登录注册
请使用微信扫一扫
关注公众号完成登录
我要投稿
回到源头,WEB安全刻不容缓
最小权限原则、保护数据库连接、分段服务器和网络、安全验证、安全边界和数据库安全配置对保护数据很有用处,但是这些不会解决攻击者所有的攻击企图。从广义上讲,数据库的安全首先依赖于网络系统。网络系统的安全是数据库安全的第一道屏障,外部入侵首先就是从入侵网络系统开始的。所以现在需要关注最普遍存在的威胁;WEB应用安全。
由于某些开发人员犯了非常低级的编程错误,比如:应用ID只能被应用使用,而不能被单独的用户或是其它进程使用。但是开发人员不这么做,他们给予了应用程序更多的数据访问权限。这就类似于医生因没有洗手而传播了传染病,从而导致各种漏洞的出现。
我们必须接受已经存在的应用缺陷和漏洞。通过发挥数据库管理员的安全职责去阻止因为应用缺陷和漏洞所造成的不良后果。比如如果开发人员不重视应用与数据交互的安全性,坚持最小权限原则,数据库管理员则有权在这场互动中占取主动,不给开发人员全权委托,数据库管理员可以不允许那么多的交互被授权;为了阻止黑客的渗透攻击从不可避免的网络程序应用漏洞中占便宜,数据库管理员也有权进行其他有效的安全控制。并且数据库管理员应对数据库进行加密保护,如密码不能使用明文保存;对所有应用层和数据层通信的审计监控将有助于快速识别和解决问题以及准确的判断任何安全事件的范围,直到实现安全风险最小化的目标。
假如出现数据外泄事件(如2011年年底的CSDN等网站的用户数据信息泄密事件),责任也不止是在数据库管理员身上,开发人员也需要共同承担责任。其中一个非常重要的方面,开发人员能做的就是在用户能输入的地方最好过滤危险字符,这样可以防止黑客通过诸如SQL注入攻击获取到数据库的敏感信息。目前在各类行业网站上,各种WEB应用漏洞随处可见,可以被黑客们检测到(他们一般会用软件同时扫描数千个网站)。
开发人员在完成一套新的应用程序后应使用安全检测工具对其进行反复白盒测试,有条件的情况下可以请信息安全人员模拟黑客进行黑盒渗透测试,尽可能的发现应用程序的弱点并进行修补。如果想实现更完整的解决方案,更多有关的保护数据和数据库是应当实施源代码分析。这是一项冗长的处理过程,可以请安全服务提供商用专业的源码审计软件对应用程序代码进行详细的分析处理,这些工具会直接查找出更精确的缺陷结果。
同时应该与开发商或者安全厂商合作并确保能提供安全解决方案,这对于任何致力于部署网络应用数据库正常安全访问的用户都至关重要,WEB应用安全测试对于确保数据库的安全性有至关重要的作用。
一款好的工具可以有助于加快进度并且提供更好的检测结果和解决方案,以提供应用程序更好的的安全性,关键是进行反复评估以确保管理工作正常,对结果实施验证并加固,确保风险一经发现立即补救,并保证管理人员能够了解到相关问题的存在。
黑盒测试 黑盒测试是一种把软件产品当成是一个黑箱的测试技术,这个黑箱有入口和出口,测试过程中只需要了解黑箱的输入和输出结果,不需要了解黑箱里面具体是怎样操作的。这当然很好,因为测试人员不用费神去理解软件里面的具体构成和原理,测试人员只需要像用户一样看待软件产品就行了。
例如,银行转账系统提供给用户转账的功能,则测试人员在使用黑盒测试方法时,不需要知道转账的具体实现代码是怎样工作的,只需要把自己当成用户,模拟尽可能多的转账情况来检查这个软件系统能否按要求正常实现转账功能即可。
如果只像用户使用和操作软件一样去测试软件黑盒测试可能存在一定的风险。例如,某个安全性要求比较高的软件系统,开发人员在设计程序时考虑到记录系统日志的必要性,把软件运行过程中的很多信息都记录到了客户端的系统日志中,甚至把客户端连接服务器端的数据库连接请求字符串也记录到了系统日志中,像下面的一段字符串:
"Data Source=192.168.100.99;Initial Catalog=AccountDB;User ID=sa;PassWord=123456;
那么按照黑盒测试的观点,这是程序内部的行为,用户不会直接操作数据库的连接行为,因此检查系统日志方面的测试是不会做的。这明显构成了一个Bug,尤其是对于安全性要求高的软件系统,因为它暴露了后台数据库账号信息。
有人把黑盒测试比喻成中医,做黑盒测试的测试人员应该像一位老中医一样,通过“望、闻、问、切”的方法,来判断程序是否“有病”。这比单纯的操作黑箱的方式进了一步,这种比喻给测试人员一个启示,不要只是简单地看和听,还要积极地去问,积极地去发现、搜索相关的信息。应该综合应用中医看病的各种“技术”和理念来达到找出软件“病症”的目的,具体作法如下:
“望”,观察软件的行为是否正常;
“闻”,检查输出的结果是否正确;
“问”,输入各种信息,结合“望”、“闻”来观察软件的响应程度;
“切”,像中医一样给软件“把脉”,敲击一下软件的某些“关节”。
白盒测试如果把黑盒测试比喻成中医看病,那么白盒测试无疑就是西医看病了。测试人员采用各种仪器和设备对软件进行检测,甚至把软件摆上手术台解剖来看个究竟。白盒测试是一种以理解软件内部结构和程序运行方式为基础的软件测试技术,通常需要跟踪一个输入经过了哪些处理,这些处理方式是否正确。
特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明北极星*网的内容为北极星原创,转载需获授权。
