统改变、执行的相关警报、系统生成的日志或者有物理部件方面的改变等,都可以作为安全策略,通过检测来掌握相关安全性。
(4)设置访问控制的控制技术
主要通过限制用户访问的方式,来保障Web应用系统的安全。通过需要输入密码访问,通过刷相应的智能卡,或者通过指纹、眼膜等识别技术的方式,来保障访问网站应用系统的是允许访问的访问者。
(5)设置身份认证的认证技术
反馈在安全评价中的应用研究 篇5
反馈在安全评价中的应用研究
摘要:安全评价关系到政府安全生产监督与管理的有效性和科学性,甚至影响企业的生存与发展,对安全评价体系进行完善,是生产迅速发展形势下的一项重要课题.在研究反馈原理及其在教育领域应用情况的`基础上,提出将反馈应用于安全评价中,并分别探讨在安全评价过程和评价机构内部两方面的应用,重点阐述了应用模式及需注意的问题.作 者:刘金云 臧德云 王国忠 郑昕 金康定 LIU Jin-yun ZANG De-yun WANG Guo-zhong ZHENG Xin JIN Kang-ding 作者单位:安徽省安全生产科学研究院,合肥,230061期 刊:中国安全生产科学技术 ISTICPKU Journal:JOURNAL OF SAFETY SCIENCE AND TECHNOLOGY年,卷(期):,3(3)分类号:X913.4关键词:反馈 安全评价 可行性 应用方法 交互性
网络办公信息安全技术应用研究 篇6
【摘 要】随着国家电网公司信息化建设的发展,信息安全技术也越来越重要。作为信息管理的主角,信息已经成为日常工作的主要资源之一,基于网络的开放性、自由行的特点,各类信息的资源在不断增加过程中,对于信息的管理、保护和占有技术也越来越成为关注的焦点。本文结合本单位的实际情况,从办公网络安全技术方面,对办公网络信息安全技术进行研讨。
【关键词】网络安全;办公信息;加密;应用安全技术
【中图分类号】TN915.08【文献标识码】A【文章编号】1672-5158(2013)07-0097-01
1 引言
电网企业的信息化起步于上世纪60年代,在建设过程中,各种基础设施和应用软件在不断升级换代,建立了相当数量的信息管理系统,形成了越来越多、大大小小的信息“孤岛”。由于缺乏统一规划,造成各个信息系统之间相互缺乏关联,信息资源难以共享。为摆脱这一困境,2006年4月29日,国家电网公司提出了在全系统实施“SG186”工程的规划,“SG186”工程即国家电网公司信息化“186”工程。SG186工程是在把握企业信息化发展规律的基础上,加强应用建设和资源整合,联通“孤岛”,搭建起统一高效的信息平台,更好地满足了企业现代化管理的要求。
培训中心也在此基础上,进一步完善了校内信息网络建设,完成了涵盖人力资源、财务、物资、项目、设备、计划等紧耦合业务应用的信息系统建设,完成了协同办公和综合管理等业务应用建设;建立健全了安全防护、标准规范、管理调控、评价考核、技术研究、人才队伍六个保障体系。通过建设SG186工程,培训中心的信息化工作已全面渗透到各个管理领域和各项业务环节,信息化在企业管理中的支撑和引领作用不断增强,不断推动培训中心管控模式由自转向公转、由壁垒向协同,由分散向集中,由自发向可控、由孤岛向共享的转变,有效促进了培训中心的科学发展,为培训中心集约化管理供了支撑,信息化工作带来的效能、效率和效益逐步显现。
但是在信息化建设过程中,所有的内容都是充分利用了现代信息和通信技术,对信息技术资源的需求和依赖越来越大,信息安全问题也日益凸显出来。与民用网络相比,培训中心的网络是直接与国家电网公司的计算机相连接,有很大的特殊性,有更高强度的安全需求,如抗截获、抗干扰、抗摧毁、抗篡改、抗伪造、安全、保密、特权、异网互连互通等。这些内部网络中存储了大量关系到本单位切身利益的涉密信息,一旦泄漏将导致重大损失。如何确保内网数据安全已经成为信息安全与保密领域的重要课题。防火墙、入侵检测、杀毒软件等边界防御措施,主要防范来自外部网络的病毒和黑客攻击,不具备对数据本身的保护能力,难以防范内部人员窃密或硬盘丢失造成的泄密隐患。针对这些特殊的安全需求,确保培训中心网络化办公中的信息安全显得更为重要。
2 系统设计
目前,培训中心的办公采用无纸化的系统办公系统,是基于Internet建立通信信道。在深入分析了现在广泛应用的SSL VPN和IPSec VPN两种接入方式的一些优缺点之后,综合考虑移动办公环境中信息存储、处理和传输等方面的安全性,设计了一个能够较好解决移动办公安全问题的基于组合公共钥匙(Combine Public Key)技术的移动安全接入系统方案。该方案基于组合公共钥匙技术,专门设计了离线公钥证书加密和认证技术,通过使用密码设备USB Key,有效地解决了在之前采用CPK应用中会遇到的问题。对于密钥存放以及共谋攻击问题,采用强身份认证系统,通过采用点对点安全传输平台,确保信息传输安全。
在移动桌面办公安全监控系统中采用基于关联规则的行为控制技术,可以对用户在远程办公中的行为进行有效监控,防止用户通过复制、截屏、导出等方式泄露内部资源,并能自动识别并终止恶意进程,从而保护办公机密的处理安全。
3 数据加密
安全的网络信息系统应当确保所传输信息的完整性、保密性、不可否认性等。目前保障通信和网络安全技术的种类很多,其中数据加密技术是保障信息安全的最核心的技术措施。密码技术作为数字签名的理论基础,是首要的研究对象,在数据加密技术中主要有传统密钥加密体制和公开密钥加密体制,公开密钥加密体制在对数据加密和数字签名两方面应用广泛,在对对称加密、非对称加密和杂凑函数三大加密技术及其主要算法进行概括分析的基础上,将数字签名技术中各算法性能优劣进行量化对比,选取了适合本系统的Blowfish、RSA和SHA-1的签名算法,在分析了其网络化办公存在的安全问题,并发现公钥基础设施(PKI)体系结构采取单一信任模式是问题产生的根源。在对网络化办公信息系统的安全需求进行充分分析的基础上,设计了层次信任和交叉信任相结合的PKI信任结构,实现了能够提高证书认证效率的PKI信任体系,应用了基于离线公钥证书的文件加密技术,对传送到外网的信息透明的进行高强度加密存放,保证机密信息的存储安全,同时使用进程识别技术对访问文件的进程进行过滤,有效防止病毒木马窃取或者破坏机密文件。
在公文收发系统的设计实现中,提出了客户端与服务器端双向认证与对人和设备双层认证相结合的认证方案,在第二层又提出了“用户名+编号+密码+标识设备(电子U盘)”方式的安全身份验证方案,既实现了对用户人的身份认证,又达到了对特定使用设备的认证。系统具有公文加密、解密、数字签名、签名验证以及公文收发等功能,可提供信息传送过程中的身份认证服务、权限控制服务、信息保密服务、数据完整性服务和不可否认性服务,克服目前单一认证方式存在的“只认设备不认人”的问题,进而为网络化办公提供了一个相对安全可靠的环境。
