智能卡测试系统技术指标
智能卡测试系统技术指标
智能卡测试系统包含非接触式智能卡测试模块、接触式智能卡测试模块和接触式智能卡协议分析模块。
非接触式智能卡测试模块
技术指标要求
自动化测试
平台提供基于可二次开发的测试环境,提供测试过程底层数据和命令的自动解析和图形化显示功能,基于ISO14443协议的测试环境,操作系统为Windows XP sp3, Vistal, Win7.
测试环境支持USB、TCP/IP、RS232三种通信接口,操作系统为Windows,以达到良好的驱动兼容性
测试平台的开放性决定它可集成到客户自己的测试平台可以与其他接触式卡及读卡器测试套件同步运用
主要功能要求模拟非接触式卡片测试仪,支持ISO14443的Type A, Type B, T=CL 协议以及防碰撞,支持数据速率为106, 212, 424, 828kbps
支持Innovatron协议
支持ISO/IEC15693协议,可选数据速率有高速和低速,采用的编码模式为1-4和1-256字节.
支持Mifare协议,支持的类型有classic,light,Ultra light,Ultra light C
支持FeliCa协议,支持的数据速率为212-424kbps
支持NFC测试,遵守NFC Forum规范,支持的测试传输模式为:tag 模式(tag1-tag4),读写模式,对等模式。支持的数据传输速率为106,212,和424kbps
底层数据扑捉和解析
即使没有任何协议封装的数据也可以展示其底层交换帧
可编程参物理参数
磁场强度可调
调幅指数,从0%-100%
数场强上升时间,0-5ms
载波频率,12.56MHz-14.56MHz
调制的上升或下降时间,0-10us
逻辑参数
Type A的暂停时间范围,0-4.4ms
帧等待时间ETU可调
Type B的帧时钟周期可调
传输速度为106, 212, 424, 848kbps
可进行的测试电气测试
可进行共振频率的测试其范围为11-24MHz
可进行芯片阻抗测试,在13.56MHz的条件下实际测量
可进行磁场测量其范围为0-8A/m
可进行EMD测试
逻辑测试
自动测试
其分为以下几部分:
发送Type A的指令,等待处理判断,发送Type B的指令并接收应答(对于Type B卡);
发送Type B的指令,等待处理判断,发送Type A的指令等待应答(对于Type A卡)
转换磁场,等待判断,发送(A或B的指令),接收应答
发送请求,等待,发送请求,接收应答
防撕裂
PICC重置表征
监测最小的FDT
逻辑测试
通过API控制测试
响应时间的测量(FDT, TR0,TR1)
发送的标准帧
发送畸形的块(错误的比特数)
距离的模拟检测
分离RX通道允许通信使用射频放大器
传统调制比率可测
触发器测试仪提供多种触发器,同步的或由外部实验设备进行同步
软件开发
可用元素, https://www.360docs.net/doc/9014421128.html,库,通信Dll
支持的开发语言:C, C++, VB, .NET 等任何支持Dll的开发语言。
接触式智能卡测试模块
技术指标要求
自动化测试
平台提供基于可二次开发的测试环境,提供测试过程底层数据和命令的自动解析和图形化显示功能,基于ISO7816协议的测试环境,操作系统为Windows XP sp3, Vistal, Win7.
测试环境支持USB、TCP/IP、RS232三种接口,操作系统为Windows,以达到良好的通讯兼容性
可二次开发的测试平台,可集成到客户自己的测试平台
可以与其他非接触式卡及读卡器测试设备同步运用
主要功能要求支持协议ISO7816-3,T=0和T=1协议
MicroSmart技术实现硬件加速传输和接收的字符
支持USB 2.0, ISO/IEC 7816-12大批量存储以及自定义的协议
支持SWP协议,满足规范ETSI TS 102 613和TS 102 622,支持SWP,HCI层
同步芯片存储晶体
可用的库包括T2G, Eurochip, SLE4442, SLE4407, AT24CXX
可实现自定义协议的开发
可实现硬件加速
支持底层数据扑捉和解析
即使没有任何协议封装的数据也可以展示其底层交换帧
可编程参
数物理参数:
电压
VCC支持范围:0-10V
Vol支持范围:0-5V,其在每一个触点上的值都可独立调整Voh支持范围:1-7V,其在每一个触点上的值都可独立调整Vil支持范围0.2-5V
Vih支持范围1-6.8V
频率
ISO7816时钟频率的范围:10KHz-20MHz
ISO7816时钟占空比为30%-70%
信号的上升和下降时间
触点VCC范围为20ns-1.8V/ms
触点c2,c3,c4,c6,c7,c8范围为10ns-5um
所有的pin脚都是相互独立的可以单独处理
ISO7816的传输参数
ETU宽度范围:1-4096个时钟周期
BGT,初始ETU宽度,时钟周期可调
BWT, CWT, EGT, RGT, WWT,ETUs可调
时钟停在高低电平可调
时钟停止tG和tH计时,时钟周期可调
奇偶控制可强行控制在0,1…等奇数
输入奇偶错误检查可以被禁止
5千欧或者20千欧的固定上拉电阻
可以模拟1千欧到100千欧之间的任何值SWP传输参数
波特率为49kbps到1.9Mbps
SWP的占空比为0%-50%
SWP S2的检测阈值为1
USB-IC传输参数
USB-IC特有的附件程序由测试者管理
提供的供电电压为1.8V和3.0V
可进行的测试电气测试
开路/短接测试
有效触点为C1,C2,C3,C4,C5,C6,C7,C8
强制电流为:-500uA-500uA
漏电测试
有效触点为C1,C2,C3,C4,C6,C7,C8
测量范围+/-5mA或者+/-500uA
电压测量
有效触点为C1,C2, C3,C4,C6,C7,C8
电压范围为+/-10V
可用模式:动态模式,提供一模拟视角的电压在你选择电压时供你选择静态模式,提供一个即时电压值
爆炸模式,512000电压测量在40ns之间在C1和C6间进行,使信号图像化模拟出来
电流测量
有效触点:C1,C2,C3, C4,C6,C7,C8
有效电流范围:+/-100mA, +/-25mA, +/-5mA, +/-500mA
电流模式:动态模式,提供一模拟视角的电流在你选择电流时供你选择
静态模式,提供一个即时电流在所选触点上
爆炸模式,512000电流测量在40ns之间在C1和C6间进行,使信号
图像化模拟出来
逻辑测试
抗撕裂测试,模拟芯片免疫系统抵抗撕毁读卡器
定时测量,测量芯片一个命令的响应
并发I/O测试,同时发送的字符ISO / IEC 7816和SWP,与一个用户定义的时
间偏移量
SWP框架测试,发送的帧由点/位组成,使发送的数据没有位填充,或CRC错
误
接触式智能卡协议分析模块
技术指标要求
自动化测试
平台提供基于可二次开发的测试环境,提供测试过程交互数据和命令的自动解析和图形化显示功能,基于ISO7816协议的测试环境,操作系统为Windows XP sp3, Vistal, Win7.
