计算机在线考试系统的安全漏洞及对策
在线考试系统的安全漏洞及对策
总计:毕业论文 51 页
插图 0 幅
表格 0 表
指导教师:张长君
评阅人:
完成日期: 2006年5月31日
摘要
随着网络技术的飞速发展,现在很多国外的大学和社会其他部门都已经开设了远程教育,通过计算机网络实现异地教育和培训。现在,计算机硬件技术的发展已经达到了相当高的水平。但是,远程教育软件的开发目前还处于起步阶段,随着这项技术的不断深入发展,就要求有更好、更完善的软件系统应用到远程教育当中去,目前面向网络编程、数据库访问的多种技术中,比如JSP、PHP、ASP 中,ASP 以其开发周期短、存取数据简单、运行速度快而成为众多web 程序员的首选开发技术.但由于开发手段的直观、快速和高效,也带来了一定的安全隐患。数据库是在线考试系统的基础,通常都保存着重要的信息。大多数教育部门和学校的电子数据都保存在各种数据库中,他们用这些数据库保存一些个人资料,比如学生成绩等。在线考试系统数据库服务器还掌握着敏感的数据,包括考试的时间和考题。数据完整性和合法存取会受到很多方面的安全威胁,包括密码策略、系统后门、数据库操作以及本身的安全方案。但是在线考试系统数据库通常没有象操作系统和网络这样在安全性上受到重视。安全对于在线考试系统更为重要,本文以目前基于Web 的信息系统最常用的ASP+SQL Server 2000为例,探讨在线考试系统中可能存在的安全隐患,并给出相应的建议。
关键词:ASP;SQL Server 2000;安全漏洞;对策
ABSTRACT
Flying technically along with the network to develop soon, the university of now a lot of abroad all have set up with the social other section the long range educates, passing the calculator network realizes foreign land education with train. Now, the technical development in hardware in calculator has come to a very high horizontal. But, the long range educate the development of the software to still be placed in the stage in start now, along with this technical continuously thorough development, will beg the better and more perfect software system apply to the long range the education center go to, face to now the network plait distance, database visit in various techniques, for example in the JSP, PHP, ASP, ASP with its development cycle short, access data simple, run - time velocity quick and become the head of numerous the member of web procedures chooses to develop the technique. but because of development the means keeps the view, fleetness with efficiently, also brought the certainly safe hidden trouble. The database is the foundation of the on-line examination system, usually all keeping the important information. Educate the section to keep with the electron data of the school all mostly in every kind of database, they keep the some personal data with these databases, for example student score etc. The on-line examination system database server still controls the impressionable data, including the time of the examination with the subject of examination. The data integrity access and would suffer with the legality very in many ways of the safety threatens, including the password strategy, the back door of system, database the operation and oneself of safe project. But the wire examination system database usually has no elephant operate system to suffer to value on the safety like this with the network. The on-line examination system for safety is more important, this text with current according to Web the most in common use ASP in system in information+ SQL Server 2000 for a safe hidden trouble for, inquiring into on-line examination system inside possible to be existence, and give the homologous suggestion.
Key words:ASP;SQL Server 2000;Security Hole;Countermeasure
目录
1.绪论 (1)
1.1本文研究的目的和意义 (1)
1.2文献综述 (1)
1.2.1ASP简述 (1)
1.2.2SQL Server 2000简述 (2)
2.ASP漏洞分析和解决方法 (3)
2.1在ASP程序后加个特殊符号,能看到ASP源程序 (3)
2.2ACCESS 数据库有可能被下载的漏洞 (4)
2.3code.asp文件会泄漏ASP代码 (5)
2.4file system object 组件篡改下载fat分区上的任何文件的漏洞6
2.5输入标准的HTML语句或者javascript语句会改变输出结果 (6)
2.6ASP程序密码验证漏洞 (7)
2.7INDEX SERVER服务会漏洞ASP源程序 (8)
2.8存在后门允许用户查看ASP文件源程序和下载整个网站 (9)
2.9IIS4.0受HTTP的D.O.S攻击漏洞 (9)
2.10IIS5.0超长URL拒绝服务漏洞 (10)
2.11请求不存在的idq或ida 文件会暴露服务器的物理地址 (10)
2.12NT Index Server存在返回上级目录的漏洞 (11)
2.13绕过验证直接进入ASP页面 (12)
2.14IIS4.0/5.0特殊数据格式的URL请求远程DOS攻击 (13)
2.15IIS Web Server DOS (14)
2.16MS ODBC数据库连接溢出导致NT/9x拒绝服务攻击 (14)
2.17ASP主页.inc文件泄露问题 (16)
2.18利用Activer server explorer可对文件进行读写访问 (17)
2.19IIS4.0/IIS5.0超长文件名请求存在漏洞 (18)
3.SQL Server 2000的安全漏洞 (20)
3.1使用安全的密码策略 (20)
3.2使用安全的帐号策略 (20)
3.3加强数据库日志的记录 (21)
3.4管理扩展存储过程 (21)
3.5使用协议加密 (22)
3.6不要让人随便探测到你的TCP/IP端口 (22)
3.7修改TCP/IP使用的端口 (23)
3.8拒绝来自1434端口的探测 (23)
3.9对网络连接进行IP限制 (23)
4.在线考试系统的安全对策 (24)
4.1关闭没有用的服务和协议 (24)
4.2设置好网络操作系统 (24)
4.3磁盘文件格式使用比较安全的NTFS格式 (25)
4.4对目录设置不同的属性,如:Read、Excute、Script (25)
4.5维护Global.asa的安全 (26)
4.6在在线考试系统程序中记录用户的详细信息 (26)
4.7Cookie安全性 (26)
4.8使用身份验证机制保护被限制的ASP内容 (27)
4.9保护在线考试系统的元数据库 (27)
4.10使用最新的扫描器扫描基于ASP在线考试系统漏洞 (28)
5.在线考试系统防范举例 (29)
6.总结与展望 (31)
参考文献 (32)
附录1(外文译文) (33)
附录2(外文原文) (41)
致谢 (50)
大连大学学位论文版权使用授权书 (51)
在线考试系统的安全漏洞及对策
1.绪论
1.1本文研究的目的和意义
随着互联网的高速发展,网络的安全问题日益凸现,尤其是近年来出现的在线考试,也由于与互联网密不可分的关系,经常受到安全威胁。尤其以基于ASP+SQL Server 2000的在线考试系统的安全问题最为突出,因此研究在线考试系统的安全问题是十分必要的。本文就以基于ASP+SQL Server 2000的在线考试系统的安全问题作为研究对象。通过对ASP和SQL Server 2000安全漏洞的对策的分析与研究,找出的在线考试系统的安全问题的解决方法。
1.2文献综述
1.2.1ASP简述