4 文档加密
对于内网中传输的电子文档安全,采用了一种基于BLP模型,首先划定了办公文档的保密等级和文档能够流转的空间范围,通过技术手段使高密级的文档数据不能流转到低密级的范围中去。将需被保护的电子文档加密集中存储到服务器端,客户端需要时从服务器下载使用,使用完成后回收并删除客户端使用痕迹;并对文档在客户端驻留期间加以管控,使文档内容信息不会拷贝到其他低密级文件中或被打印。
根据BLP模型思想,首先划分出允许高密级文档流转的安全区和可以允许低密级文档流转的非安全区,确保受保护的高密级文档仅能流转在安全区中。安全区包括服务器端的文档存储区和客户端的文档使用区(安全沙盒)两部分。并根据安全区两部分的不同特点分别做了不同的技术保障:
(1)服务器端存储区:将文档传输并存储到服务器过程中,为防止信息被截获或窃取,本文借鉴了以往信息加密传输所用到的数字信封技术,应用密码学中的非对称加密技术,给出了一种适合文档存储的加密方案。此方案保证了文档信息在传输和存储过程中被加密,且加密的文档信息在服务器上存储后,既能方便给自己打开,也能在不告知自己密钥的情况下方便的将文档安全地共享给其他人。
(2)客户端文档使用区:在客户端建立一个安全沙盒。通过对所有进程注入钩子,托管其能使信息传输的API,管控其对保护文档拷贝,复制,打印。确保被保护的文档内容信息无法流出安全沙盒。在受保护文档被使用完成后,自动回收到服务器端存储,并消除掉本地所留下的痕迹,做到客户端不留痕。
安全使用者为打开安全文档的进程,通过对进程注入一个权限令牌与非安全进程区分。通过注入钩子,托管其能使信息传输的windows API。用户登录基于强身份认证的用户准入机制:通过“挑战-响应”方式,客户端服务器双向互认证,确保双方的合法性。
5 结论
应用安全管理研究 篇7
随着信息技术的发展,面对应用系统的安全攻击逐渐从传统的网络层向应用层和系统层迁移。应用系统在给用户提供服务的同时,也面临着各类的应用安全风险,安全性问题日益凸显。非授权用户窃取机密数据、删除和修改业务数据,各类新型的技术手段、计算机病毒、系统漏洞、应用程序漏洞以及应用中的不规范操作,引起系统中断服务。因此,有必要在建设应用系统的同时进行安全管理系统建设,实现应用系统的安全保护,防范应用业务系统自身风险和外部安全攻击。
应用系统安全管理是围绕应用系统进行信息安全保障建设。通过对应用业务流程的监控和分析,形成对业务应用信息安全防护,同时能够围绕核心业务系统数据,业务进行安全保障和防护,加强业务稳定性。具体包括WEB应用防护系统、应用数据防泄露系统、核心业务审计系统和应用系统安全定制四部分。WEB应用防护系统,对应用系统进行安全防护,防止页面篡改、防安全攻击行为。应用数据防泄露系统,对敏感系统应用数据访问进行控制,防止非授权访问,实现数据安全保障。核心业务审计系统,对重要业务系统的数据流进行采集、分析和识别。重要应用系统安全定制,根据各个应用系统的特点有针对性的进行安全定制。
二、WEB 应用防护系统
WEB应用防护系统,实现防篡改功能,保障应用系统网页的完整性,并通知管理员数据的变化;能够监控包含来自内部和外部所导致的所有文件的变化。同时可以通过实时阻断、核心内嵌、防SQL注入等技术实现对应用系统的保护。
1、Web 请求信息限制
针对HTTP请求,能够针对请求信息中的请求头长度、Cookie个数、HTTP协议参数个数、协议参数值长度、协议参数名长度等进行限制。对于检测出的不合规请求,允许进行丢弃或返回错误页面处理,并记录相应日志。
2、Web 敏感信息防护
内置敏感信息泄露防护策略,可以灵活定义HTTP错误时返回的默认页面,避免因为Web服务异常,而导致的敏感信息 (如:Web服务器操作系统类型、Web服务器类型、Web错误页面信息等)的泄露:
3、Cookie 防篡改
能够针对Cookie进行签名保护,避免Cookie在明文传输过程中被篡改。用户可指定需要重点保护的Cookie,对于检测出的不符合签名的请求,允许进行丢弃或删除Cookie处理,同时记录相应日志。可为Cookie强制添加httponly属性,保护Cookie不被Java Script访问;可为Cookie强制添加Secure属性 , 告知浏览 器在在HTTPS时返回Cookie,在HTTP时不返回Cookie。
4、网页防篡改
按照网页篡改事件发生的时序,提供事中防护以及事后补偿的在线防护解决方案。事中,实时过滤HTTP请求中混杂的网页篡改攻击流量 (如SQL注入、XSS攻击等);事后,自动监控网站所有需保护页面的完整性,检测到网页被篡改,第一时间对管理员进行告警,对外仍显示篡改前的正常页面,用户可正常访问网站。
5、Web 应用防护事件库
内置Web应用防护事件库,包含各类Web安全相关事件特征,网御提供定期与突发Web安全事件紧急升级服务,能够针对最新的、突发的、热点的Web攻击进行快速响应。
6、保障 Web 业务连续性
提供串行安全防护,充分考虑Web系统业务连续性保障措施,以有效避免单点故障:在桥模式部署条件下,提供软、硬双BYPASS功能,保障业务链路在各种情况下的通畅。
三、应用数据防泄漏系统
应用数据防泄露系统对应用系统数据提供防泄漏保护,保护信息内容,从信息内容泄露的角度出发,提供灵活、可自定义、可定制的应用数据防泄露解决方案,给应用数据提供更高的安全保障。防护导致业务系统信息泄露的攻击,同时提供有特征的应用数据内容的过滤的功能,清晰定义数据内容的安全等级,防止应用交互过程中的应用数据泄露。
1、对应用系统提供非合规性应用数据泄露防护,通过灵活的策略制定,提供可自定义的业务合规信息泄露防护。提供敏感信息调用审计,对所有正常非正常的请求进行策略限制,同时对所有应用 / 用户进行严格的敏感信息调用审计,可防止跨安全域的敏感信息泄露事件。信息泄露风险应急预警响应,提供实时的敏感信息内容交互的详细日志,
2、应用数据防泄漏内置了多种通用敏感信息的特征库,作为完备的敏感信息策略定义对象,提供基于文件特征的敏感文件泄露防护。防止攻击者获得权限之后,轻易的将数据库中的敏感信息打包成数据库的文件,通过文件的形式下载到本地,将存储有大量敏感信息的数据库文件、XML、备份文件等文件窃取。通过对业务系统可输出文件类型的检查,防止“拖库”事件的产生。
3、业务交互数据保护,为了便于事后追踪,防止未采用阻断策略的敏感信息交互,业务系统敏感信息防泄露解决方案提供有针对性的保护。用户可根据数据库的表项进行针对性的策略制定,对所有数据流均进行敏感信息的的审核。经过设备的所有查询、调用敏感信息的操作会将被实时的记录,通过日志审计部分可清晰的查看到请求的源应用 / 源用户,目标服务器应用,也可清晰的查看到具体数据库服务器上的表项操作记录。通过记录即可判断该操作是否属于非法窃取的行为。