测试环境支持USB、TCP/IP、RS232三种接口,操作系统为Windows,以达到良好的驱动兼容性
可作为第三方监测接触式读卡器和卡之间的ISO7816协议的数据并解析
测试平台的开放性决定它可集成到客户自己的测试平台
可以与其他卡及读卡器测试套件同步运用
主要功能支持协议ISO7816-3,T=0和T=1协议,支持波特率范围为
要求49kbps-1.9Mbps 可实现块级和LCC级的解析
支持USB 2.0, I SO/IEC 7816-12大批量存储以及自定义的协议
同步芯片存储晶体
可用的库包括T2G, Eurochip, SLE4442, SLE4407, AT24CXX
可实现自定义协议的开发
可实现硬件加速
可编程参
数
ISO7816-3的协议分析模式:采用I/O方向的检测算法
可进行的测试电气测试
进行测试的有效触点为C1,C6,C7,
样本数512000
可能同时执行电压和电流的测量来表征卡和终端的特性
解析特性测试类型的展示:
逻辑状态的改变
解析特点分析
调制的波特率
时钟频率的检测
信号的模拟表示
I/O方向
信号显示:
信号在C1,C2,C3,C4,C6,C7,C8上的显示触发输入
触发输出
测试过程中的时间可以精确到20ns
触发器可以提供同步的和由外接设备实现的同步
传输方式RS232,TCP/IP 10/100Mbps,USB2.0
软件开发对于嵌入式开发,支持的编程语言为,C, C++, VB, .NET以及任何语言
支持的Dll
可用元素为,测试所需的https://www.360docs.net/doc/9014421128.html,库和通信Dll 对于远程开发,推荐windrive的交叉编译器
数据库安全技术研究与应用
学术.技术
学术.技术 (2)安全管理技术:安全管理指采取何种安全管理机制实现数据库管理权限分配,安全管理分集中控制和分散控制两种方式。集中控制由单个授权者来控制系统的整个安全维护,可以更有效、更方便地实现安全管理;分散控制则采用可用的管理程序控制数据库的不同部分来实现系统的安全维护[6]。 (3)数据库加密:是防止数据库中数据泄露的有效手段,通过加密,可以保证用户信息的安全,减少因备份介质失窃或丢失而造成的损失。数据库加密的方式主要有:库外加密、库内加密、硬件加密等[7]。 (4)审计追踪与攻击检测:审计功能在系统运行时,自动将数据库的所有操作记录在审计日志中,攻击检测系统则是根据审计数据分析检测内部和外部攻击者的攻击企图,再现导致系统现状的事件,分析发现系统安全弱点,追查相关责任者[8]。 (5)信息流控制:信息流控制机制对系统的所有元素、组成成分等划分类别和级别。信息流控制负责检查信息的流向,使高保护级别对象所含信息不会被传送到低保护级别的对象中去,这可以避免某些怀有恶意的用户从较低保护级别的后一个对象中取得较为秘密的信息[9]。 (6)推理控制:是指用户通过间接的方式获取本不该获取的数据或信息。推理控制的目标就是防止用户通过间接的方式获取本不该获取的数据或信息[9]。 (7)数据备份与恢复。 2.3.2数据安全传输常用协议 (1)SSL协议:SSL协议(Secure socket layer)现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。S S L 技术已建立到所有主要的浏览器和W e b服务器程序中,因此,仅需安装数字证书或服务器证书就可以激活服务器功能。 (2)IPSec协议:IPSec (Internet Protocol Security) 是由IETF 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。它指定了各种可选网络安全服务,而各组织可以根据自己的安全策略综合和匹配这些服务,可以在 IPSec 框架之上构建安全性解决方法,用以提高发送数据的机密性、完整性和可靠性。该协议提供了“验证头”、“封装安全载荷”和“互联网密钥管理协议”3个基本元素用以保护网络通信。 (3)H T T P S协议:H T T P S(S e c u r e H y p e r t e x t T r a n s f e r P r o t o c o l)安全超文本传输协议,它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。 2.4 数据库安全技术研究趋势 要在确保可用性的前提下研究数据库安全,随着计算机技术的发展和数据库技术应用范围的扩大,将会有以下发展趋势[6,9]: (1)安全模型的研究,包括旧安全模型在实际中的具体应用和新安全模型的研究。 (2)隐蔽信道问题,即如何通过信息流控制和推理控制等其他安全控制机制来彻底检测与消除。 (3)当前处于主流地位的R D B M S大都采用D A C机制,有必要进一步扩展D A C授权模型的表达能力以支持各种安全策略,并开发合适的工具和通用的描述安全策略的语言来支持这些模型。 (4)数据库的审计跟踪,目前粒度较细的审计很耗时间和空间,如何改进审计机制或者是否有可以借助的高效率的自动化审计工具与DBMS集成。 (5)数据库技术与其他相关技术的相互结合对数据库安全的影响。 (6)多级安全数据库语义的研究和D B M S的多级安全保护体制的进一步完善。 (7)数据库系统的弱点和漏洞可以被轻易地利用,因此数据库安全要和入侵检测系统、防火墙等其他安全产品应配套研究使用。 (8)对应用系统和数据库连接部分的程序本身的安全研究也是广义数据库系统安全研究的范围。 (9)数据库加密技术的研究应用是今后数据库在金融、商业等其他重要应用部门研究和推广的重点。 (10)推理问题将继续是数据库安全面临的问题。 3 高校实践教学管理系统数据库安全技术方案3.1系统安全体系结构 图1 系统安全体系结构框图 系统采用B/S模式实现功能基本业务模块。主要事务逻辑在W E B服务器(S e r v e r)上实现,极少部分事务
信息安全技术发展现状及发展趋势