Microsoft Active Server Pages(ASP)是多数在线考试系统服务器端脚本编写环境,使用它可以创建和运行动态、交互的 Web 服务器应用程序。使用 ASP 可以组合 HTML 页、脚本命令和 ActiveX 组件以创建交互的 Web 页和基于 Web 的功能强大的应用程序。现在很多在线考试方面的网站,在前台上大都用ASP来实现。Active Server Page技术为应用开发商提供了基于脚本的直观、快速、高效的应用开发手段,极大地提高了开发的效果。在讨论ASP的安全性问题之前,让我们来看看ASP是怎么工作的。ASP脚本是采用明文(plain text)方式来编写的。ASP脚本是一系列按特定语法(目前支持vbscript和jscript两种脚本语言)编写的,与标准HTML页面混合在一起的脚本所构成的文本格式的文件。当客户端的最终用户用WEB浏览器通过INTERNET来访问基于ASP脚本的应用时,WEB浏览器将向WEB服务器发出HTTP 请求。WEB服务器分析、判断出该请求是ASP脚本的应用后,自动通过ISAPI 接口调用ASP脚本的解释运行引擎(ASP.DLL)。ASP.DLL将从文件系统或内部缓冲区获取指定的ASP脚本文件,接着就进行语法分析并解释执行。最终的处理结果将形成HTML格式的内容,通过WEB服务器"原路"返回给WEB浏览器,
在线考试系统的安全漏洞及对策
由WEB浏览器在客户端形成最终的结果呈现。这样就完成了一次完整的ASP 脚本调用。若干个有机的ASP脚本调用就组成了一个完整的ASP脚本应用。
让我们来看看运行ASP所需的环境:
Microsoft Internet Information Server 3.0/4.0/5.0 on NT Server/Linux Microsoft Internet Information Server 3.0/4.0/5.0 on Win2000/Win2003 Microsoft Personal Web Server on Windows 95/98
WINDOWS网络操作系统所带的Microsoft IIS提供了强大的功能,但是IIS 在网络安全方面却是比较危险的。
1.2.2SQL Server 2000简述
微软的SQL Server是一种广泛使用的数据库,很多在线考试系统平台等都是基于SQL Server上的,但是在线考试系统数据库的安全性还没有被人们更系统的安全性等同起来,多数管理员认为只要把网络和操作系统的安全搞好了,那么所有的应用程序也就安全了。大多数系统管理员对在线考试系统数据库不熟悉而数据库管理员有对安全问题关心太少,而且一些安全公司也忽略在线考试系统数据库安全,这就使数据库的安全问题更加严峻了。在线考试系统系统中存在的安全漏洞和不当的配置通常会造成严重的后果,而且都难以发现。数据库应用程序通常同操作系统的最高管理员密切相关。广泛SQL Server数据库又是属于“端口”型的数据库,这就表示任何人都能够用分析工具试图连接到在线考试系统数据库上,从而绕过操作系统的安全机制,进而闯入系统、破坏和窃取考试资料,甚至破坏整个系统。
在线考试系统的安全漏洞及对策
2.ASP漏洞分析和解决方法
ASP是开发在线考试系统网站应用的快速工具,但是有些网站管理员只看到ASP的快速开发能力,却忽视了ASP安全问题。ASP从一开始就一直受到众多漏洞,后门的困扰,包括%81的噩梦,密码验证问题,IIS漏洞等等都一直使ASP网站开发人员心惊胆跳。本部分试图从开放了ASP服务的操作系统漏洞和ASP程序本身漏洞,阐述ASP安全问题,并给出解决方法。
2.1在ASP程序后加个特殊符号,能看到ASP源程序
受影响的版本:
win95+pws 、IIS3.0
98+pws4不存在这个漏洞
IIS4.0以上的版本也不存在这个漏洞
问题描述:
这些特殊符号包括小数点,%81, ::$DATA。比如:
http://someurl/somepage.asp.
http:// someurl/somepage.asp%81
http:// someurl/somepage.asp::$DATA
http:// someurl/somepage.asp %2e
http:// someurl/somepage %2e%41sp
http:// someurl/somepage%2e%asp
http:// someurl/somepage.asp %2e
http://someurl/msadc/samples/selector/showcode.asp?source=/msadc /samples/../../../../../../boot.ini (可以看到boot.ini的文件内容)那么在安装有IIS3.0和win95+PWS的浏览中就很容易看到somepage.asp的源程序。究竟是什么原因造成了这种可怕的漏洞呢?究其根源其实是Windows NT 特有的文件系统在做怪。有一点常识的人都知道在 NT 提供了一种完全不同于 FAT 的文件系统:NTFS,这种被称之为新技术文件系统的技术使得 NT 具有了较高的安全机制,但也正是因为它而产生了不少令人头痛的隐患。大家可能不知道, NTFS 支持包含在一个文件中的多数据流,而这个
在线考试系统的安全漏洞及对策
包含了所有内容的主数据流被称之为"DATA",因此使得在浏览器里直接访问NTFS 系统的这个特性而轻易的捕获在文件中的脚本程序成为了可能。然而直接导致::$DATA 的原因是由于IIS在解析文件名的时候出了问题,它没有很好地规范文件名。
解决方法:
如果是Winodws NT用户,安装IIS4.0或者IIS5.0,Windows2000不存在这个问题。如果是win95用户,安装WIN98和PWS4.0。[1]
2.2ACCESS 数据库有可能被下载的漏洞
问题描述:
在用ACCESS做后台数据库时,如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称,那么他能够下载这个ACCESS数据库文件,这是非常危险的。比如:如果你的ACCESS数据库book.mdb放在虚拟目录下的database目录下,那么有人在浏览器中打入:http:// someurl/database/book.mdb,
如果你的book.mdb数据库没有事先加密的话,那book.mdb中所有重要的数据都掌握在别人的手中。
解决方法:
(1)为你的数据库文件名称起个复杂的非常规的名字,并把他放在几目录下。
所谓"非常规",打个比方:比如有个数据库要保存的是有关书籍的信息,可不要把他起个"book.mdb"的名字,起个怪怪的名称,比如d34ksfslf.mdb,再把他放在如./kdslf/i44/studi/ 的几层目录下,这样黑客要想通过猜的方式得到你的ACCESS数据库文件就难上加难了。
(2)不要把数据库名写在程序中
有些人喜欢把DSN写在程序中,比如:
DBPath = Server.MapPath("cmddb.mdb")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath 假如万一给人拿到了源程序,ACCESS数据库的名字就一览无余。因此使用ODBC 里设置数据源,再在程序中这样写:
conn.open "shujiyuan"
在线考试系统的安全漏洞及对策
(3)使用ACCESS来为数据库文件编码及加密
首先在选取"工具->安全->加密/解密数据库,选取数据库(如:employer.mdb),然后接确定,接着会出现"数据库加密后另存为"的窗口,存为:employer1.mdb。接着employer.mdb就会被编码,然后存为employer1.mdb.。要注意的是,以上的动作并不是对数据库设置密码,而只是对数据库文件加以编码,目的是为了防止他人使用别的工具来查看数据库文件的内容。接下来我们为数据库加密,首先以打开经过编码了的employer1.mdb,在打开时,选择"独占"方式。然后选取功能表的"工具->安全->设置数据库密码",接着输入密码即可。为employer1.mdb设置密码之后,接下来如果再使用ACCEES数据库文件时,则ACCESS会先要求输入密码,验证正确后才能够启动数据库。不过要在ASP程序中的connection对象的open 方法中增加PWD的参数即可,例如:
param="driver={Microsoft Access Driver (*.mdb)};Pwd=yfdsfs"
param=param&";dbq="&server.mappath("employer1.mdb")
conn.open param
这样即使他人得到了employer1.mdb文件,没有密码他是无法看到employer1.mdb的。[2]
2.3code.asp文件会泄漏ASP代码
问题描述:
举个很简单的例子,在微软提供的 ASP1.0 的例程里有一个 .asp 文件专门用来查看其它.asp 文件的源代码,该文件为ASPSamp/Samples/code.asp。如果有人把这个程序上传到服务器,而服务器端没有任何防范措施的话,他就可以很容易地查看他人的程序。例如:code.asp?source=/directory/file.asp,不过这是个比较旧的漏洞了,相信现在很少会出现这种漏洞。下面这命令是比较新的:
http://someurl/iissamples/exair/howitworks/code.asp?/lunwen/soushu o.asp=xxx.asp。
最大的危害莫过于asp文件可以被上述方式读出;数据库密码以明文形式暴露在黑客眼前。
在线考试系统的安全漏洞及对策
问题解决:
对于IIS自带的show asp code的asp程序文件,删除该文件或者禁止访问该目录即可。[3]
2.4file system object 组件篡改下载fat分区上的任何文件的漏洞
问题描述:
IIS3、 IIS4 的 ASP 的文件操作都可以通过 file system object 实现,包括文本文件的读写目录操作、文件的拷贝改名删除等,但是这个强大的功能也留下了非常危险的 "后门"。利用 file system objet 可以篡改下载 fat 分区上的任何文件。即使是 ntfs 分区,如果权限没有设定好的话,同样也能破坏,一不小心你就可能遭受"灭顶之灾 "。遗憾的是很多网络管理人员只知道让 web 服务器运行起来,很少对 ntfs 进行权限设置,而 NT 目录权限的默认设置偏偏安全性又低得可怕。
问题解决:
作为考试系统的管理人员必须密切关注服务器的设置,尽量将 web 目录建在 ntfs 分区上,目录不要设定 everyone full control,即使是是管理员组的成员一般也没什么必要 full control,只要有读取、更改权限就足够了。也可以把file system object的组件删除或者改名。[4]
2.5输入标准的HTML语句或者javascript语句会改变输出结果
问题描述:
在输入框中打入标准的HTML语句会得到什么相的结果呢?比如一个留言本,我们留言内容中打入:
你好!