4、对所有正常非正常的请求进行策略限制,同时对所有应用 / 用户进行严格的敏感信息调用审计,可防止跨域的敏感信息泄露事件。提供实时的应用数据交互的详细日志,便于日后追查问题的解决。
四、核心业务数据审计系统
核心业务数据审计系统通过对应用系统的数据流进行采集、分析和识别,实时监视用户访问业务系统的状态,记录各种访问 行为 ,发现用户的 误操作、违规 访问或者可疑行为。面向业务数据的安全审计技术,通过业务拓扑记录客户业务中各种数据库、主机、web应用系统相互的关联性,根据业务的变化快速查看各个应用系统和设备的事件和告警信息。能够对业务环境下的操作行为进行细粒度审计。对支撑业务的应用服务、主机系统、路径进行主动梳理并建立关联关系,制定针对性的监控分析策略和警报策略。
1、多维度业务数据审计
(1)数据访问审计:记录所有对保护数据的访问信息,包括主机访问,文件操作,数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为,防止外部黑客入侵访问和内部人员非法获取敏感信息;
(2)违规访问行为 审计:记录和发现 用户违规 访问。系统可 以设定用户 黑白名单 ,以及定义 复杂的合 规规则(例如定义 合法的访 问时间段 、合法的 源IP地址库、合法 的用户账号库),可以设置合 理的审计 策略进行 告警和阻断 ;
(3)用户操作审计:统计和查询所有用户的登录成功记录和登录失败尝试记录,记录所有用户的访问操作和用户配置信息及其权限变更情况,可以用于事故和故障的追踪和诊断;
(4)数据变更 审计 :审计和查 询所有被 保护数据 的变更记录 ,包括核心 业务数据 库表结构 、关键数据 文件的修改操 作 ,防止外部和 内部人员非 法篡改重 要的业务数据。
2、业务操作实时监控、回放
对访问数据库、FTP、主机的各种操作进行实时、详细的监控和审计 ,包括各种登 录命令、数据 操作指令、操作指令 ,并审计操作 结果 ,支持过程回 放 ,真实地展现用 户的操作。
3、快速响应和跨设备协同
系统在识别出安全事故后,能够自动或者用户手工的对威胁进行响应,采取安全对策,从而形成安全审计的闭环。在发生告警后,系统可以通过电子邮件、SNMP Trap等方式对外发出通告;能够执行预定义命令行程序,并将事件属性作为参数传递给该命令行程序。可通过共同协作来关闭威胁通信,以阻止正在进行的攻击。可以与众多第三方安全设备进行联动。
4、报表报告
系统内置大量报表报告,包括数据库报表、FTP报表、TELNET报表、主机报 表、综合报 表、SOX报表、流量 报表等。生成的报表图文并茂,报表可以按组管理,可以对报表生成进行日程规划,提供打印、导出以及邮件送达等服务,并根据计划归档报告,归档之后发送邮件通知。报告可用PDF、HTML、Excel、PNG或RTF等格式存档。用户可以通过系统内置的报表编辑器自定义各类报表。
五、应用系统信息安全定制
对重要应用系统进行安全定制,提高系统安全保障能力。主要是在系统技术框架、逻辑结构、数据接口、用户权限等方面进行分析。对应用系统存在的信息安全问题进行分析,提高应用访问控制能力,对应用不正常访问进行预警;加强应用系统防护能力,阻止页面篡改、注入式攻击、数据泄露、网站扫描,文件包含攻击,目录遍历攻击等攻击行为;增强数据防泄漏能力,防止数据非授权访问,从业务应用的操作性,自身防护性,数据安全性提供由内而外的防护。
六、效果
通过应用安全管理系统的建设,建立了一套立体管控、全面审计的应用安全管理平台,实现了对应用系统的全面统一运行管理与安全分析,能够实时获取应用系统状态、性能信息,发现应用系统状态性能异常后实时通知技术人员,能够实时分析系统日志和行为操作。从应用层、数据层保障应用安全,与现有的安全措施共同形成应用系统的全面保护。
摘要:面对应用系统的安全攻击逐渐从传统的网络层向应用层和系统层迁移,除了防火墙,防攻击等传统网络安全设备,需要针对应用系统进行安全管理,以保障应用和数据安全。本文从应用安全管理的角度,对如何在应用层、数据层加强应用安全进行了研究。
智能手机应用安全研究 篇8
1应用程序安全威胁现状
实际上,智能手机设备面临的安全威胁是多方面的,如设备的物理安全、数据存储安全、手机操作系统安全、设备驱动程序安全、应用程序安全、漏洞补丁升级和更新安全等[2]。其中, 应用程序安全问题是最为受到关注的,也是最为严峻的,因为应用程序直接与用户交互,与用户最为接近,应用程序安全威胁直接影响用户体验。常见的智能手机用户应用程序安全威胁主要包括:资费消耗、窃取隐私敏感数据、恶意扣费、远程控制木马、手机病毒等。
1.1资费消耗
恶意应用程序在后台运行服务程序,通过后台拨打电话、发送短信/彩信、启用网络发送用户数据消耗流量等操作,用户完全不知情,最终致使用户遭受资费损失。
1.2恶意扣费
恶意软件通过隐藏执行、欺骗用户点击等手段,订购各种增值业务或使用移动终端支付,导致用户经济损失。例如一些恶意应用在用户不知情的情况下,在后台发送短信到网络运营商,定制大量的增值业务,或自动拨打特定增值业务号码,然后通过短信拦截功能屏蔽相关增值业务定制后的确认短信和网络运营商的资费提醒短信,偷偷地”吸取”用户的资费。
1.3窃取隐私和敏感数据
恶意程序会收集用户隐私和敏感数据,比如通话记录、短信/彩信、联系人通讯录、电子邮件、照片、定位信息等,随后将这些信息发送到指定的接收位置。近年来,窃取用户隐私和敏感数据行为有呈爆发式增长的趋势。除了用户个人隐私信息之外,一些有价值的用户账户密码信息也是窃取的主要目标。 例如一些恶意应用程序,通过淘宝”忘记密码”这一功能重置手机用户的支付宝登录密码,而重置期间所提示的手机短信,都会被屏蔽,转发给黑客手机服务器,若重置成功,则可盗取用户的淘宝和支付宝账户信息,并将用户账户资金盗走[3]。
1.4远程控制木马
远程控制木马被植入后,攻击者可以通过远程控制发送任意指令信息,为所欲为。与其他恶意程序在威胁方式上有较大的区别,这种威胁是呈动态变化的,其产生的恶意行为类型根据攻击者发送的具体指令信息不同而改变,因此用户面临着多个方面的安全威胁,如隐私窃取、吸费扣费、恶意推广服务、更新和下载其他恶意软件等[4]。
1.5手机病毒
手机病毒类似于计算机病毒,它是一种具有传染性、破坏性的手机应用程序。它以手机硬件、通信服务网络为传播平台,通过发送短信、电子邮件、手机浏览互联网、下载铃声、蓝牙设备无线传输等方式进行传播。手机病毒造成的危害主要有导致用户手机死机、无故自动关机、资料损坏丢失、接收或群发垃圾短信邮件信息、自动拨打电话、流量异常等,给用户造成经济损失和生活上的影响;另外,手机病毒还可能通过不断给通讯网络广播发送信息,导致通讯服务网络的局部瘫痪,造成大面积的用户影响。由于商业利益因素的驱动,单纯的破坏性病毒渐渐减少,出于经济利益目的的病毒越来越多。