信息安全技术发展现状及发展趋势 摘要:随着信息化建设步伐的加快,人们对信息安全的关注程度越来越高。,信息安全的内涵也在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。信息安全涉及数学、物理、网络、通信和计算机诸多学科的知识。与其他学科相比,信息安全的研究更强调自主性和创新性。本文对信息安全技术发展现状和趋势问题作一粗浅分析。 关键词:密码学;信息安全;发展现状 引言 网络发展到今天,对于网络与信息系统的安全概念,尽管越来越被人们认识和重视,但仍还有许多问题还没有解决。这是因为在开放网络环境下,一些安全技术还不完善,许多评判指标还不统一,于是网络与信息安全领域的研究人员和技术人员需要为共同探讨和解决一些敏感而又现实的安全技术问题而努力。 目前,信息安全技术涉及的领域还包括黑客的攻防、网络安全管理、网络安全评估、网络犯罪取证等方面的技术。信息安全不仅关系到个人、企事业单位,还关系到国家安全。21世纪的战争,实际上很大程度上取决于我们在信息对抗方面的能力。 信息安全技术从理论到安全产品,主要以现代密码学的研究为核心,包括安全协议、安全体系结构、信息对抗、安全检测和评估等关键技术。以此为基础,还出现了一大批安全产品。下面就目前信息安全技术的现状及研究的热点问题作一些介绍。 现今信息安全问题面临着前所未有的挑战,常见的安全威胁有:第一,信息泄露。信息被泄露或透露给某个非授权的实体。第二,破坏信息的完整性。数据被非授权地进行增删、修改或破坏而受到损失。第三,拒绝服务。对信息或其他资源的合法访问无条件地阻止。第四,非法使用(非授权访问)。某一资源被某个非授权的人,或以非授权的方式使用。第五,窃听。用各种可能的合法或非法的的信息资源和敏感信息。第六,业务流分析。通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。第七,假冒。通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。第八,旁路控制。攻击者利用系统的安全缺陷或安全性上的脆弱之处获得
智能卡应用程序的开发
Windows系统提供了大量的API来方便的进行智能卡应用程序的开发,通过它们我们可以直接控制智能卡读卡器对智能卡进行操作,也可以与智能卡建立直接的虚拟连接而不用考虑智能卡读卡器。 智能卡应用程序开发的一般流程是: 1)建立连接(使用函数SCardEstablishContext和SCardConnect,SCardReconnect); 2)开始事务处理(使用函数SCardBeginTransaction); 3)进行事务处理(使用函数SCardTransmit); 4)结束事务处理(使用函数SCardEndTransaction); 5)断开连接(使用函数SCardDisconnect和SCardReleaseContext)。 下面就具体看看各个函数的功能和用法吧! 1)SCardEstablishContext函数用于建立进行设备数据库操作的资源管理器上下文: LONG WINAPI SCardEstablishContext( __in DWORD dwScope, //资源管理器上下文的范围,取值如下: //SCARD_SCOPE_USER---数据库操作在用户域中 //SCARD_SCOPE_SYSTEM---数据库操作在系统域中,调用的应用程序 //必须具有对任何数据库操作的权限 __in LPCVOID pvReserved1, //保留值,必须设为NULL __in LPCVOID pvReserved2, //保留值,必须设为NULL __out LPSCARDCONTEXT phContext //建立的资源管理器上下文句柄 ); 返回值:成功时返回SCARD_S_SUCCESS;失败时返回智能卡特定错误码。 函数返回的资源管理器上下文句柄可以被对设备数据库进行查询和管理的函数使用。如果一个客户试图在远程会话中实现智能卡操作,例如运行在终端服务器上的客户会话,而且客户会话所在的操作系统不支持智能卡重定向,则函数SCardEstablishContext返回ERROR_BROKEN_PIPE。 下面的代码是建立资源管理器上下文的例子: SCARDCONTEXT hSC; LONG lReturn; //Establish the context lReturn = SCardEstablishContext(SCARD_SCOPE_USER, NULL, NULL, &hSC); if(SCARD_S_SUCCESS != lReturn) printf("Failed SCardEstablishContext/n"); else { //Use the context as needed, when done, //free the context by calling SCardReleaseContext } 2)SCardConnect函数利用特定资源管理器上下文,在应用程序与包含在特定读卡器中的智能卡之间建立一条连接: LONG WINAPI SCardConnect( __in SCARDCONTEXT hContext, //资源管理器上下文句柄
网络安全技术研究的目的、意义和现状
网络安全技术综述 研究目的: 随着互联网技术的不断发展和广泛应用,计算机网络在现代生活中的作用越来越重要,如今,个人、企业以及政府部门,国家军事部门,不管是天文的还是地理的都依靠网络传递信息,这已成为主流,人们也越来越依赖网络。然而,网络的开放性与共享性容易使它受到外界的攻击与破坏,网络信息的各种入侵行为和犯罪活动接踵而至,信息的安全保密性受到严重影响。因此,网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。 21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。 网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。在网络技术高速发展的今天,对网络安全技术的研究意义重大,它关系到小至个人的利益,大至国家的安全。对网络安全技术的研究就是为了尽最大的努力为个人、国家创造一个良好的网络环境,让网络安全技术更好的为广大用户服务。 研究意义: 一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要 想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用。 信息安全问题已成为社会关注的焦点。特别是随着Internet 的普及和电子商
新一代Java智能卡技术研究