如果你的ASP程序中没有屏蔽html语句,那么就会改变"你好"字体的大小。在留言本中改变字体大小和贴图有时并不是什么坏事,反而可以使留言本生动。但是如果在输入框中写个 javascript 的死循环,比如:
特大新闻 ,那么其他查看该留言的客人只要移动鼠标到"特大新闻",上就会使用户的浏览器因死循环而死掉。
在线考试系统的安全漏洞及对策
解决方法:
编写类似程序时应该做好对此类操作的防范,譬如可以写一段程序判断客户端的输入,并屏蔽掉所有的 HTML、 javascript 语句。[5]
2.6ASP程序密码验证漏洞
漏洞描述:
很多在线考试系统把密码放到数据库中,在登陆验证中用以下sql,(以asp为例)
sql="select * from user where username='"&username&"'and pass='"& pass &'" 此时,您只要根据sql构造一个特殊的用户名和密码,如:ben' or '1'='1 就可以进入本来你没有特权的页面。再来看看上面那个语句吧:
sql="select * from user where username='"&username&"'and pass='"& pass&'" 此时,您只要根据sql构造一个特殊的用户名和密码,如:ben' or '1'='1
这样,程序将会变成这样:
sql="select*from username where username="&ben'or'1'=1&"and pass="&pass&" or 是一个逻辑运算符,作用是在判断两个条件的时候,只要其中一个条件成立,那么等式将会成立.而在语言中,是以1来代表真的(成立).那么在这行语句中,原语句的"and"验证将不再继续,而因为"1=1"和"or"令语句返回为真值.。另外我们也可以构造以下的用户名:
username='aa' or username<>'aa',pass='aa' or pass<>'aa'
相应的在浏览器端的用户名框内写入:
aa' or username<>'aa
口令框内写入:
aa' or pass<>'aa,
注意这两个字符串两头是没有'的。这样就可以成功的骗过系统而进入。后一种方法理论虽然如此,但要实践是非常困难的,下面两个条件都必须具备:(1)首先要能够准确的知道系统在表中是用哪两个字段存储用户名和口令的,只有这样才能准确的构造出这个进攻性的字符串。实际上这是很难猜中的。
在线考试系统的安全漏洞及对策
(2)系统对输入的字符串不进行有效性检查。
问题解决:对输入的内容验证和"'"号的处理。[6]
2.7INDEX SERVER服务会漏洞ASP源程序
问题描述:
在运行IIS4或者IIS5的Index Server,输入特殊的字符格式可以看到ASP源程序或者其它页面的程序。甚至以及添打了最近关于参看源代码的补丁程序的系统,或者没有.htw文件的系统,一样存在该问题。获得asp程序,甚至global.asa文件的源代码,无疑对考试系统是一个非常重大的安全隐患。往往这些代码中包含了用户密码和ID,以及数据库的源路径和名称等等。这对于攻击者收集系统信息,进行下一步的入侵都是非常重要的。通过构建下面的特殊程序可以参看该程序源代码:
http://202.116.26.38/null.htw?CiWebHitsFile=/default.asp&CiRestric tion=none&CiHiliteType=Full
这样只是返回一些html格式的文件代码,但是当你添加%20到CiWebHitsFile 的参数后面,如下:
http://someurl/null.htw?CiWebHitsFile=/default.asp%20&CiRestrictio n=none&CiHiliteType=Full
这将获得该程序的源代码。
(注意:/default.asp是以web的根开始计算。如某站点的
http://welcome/welcome.asp
那么对应就是:
http://someurl/null.htw?CiWebHitsFile=/welcome/welcome.asp%20&CiRe striction=none&CiHiliteType=Full)
由于'null.htw'文件并非真正的系统映射文件,所以只是一个储存在系统内存中的虚拟文件。哪怕你已经从你的系统中删除了所有的真实的.htw文件,但是由于对null.htw文件的请求默认是由webhits.dll来处理。所以,IIS 仍然受到该漏洞的威胁。
问题解决:
如果该webhits提供的功能是系统必须的,请到
在线考试系统的安全漏洞及对策
https://www.360docs.net/doc/d05813079.html,/downloads/search.aspx?displaylang=zh-cn (微软中国下载中心)下载相应的补丁程序。如果没必要,请用IIS的MMC 管理工具简单移除.htw的映象文件。[7]
2.8存在后门允许用户查看ASP文件源程序和下载整个网站
问题描述:
随IIS和Frontpage Extention server而来的动态库程序存在后门,允许用户远程读取asp、asa和CGI程序的源代码。但这个动态库要求有密码,这个后门的密码是: "Netscape engineers are weenies!"
程序路径为:
/_vti_bin/_vti_aut/dvwssr.dll
一般安装了 Frontpage98的 IIS服务器都有这个路径和文件。这个程序要求解码后才能发挥读取asp等源程序,有趣的是,这个密码正是嘲弄其竞争对手Netscape的。现提供一个有该漏洞的国外网站给安全技术人员参考:http://62.236.90.195
关于读取源程序,请下载这个测试程序,用法为:
[john@Linux john]$ ./dvwssr1.pl 62.236.90.195 /cqsdoc/showcode.asp 测试程序:
http://https://www.360docs.net/doc/d05813079.html,/exploits/nt/dvwssr1.pl[8]
2.9IIS4.0受HTTP的D.O.S攻击漏洞
问题描述:
受影响的版本:IIS 4.0以及更早的版本
这是一个很简单的方法.发送很多的
"Host:aaaaa...aa"到IIS:
GET / HTTP/1.1
Host: aaaaaaaaaaaaaaaaaaaaaaa....(200 bytes)
Host: aaaaaaaaaaaaaaaaaaaaaaa....(200 bytes)
...10,000 lines
Host: aaaaaaaaaaaaaaaaaaaaaaa....(200 bytes)
在线考试系统的安全漏洞及对策
发送了象上面所写的两次请求后,对方的IIS在接受了这些请求后就会导致内存溢出.当然,它就不能对更多的请求作出反应。因为对方正缺乏虚拟内存,服务器也将停止运行。事后,对方不能通过重起web service来解决问题,而必须重启服务器。[9]
2.10IIS5.0超长URL拒绝服务漏洞
问题描述:
Microsoft IIS 5.0在处理以".ida"为扩展名的URL请求时,它会有两种结果。一个可能的结果是服务器回复"URL String too long"的信息;或类似"Cannot find the specified path" 的信息。另一种可能就是服务器端服务停止,并返回"Access Violation"信息(即成功的实现了对服务器端的拒绝服务攻击)当远端攻击者发出类似如下的请求时:
http://someurl/...[25kb of '.']...ida
服务器端会崩溃(导致拒绝服务攻击)或返回该文件不在当前路径的信息(暴露文件物理地址)
问题解决:
大多数情况下,站点很少使用扩展名为".ida"和".idq"的文件,可在ISAPI脚本映射中,将扩展名为".ida"和".idq"的应用程序映射删除。[10]
2.11请求不存在的idq或ida 文件会暴露服务器的物理地址
问题描述:
通过请求一个不存在的扩展名为idq或ida得文件,IIS会暴露文件在服务器上得物理地址.这样会给攻击者提供了不必要的信息,而且,这对攻击一个Web站点来说,是很有价值的第一步。
测试程序:通过请求如:http://someurl/anything.ida
http://someurl/lunwen/anything.ida
或:
http://someurl/anything.idq
一个远端用户可以收到类似:
'The IDQ d:\http\anything.idq could not be found'
信息系统安全漏洞评估及管理制度V
四川长虹电器股份有限公司 虹微公司管理文件 信息系统安全漏洞评估及管理制度 ××××–××–××发布××××–××–××实施 四川长虹虹微公司发布