1.6系统流氓行为
绝大多数系统流氓软件都会非法获取系统的最高权限,即Root权限。获取最高权限后,恶意软件可以强行结束安全防护软件的进程,将自身程序移动到系统程序目录以伪装成系统应用,使自己无法被删除卸载并且开机自动运行,进一步来破坏用户的手机系统。例如,恶意应用程序服务在后运行,消耗大量内存空间,占用CPU资源,使手机无法运行其他应用,基本处于死机状态。
2建立应用程序安全防护网
面对智能手机应用程序带来的安全威胁,需要从手机产业链的每个环节对手机安全进行管控,全方位入手,才能标本兼治。整个手机安全产业链从硬件、系统、通信网络、应用程序到终端用户,手机在以上各个节点都可以出现手机安全问题,都需要相关人员、程序控制、设施建设进行安全把关。
对于终端用户来说,提升用户安全意识至关重要。据ii Media Research《2014年中国手机安全应用研究报告》显示, 36.2%的中国手机网民在“收到短信链接”时缺乏一定的安全防护意识,在移动支付、个人通信信息与账户安全等领域的防护意识尚待加强,个人用户手机安全方面存在较多误区。超过五成的中国手机网民面临“无法卸载部分手机预装软件”的难题, 应用root权限的管理让部分中国手机网民无所适从,中国手机网民缺乏一定的手机安全防护与应用管理教育。17.4%的中国ios系统用户曾越狱过,但仅16.7%的ios越狱用户知晓越狱后面临的安全风险并采取相应的防护措施。37.5%的中国手机用户在更换手机时“将手机恢复出厂设置或格式化”,仅11.8%的用户主动选择“不接入无密码的wifi”;当前,中国手机用户wif接入、移动验证、二维码扫描与位置共享等领域的安全意识尚待加强。安全总是相对,对于任何的安全防护工具而言都无法做到完美无缺,毫无破绽,而这时只能靠用户的能力及安全意识去判断。
对于开发者来说,应用程序应当致力于为用户提供最好的功能和服务的同时,保障应用安全,保护用户数据,使用户免受伤害,从而形成一个优胜劣汰的良好生态圈。
对于应用发布渠道商、网络运营商来说,组成全产业链联合防范统一阵营,建立有效的管控治理机制是构建整个手机安全体系防护网中的重要一环。例如,从安全角度看,苹果的应用安全问题相对Android少,苹果App Store的质量控制机制和安全审核机制值得借鉴[5]。
对于政府来说,最为迫切的是构建安全监管机制,完善相关法律法规,建立起长效的安全评估体系。
在整个手机安全产业链中,从用户、开发者、应用发布渠道商、网络运营商和政府监管机构几个方面来看,手机应用发布渠道商对应用的严格管控、政府监管机构对渠道和应用的强力监管应当最为有效的两个环节。
3结语
智能手机的功能越来越强大,它已经成为我们日常生活的一个重要工具。我们在享受各种手机应用带来便利的同时,也不能忽视其安全问题。在整个手机安全产业链中,大多数的应用程序安全问题受利益驱使,面对各种安全威胁花样不断翻新,只要我们能正确认识手机安全威胁,提高自身的安全意识并做好相关的安全防范措施,就能保护好自己免受其害。
摘要:在移动网络飞速发展的时代,智能手机应用程序已经进入我们生活的方方面面。它在给我们带来便利的同时,手机应用安全也日益成为用户关注的焦点。该文从应用安全现状出发,介绍了常见的手机应用安全威胁,并提出手机安全产业链中的用户、开发者、应用发布渠道商、网络运营商和政府监管机构几个方面建立应用程序安全防护网。
应用安全性研究 篇9
应用软件, 是人们日常生活和工作直接使用的软件工具, 同时也是遭受安全攻击的主要对象, 其安全问题主要由3方面造成: (1) 应用软件的规模逐渐庞大、设计日益复杂使安全漏洞和安全隐患的数量显著增加; (2) 网络的开放性和互连性, 应用软件作为实现开放和交互的端口, 将直接面对安全攻击; (3) 应用软件在扩充升级、修复漏洞的过程中处理不当所造成新的安全漏洞的出现[1]。目前, 国内外对应用软件的安全性评价多为定性描述, 缺少具体的量化方法;指标的主观性强、可操作性差, 并且缺乏对同类产品的综合性比较。
1 应用软件的分类
对于不同的应用软件, 安全性衡量的标准有所不同。如国防系统、银行交易等应用软件, 对数据高度敏感, 安全性要求较高;而普通应用软件对安全性要求相对较低, 其需求主要体现在数据的完整性和保密性。通常从以下几方面对应用软件进行分类。
(1) 功能
根据功能的不同, 应用软件可以分为影音播放软件、翻译软件、办公软件、通信软件、安全防护软件和图像处理软件等。
(2) 应用领域
根据应用领域的不同, 可将应用软件划分为商用应用软件和科研应用软件等, 其中商用应用软件又可以细分为制造业领域软件、金融领域软件和行政领域软件等。
(3) 服务对象
依据服务对象的不同, 可以将应用软件分为面向市场的产品应用软件和面向客户的项目应用软件两个类型。产品应用软件是面向市场需求, 由软件开发商直接提供给市场, 为大量用户服务的应用软件产品;项目应用软件, 也称为定制软件, 是受特定客户的委托, 软件开发商在合同的约束下开发出来的应用软件。
(4) 工作方式
按照应用软件工作方式的不同, 可以将应用软件分为批处理软件、交互式软件、分时处理软件和实时处理软件。
(5) 规模
按照应用软件开发过程中所需要的人力、时间和产品规模, 可以将应用软件分为极大型、甚大型、大型、中型、小型和微型6种类型。
2 应用软件安全性评价研究现状
目前关于软件安全性评价的研究, 偏重于软件安全性测试的研究。软件安全性测试主要包括两方面内容: (1) 安全漏洞测试。通常采用对抗性安全测试, 通过模拟攻击者的行为测试软件抵抗攻击的能力, 并发现潜在的安全漏洞。 (2) 功能性安全测试。即测试安全机制是否按照预期设计正确地实现他们的功能[2]。主要的安全性测试方法有:语法测试、基于故障注入的安全测试、形式化安全测试、基于模型的安全功能测试、基于属性的测试及模糊测试。
应用软件安全性测试专注于安全功能测试及漏洞检测, 缺少整体的评价方法。影响应用软件安全性的因素较多, 同时运行环境也复杂多变, 单纯的应用软件安全性测试可以为安全性评价提供定量的度量数据, 但这远远不能满足应用软件安全性评价的需求。国内外学者从定性、定量、以及两者结合等角度对应用软件安全性评价进行了研究, 主要包括以下几个方面。
2.1 定性的应用软件安全性评价方法
目前大多数软件安全领域的从业人员所采用的主观定性评价方法, 通过手工核对的方式, 逐项检查各项功能是否满足安全需求;以表格的形式, 列出软件漏洞及其危害程度。此类方法操作简单, 但需要投入大量的专家知识和人力, 而且没有统一的评价方法及具体评价指标的支持, 评价过程依赖于个人经验;同时, 由于每个人对软件安全性的理解存在差异, 评价结果往往难以取得一致。