新一代Java智能卡技术研究 马旭,王立,彭晓锋 北京邮电大学电信工程学院,北京 (100876) E-mail:marxuxp@https://www.360docs.net/doc/9014421128.html, 摘要:本文较详细地讨论了最新的Java 2.2智能卡技术,包括系统结构、运行时环境、编程模型、Java类库支持、虚拟机原理及设计,最后简要介绍了Java2.2智能卡的安全机制。关键词: Java Card智能卡2.2,JCRE,JCVM,安全性 1.引言 智能卡也称为芯片卡、IC卡。是将集成电路芯片封装在一个塑料基片上,通过芯片内的通信模块,智能卡可以和外部设备通信,完成数据传输、存储和处理,实现各种业务。早期的智能卡实际上并不是严格意义下的智能卡,只是一种存储卡。因为它没有片上微处理器,而只有少量的存储单元和固化的逻辑电路。随着技术的发展,出现了微处理器卡,能够提供更高的安全性和更多的功能。这种卡不能直接和外部交换数据,而是通过外部设备对微处理器发送一组指令,再由微处理器执行相关的操作,并把数据返回给外部设备。 由于Java语言的平台无关性、高安全性和易开发性,在智能卡应用中有相当的优势。Java 语言刚诞生不久的1996年11月,美国Schlumberger 产品中心首先介绍了Java智能卡的API,并决定将智能卡开发重点转到保护信息安全上来。Schlumberger 提出了Java API草案并创立了Java智能卡论坛[1]。在广大厂商的支持下,SUN推出了Java Card 1.1规范,为Java智能卡定义了技术标准,并陆续推出了2.0、2.1、2.2版,提出了更为完整的技术要求。目前,Java 智能卡技术已经趋于成熟,得到了广泛应用。 2.Java智能卡体系结构 在智能卡硬件平台上,通过构建一个硬件或软件系统,以支持Java语言下载、运行,称为Java智能卡。Java智能卡继承了Java技术的平台无关性,将硬件和软件分离,简化了应用程序开发,提高了程序移植性。 Java智能卡由以下几部分组成[2]: z硬件系统 包括微处理器、存储器、通信电路、加密协处理器等模块 z与智能卡硬件相关的本地方法集 完成基本的I/O、存储、加密解密等对硬件的操作 z JCVM(Java Card Virtual Machine)解释器 完成对类文件的解析、构建Java栈和帧结构以支持Java字节码的执行 z Java智能卡类库 包括支持Java智能卡运行的核心类库和扩展类库 z Java智能卡应用管理组件 完成对卡上Applet的安装、注册和删除 z Java智能卡运行环境 包括支持卡内的Applet间的安全机制和对象共享机制,支持卡内的事务处理和异常处理 z Java智能卡应用程序
海关卡口智能化监控系统设计方案
海关卡口智能化监控系统 设计方案 第一章概述 1.1.1系统设计依据 依据《国务院关于〈中华人民共和国海关对出口加工区监管的暂行办法〉的批复》(国函[2000]38号)、《中华人民共和国海关对出口加工区监管暂行办法》、《海关总署关于印发出口加工区隔离设施及有关海关监管设施标准的通知》(署税[2000]311号)、《海关总署关于印发关于对出口加工区卡口设置专用通智能道的要求的通知》(署税[2000]680号)等文件,我公司对电子卡口系统进行了项目总体规划和设计。 依照有关法律、法规和实施细则,对进、出中心的货物及中心内相关场所实行严格监管。为提高海关及地方政府管理部门的监管和办公效率,最大限度的提高监管效果,提升企业通关效率、改善企业贸易环境,达到对进出中心货物既有效监管,又方便通关的目的,中心需要建设智能卡口系统。 1.1.2系统建设目标 随着中国入世和世界经济一体化进程的加快,现代物流产业的发展已经成为全球产业结构调整的一大趋势,现代物流发展的水平越来越成为体现一个国家和地中心综合竞争力的重要标志。新的形势下海关总署适时提出了“依法行政,为国把关、服务经济、促进发展”的工作指导方针,并且大量利用高新技术来提高工作质量和工作效率。 智能卡口系统这一高新技术产品,作为海关物流监控的重要手段之一,发挥着在进出口集装箱物流监控的重要作用。系统进行车辆、集装箱、电子地磅等现
场数据的采集工作,结合舱单信息、H2000通关信息和物流监控系统等环节的信息,对进出口集装箱现场称重、查验放行。达到在不影响通关效率、不增加企业负担、不增加海关工作量的前提下,提高了海关的查验率和客观公正性。 同时,大量准确的现场物流数据,也是进行数据分析、风险布控的数据来源。通过分析,可以有目的地、有针对性地在卡口进行查验、拦截已经布控的集装箱,提高了查验的准确性。 本系统是为海关监管的集装箱货车通道的管理自动化而设计的,主要用于对通过卡口通道的运载集装箱的货车自动进行重量采集、集装箱号码的拍摄和识别、电子车牌等数据采集,并将所有记录的数据和相关图像存入本机,然后,将采集到的数据发给海关物流平台进行比对,系统根据返回的比对结果确认是否放行,从而实现卡口通道的无人监管,保证了数据的客观性和监管的力度。 1.1.3设计原则 1、先进性原则 应用系统的设计思想、系统的编程语言、使用的操作系统、系统的安全手段、系统数据的保密措施必须具有先进性,并符合人性化、智能化。 2、快捷与便捷性相结合原则 对管理机关来说,审批手段、审批程序具有方便、快捷的特点,尽量减少审批程序,增加审批的透明度,提供办公流程的跟踪系统,让企业明知办事过程与进度。对企业来说,大部分业务的办理采用无纸申报手段,避免不必要的人工处理。 增强政府的服务意识,避免廉正风险,提高办事效率。 3、系统设计的长远性原则 系统设计整体性、长远性相结合。系统的设计必须遵循一体化的设计原则,达到具有充分扩充性的目的,不能够就目前的情况设计而设计,要按照智能的发展,智能的再扩容发展而设计,留有充分的发展空间。 4、系统设计的增值性原则 不论海关也好,还是其他管理部门也好(包括商检、管委会等),作为一个整体,不分彼此,不分你我。物流中心的信息规划和信息技术将大大提升中心内
网络安全技术研究的目的、意义和现状
论文:网络安全技术综述 研究目的: 随着互联网技术的不断发展和广泛应用,计算机网络在现代生活中的作用越来越重要,如今,个人、企业以及政府部门,国家军事部门,不管是天文的还是地理的都依靠网络传递信息,这已成为主流,人们也越来越依赖网络。然而,网络的开放性与共享性容易使它受到外界的攻击与破坏,网络信息的各种入侵行为和犯罪活动接踵而至,信息的安全保密性受到严重影响。因此,网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。 21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。 网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。在网络技术高速发展的今天,对网络安全技术的研究意义重大,它关系到小至个人的利益,大至国家的安全。对网络安全技术的研究就是为了尽最大的努力为个人、国家创造一个良好的网络环境,让网络安全技术更好的为广大用户服务。 研究意义: 一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要 想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用。