目录 1概况 (3) 1.1目的 (3) 1.2目的 ............................................................................................................................. 错误!未定义书签。2正文 . (3) 2.1. 术语定义 (3) 2.2. 职责分工 (4) 2.3. 安全漏洞生命周期 (4) 2.4. 信息安全漏洞管理 (4) 2.4.1原则 (4) 2.4.2风险等级 (5) 2.4.3评估范围 (6) 2.4.4整改时效性 (6) 2.4.5实施 (7) 3例外处理 (8) 4检查计划 (9) 5解释 (9) 6附录 (9)
1概况 1.1目的 1、规范集团内部信息系统安全漏洞(包括操作系统、网络设备和应用系统)的评估及管理,降低信息系统安全风险; 2、明确信息系统安全漏洞评估和整改各方职责。 1.2适用范围 本制度适用于虹微公司管理的所有信息系统,非虹微公司管理的信息系统可参照执行。2正文 2.1. 术语定义 2.1.1.信息安全 Information security 保护、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质。 2.1.2.信息安全漏洞 Information security vulnerability 信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体利用,就会对信息系统的安全造成损害,影响信息系统的正常运行。 2.1. 3.资产 Asset 安全策略中,需要保护的对象,包括信息、数据和资源等等。 2.1.4.风险 Risk 资产的脆弱性利用给定的威胁,对信息系统造成损害的潜在可能。风险的危害可通过事件发生的概率和造成的影响进行度量。 2.1.5.信息系统(Information system) 由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统,本制度信息系统主要包括操作系统、网络设备以及应用系统等。
信息系统项目可行性研究报告(范本)
1、 项目提出的背景和依据 信息系统项目可行性研究报告(建议书) 编制要求 (带*号的内容建议书不作要求) 第一章 项目概述 1 、 项目名称 2 、 项目建设单位及负责人、项目负责人 3 、 编制单位 4 、 编制依据 5 、 项目建设目标、规模、内容、建设期 6 、 项目总投资及资金来源 7 、 经济与社会效益* 8 、 相对项目建议书批复的调整情况* 9 、 主要结论与建议 第二章 项目建设单位概况 1、项目建设单位与职能 业务功能、业务流程、业务量、信息量等分析与预测 * 2、 项目实施机构与职责 第三章 项目建设的必要性 2、
3、信息系统装备和应用现状及存在主要问题和差距 4、项目建设的意义和必要性第四章总体建设方案 1、建设原则和策略 2、总体目标与分期目标 3、总体建设任务与分期建设内容 4、总体设计方案第五章本期项目建设方案 1、本期项目建设目标、规模与内容 2、标准规范建设内容 3、信息资源规划和数据库建设方案 4、应用支撑平台和应用系统建设方案 5、数据处理和存储系统建设方案 6、终端系统建设方案 7、网络系统建设方案 &安全系统建设方案 9、备份系统建设方案 10、运行维护系统建设方案 11、其它系统建设方案
12、主要软硬件选型原则和详细软硬件配置清单 13、机房及配套工程建设方案 14、建设方案相对项目建议书批复变更调整情况的说明*第六章项目招标方案* 1 招标范围* 、 2 招标方式* 、 3 招标组织形式* 、 第七章环保、消防、职业安全和卫生 1 环境影响分析* 、 2 环保措施及方案* 、 3 消防措施* 、 4 职业安全和卫生措施* 、 第八章节能分析* 1 用能标准及节能设计规范* 、 2 项目能源消耗种类和数量分析 、 3 项目所在地能源供应状况分析 、 4 能耗指标* 、 5 节能措施和节能效果分析等内容* 、 第九章项目组织机构和人员培训
信息系统安全漏洞研究.doc
信息系统安全漏洞研究 ----论信息系统安全 姓名:陈丹婕 [内容提要] 信息系统安全漏洞是信息时代存在的一种客观对象,针对信息系统安全漏洞的研究对保护网络安全和信息安全有着重要意义。首先在国内外已有的研究基础上,提出系统地、全面地开展信息系统安全漏洞的研究。然后从信息系统管理角度和技术角度对漏洞做了区分,并且从信息系统安全漏洞存在的宿主和起因对其类型进行了分析,对信息系统安全漏洞的定义做了明确。最后从信息系统安全漏洞研究的主体、客体、行为和属性四个方面进行了论述,提出信息系统安全漏洞生命周期的概念,使信息系统安全漏洞的研究能够从标准规范、知识体系、关键技术与基础理论等多个方面有系统、有针对性的开展。 [关键词]信息系统信息安全安全漏洞 信息系统中在设计、编码、实现、配置、运行中无法避免地会出现错误,这些存在的错误有些会成为影响系统安全的漏洞。漏洞作为信息系统中客观存在的事实,是引发系统不安全的核心要素,是攻守双方争夺的焦点,漏洞的危害性由互联网的迅速传播而被放大,作为信息战所使用的主要博弈手段之一,对于漏洞的掌控程度将关系到国家的安全。 关于漏洞的方面研究缺乏理论化、系统化,存在滞后性、无序性,而漏洞作为信息系统安全中的一种客观事实的研究需要持续、系统开展。目前已有规模庞大的软件漏洞被披露,系统配置和网络层面上的缺陷也不断地被提出,研究范围逐步扩展;关于漏洞利用、检测、描述等方面的技术已经被大量地开发和使用,有了一定的研究基础;围绕如何管理漏洞、降低风险的指导性规范,国内外已经有了一定数量的研究报告,可以作为参考,同时各种科学相关理论和技术为漏洞研究提供了可借鉴的方法。 本文从信息系统安全漏洞的定义、类别和描述属性等方面对漏洞研究进行了论述,并综合各个角度和各类参与者,提出了漏洞生命周期的概念,为漏洞研究提出了一个整体性的研究思路。 一、信息系统安全漏洞的概念 (一) 漏洞的相关定义 在30多年的漏洞研究过程中,学者们根据自身的不同理解和应用需求对计算机漏洞下了很多定义。1982年,邓宁(Denning)给出了一个访问控制漏洞的定义,他认为系统中主体对对象的访问安全策略是通过访问控制矩阵实现的,对一个访问控制漏洞的利用就是使得操作系统执行违反安全策略的操作; 1994 年,阿莫罗索(Amoroso)提出一个漏洞是导致威胁潜在发生的一个不利的特性;林德斯科(Lindskog)等人将一个漏洞定义为破坏发生的可能性超过预设阈值的地方; 1998年,克鲁索( Krsul)指出,一个软件漏洞是软件规范(specification)设计、开发或配置中一个错误的实例,它的执行能违犯安全策略; 2002年,汪立东认为一个漏洞是软件系统或软件组件中存在的缺陷,此缺陷若被发掘利用则会对系统的机密性、完整性和可用性造成不良影响;2004年,邢栩嘉等人认为计算机脆弱性是系统的一组特性,恶意的主体(攻击者或者攻击程序)能够利用这组特性,通过已授权的手
系统可行性研究报告
WORD格式 XXXX信息系统 可行性研究报告 XXXXX公司 2010年9月
目录 1.编写依据和原则......................................................................................1... 1.1编写依 据.............................................................................................. (1) 1.2项目意 义.............................................................................................. (1) 2.国内外现状及发展趋势.............................................................................1.. 3.需求分析...............................................................................................2.... 3.1应用需 求.............................................................................................. (3) 3.2功能需 求.............................................................................................. (4) 4.建设目标和内容...................................................................................... 5... 