2.2 基于安全度量的应用软件安全性评价研究
2001年应用计算机安全协会 (ACSA) 联合MITRE公司对安全度量进行了探讨, 将信息系统安全度量定义为:通过一些评估过程, 从一个偏序集中选择一个值, 表示与信息系统安全相关的质量, 产生或提供一种关于信任程度的描述、预言或者比较[3]。在此基础上产生了软件安全度量的概念, 即构建度量模型, 描述软件产品的安全属性, 定量或定性评价抽象安全属性的过程。软件安全度量需要解决3方面问题: (1) 选取的度量框架是否合适; (2) 选取的度量元是否可测; (3) 测量的结果是否能够被解释[4]。
基于软件产品自身的度量, 较少考虑软件与其运行环境之间的相互作用。为此, 国内外学者从环境度量、攻击模式和防御模式等方面进行了相关研究。Thomas Heyman等人给出了基于安全模式的层次度量框架:最顶端为安全目标, 然后分解成若干子目标, 为实现子目标选择适合的防御模式及安全功能, 并针对最底层的安全功能组件给出了相应的度量元。部分研究者还从“攻击-防御”角度, 以攻击模式知识库为基础构建防御模式知识库[5,6]。
上述软件安全性度量的研究是基于确定性的方法, 还有一类基于不确定性概率的研究方法。许多学者以攻击面为基础研究如何度量软件的安全性。攻击面是能被攻击者利用来对系统实施攻击的资源集合。攻击面度量, 即通过静态分析软件系统的内在资源, 得到基于概率的结果, 表示攻击所造成的对软件系统的破坏程度[7,8,9]。另外, 很多学者以攻击树为基础研究如何度量软件的安全性。攻击树以树形结构描述一系列可能的攻击行为以及他们之间的逻辑关系。通过计算各叶节点发生的概率, 并利用图论相关算法, 分析攻击树中的关键节点和路径, 从而计算出根节点发生的概率。然后综合考虑攻击被发现的可能性、对软件系统的破坏程度、攻击成本、攻击难度等因素, 计算得出软件系统整体的安全风险分值[10]。
2.3 基于用户满意度的应用软件安全性评价
有学者认为, 用户作为软件使用的主体, 不同软件为用户提供安全服务的能力存在差异, 因此以用户对软件安全状况的满意程度评价软件的安全质量具有一定的合理性。V.Casola等人应用层次分析法, 以安全属性为基础构建层次结构模型, 给出了用户安全满意度的计算方法[11]。Artem Vorobiev等人将软件安全性视为一系列安全组件相互协调作用的结果, 以时间点、时间序列、时间间隔、安全财产、运转时间状况和可能性等变量描述软件在运行态下的安全状况, 并给出安全功能组件的安全服务满意度的计算方法[12]。
同时, 各国专家也提出了很多标准, 作为评定应用软件产品的安全等级和安全性的依据。主要的标准有《信息技术—安全技术—IT评价标准》、《系统安全工程软件过程能力成熟度模型》、《信息技术安全评价通用标准》、《可信计算机系统评价标准》、《系统和软件工程—系统和软件质量要求和评价—系统和软件质量模型》、《信息技术安全评价标准》等。
3 应用软件中信息技术安全测评的权威标准
《信息技术安全评价通用标准》 (简称CC) 是目前信息技术安全测评方面的权威标准, 应用范围最广泛, 但是不涉及具体的评价方法。针对CC专门开发了一个通用的信息技术评价方法CEM, CEM定义了与CC标准中EAL1-EAL4对应的评价过程, 但没有提供有关EAL5-EAL7的评价过程。
CEM评价方法包括3个步骤:向评价者提供有关评价对象的一系列评估证据 (包括产品指南、测试文档、安全环境等) 、保障轮廓、安全目标;进入CEM的核心评价活动;输出评价结果, 评价者最终裁决出3种不同的评价结果:通过、不确定或失败。
虽然CC标准的应用范围广泛, 具有很强的通用性, 但是CC标准仍存在很多不足:CC标准体系庞大, 需要消耗大量的时间和资源, 而且对专业性要求非常高;CC标准主要集中在大方向上的软件安全设计, 对于具体的编码实现和部署均没有涉及;对软件实现和部署两方面的评价不足, 是CC标准的重要缺陷之一。很多通过CC认证的软件产品曾被攻击者多次成功地攻击, 例如:Microsoft Windows2000 (EAL4) 、Oracle9iRelease 9.2.0.1.0 (EAL4) 、Trend Micro InterScan VirusWall (EAL4) 等。
4 结束语
从国内外的研究现状可以看出, 大多数研究专注于应用软件安全性的某一个方面。例如软件漏洞、安全功能组件等方面, 其评价研究已经比较成熟, 但是缺少综合的评价指标及方法, 导致评价结果较片面。各类应用软件安全性评价标准, 侧重于整个软件安全开发过程的评价, 主要面向大中型的软件开发企业, 评价内容较为繁琐、抽象。文章从不同角度对应用软件进行分类, 并对应用软件的安全性评价现况进行了阐述, 旨在为应用软件安全性评价工作提供可靠的理论依据。
参考文献
[1]周长发, 马颖华.软件安全—使安全成为软件开发的必需部分[M].北京:电子工业出版社, 2008.
[2]任伟.软件安全[M].北京:国防工业出版社, 2010.
[3]维静, 王树明, 陈震, 等.软件安全的多指标综合评测[J].计算机工程与应用, 2006 (11) :94-97.
[4]张鑫, 顾庆, 陈进蓄.面向对比评估的软件系统安全度量研究[J].计算机科学, 2009, 36 (9) :122-126.
[5]王环环, 詹永照, 陈锦富.可信软件分析与测试研究进展[J].计算机应用研究, 2011, 28 (7) :2401-2406.
[6]朱少民.全程软件测试[M].北京:电子工业出版社, 2007.
[7]朱少民.软件质量保证和管理[M].北京:清华大学出版社, 2007.
[8]钟路.软件工程[M].北京:清华大学出版社, 2005.
[9]段念编.软件性能测试过程详解与案例剖析[M].北京:清华大学出版社, 2006.
[10]Sahinoglu M.Security meter:apractical decision-tree model to quantify risk[J].Security and Privacy, 2005, 3 (3) :18-24.
[11]Casola V, Fasolino A R, Mazzocca N, et al.An ahp-based framework for quality and security evaluation[C]//IEEE computational science and engineering.Naples Italy:CSE'09, 2009:405-411.