数据库安全技术及其应用研究
数据库安全技术及其应用研究 文章首先概述了数据库安全面临的主要威胁,然后分析了数据库安全关键技术,有针对性地阐述了一个典型应用,最后总结了数据库安全技术的研究意义。 标签:访问控制;加密技术;数字水印 1 数据库安全面临的主要威胁 数据库安全面临的威胁主要来自两方面:一是数据库自身脆弱性。主要体现在数据库自身存在安全漏洞,数据库审计措施不力,数据库通信协议存在漏洞,没有自主可控的数据库,操作系统存在缺陷等方面;二是网络攻击。数据库受到的网络攻击包括网络传输威胁,SQL注入攻击,拒绝服务攻击以及病毒攻击等方面。开放的网络环境下,数据库系统面临的安全威胁和风险迅速增大,数据库安全技术研究领域也在迅速扩大,下面我们共同探讨一些关键的数据库安全技术。 2 数据库安全关键技术 2.1 数据库访问控制技术 访问控制是数据库最基本、最核心的技术,是指通过某种途径显式地准许或限制访问能力及范围,防止非法用户侵入或合法用户的不慎操作造成破坏。可靠的访问控制机制是数据库安全的必要保证,传统访问控制技术根据访问控制策略划分为自主访问控制、强制访问控制和基于角色的访问控制。在开放网络环境中,许多实体之间彼此并不认识,而且很难找到每个实体都信赖的权威,传统的基于资源请求者的身份做出授权决定的访问控制机制不再适用开放网络环境,因此如信任管理、数字版权管理等概念被提了出来,进而形成了使用控制模型研究。 2.2 数据库加密技术 数据库加密是对敏感数据进行安全保护的有效手段。数据库加密系统实现的主要功能:对存储在数据库中的数据进行不同级别的存储加密,可以在操作系统层、DBMS内核层和DBMS外层三个层次实现;数据库的加密粒度可以分为数据库级、表级、记录级、字段级和数据项级,在数据库加密时应根据不同的应用需要,选择合适的加密粒度;数据库加密算法是数据加密的核心,加密算法包括对称和非对称密码算法,根据不同的应用领域和不同的敏感程度选择加合适的算法。 2.3 数据库水印技术 随着网络数据共享和数据交换需求的不断增多,如果不采取有效的安全控制和版权保护措施,常常会给攻击者以可乘之机。同时,如果缺乏数据库完整性验
武大计算机学院信息安全专业研究生培养方案
信息安全专业研究生培养方案 一、培养目标 培养德、智、体全面发展的计算机科学与技术领域的专门人才。要求学生较好地学习与掌握马列主义、毛泽东思想和邓小平理论,热爱祖国、遵纪守法、品德良好;掌握坚实的基础理论和系统的专门知识,比较熟练地掌握和运用一门外语,具有较宽的知识面,了解当前国内外本学科最新前沿,具有从事基础性、理论性科学研究和教学工作的能力,能够在本学科领域做出创造性的成果;并且身心健康。 二、研究方向 1)密码学技术主要研究分组密码、序列密码、公钥密码、演化密码、量子和DNA密码、认证、数字签名、密码芯片、智能卡、安全协议、密码应用技术等。2)网络安全技术主要研究防火墙技术、入侵保护技术、虚拟专网技术、网络容侵、可信网络、网络信息获取技术、网络安全测试与评估、网络安全事件应急响应、访问控制、网络故障诊断等。3)可信计算主要研究可信计算安全体系、可信计算平台技术、可信计算环境的构造与测评技术以及基于可信计算的应用安全技术等。4)信息系统安全主要研究信息系统物理安全、安全测评方法和技术、软件可靠性技术、恶意软件分析方法与检测技术、操作系统安全、数据库系统安全、可信性度量方法与技术、取证技术、验证码安全技术等。研究电子商务安全分析和设计方法、电子政务安全分析和设计方法、嵌入式系统安全技术、云计算安全技术和物联网信息安全等。5)内容安全主要研究信息隐藏方法、数字水印与数字版权管理技术、隐秘通信与隐写分析技术、基于内容的过滤和识别技术、舆情分析、媒体内容加密与取证技术和隐私保护技术等。6)空天信息安全主要研究多源空间信息共享技术、航天信息服务链技术、空天信息加密插件技术、空天信息处理与仿真技术、遥感影像降解密处理技术、空天信息数字水印技术等。 三、学习年限 3年。 四、课程设置及学分分配(见本专业硕士研究生课程计划表) 五、应修满的学分总数 应修满的学分总数:30.0 ,其中学位课程21.0学分 六、学位论文 1.论文选题:应密切结合学科发展与国家经济和社会建设的需要,要求具有一定的理论创新与应用价值,并经导师审核同意。 2.开题报告:选题后,学生应拟定撰写计划,于第三学期末或第四学期初在本专业或指导小组(不少于3人,含导师)内进行开题报告。经指导小组讨论通过后,方可正式进行搜集资料、专题研究和论文撰写工作。 3.论文撰写:开题报告完成后,应在导师指导下进入论文撰写阶段,时长不少于1年。论文应阐述理论或设计应用方面的研究成果,要求格式规范、命题正确、逻辑推理严谨、数据可靠、文字流畅,反映对所研究课题有新的见解,并表明作者具有从事科学研究工作或担负专门技术工作的能力。学位论文完成并经指导小组审查通过后,在论文答辩前一个月提交给2位论文评阅人评阅。评阅人须是具备教授、副教授或相当职称的同行专家。评阅意见在合格以上者,方可进入论文答辩环节。 4.答辩资格:本专业硕士研究
交通道路卡口方案设计
系统设计 随着网络化、高清化、智能化发展的逐渐成熟,智能卡口监控系统也开始呈现出明显的网络化、高清化、智能化这些特征。一套典型的智能卡口监控系统主要由前端智能检测系统、存储系统及中心管理系统等部分组成,如图1所示。 图1 智能卡口监控系统结构图 前端系统主要由高清摄像机、地线感应器、智能检测主机等组成。高清摄像机主要负责全景的拍摄进行实时监控;地线感应器将通过车辆所产生的数据精确地传送到智能检测主机,并触发高清摄像头的抓拍动作,对感应区域的车辆甚至人脸进行抓拍,所有数据都传送到智能检测主机进行整理、筛选、处理,最后所有的信息进行本地的存储,并将一些交通道路的实时信息传送到中心平台,包括具体车辆的号
牌、型号、是否超速/超载等,供客户端实时的浏览或回放,抓住每一个重要的瞬间。 中心管理系统主要由应用服务器、WEB服务器、数据服务器及磁盘阵列所组成。应用服务器主要负责对采集的数据进行处理,并将信息保存到数据服务器;WEB服务器主要是响应远程客户的请求,提供数据查询、统计及远程管理维护等功能;数据服务器主要是提供数据库管理软件的安装平台,并对数据库的访问权限等进行设置和控制。 存储系统主要包括本地存储和平台存储。目前主要采用磁盘阵列的方式,能够对数据进行海量存储,并对海量数据实现优化管理,达到数据扩容的功能和提供最优的数据服务性能。 前端系统功能 图2 卡口前端系统现场模拟图 车辆捕获功能