4.1实施范 围.............................................................................................. (5) 4.2总体目标和建设内 容.............................................................................................. ..6 4.3阶段目标和建设内 容.............................................................................................. ...7 4.4主要创新 点.............................................................................................. (7) 4.5与其他系统的关 联.............................................................................................. (8) 5.技术方案和技术路线...............................................................................8... 5.1总体结构及主要功 能.............................................................................................. ..8 5.1.1产量分析子系统 (8) 5.1.2开发形势分析子系统 (9) 5.1.3作业管理子系统 (10) 5.1.4指标分析 (10)
在线考试系统开题报告
表3:黄淮学院2015届本科毕业设计开题报告院系:信息工程学院专业:计算机科学与技术
, 现考试的自动化。这样一来,教师所要做的只是精心设计题目、维护题库,而不是 组织考试,从而大大减轻了教师的负担,这表明其经济性是相当可观的。为了适应 新形势的发展,我进行了这一系统的初步设计工作,也可以说是做一个初步的探索, 希望它能够在各类考试中发挥高效、便捷的作用,把老师从繁重的工作中解脱出来。 学生也可以根据自己的学习情况自行进行测试,方便快捷。 2、与本课题相关的国内外研究现状(文献综述)预计可能创新的方面 1.相关的国内外研究现状 在新的世纪,世界各国对教育的发展给予了前所未有的关注,都试图在未来的 信息社会中让教育处于一个优势的位置,从而走在社会发展的前列,为此许多国家 都把信息技术应用于教育,作为民族发展的重要推动力。 在国外,美国政府提出了“教育技术规划(Educational Technology Initiative)”, 指出到 21 世纪初让全美国的每间教室和每个图书馆都将联上信息高速公路,让每个 孩子都能在“21 世纪教师”网络服务。澳大利亚国家公共资源管理局已于 1995 年 4 月建立“澳大利亚教育网”,并联通 Internet ,该网络不仅包括全部高等院校,而 且还覆盖全澳大利亚所有的中小学。在 1995 年底,国外开始出现支持网上教学的系 统和平台。美国的 NTU 、英国的 OPEN COLLEGE 都是十分典型的网络教育范例。 网络化在线考试作为网上远程教育的重要组成部分和发展分支,己经在国外一些发 达国家得到蓬勃发展,人们选学课程和考试都是通过网上进行。特别是 Internet 业 务的普及,构筑高性能、低成本的计算机网络化在线考试,从技术条件和经济条件 上己经成熟。 在国内,普遍地看,绝大多数远程教育的考试还停留在传统考试方式。在此方 式下,组织一次考试至少要经过 5 个步骤,即人工出卷、考生考试、人工阅卷、试 卷分析和成绩评估。显然,随着考试类型的不断增加及考试要求的不断提高,教师 的工作量将会越来越大,并且这样工作将是一件十分烦琐和非常容易出错的事情。 但是对互联网的真正应用仅限于网上报名工作和网上成绩查询,还没有真正形成上 网考试的规模。而在国外一些国家,网上提交作业和网上考试已经相当普及了。所
网络信息系统安全漏洞研究
龙源期刊网 https://www.360docs.net/doc/d05813079.html, 网络信息系统安全漏洞研究 作者:孟磊 来源:《消费电子·理论版》2013年第02期 摘要:随着计算机和互联网的在各个领域的广泛使用,网络信息系统的安全问题日益受 到人们的重视。本文分析了网络安全漏洞的成因并提出了相关的防范措施,旨在为广大网络用户提供一定的安全知识,提高用户的防范意识。 关键词:计算机;网络信息系统;安全;漏洞 中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2013) 04-0074-01 在计算机网络系统中,系统资源是共享的,用户可以直接访问网络和计算机中的文件、数据和各种软件、硬件资源。随着计算机和网络的普及,政府部门、军队、企业的核心机密和重要数据,甚至是个人的隐私都储存在互联的计算机中。因计算机系统的原因或者是不法之徒千方百计地进入或破坏,会给国家、社会、企业及个人带来巨大的损失。网络安全已经成为当今计算机领域中重要的研究课题之一。 一、网络信息系统安全漏洞成因 网络信息系统安全漏洞的成因是多方面的,主要分为硬件漏洞,软件漏洞和协议漏洞三个方面。漏洞的出现有的是不可避免的逻辑错误,有的是管理员的不规范操作所遗留,有的则是入侵者的恶意利用篡改所造成。比如一个程序的出现,开始可能并没有发现很多可以利用的漏洞,但是随着时间的推移,入侵者的侵入方式不断优化,这个程序可能出现很多很多的安全漏洞。这就需要我们使用者和开发者也要不断完善已经开始使用的程序。软件如此,硬件亦是如此。 (一)网络协议漏洞。网络协议包括TCP/IP(传输控制协议、网际协议)在开放系统参 考模型出现前十年就存在了,也是因为它出现的比较早,因此有关它的漏洞近年来越来越多的被发现和恶意利用。TCO/IP协议以及其他一百多个协议构成了TCP/IP协议簇。TCP/TP协议被认为是“开放的”,因为从其最初的版本直到目前的最新版本都是公开的,并且是不收费的。这就更加给非法入侵者提供了便利,例如smurf攻击、IP地址欺骗。网络协议最大的弱点是就非常容易信任,因此入侵者可以随意篡改数据而不被发现。 (二)操作系统漏洞。网络操作系统的漏洞种类很多。其中最常见的一种被称为“缓冲区溢出”。入侵者输入很长的一段字符,长度超过了程序的检测长度,超出的部分即入侵者的攻击代码占据了缓冲 区的内存就可以逃过系统的检测而被执行,入侵者就成功的达到了目的。而程序设计者往往为了简单而没有设计检测过长的字符,这一点便常常被入侵者利用成功。还有一中系统漏洞
有关企业信息系统安全问题的研究
有关企业信息系统安全问题的研究 发表时间:2009-12-07T15:56:37.640Z 来源:《中小企业管理与科技》2009年11月上旬刊供稿作者:余凯[导读] 信息系统本身存在着来自人文环境、技术环境和物理自然环境的安全风险,其安全威胁无时无处不在余凯(广东电网公司东莞供电局) 摘要:本文阐述了企业的管理信息系统在运行维护过程中所遇到的各类信息安全问题,以及所采取的对策。总结了解决企业信息系统安全问题的需采取管理手段和技术手段相结合的综合解决方案。 关键词:企业信息系统安全 0 引言 信息系统安全是指信息系统包含的所有硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄漏,信息系统连续正常运行。 信息系统本身存在着来自人文环境、技术环境和物理自然环境的安全风险,其安全威胁无时无处不在。对于大型企业信息系统的安全问题而言,不可能试图单凭利用一些集成了信息安全技术的安全产品来解决,而必须考虑技术、管理和制度的因素,全方位地、综合解决系统安全问题,建立企业的信息系统安全保障体系。 1 企业管理信息系统安全存在的普遍问题分析 随着信息科技的发展,计算机技术越来越普遍地被应用于企业,而企业的信息系统普遍都经历了由点及面,由弱渐强的发展过程,并在企业内形成了较为系统的信息一体化应用。随着企业信息系统建设的全面开展以及各种业务系统的逐步深入,企业的经营管理等对信息系统的依赖也越来越强,甚至成了企业生存发展的基础和保证。因此企业信息系统的安全可靠性越来越重要,信息系统安全成为企业迫切需要解决的问题。因为信息专业人员面对的是一个复杂多变的系统环境,如:设备分布物理范围大,设备种类繁多;大部分终用户信息安全意识贫乏;系统管理员对用户的行为缺乏有效的监管手段;少数用户恶意或非恶意滥用系统资源;基于系统性的缺陷或漏洞无法避免;各种计算机病毒层出不穷等等,一系列的问题都严重威胁着信息系统的安全。因此,如何构建完善的信息系统安全防范体系,以保障企业信息系统的安全运行成为企业信息化建设过程中发展必须面对并急需解决的课题。 