建筑安全分级管理应用研究 篇10
近几年国家不断加强基础设施建设,稳步推进城市化进程,建筑行业迎来了难得的发展机遇期。越来越多的建筑企业的加入,行业间的竞争呈现越来越激烈的趋势。竞争不仅体现在基础设施设备、人员素质等硬条件上,也体现在成本管理、安全管理、工期管理等软实力上。建筑业是一个劳动强度大、危险性高的职业,安全施工是建筑业最基本和核心的要求,近几年建筑行业事故频繁,在当前仍较为严峻的安全生产形势下,建筑企业必须继续强化建筑安全监督管理工作,改进监管方式,提升监管水平,以更好地发挥作用。
目前,我国建筑业实行的是“国家监察、行业管理、企业负责、群众监督”的安全管理体制,这种体制虽然在建筑安全建设的发展中起到了积极的作用,但是这种体制只是一种指导性的意见,各企业必须根据企业自身的特点和实际情况制定针对性的措施,确保不出现安全责任事故。
在19世纪末20世纪初,意大利著名经济学家帕累托在研究英国人收入分配问题时发现大部分的财富流向小部分人手里;同时发现某部分人所拥有财富的比例与其占总人口的比例有着某种不平衡的、比较确定的数量关系;而且,研究中还证实了会重复出现这种不平衡的数量关系,且具有可预测性。经济学家们称这一发现为“帕累托收入分配定律”也就是所谓的80/20法则。针对这个法则,也能看出一个道理,即在原因与结果、投入与产出、努力与收获之间,不平衡关系是普遍存在的。具体表现为:决定整个组织产出、效率、盈亏及成败的主要因素往往是关键的少数;少的投入,可以得到多的产出;小的努力,可以获得多的收获。简单的说,80/20法则的本质内涵就是“效率”,就是要让人们在管理等工作或日常生活中学会抓薄弱、从环节、抓重点,保证这些关键的少数能够发挥最大效率。
在当前严峻的建筑安全生产形势下,有必要深入思考我国当前的建筑安全生产监管机制,寻求机制创新的方式,以便提高建筑安全监管效能,使之更有效地监管建筑企业的安全生产行为,减少建筑安全生产事故的发生,提高建筑业安全生产水平。
1 分级管理必要性分析
1.1 博弈论
博弈论(Game Theory),亦名“对策论”“赛局理论”,属应用数学的一个分支,博弈论已经成为经济学的标准分析工具之一。博弈论的基本概念包括参与人、行动、战略(或策略)、信息、支付函数、结果、均衡。参与人指的是博弈中选择行动的决策主体,该主体追求自身效用最大化;行动是参与人的决策变量;战略是参与人选择行动时所依据的规则。信息指的是参与人在博弈中的知识,特别是与其他参与人(对手)有关的特征和行动方面的知识;支付函数是所有参与人战略或行动的函数,反映参与人从博弈中获得的效用水平,是每个参与人真正关心的东西;结果是指参与人博弈过程中产生的各种可能后果,形成博弈分析者所感兴趣的要素集合;均衡是所有参与人的最优战略或行动的组合。
1.2 纳什均衡
纳什均衡又称为完全信息静态博弈。所谓完全信息博弈是指对于所有其他参与人(对手)的特征、战略空间以及支付函数,每一个参与人都有准确的知识;静态博弈是指在博弈中,所有参与人都同时选择行动,或者虽没有同时但后续行动者并不知道先前行动者所采取的具体行动。完全信息静态博弈则是同时具备完全信息博弈与静态博弈的特征。
纳什均衡的定义:在博弈G={S1,…,Sn:u1,…,un!中,如果由各个博弈方的各个策略组成的某个策论组合(s1*,…,sn*)中,任一博弈方i的策论si*,都是对其余博弈方策略的组合(s1*,…,si-1*,si+1*,…,sn*)的最佳对策,也即ui(s1*,…,si-1*,si*,si+1*,…,sn*)≥ui(s1*,…,si-1*,sij*,si+1*,…,sn*)对任意sij∈Si都成立,则称(s1*,…,sn*)为G的一个纳什均衡。
假设有n个局中人参与博弈,给定其他人策略的条件下,每个局中人选择自己的最优策略(个人最优策略可能依赖于也可能不依赖于他人的战略),从而使自己利益最大化。
1.3 建筑业分级管理必要性
在当前激烈的建筑市场竞争中,建筑企业为了追求利润最大化,往往会承担发生安全事故,造成经济损失和人员伤亡的风险。因为某个企业如果从“利他”目的出发,加大安全投入改善安全生产条件,为企业员工创造良好的安全工作环境,那么,与其他不进行安全投入的企业相比,该企业就会因安全投入的增加而导致建筑产品的生产价格上涨,从而使企业的竞争力减弱,进而引起利润下降,甚至有可能被逐出建筑市场,这是任何一个企业不愿面对的情况。因此,部分企业就会放弃实现“利他”的目标,转而从“利己”的目的出发,通过对安全低投入甚至不投入的方式来增加利润。这时,就会出现建筑企业间的“纳什均衡”,即在给定其他企业策略的条件下,每一方都选择自己的最优策略,从而使自己效用最大化,构成一个策略组合。
2 安全分级管理体系
建筑安全生产分级监管是指在综合分析评价建筑企业安全生产管理、项目现场安全生产状况、安全生产事故等信息的基础上,对建筑企业按照具体的评价标准进行打分评价,并据此划分各建筑企业的安全生产等级,再根据建筑企业安全生产等级的不同而制定不同的监管措施,采取差异化监管的方法。其中,对建筑企业按照安全生产水平的不同进行分级是实行分级监管的前提和基础;根据建筑企业安全生产水平等级的不同确定不同的监管措施,并进而建立完善规范的分级监管运行机制是建筑安全分级监管的核心;创新建筑安全监管手段,解决建筑安全监管任务重与建筑安全监管资源不足的矛盾是实施建筑安全分级监管的目的;提高监管效率,合理配置监管资源,实现监管效用最大化是建筑安全分级监管的最终目标。建筑安全生产分级监管是对传统“一视同仁”监管方式的改进,是一种创新性的监管方式,其在整个实施运作过程中,必须坚持一定的原则以保证这种监管方式的规范有序。
2.1 科学分级
对建筑企业的分级是实施建筑安全生产分级监管的前提和基础。科学分级就是说在分级监管的前期准备过程中,要根据建筑企业安全生产的特点和具体情况制定科学有效的分级方法和分级标准;在对建筑企业安全生产评价分级的过程中,要严格按照分级方法和分级标准,仔细地确定每个建筑企业的安全生产级别,保证其安全生产实际状况与安全生产等级相匹配。
2.2 动态管理
动态管理就是在建筑安全生产分级监管的实施过程中,定期分析建筑企业的安全生产情况,根据所制定的升级、降级标准和分级周期,重新评价建筑企业的安全生产等级,对建筑企业的安全生产级别实行动态调整。同时要根据建筑安全生产分级监管的具体执行情况,不断调整、完善监管措施。
此外,还要注意对建筑企业安全生产档案的动态管理,要及时跟踪建筑企业在市场运行中所发生的各种情况,尤其是一些安全生产事故信息,不断更新安全生产档案,确保分级监管信息的及时、准确和完整。