系统能对所有经过车辆进行捕获,除了能够捕获在车道上正常行驶的车辆外,还具备捕获跨线行驶车辆的功能,并且具有自动选择有效图片(有汽车牌照)、删除垃圾图片等功能(如图3所示)。 图3 系统捕获的有效车辆图片 车辆测速功能 系统在进行抓拍的同时,通过地感测定车辆的行驶速度,并且具备分车型分别设置标志限速和执法限速值的功能 辆特征和车辆驾驶人面部特征高清晰拍照功能
网络安全问题研究性课题报告
班级: 指导老师:组长: 组员:
课题研究涉及的主导科目:信息技术 课题研究涉及的非主导科目:语文数学 提出背景:随着计算机技术和网络技术的发展,网络已经逐渐走入我们平常百 姓家,网络也在也不是个陌生的字眼。大到企业办公,小到私人娱乐。网络正以其独特的魅力向世人昭示它的风采。但同时,网络安全问题也随之与来,在今天已经成为网络世界里最为人关注的问题之一危害网络安全的因素很多,它们主要依附于各种恶意软件,其中病毒和木马最为一般网民所熟悉。针对这些危害因素,网络安全技术得以快速发展,这也大大提高了网络的安全性。 研究目的:了解网络安全问题触发的原因、方式、后果及影响 研究意义:认识到网络安全的重要性,提高自我防范意识 研究目标:1、使广大青少年朋友对网络安全有一些初步的了解和认识。 2、通过宣传网络安全知识,使青少年朋友加强安全防范意识。 研究假设:同学们对网络安全不给予重视,网络安全问题迫在眉睫 研究内容: 1、触发网络信息安全问题的原因 2、我国的网络信息安全问题及政策建议 3、什么是网络安全 4、计算机网络安全的含义 5、常见的几种网络入侵方法 一、触发网络信息安全问题的原因 日益严重的网络信息安全问题,不仅使上网企业、机构及用户蒙受了巨大经济损失,而且使国家的安全与主权面临严重威胁。要避免网络信息安全问题,首先必须搞清楚触发这一问题的原因。归纳起来,主要有以下几个方面原因。
1.黑客的攻击。由于缺乏针对网络犯罪卓有成效的反击和跟踪手段,因此黑客的攻击不仅“杀伤力”强,而且隐蔽性好。目前,世界上有20多万个黑客网站,其攻击方法达几千种之多。 2.管理的欠缺。网站或系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上,很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA 的调查显示,美国90%的IT企业对黑客攻击准备不足。目前,美国75%-85%的网站都抵挡不住黑客的攻击,约有75%的企业网上信息失窃,其中25%的企业损失在25万美元以上。 3.网络的缺陷。因特网的共享性和开放性使网上信息安全存在先天不足,因为因特网最初的设计考虑是该网不会因局部故障而影响信息的传输,但它仅是信息高速公路的雏形,在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。 4.软件的漏洞或“后门”。1999年底保加利亚软件测试专家发现微软网络浏览器IE存在安全漏洞,它可以使不怀好意的网站管理人员入侵访问者的计算机文件,随后微软公司承认了这一事实。 5.人为的触发。基于信息战和对他国监控的考虑,个别国家或组织有意识触发网络信息安全问题。 二、我国的网络信息安全问题及政策建议 随着世界信息化和经济全球化的迅速发展,我国信息基础设施建设非常迅速。目前已经形成公用网、专用网和企业网三大类别的计算机网络系统,因特网已经覆盖200多个城市,并有3000多个政府数据库和1万多个企业数据库与该网连接。相应地,网络信息安全亦存在着相当大的隐患。1999年国家权威部门对国内网站安全系统测试结果表明,不少单位计算机系统都存在着安全漏洞,随时可能被黑客入侵。为更有效地保护我国的网络信息安全,应加强以下几个方面工作。 1.注重对黑客入侵的有效防范。针对我国已有3000多个政府数据库和1万多个企业数据库已与因特网连接,以及上网用户和连网计算机数目飞速增长的现实,应确实加强网络信息安全保护工作。对党政信息网和重要部门信息网应考虑加强技术安全保卫,诸如网络入侵预警、处理与防范工作等;对企业可考虑采取一定措施鼓励其采取给操作系统和服务器加装补丁程序,经常对网络进行扫描及其它相应措施,完善网络信息安全保护体系。
海关电子卡口系统技术方案(接华东后台)
XXXX 海关电子卡口系统技术方案 深圳市航通智能技术股份有限公司 年月
目录 1.概述 (1) 2.项目现状、需求及分析 (1) 2.1. 项目现状 (1) 2.2. 项目需求 (1) 2.3. 需求分析 (2) 3.界面要求 (3) 4.技术方案 (4) 4.1. 总体设计 (4) 4.1.1.系统结构图 (4) 4.1.2.卡口设备布局图 (5) 4.2. 卡口前端采集系统 (5) 4.2.1.前端采集系统的处理流程 (6) 4.2.2.处理流程描述 (7) 4.2.3.集装箱号识别系统 (7) 4.2.4.电子车牌自动识别系统 (8) 4.2.5.电子地磅采集系统 (8) 4.2.6.非接触式IC卡识别系统 (9) 4.2.7.闸口控制系统 (9) 4.2.8.制发卡管理 (10) 4.3. 卡口通道视频监控系统 (11) 4.4. 华东辅助平台系统对接 (12) 4.5. 施工计划 (12)
1.概述 XXX(监管场所名称:如“安庆港集装箱码头”)(以下简称“XXX”如“集装箱码头”)位于XXX(地理位置:如“安徽省安庆市长江北岸”),主要经营XXX (业务名称:如“集装箱”)外贸业务。 根据海关总署第“171”号令和合肥海关的监管要求,需对XXX(监管场所名称:如“安庆港集装箱码头”)所经营的集装箱外贸业务进行监管。为达到海关的监管要求和公司的业务需要,XXX(建设单位名称:如“安庆港集装箱码头有限公司”)(以下简称“企业”)拟在XXX(监管场所名称:如“安庆港集装箱码头”)的入出口处设置XX(进通道数量:如“1”)进XX(出通道数量:如“1”)出共计XXX(总通道数量:“2”)条海关货运监管通道,并配置相应的符合海关监管要求的电子卡口设备(其中包括集装箱号识别设备、电子车牌识别设备、IC卡识别设备、闸口控制设备、电子地磅采集设备、卡口通道视频监控设备等),并实现电子卡口系统与华东辅助平台联网。 2.项目现状、需求及分析 2.1.项目现状 1)对界面情况进行说明(路面结构、路面宽度、现有机房位置等); 2)对前端卡口系统至卡口机房的距离进行说明; 3)对货物类型和运输工具进行说明(集装箱车辆、散货车辆;临时车辆、 固定车辆) 4)对现场已有设备、系统进行说明(如:托利多80吨电子地磅;已有视 频监控系统……) 2.2.项目需求 1)要求在XXX(卡口建设位置:如“安庆港集装箱码头”)入出口处建设