2 企业信息安全解决方案的模型分析 2.1 从关于对信息系统安全的几个认识上的问题: 2.1.1 解决信息系统的安全问题要有系统的观念。解决信息系统的安全问题必须是系统性的不能指望只从任何一方面来解决。从系统的角度来看信息系统由计算机系统和用户组成,因此信息系统安全包括人和技术的因素; 2.1.2 信息系统的安全问题是动态的、变化的; 2.1.3 信息系统的安全的相对的; 2.1.4 信息安全是一项目长期的工作,需制定长效的机制来保障,不能期望一劳永逸。 2.2 企业信息系统安全所采取的策略:根据以上的分析结合多年的实际系统管理经验我认为企业信息系统安全管理系统就是一个在充分分析影响信息系统安全的因素的基础上,通过制定系统完备的安全策略并采取先进、科学、适用的安全技术能对信息系统实施安全监控和防护,使系统具有灵敏、迅速的恢复响应和动态调整功能的智能型系统安全体系。其模型可用公式表示为:系统安全=风险评估+安全策略+防御体系+实时检测+数据恢复+安全跟踪+动态调整 其中,风险评估是指经过充分的分析找出各种可能影响信息系统安全的各种因素(包括技术的和管理的因素),以及这些因素可能对对信息系统安全产生的风险存在的安全风险及可能影响信息系统安全的各种因素进行的分析和报告,是安全策略制定的依据;安全策略是系统安全的总体规划和具体措施,是整个安全保障体系的核心和纲要:防御体系是根据系统存在的各种安全漏洞和安全威胁所采用的相应的技术防护措施,是安全保障体系的重心所在;实时检测是随时监测系统的运行情况,及时发现和制止对系统进行的各种攻击;数据恢复是在安全防护机制失效的情况下,进行应急处理和响应,及时地恢复信息,减少被攻击的破坏程度,包括备份、自动恢复、确保恢复、快速恢复等:安全跟踪是指记录和分析安全审计数据,检查系统中出现的违规行为,判断是否违反企业信息系统安全保障体系的目标。动态调整旨在为改善系统性能而引入的智能反馈机制,使系统表现出动态免疫力,取得较好的安全防护效果。在此安全体系模型中,“风险评估+安全策略”体现了管理因素,“防御体系+实时检测+数据恢复”体现了技术因素,“安全跟踪”则体现了制度因素,并且系统还具备动态调整的反馈功能,使得该体系模型能够适应系统的动态性,支持信息系统安全性的动态提升。 3 信息安全管理中管理因素的应用 在安全保障体系中,“风险评估+安全策略”体现了管理因素 3.1 为保障企业信息系统的安全,企业必须成立专门的信息系统安全管理组织。由企业主要领导负责,通过信息安全领导小组对企业的信息安全实行总体规划及管理。具体的实施由企业的信息主管部门负责。 3.2 企业应该出台关于保证信息系统安全管理标准。标准中应该规定信息系统各类型用户的权限和职责、用户在操作系统过程中必须遵守的规范、信息安全事件的报告和处理流程、信息保密;系统的帐号和密码管理、信息安全工作检查与评估、数据的管理、中心机房管理等信息安全的相关的标准,而且在系统运行管理过程中应该根根据发展的需要不断地补充及完善。 3.3 积极开展信息风险评估工作。定期对系统进行安全评估工作,主动发现系统的安全问题。 3.3.1 信息网的网络基础设施(拓扑、网络设备、安全设备等) 3.3.2 信息网网络中的关键主机、应用系统及安全管理 3.3.3 当前的威胁形势和控制措施。 通过对企业信息网内支撑主要应用系统的IT资产进行调查,对存在的技术和管理弱点进行识别,全面评估企业的信息安全现状,得出企业当前的全面风险视图,为下一步的安全建设提供参考和指导方向。为企业信息安全建设打下了扎实的基础。 3.4 加强信息系统(设备)的运维管理,包括如下几方面的措施: 3.4.1 建立完善的设备、系统的电子台帐,包括设备的软、硬件配置以及其它相关的技术文档; 3.4.2 规范系统管理的日常各项工作,包括设备安装、系统安装以及各项操作都进行闭环管理;
计算机信息系统安全技术的研究及其应用
计算机信息系统安全技术的研究及其应用 随着计算机互联网信息技术的快速发展,其应用范围也在不断扩展。通过计算机信息系统,可以实现对各种信息数据的高效快捷管理,给人们的生活和工作带来了很大方便。但是,也应该看到,计算机信息系统在安全方面,也存在不可忽视的问题。现代计算机信息网络系统的应用,已经渗透到人们生活的各个方面。一旦计算机信息系统受到网络攻击,如果安全系统防范能力不足,将会导致比较严重的信息泄露、信息失窃等事故。因此,有必要对计算信息系统安全技术及其应用进行研究,希望可以对保护计算机信息安全,提升安全防范效果做出有益探索。 标签:信息失窃;加密技术;解密函数;信息系统;安全技术 引言 计算机信息技术有效提升了信息的传输和使用效率,但是不可否认的是,人们在享受其信息高效快捷的同时,信息安全已经成了一个不能忽视的重要问题。最近几年计算机信息泄露、信息失窃等事件陆续不断发生,更是让人们认识到了计算机信息安全的重要性。信息安全事关重大,需要我们加大对信息系统安全的投入和研发力度。本文正是基于此,对计算机信息安全的相关问题进行深入探讨。 1 影響计算机信息系统安全的因素 计算机信息系统安全就是存储在计算机系统中的信息,能够安全的存放和传输,不会被外界系统所入侵和泄露,信息的完整性、保密性以及可用性得到有效保障。就目前的现状来看,影响计算机信息系统安全的因素很多,其中主要可以分为如下几类:第一类,窃取用户的账号和密码,这种方式信息窃取者直接以用户的账号和密码进行登录,然后窃取信息。第二类,利用电子信息技术,对用户使用过程中,计算机信息系统发射的电磁波进行收集和恢复,从而实现对用户信息数据的窃取。第三类,将一些虚拟的程序植入到计算机信息系统中,在用户使用计算机过程中,一旦不小心被虚拟程序找到信息漏洞,就会使得信息失窃。第四类,病毒传播破坏正常的计算机信息系统,在病毒入侵之后窃取用户大量数据。第五类,干扰技术破坏用户计算机系统的反应时间,破坏系统的正常信息存储和传输功能,从而达到信息窃取的目的。 2 计算机信息系统的安全技术研究 2.1 防火墙技术 防火墙技术,是当前发展比较成熟的一项安全防护技术,现代很多新的计算机信息系统安全技术,其实就是在防火墙技术上衍生出来的。防火墙技术,从其名称就可以看出,是为了阻挡外界不安全因素而设置的一道网络屏障,其主要功能就是阻止那些没有经过正常授权的用户访问。防火墙技术在实际使用过程中,
信息系统项目可行性研究报告
竭诚为您提供优质文档/双击可除信息系统项目可行性研究报告 篇一:信息系统集成项目可行性研究报告 信息系统集成项目可行性研究报告20XX年 前言 可行性研究报告是从事一种经济活动(投资)之前,双方要从经济、技术、生产、供销直到社会各种环境、法律等各种因素进行具体调查、研究、分析,确定有利和不利的因素、项目是否可行,估计成功率大小、经济效益和社会效果程度,为决策者和主管机关审批的上报文件。 中商产业研究院每年完成项目数量达数百个,在养老产业、商业地产、产业地产、产业园区、互联网、电子商务、民营银行、民营医院、农业、养殖业、生态旅游、酒店、机械电子等行业积累了丰富的项目案例,可对同行业项目提供具有参考性、建设性意见,为客户设计该项目的建设方案,完成包括市场和销售、规模和产品、厂址及建设工程方案、原辅料供应、工艺技术、设备选择、人员组织、实施计划、投资与成本、效益及风险等的计算和评价;内容详实、严密
地论证项目的可行性和投资的必要性。我们策划编制的信息系统集成x项目可行性研究报告在发改委、投资商与金融机构的审慎下处于同行领先水平。 【出版日期】20XX年 【交付方式】email电子版/特快专递 【价格】订制 信息系统集成项目可行性研究报告 第一章项目总论 一、项目背景 二、项目简介 三、项目可行性与必要性分析 四、主要经济指标说明 五、可行性研究报告编制依据 第二章项目建设单位介绍 一、项目建设单位介绍 二、经营业绩 三、资质证书 第三章信息系统集成市场分析 一、信息系统集成行业发展现状 二、信息系统集成行业市场规模分析与预测 三、信息系统集成市场分析小结 第四章产品方案
计算机在线考试系统
摘要 伴随着Internet技术在各个领域的广泛应用,当今社会已经进入信息时代,信息技术革命使社会的各个领域都发生了翻天覆地的变化,计算机,网络技术也渗透到了学校的日常管理当中去。而且网络化的管理也适合现在人的生活需求。在线考试系统以其较高的实用功能、高效率的管理手段深受各界教育人士的青睐。 本系统运用b/s模式设计思想,运用当前较流行的JSP、JavaBean和Jscript 脚本语言技术和SQL SERVER数据库来实现的。本文介绍了在线考试系统的发展现状,同时分析了系统中用到的JSP、JavaBean和Jscript脚本语言等技术的特点,并对在线考试系统的主页面和数据库进行了详细的设计。并以此为理论基础和实践依据,设计并实现了在线测试系统。实现的功能主要有:试题维护、用户管理、系统通知管理、学生在线测试、教师在线批卷、成绩管理等各项功能。 系统具有较高的可用性,通过将该系统在局域网上发布使用,测试程序工作流程,测试结果工作良好。在网络已经延伸到我们社会生活的方方面面的今天,在线考试必然成为以后学校管理一个重要的方面,伴随着学校的发展而日益的完善,从而提高学校的整体的办公效率。 关键词在线考试;JSP技术;在线考试系统 I