2.3 依法监管原则
依法监管就是在对建筑企业进行分级时,要遵循国家法律法规的相关规定,比如,要严格审查建筑企业是否按照国家有关法律法规的规定落实了安全生产责任制、安全教育培训制度等,并以此作为分级的标准之一;在对各级建筑企业进行监督检查、提出处理办法时也要按照国家相关法律法规的规定,坚持依法行政、依法监管。建筑安全生产分级监管只是为建筑安全监管机构提供一种新的监管方式,并没有改变监管本身应遵循的一些要求,依法监管依旧是建筑安全生产分级监管的出发点和落脚点。
2.4 责任明确
责任明确就是对建筑企业分级完毕后,应针对不同级别建筑企业的特点、安全生产的具体情况,制定不同的监管措施,明确每个级别建筑企业监管的具体任务;同时,要相应地赋予建筑安全监管人员一定的职责权限,要尽量明确每个级别建筑企业的具体监管人员以及监管过程中的监管规程、检查标准、处理程序和纪律要求等。
2.5 系统全面
建筑安全生产分级监管并不仅仅是一个实施办法或者实施方案,而是一个需要持续完善的制度。所谓系统全面就是在设计建筑安全生产分级监管制度时,应当全面完整地考虑该制度所应包括的内容,尽量做到不遗漏;另外,还要尽量做到建筑安全生产分级监管制度设计上的各环节以及内容本身之间的互相协调配合,形成一个能够有序运作的系统。
3 结语
在实际的应用中,按照安全分级管理的理念,根据建筑安全事故的严重程度和发生概率进行评估,并根据采用的安全措施所消耗的成本和可能带来的回报。
应用安全性研究 篇11
【关键词】电网安全 智能技术 技术应用
在国家电网公司推进电网智能化建设、加快城乡配电网改造的同时,对投入电网运行的智能技术进行研究,对构筑确保安全的“布局合理、标准统一、技术先进、节能高效”的电网,提升电网智能水平有一定的指导意义,对建立科学的安全培训教育也具有针对性和实用性。
1 安全电网的主要特征
1.1坚强:在电网发生大扰动和故障时,电网仍能保持对用户的供电;在极端气候条件下仍能保证电网的安全运行;具有确保信息安全的能力和防计算机病毒破坏的能力。
1.2自愈:能在线自我评估电网的运行状态,利用智能技术,快速有效地发现并消除各种隐患和隔离故障;自我恢复,避免发生大面积停电。
1.3互动:电网运行可实现资源配置优化,提升电网的安全运行。
1.4集成:通过信息整合、流程优化,达到调度自动化的决策支持体系,保证电网的安全。
1.5兼容:电网能够同时适应集中发电与分散式发电模式,实现与负荷侧的交互,标准化了的电力和通讯的界面接点将使得用户可以接连燃料电池、可再生能源发电及其他分散的电源,并以简单的“即插即用”方式来实现。
2 保证电网安全的智能应用技术
2.1智能调度准确掌握电网“心跳”,电网调度中心和监控中心的合并重组工作(即调控一体化),有效提高了设备运行集约化程度和推动调度运行与设备运行的整合,实现了从传统分散的调度技术支持系统向横向集成、纵向贯通的智能电网调度技术支持系统的升级过渡。大集中监控模式运行,使调度人员能够即时、直观、全面地掌握电网的各类信息,更快速地捕捉信号,更精确地掌握电网的‘心跳,从而有力地保障电网的安全稳定运行。
2.2在线监测诊断系统(OMDS)使智能主网输变电更“聪明”, 输电线路上存在污闪、杆塔振动幅度过大、线路出现覆冰等通过OMDS下的各个子系统便可详细了解到输电线路上出现的各种情况,这些在线监测装置子系统有杆塔振动、风偏角、导线弧垂、线路气象站等十几种类型,各类子系统从现场发回的实时的效的监测数据和状态信息均可在OMDS平台上交互、展示,并集中处理或统一管理。智能生产管理系统(GPMS)、OMDS与状态检修辅助决策模块(CBM),形成了设备状态检修管理信息平台。由OMDS系统在线监测各种变电设备的状态参数,CBM则综合运用GPMS的基础数据和OMDS的在线监测数据,通过计算分析得出设备的健康状况,及时发现设备运行中的异常征兆,发出报警,并将结果反馈给GPMS系统作为制定检修策略的依据。
2.3“一次设备+智能组件”模式实现变电站智能化。智能变电站具有信息传输网络化、数据化、光纤化的特点,各装置之间如同电脑一样,只需电源和网络线,就能将变电站所有信息由模拟信息转化为数字信息进行采集、传输、处理和输出,控制中心可根据实际需要通过信息指令来控制、调节变电站的相关操作,实现标准遥控操作,避免误操作。
2.4“一网三体系一平台”供用双方“互动” 的智能用电,在全部智能电网项目中,与广大用电客户关系最紧密的就是智能配电和智能用电了。 “一网三体系一平台”,即建设灵活、可靠、自恢复的智能坚强安全配电网,建设一体化智能调控体系、智能配电管理体系、智能用电服务体系,建设面向智能配电网、用電网的多层次信息通信支撑平台,以满足分布式电源、电动汽车等新设备接入电网的需要,保证用电安全。
3 电网安全建设的技术需求和发展方向
3.1电网安全建设的技术需求
智能电网安全技术需求主要包括:1)基于电网业务系统的安全防御技术;2)电网基础信息网络和信息系统的安全保障技术;3)主动防护安全存储规避网络病毒和恶意侵犯的密码技术。
3.2 保证电网安全的智能技术发展方向
3.2.1安全管控技术
安全管控技术主要是软件全周期安全管理,代码安全性测试,软件安全测试,技术安全评测等,这是实现电网安全智能系统构建的关键环节。
3.2.2安全支撑技术
电网安全支撑技术主要涉及到安全统一认证管理技术,综合安全审计技术,安全风险动态评估技术和安全技术标准建设技术等内容,并且在此基础上构建完善的信息安全技术体系,使得智能电网安全等级得以全面提升的同时,安全技术管控朝着标准化的方向发展。
3.2.3主机终端安全技术
主机终端安全主要是针对于计算机终端设备而进行的安全防御技术体系,一般情况下,主要涉及到服务器,终端计算机,智能移动接入设备和智能电表等。对于此部分的安全保护,主动防御技术使得主机终端始终处于动态安全性提升和前摄的状态,避免出现各种侵害行为的同时,检测出安全缺陷,并主动采取措施进行消除,以保证主机终端的安全性。
三、结束语
面对当前严峻的电力安全形势,智能电网对信息化安全防护工作提出了更高更严的要求,迫切需要建立一套信息安全主动防御体系,全面保障智能电网安全集约化管控与核心业务系统安全,是电力工作者需要不断探析的问题。
参考文献:
[1]王春璞,卢宁,侯波涛.智能电网的信息化技术特征[J].河北电力技术.2009.B(11):6-7.
[2]孟凡超,高志强,王春璞.智能电网关键技术及其与传统电网的比较[JJ.河北电力技术,2009,B(11):4—5.
[3]施婕,艾芊.智能电网实现的若干关键技术问题研究[J].电力系统保护与控制,2009,37(19);1-4.