国家网络空间安全技术研究方向
网络与系统安全防护技术研究方向 1.1网络与系统安全体系架构研究(基础前沿类) 研究内容:针对网络大规模更新换代所面临的安全可信和管理问题,面向开放和互通的国家网络管理,研究网络和系统安全体系结构,重点研究以IPv6网络层的真实可信为基础的网络安全管理体系结构、关键机制和关键应用。针对未来多层次、动态、异构、差异度巨大的无线接入环境,研究新型无线网络安全接入管理机制。针对国际上新型网络与系统体系结构的发展,如软件定义网络和系统、网络功能虚拟化、命名数据网络和系统等,对其安全问题和安全机制进行前沿探索研究。 考核指标:提出IPv6网络安全管理体系结构中的信任锚点、真实可信的网络定位符和标识符机制,并制定国际标准;基于上述安全可信基础,提出兼顾国际开放互通与国家安全管理的IPv6网络安全体系结构,通过安全威胁模型检验该体系结构的安全性。提出IPv6安全管理体系结构下的关键机制,至少包括:兼顾用户隐私性、可验证性和可还原性的可信标识符认证、管理、追溯与审计机制,分级管理机制,网络监控和灵活路由机制等。完成一套IPv6安全管理体系结构、关键机制和关键应用的软硬件原型系统。基于国际学术网络合作、国内主干网、园区网(校园网或企业网),对上述原理机制和原型系统进行跨国、自治系统间、自治系统内、接入子网等多层次网络的试验验证。提出新型无线网络安全接入管理机制,研究适用在多维、异构的无线有线一体化融合网络中的信任锚点、真实可信的网络定位符和标识符机制,实现上述一体化融合网络的网络层真实可信;支持软件定义无线电,支持最新IEEE 802.11ac或802.11ax等新型无线接入技术;支持移动终端在至少2种无线网络间的安全接入选择、可信透明移动。提出SDN/NFV等新型组网技术和NDN等未来互联网体系下的安全可信问题的解决方案,提出并解决能够支持SDN/NFV和未来网络体系结构的可编程网络基础设施的安全问题,提出相关计算系统中的安全可信问题解决方法。完成安全体系结构相关国际标准3项以上,并获国际标准组织(IETF、ITU、IEEE等)立项或批准;申请国家发明专利15项以上。原理机制和原型系统需通过一定规模的真实网络试验验证,至少包括10个关键应用、10万IPv6用户。 1.2 面向互联网+的云服务系统安全防护技术(重大共性关键技术类) 研究内容:针对体系架构、关键技术、防护系统研制等方面开展云服务系统纵深安全防护技术研究。重点研究可定义、可重构、可演进的云服务安全防护体系架构;研究分析用户和业务安全等级差异,实现高效灵活的安全服务链和安全策略按需定制;研究专有安全设备硬件解耦技术,实现安全资源弹性扩展与按需部署;研究云数据中心内生安全机理,突破软件定义动态异构冗余、主动变迁等关键技术,实现对未知漏洞和后门威胁的主动防御;实现云环境虚拟密码服务模型构建,密码服务资源动态调度,密码资源安全迁移及防护等关键技术;研究虚拟资源主
卡口及道路交通智能监控系统方案设计
卡口及道路交通智能监控系统方案设计 关键词: 城市道路交通视频监控系统是了解全市交通状况和治安状况的窗口,是公安交通指挥系统不可缺少的子系统。视频监控系统是智能交通系统的一个重要组成部分,建立视频图像监控系统目的是及时准确地掌握所监视路口、路段周围的车辆、行人的流量、交通治安情况等,为指挥人员提供迅速直观的信息从而对交通事故和交通堵塞做出准确判断并及时响应,对监控范围内的突发性治安事件录像取证,为内外事警卫工作服务,起到综合治理效果。 本方案旨在利用现有的数据传输线路,建设基于IP网络传输的道路交通视频监控系统,以科技的手段减低交通管理部门工作强度,保证城市道路的安全通畅,减少交通违规行为的发生。 一、城市道路交通视频监控系统需求分析 城市道路交通监控的主要作用有: (1)交通监视和疏导:通过系统将监视区域内的现场图像传回指挥中心,使管理人员直接掌握车辆排队、堵塞、信号灯等交通状况,及时调整信号配时或通过其他手段来疏导交通,改变交通流的分布,以达到缓解交通堵塞的目的。 (2)交通警卫:管理人员随时掌握交通警卫录像,大型集会活动的交通状况,及时调动警力,以保证交通警卫录像畅通。 (3)通过突发事件的录像,提高处置突发事件的能力。 (4)通过对违章行为的录像,发挥监控系统在经济效益和社会效益方面的积极作用。 (5)通过对以前的模拟监控系统进行网络化改造,使之能够方便地进行全网管理。 1.1实现功能与目标 ?采用数字视频监控,直观及时的了解交通运行状况,及时调度指挥城市交通运行。对于突发事件做及时处理 ?在城市的主要交通要道、十字路口、主要街道等设立监控点,对交通情况进行24小时直播。 ?监控点采用不同的网络传输(有线和无线)。 ?所有前端摄像机要求有夜视功能,性能稳定。 ?在重要路段设立车牌抓拍系统,对于违章的车辆,系统将立即抓拍车牌号,保存下来,上传到交通调度指挥中心进行违章处理。 ?通过图像监控系统,结合远程监控管理员和现场值勤交警操作经验的优势,力求避免误出警、误处理、误操作;通过图像监控报警联动功能,起到对突发事件及时预警和及时处理的作用; ?通过图像监控录像回放功能,做到准确处理、证据执法、避免纠纷,提高科技
智能卡应用系统整体解决方案
企业一卡通系统 整 体 解 决 方 案
目录 第一章项目概述 0 1.1.项目背景 0 1.2.总体需求 0 1.3.建设内容 0 1.4.系统特点 (1) 第二章企业一卡通系统总体设计 (3) 2.1.设计依据 (3) 2.2.规划原则 (3) 2.3.总体设计思想 (4) 2.4.体系结构 (4) 2.5.“卡通、库通、网通” (5) 2.6.系统密钥体系的设计 (6) 2.7.员工卡片选型与扇区规划设计 (6) 2.8.系统客户端部署方式设计 (7) 2.9.系统安全性设计 (8) 2.10.系统可靠性设计 (8) 2.11.系统实用性设计 (8) 2.12.系统扩展性 (8) 第三章系统平台 (9) 3.1.数据中心 (9) 3.1.1. 概述 (9) 3.1.2. 设计方案 (9) 3.1.3. 系统结构图 (9) 3.1.4. 系统功能 (10) 3.2.系统网络 (10) 3.2.1. 系统简介 (10) 3.2.2. 设计方案 (10) 3.2.3. 网络安全的设计 (10) 第四章智能卡应用系统 (11) 4.1.5卡务管理子系统 (11) 4.1.1. 系统简介 (11) 4.1.2. 设计方案 (11) 4.1.3. 系统组成 (11) 4.1.4. 主要功能 (11)