Abstract With the Internet technology in various fields, a wide range of applications, Today's society has entered the information age, Social revolution in information technology in all areas of earth-shaking changes have taken place, Computers, network technology has infiltrated the school's day-to-day examination of them to go. And network management are also suitable for the living needs.On-line examination system for its high practical functions and efficient management by means of education, people from all walks of life of all ages. The use of the system b / s mode of thinking of the design, At present, the use of the more popular JSP, JavaBean and Jcript scripting language of technology and SQL SERVER Database achieved. This paper introduces online examination system development, while analysis of the system used in the JSP, JavaBean and Jcript scripting language, such as technical characteristics, and on-line page of the examination system and database design in detail. As the theoretical basis and practical basis for the design and realization of the on-line testing system. The realization of the functions are: the maintenance of questions, user management, system to inform the management, on-line testing of students, teachers approved on-line volume, performance management and other functions. Systems with higher availability, Through the system, published in the local area network used to test the workflow procedures, test results of the good work. The network has extended to every aspect of life in our society today, On-line examination after the school is bound to become an important aspect of management, Along with the development of schools and the increasingly improved, so as to enhance the school's overall office efficiency. Key words on-lineexamination JSP test On-line Examination System II
信息系统安全考题
网络安全试题 1.(单选题)使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型?(A) A、拒绝服务 B、文件共享 C、BIND漏洞 D、远程过程调用 2.(单选题)为了防御网络监听,最常用的方法是:(B) A、采用物理传输(非网络) B、信息加密 C、无线网 D、使用专线传输 3.(单选题)一个数据包过滤系统被设计成只允许你要求服务的数据包进入,而过滤掉不必要的服务。这属于什么基本原则?(A) A、最小特权; B、阻塞点; C、失效保护状态; D、防御多样化 4.(单选题)向有限的空间输入超长的字符串是哪一种攻击手段?(A) A、缓冲区溢出; B、网络监听; C、拒绝服务 D、IP欺骗
5.多选题 HASH加密使用复杂的数字算法来实现有效的加密,其算法包括:(ABC) A、MD2; B、MD4; C、MD5; D、Cost256 6.使用Windows2000的组策略,可以限制用户对系统的操作权限,该实例是何种功能的应用? (A)(单选)A、访问控制列表;B、执行控制列表;C、身份验证;D、数据加密 分析:注意这里的访问控制列表跟执行控制列表的区别。 访问控制是在大门外,能否进入,就是进入后,也不是什么事都可以做,有权限设置。 执行列表则是进入大门后,里面的程序使用。哪些可以用,哪些不能用。 7.网络安全工作的目标包括:(多选)(ABCD) A、信息机密性; B、信息完整性; C、服务可用性; D、可审查性 8.主要用于加密机制的协议是:(D) A、HTTP B、FTP C、TELNET D、SSL 9.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段? (B) A、缓存溢出攻击; B、钓鱼攻击; C、暗门攻击; 10.WindowsNT和Windows2000系统能设置为在几次无效登录后锁定帐号,这可以防止:(B) A、木马;
信息系统管理系统可行性分析实验报告
管理信息系统 实验报告 专业: ______ 班级: _______________ 学号: ______________ 姓名: _______________ 2013-2014学年第二学期 实验名称:可行性分析方法指导教师: 实验地点:成绩: __________ 实验目的:
1、了解系统规划的主要目的及任务; 2、掌握系统可行性分析的主要方法及可行性分析报告的内容实验内容与基本要求: 自行确定一个分析对象(企业或者组织等等),完成系统可行性分析报告。 实验步骤: 教务管理系统可行性分析报告 1. 引言 1.1 编写目的 随着网络科技日趋进步,全国各地高校纷纷开始采用教务管理系统对学校事务进行管理。它以网络为平台,对学校各项事务进行各方面的管理,为用户提供充足的信息和快捷的查询、修改手段,以成为日常教学工作中必不可少的管理软件。鉴于内江师范学院目前使用的教务管理网站技术老旧且访问速度缓慢、功能不全面,现为筹划设计一教务管理系统,求能最大程度地满足各方用户的需求。 A O 1.2 背景 项目名称:内江师范学院教务管理系统。 项目提出者:内江师范学院 用户:内江师范学院软件开发单位:重庆软件股份有限公司本项目与其他软件或其他系统的关系:工作于所有高校现代教学管理信息系统 定义及其参考资料等 2 可行性研究的准备 2.1 要求 主要功能:用户进入系统时,均需输入唯一的用户名和密码; 性能要求:查询效率尽可能做到精准,信息维护做到简单实用,不需要过多的人员培训,要求性能稳定,不能出现数据丢失、错误等情况。 输出要求、输入要求、安全与保密要求等 2.2 目标 1.人力与设备费用的节省; 2.处理速度的提高;
在线考试系统的设计和实现(毕设参考)
软件工程课程设计设计说明书 考试系统的设计与开发 学生姓名 学号 班级 成绩 指导教师 数学与计算机科学学院 2012年12月26日
软件工程课程设计评阅书
课程设计任务书 2012 —2013 学年第一学期 专业:学号:姓名: 课程设计名称:软件工程课程设计 设计题目:考试系统的设计与开发 完成期限:自2012 年12 月17 日至2012 年12 月28 日共 2 周设计依据、要求及主要内容(可另加附页): 指导教师(签字):教研室主任(签字): 批准日期:年月日
在线考试系统旨在实现考试的无纸化管理,对一些科目的考试可以通过互联网络或局域网进行,方便校方考务的管理,也方便了考生,尤其适合考生分布广,不易集中的远程教育。我主要开发系统的后台管理系统—JAVA在线考试管理子系统,它包括试题管理、考生管理、在线制作试卷、控制学生考试的设置、试卷审批等功能。本论文主要介绍了对JAVA在线考试管理子系统的分析、设计和开发的全部过程。运用ER图,程序流程图等对在线管理子系统的设计过程进行详细的说明。 关键词:在线考试;j2EE