应用安全性研究 篇12
1 SQLServer与网络连接及数据库安全内涵
一般情况下, SQLServer使用的是1433端的监听, SQLServer是一种微软公开化的端口, 入侵者可以利用SQLPing工具获取数据库里面的数据。对于这种情况SQLServer如果建立在网络基础上进行数据储存, 这样可以师用防火墙对数据库进行保护。网络属性中可以选择TCP和IP协议属性, SQLServer与网络设计连接之后可以隐藏SQLServer实例, 然后就可以将默认的端口更改为其他端口, 并防火墙日志进行重新设置, 实现SQLServer与网络连接的保护。
数据库安全性问题的探讨主要是为了防止非法用护越权使用, 或是对数据中比较重要的数据进行修改等不法行为, 所以针对这类问题需要对计算机的系统建立相应的安全机制, 确保数据库安全。
首先数据库的建立要有保密性和完整性以及可用性的特点, 其中保密性就是所建立的数据库不能对外泄密数据, 或是访问权。而数据库的建立还需要有一定的完整性, 在保密性的前提下实现数据库建立的完整性。主要是数据库的建立不能受到硬件或是系统, 电源等物理故障的影响, 使得在发生故障时还可以对数据库进行恢复。
2 SQLServer数据库安全机制
2.1 使用安全账户和允许数据库访问
SQLServer这个用户是不能随意删除, 所以要加强对账号的保护。要建立一个比较强的密码, 不能在数据库再使用sa账号, 确保SQLServer实例的安全性。一般情况下要再次使用sa账号时是当密码忘记或是其他管理系统不可以再次使用的情况下。同时数据管理人员也可以建立一个与sa账号基本相一致的账号, 当然为了进一步的提高数据库管理水平要可以将系统账号删除, 这样系统操作人员就不能与数据库相接触。
在数据库建立以来人们都会采用不同的方式进行登录验证, 为了提高SQLServer数据库的安全性可以将数据库登录的方式进行权限分配。如果在创建了新的数据库时, 可以采用sp-grandbaccess的存储授权进行访问, 但是与sp-grandbaccess所对应的spdenybaccess存储过程实际上不存在, 所以不能以决绝服务器的访问的方式拒绝对数据库的访问, 所以在创建新的数据库时可以建立相对全局组, 并授予访问权对数据库进行访问, 但是这种方式不能限制对DDL访问。所以需要通过用户的个人账号对SID授权用户进行数据库的访问, 也可以对用户所在的一个组或是多个组进行授权访问数据库。
2.2 对数据库的权限进行合理化的分配, 并简化安全管理
在对SQLServer数据库事项安全策略的同时在最后要建立一个用户定义, 之后再进行数据库权限的分配。在创建新的名字时最好能与全剧组名字相符合, 一般在数据库数据整理比较复杂, 因此可以使用名字的缩写进行代替, 不过要保证数据分析的明确性, 避免造成数据管理出现混乱, 便于判断的数据库中的数据存储。当新的角色创建好之后需要用标准的REVOKE等来命令, 但是一般在命令中DENY权限要比其他的权限具有优先权, 所以要注意对DENY权限的使用, 如果随意使用就会使SQLServer数据库拒绝访问。然后就可以加入有关SQLServer的验证。一般情况下内建角色适用于整个数据库的访问, 所在内建在选择的时候通常是db-securityadmina和db-datrareder两个数据库角色。所以为了使用方便, 可以对数据库的用户建立定义角色, 并将用户访问的权限授予这个定义的角色就可以。
SQLServer验证登录比较方便而且也可以被很容易的编写到应用程序中, 但是这种容易编写和登录主要低对于用户数量比较少的情况下, 如果用户数量超过25, 或是服务器数量等在增加的同时SQLServer就不容易进行登录。SQLServer用户的权限不能进行限制, 所以需要对用户的权限进行记录就比较困难。所以不管是大型的数据库处理对数据存储或是小型数据处理系统都需要简化安全策略, 以便减少问题的复杂性, 便于对数据库实施安全策略。总之在SQLServer数据库管理问题上需要进行适当的规划, 这样管理人员才能进行更好的控制和管理, 提高对SQLServer数据库管理的水平。但是随着科学技术的不断提高, 在实际应用过程中数据库管理方式也会存在相应的变化, 但是在上述分析过程中几种方式是可以应用的, 能够在实际数据库存储过程中起到较好的安全保护作用。
3 提高SQLServer数据库安全性的方法
3.1 Windows身份验证模式
Windows身份验证模式对数据库进行访问一般在比较适用于部分数据库, 而且具有一定的优势, 能够提供更多的功能, 可以直接对口令进行加密或是账号锁定等。而且这种身份验证的方式也可以在SQLServer数据库中增加用户组, 用户可以对SQLServer数据库进行快速访问。SQLServer数据库处理Windows身份验证模式登录账号时需要用户将Windows NT/2000系统相连接, 并打开SQLServer数据库的委托连接, 这样将可以将Windows NT/2000的账号传输给SQLServer数据库, 实现SQLServer对数据库的确认。如果出现多个SQLServer机器在一个或是一组的网路区域中, 这种情况下就可以对SQLServer机器进行全面访问。
3.2 混合模式
混合模式一般比较适合外界用户访问数据库, 在这种情况下混合模式的SQLServer身份验证具有一定的优势, 可以将非Windows NT/2000客户或是因特网客户连接到SQLServer。而且也对SQLServer数据库增加了一层安全保障作用, 因而在SQLServer数据库登录账号时要对SQLServer用户进行验证, 查看用户是否在ayaslogins系统中, 是否与之前的口令相符等相关手续。
SQLServer系统表示是一个高性能数据库管理系统, 在对数据进行存储的过程中含有数据图像或是表格等。而且SQLServer本身对系统在存储数据过程进行了保留, 所以能够对单个表结构进行查询, 操作比较简单只需要在SQLServer中键入SP-COLUMNS就可以得到结果。
4 结束语
随着科学技术的不断提高, 网路技术的不断扩大, 信息量的不断增加, 使得信息存储出现了安全性问题, 经常会有非法用户对企业的重要数据或是个人的信息进行窃取, 或是进行修改, 失去了有效性。所以本文针对SQLServer数据库安全性问题展开了讨论, 并介绍了数据库安全性内涵和提高安全性的对策。实质上数据库管理是一个比较复杂的问题, 而且不仅仅是技术上的问题, 提高技术的同时还需要管理和法律等的社会因素的配合, 这样才能更好的实现数据库安全管理, 提高数据库的安全保障。
摘要:SQLServer是一种大型的数据库, 能够对大型数据处理系统的数据进行储存, 而数据库的安全性问题目前受到越来越多人的关注。所以SQLServer后台数据库的管理很重要, 该文主要探讨的是SQLServer后台数据库安全性管理和应用研究。
关键词:SQLServer,数据库安全性管理,应用研究
参考文献
[1]姜进成, 李文宏.SQLServer数据库在数据采集与监视控制系统 (SCADA) 系统中的应用[J].煤矿现代化, 2012 (2) .
[2]贺宪春.SQLSERVER视图和存储过程在进销存系统开发中的应用——以.NET开发环境实现统计业绩提成为例[J].计算机光盘软件与应用, 2013 (1) .
【应用安全性研究】推荐阅读:
智能手机应用安全研究09-30
虚拟现实技术在安全宣传教育中的应用与研究08-20
安全评价应用05-08
应用安全评估07-09
应用安全策略09-28
应用程序安全06-15
安全应用科学06-26
Web应用安全问题06-23
应用支撑系统项目安全08-04
应用密码技术安全策略09-28