4.2.1. 系统简介 (12) 4.2.2. 设计方案 (12) 4.2.3. 与视频监控系统的联动 (12) 4.2.4. 与消防系统的联动 (13) 4.2.5. 布防、撤防功能的实现 (13) 4.2.6. 与IBMS系统的接口 (14) 4.2.7. 电子地图功能的实现 (14) 4.2.8. 系统组成 (14) 4.2.9. 主要功能 (15) 4.2.10. 系统特点 (16) 4.3.通道管理子系统 (17) 4.3.1. 系统简介 (17) 4.3.2. 设计方案 (17) 4.3.3. 系统组成 (17) 4.3.4. 主要功能 (18) 4.3.5. 系统特点 (19) 4.4.考勤管理子系统 (19) 4.4.1. 系统简介 (19) 4.4.2. 设计方案 (19) 4.4.3. 系统组成 (19) 4.4.4. 主要功能 (20) 4.4.5. 系统特点 (21) 4.5.访客管理子系统 (22) 4.5.1. 概述 (22) 4.5.2. 设计方案 (22) 4.5.3. 关于访客证件类型规划 (22) 4.5.4. 关于访客出入权限管理建议方案 (22) 4.5.5. 关于访客证的建议方案 (23) 4.5.6. 关于访客信息保留建议方案 (23) 4.5.7. 系统组成 (23) 4.5.8. 主要功能 (23)
浅谈数据库安全技术研究
浅谈数据库安全技术研究 发表时间:2009-02-11T15:56:13.560Z 来源:《黑龙江科技信息》2008年9月下供稿作者:田丹刘申菊 [导读] 针对目前可能存在的威胁数据库安全性的各类风险,结合实例展开对于数据库安全技术研究。 摘要:从数据库安全性的基本概念入手,在其安全体系的基础上,针对目前可能存在的威胁数据库安全性的各类风险,结合实例展开对于数据库安全技术研究。 关键词:数据库安全性;安全体系;风险 引言 随着计算机网络技术的发展,越来越多的人们开始使用网络传送和共享数据,这不仅方便了用户,同时提高了数据的利用率。与此同时,数据在网络中传送的安全性以及保存这些数据的数据库的安全性也逐渐成为研究的热点。下面结合数据库安全体系的构成,分析各种潜在的安全威胁,结合实例进行对于数据库安全技术的研究。 1 数据库安全性概念及安全体系 数据库安全性是指保护数据库以防止非法用户的越权使用、窃取、更改或破坏数据。数据库安全性涉及到很多层面,例如SQL Server 数据库的安全性包括自身的安全机制、外部网络环境、操作人员的技术水平等。因此,数据库的安全性可以划分为三个层次:网络系统安全:这是数据库的第一个安全屏障。目前网络系统面临的主要威胁有木马程序、网络欺骗、入侵和病毒等。操作系统安全:本层次的安全问题主要来自网络内使用的操作系统的安全。例如目前通用的操作系统Windows 2003 Server主要包括:操作系统本身的缺陷;对操作系统的安全配置,即相关安全策略配置;病毒的威胁三个方面。 数据库管理系统安全:根据采用的数据库管理系统的不同采用的安全设置方法不同。针对SQL Server 2000可以由数据库管理员将数据库用户分类,不同的用户有不同的访问权限;也可以采用视图的方法进行信息隔离,防止用户对基本表的操作;同时要定期进行数据库备份操作,防止由于系统问题导致的数据丢失。 这三个层次构筑成数据库的安全体系,与数据安全的关系是逐步紧密的。 2 数据库系统面临的主要风险 数据库系统在实际应用中存在来自各方面的安全风险,最终引起各类安全问题。数据库系统的面临的安全风险大体划分为: 2.1操作系统的风险 数据库系统的安全性最终要靠操作系统和硬件设备所提供的环境,如果操作系统允许用户直接存取数据库文件,则在数据库系统中采取最可靠的安全措施也没有用。 2.2管理的风险 主要指用户的安全意识,对信息网络安全的重视程度及相关的安全管理措施。 2.3用户的风险 主要表现在用户账号和对特定数据库对象的操作权限。 2.4数据库管理系统内部的风险 3 数据库安全技术研究 针对以上存在的各种风险,提出以下几种防范技术。 3.1数据加密技术 对数据库中存储的重要数据进行加密处理,例如采用MD5 算法,以实现数据存储的安全保护。数据加密以后,在数据库表中存储的是加密后的信息,系统管理员也不能见到明文,只有在执行了相应的解密算法后,能正确进入数据库中,大大提高了关键数据的安全性。 3.2用户认证技术 用户认证技术是系统提供的最外层安全保护措施。对于SQL Server 2000提供了两种用户验证方式,即Windows用户身份验证和混合模式验证。通过用户身份验证,可以阻止未授权用户的访问,而通过用户身份识别,可以防止用户的越权访问。 3.3访问控制技术 访问控制是数据库管理系统内部对已经进入系统的用户的控制,可防止系统安全漏洞。通常采用下面两种方法进行:(1)按系统模块对用户授权 每个模块对不同用户设置不同权限,如用户A无权进入模块A、仅可查询模块B,用户B可以进入模块A,可以执行统计操作等。系统模块名、用户登录名与用户权限可保存在同一数据库中。 (2)将数据库系统权限赋予用户 用户访问服务器时需要认证用户的身份、确认用户是否被授权。通常数据库管理系统主要使用的是基于角色的访问控制。 3.4采取必要的防注入技术 目前流行的SQL Injection即“SQL注入”,就是利用某些数据库的外部接口把用户数据插入到实际的数据库操作语言当中,从而达到入侵数据库乃至操作系统的目的。典型的利用SQL Injection的攻击方法如下。 例如:使用用户名为tt,密码为rr的一个普通用户访问本地网站,其主机头为https://www.360docs.net/doc/9014421128.html,,端口号为8081,在地址栏输入:https://www.360docs.net/doc/9014421128.html,:8081/index.asp?username=tt&password=rr 返回“成功登录”。说明输入了正确的用户和密码,如果输入密码错误,如下: https://www.360docs.net/doc/9014421128.html,:8081/index.asp?username=tt&password=yy 将返回“登录失败”。此时用户无法进入系统。但是,如果输入如下的数据: https://www.360docs.net/doc/9014421128.html,/index.asp?username='tt' —— '&password=yy 则返回“成功登录”,即不需要密码可以直接进入系统。 以上就是SQL注入的应用,因为“——”在SQL Server中代表注释符,若针对系统默认的管理员用户Administrator,输入