1 课题描述 (3) 1.1 开发背景 (4) 1.2 系统开发目标 (4) 1.3 开发工具的选择 (4) 2 需求分析 (2) 2.1 背景分析 (2) 2.2 可行性分析 (2) 2.2.1 技术可行性分析 (2) 2.2.2 经济可行性 (2) 2.2.3 方案可行性 (2) 2.3 概要设计 (2) 2.4 总体设计 (3) 2.4.1 系统的功能模块图 (3) 2.4.2 系统功能模块 (4) 3 数据库设计 (5) 3.1数据字典 (5) 3.2 数据库的连接 (7) 4 详细设计 (8) 4.1 公共类设计 (8) 4.2 在线考试模块设计 (9) 4.3 查看考生试卷模块设计 (10) 4.4 考试设置信息维护模块设计 (10) 4.5 用户管理模块设计 (11) 5 程序调试与测试 (1) 5.1 系统运行环境 (1) 5.2 测试目的 (1) 5.3 各功能模块测试 (1) 5.3.1 在线考试模块测试 (1) 5.3.2 查看试卷测试 (2) 5.3.3 管理员模块 (3) 5.3.4 用户管理模块测试 (5) 总结 (7) 参考文献 (8)
在线考试系统解决方案
在线考试系统解决方案 一、引言 网络技术发展到今天,以前许多需要以其他方式,通过许多复杂的步骤来完成的事情都可以通过网络,利用计算机的处理来完成。“考试”就是其中的一种,而且是很典型的一种利用计算机网络进行考试,可以大量采用标准化试题,使用计算机改卷;也可以利用计算机从试题库中随机抽取试题进行考试,避免了考试前的压题与考试中的作弊;还可以直接把程序送到数据库中,进行统计、排序等操作。所以,以前需要花费大量人力和物力去做的出题、改卷、排名次和录取工作,现在都可以轻松地进行自动处理。采用在线考试或利用计算机进行考试将是以后考试发展的趋势。相比传统的考试方式,在线考试系统的主要好处是一方面可以动态地管理各种考试信息,只要准备好足够大的题库,就可以按照要求自动生成各种试卷;另一方面,考试时间灵活,可以在规定的时间段内的任意时间参加考试;另外计算机化的考试的最大特点是阅卷快,系统可以在考试结束时当场给出客观题考试成绩,计算机阅卷给了考生最大的公平感。 二、功能描述 1需求分析 因为考试是面向特定的某些对象的,所以考试者进入系统应该进
行身份验证。考试者进入考试系统后,应该能根据自己的需要进行个人信息的修改、考试系统的进入,以及考分的查看。在线考试于传统考试是不同的,为了在线考试做到规范,对于每个应试者来说,试卷的试题和题量都应是相同的,但试题并不相同。在线考试基于网络环境,试卷应该从服务器的数据库随机抽取试题后动态生成的。另外,系统还应该对考试时间进行控制,时间到了会要求考试者交卷。考试者选择答案提交后,应该由计算机自动判卷,得到成绩后显示出来。考试完毕后,可以返回登录界面或继续考试。 2基本功能 本系统共分成两个部分:一个用于管理员登录,主要负责进行基本资料、新闻、题库、试卷、成绩的管理以及查询等;另外一个用于考试人员登录,主要负责修改个人资料、浏览考试新闻、在线考试、查询以往考试成绩等,系统应该实现下列功能:包括试卷管理、题库管理、成绩管理。 2.1.用户管理 考试人员管理主要完成注册、登陆系统、进入考试、查询成绩、留言建议; 管理员管理主要是完成系统管理员的添加、删除、权限的修改,超级管理员可以进行部门的添加,每个部门中考试科目的添加,删除等权限,试卷的审批,监控考试过程,留言的管理等。一般管理员进
企业安全漏洞管理解决实施方案
企业安全漏洞管理解决实施方案
————————————————————————————————作者:————————————————————————————————日期:
企业安全漏洞管理解决方案 一、选用安全风险管理系统 一个计算机网络安全漏洞有它多方面的属性,主要可以用以下几个方面来概括:漏洞可能造成的直接威胁、漏洞和漏洞被利用的方式。漏洞扫描系统是网络安全中的一个重要组成部分,它可以从目标信息系统和网络资源中采集信个设备和主机系统中的漏洞,帮助管理人员清晰的了解自身安全状况,目前面临的安全威胁,存在的安全隐患,以及洞,新出现的安全问题等。 漏洞检测就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。漏洞检测的结果实际上就是网络个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。 一般而言企业使用安全漏洞扫描系统有如下的原因 在线定期的找出安全漏洞 使用安全漏洞扫描系统可以在线定期找出各系统的漏洞,不需要每天注意各操作系统的漏洞通报,因为各操作系的发布,并且即使发布了,使用者也一定知道。 降低风险指数 由安全漏洞扫描系统所检测出来的漏洞,会提供完善的解决方案及补丁程序下载的地址,进而减少系统漏洞,减 黑客也使用安全漏洞扫描系统 当黑客要入侵一个网站或企业时,也会使用某些工具先去了解这个网站的操作系统、服务以及漏洞,接着再开始安全漏扫扫描系统。因此系统管理者可以通过扫描系统来仿真黑客的手段,了解自己主机上的漏洞。更重要的是,在时的发现并修补漏洞。 JUMP公司的企业安全漏洞管理解决方案是针对信息系统各层面中普遍存在安全漏洞的问题而设计的专注于企业现、分析、修补、综合评估的网络脆弱性智能评估系统(JNVAS)。 二、企业的安全需求分析 在企业信息网络中,由于网络技术与协议上的开放性,不难发现整个网络存在着各种类型的安全隐患和潜在的危人员将可能利用这些安全隐患对网络进行攻击,造成严重的后果。因此如何保护重要的信息不受黑客和不法分子的入的可用性、保密性和完整性等安全目标的问题摆在我们面前。 信息系统的安全问题来自多个方面,我们根据企业信息网络系统的实际情况,结合用户的安全现状以及存在的安潜在的安全威胁与安全隐患进行综合分析与评估,具体分析如下: 安全防护整齐考虑不够 对于一些大型的企业信息化网络在整体的层面,缺少完善一致的安全防护及管理措施,导致分散建设、分散管理
信息安全漏洞管理流程
信息安全漏洞管理流程文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
信息安 全漏洞管理规定 主导部门: IT 部 支持部门: N/A 审 批: IT 部 文档编号: IT-V01 生效日期:
信息安全漏洞管理规定 1. 目的 建立信息安全漏洞管理流程的目的是为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的网络与信息安全水平,保证业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略为规范公司信息资产的漏洞管理(主要包含IT设备的弱点评估及安全加固),将公司信息资产的风险置于可控环境之下。 2. 范围 本策略适用于公司所有在生产环境和办公环境中使用的网络系统、服务器、应用系统以及安全设备。 3. 定义 3.1 ISMS 基于业务风险方法,建立、实施、运行、监控、评审、保持和改进信息安全的 体系,是公司整个管理体系的一部分。 3.2 安全弱点 安全弱点是由于系统硬件、软件在时或者是在的制定配置上的错误而引起的缺 陷,是违背安全策略的软件或硬件特征。有恶意企图的用户能够利用安全弱点 非法访问系统或者破坏系统的正常使用。 3.3 弱点评估
弱点评估是通过风险调查,获取与系统硬件、软件在时或者是在的制定配置的 威胁和弱点相关的信息,并对收集到的信息进行相应分析,在此基础上,识 别、分析、评估风险,综合评判给出安全弱点被利用造成不良事件发生的可能 性及损失/影响程度的观点,最终形成弱点评估报告。 4. 职责和权限 阐述本制度/流程涉及的部门(角色)职责与权限。 4.1 安全管理员的职责和权限 1、制定安全弱点评估方案,报信息安全经理和IT相关经理进行审批; 2、进行信息系统的安全弱点评估; 3、生成弱点分析报告并提交给信息安全经理和IT相关经理备案; 4、根据安全弱点分析报告提供安全加固建议。 4.2 系统管理员的职责和权限 1、依据安全弱点分析报告及加固建议制定详细的安全加固方案(包括回退方案),报信息 安全经理和IT相关经理进行审批; 2、实施信息系统安全加固测试; 3、实施信息系统的安全加固; 4、在完成安全加固后编制加固报告并提交给信息安全经理和IT相关经理备案; 5、向信息安全审核员报告业务系统的安全加固情况。 4.3 信息安全经理、IT相关经理的职责和权限 1、信息安全经理和IT相关经理负责审核安全弱点评估方案、弱点分析报告、安全加固方 案以及加固报告。 4.4 安全审计员的职责和权限 1、安全审计员负责安全加固后的检查和验证,以及定期的审核和汇报。 5. 内容 5.1 弱点管理要求 通过定期的信息资产(主要是IT设备和系统)弱点评估可以及时知道公司安 全威胁状况,这对及时掌握公司主要IT设备和系统弱点的状况是极为有重要