为切实发挥标准对工业和信息化绿色低碳领域的引领和支撑作用,健全完善绿色低碳标准体系,近日,工业和信息化部组织编制了《关于深入推进工业和信息化绿色低碳标准化工作的实施方案》,披露了《工业和信息化绿色低碳标准重点研究方向(2025-2027年)》,包含碱性水电解制氢系统能效评价要求、焦炉煤气
未来氢能于近日取得北京市非政府投资工业和信息化固定资产投资项目—“制氢用催化剂、阳极电极、阴极电极等材料产线扩产项目备案”,《京昌经信局备〔2025〕34号》未来氢能2021年成立并落地于北京昌平区未来氢能产业基地后,锚定新一代电解水技术研发方向,近年来完成了AEM制氢技术核心材料的研发,从
北极星储能网获悉,6月27日,国家交通运输部等六部门印发《关于推动内河航运高质量发展的意见》,其中明确:到2030年新建船舶新能源清洁能源应用比例进一步提高。推动新能源清洁能源加注及充换电设施建设,完善船舶燃料加注作业和安全监管体系,加快制定充电设施建设等标准。鼓励实施新能源清洁能源船
日前,中共中央办公厅、国务院办公厅发布《关于全面推进江河保护治理的意见》。主要目标是:到2035年,现代化流域防洪减灾体系基本完善,防洪安全保障能力显著提高;水资源节约集约利用水平进一步提高,城乡供水安全保障水平明显提升;江河生态环境质量全面改善,水生态系统健康稳定;水文化繁荣发展,
6月29日,昆明电力交易中心发布关于“云南绿电绿证服务平台”试运行的通知。为进一步强化云南省绿电、绿证的统一服务管理,为云南绿电高价值实现提供坚实有力的信息化支撑,昆明电力交易中心将“区块链电力交易存证及溯源系统”全面升级为“云南绿电绿证服务平台”,并于2025年6月30日启动试运行。“云
南方电网新能源(新型储能)调度服务平台安全可靠改造及12项功能加装项目招标公告(采购编号:CG0000022002056578)1.招标条件本招标项目南方电网新能源(新型储能)调度服务平台安全可靠改造及12项功能加装项目,招标人为中国南方电网有限责任公司,项目资金已落实,该项目已具备招标条件,现对本项目
6月29日,人民日报发表金社平文章《在破除“内卷式”竞争中实现高质量发展》,点名:光伏组件、新能源汽车、储能系统的内卷式竞争。文章以光伏行业的现状为例,剖析“内卷”产生原因:一边,行业各环节年产能均超1100吉瓦,出现阶段性供大于求。企业疾呼,产品价格像“坐滑梯”一样,从多晶硅、硅片、
2025.6.23-2025.6.27一周电力市场热点主要看点:1、两地“136号文”省级承接方案正式发布2、江西分时电价调整:午间2h深谷电价下浮70%3、涉嫌伪造原件!广东通报对4家售电公司采取风险管控措施4、2025年5月全国交易绿证2987万个5、首笔黑龙江绿电送天津交易达成......一、前沿政策1、两地“136号文”省
当Agent网络、分布式电源、虚拟电厂和微电网结合的时候,我认为最值得讨论的,是一种新的电力经济模式。(来源:鱼眼看电改作者:俞庆)传统的电力系统运行了上百年,作为工业2.0的产物,与钢铁、石油、铁路、传统汽车制造一样,以规模经济理论为基础,秉承了戴明质量管理和福特生产模式。小米Yu7的发
近日,四川省经济和信息化厅公示了2025年第二批“企业找技术”揭榜挂帅项目定帅结果,环天智慧公司荣誉上榜。《高分辨率碳源监测卫星研发设计与反演算法》项目由环天智慧公司与南京航空航天大学航天学院开展深度合作,旨在研发具备高精度监测能力的碳源遥感卫星,通过创新性的光学载荷设计与智能反演算
6月26日,天津市人民政府办公厅关于印发《天津市碳排放权交易管理暂行办法》(以下简称《办法》)的通知。《办法》指出,重点排放单位可以通过本市碳排放权交易市场购买或者出售碳排放配额,其购买的碳排放配额可以用于清缴。重点排放单位足额清缴其碳排放配额后仍有结余的,可予以结转,具体规定由市
6月25日,TV南德意志集团(TV南德)向海辰储能颁发基于IEC62443-4-1标准的工业信息安全TVSDMark认证证书。这一认证标志着海辰储能自主研发的BMS平台系统在网络安全性与全球合规性方面达到国际领先水平,进一步夯实公司在全球储能市场的竞争力。颁证仪式值得注意的是,公司近期还通过了ULSolutions基于I
北极星售电网获悉,6月20日,内蒙古自治区能源局发布关于印发《内蒙古自治区分布式光伏项目开发建设管理实施细则》的通知。文件明确,分布式光伏上网模式包括全额上网、全部自发自用、自发自用余电上网三种。自然人户用、非自然人户用分布式光伏可选择全额上网、全部自发自用或者自发自用余电上网模式
近期,四川省能源局转发了国家能源局《分布式光伏发电开发建设管理办法》及《分布式光伏发电开发建设管理办法问答(2025年版)》,并结合四川省实际提出五点意见。其中提到,要坚持应备尽备、能建快建,支持工商业分布式光伏发电加快发展。科学有序实施“千家万户沐光行动”,在充分尊重农民意愿、保护
北极星售电网获悉,山东省发展和改革委员会山东省能源局国家能源局山东监管办公室6月17日发布关于印发《山东省分布式光伏发电开发建设管理实施细则》的通知,分布式光伏发电上网模式包括全额上网、全部自发自用、自发自用余电上网三种。自然人户用、非自然人户用分布式光伏可选择全额上网、全部自发自
6月17日,山东省能源局正式下发《山东省分布式光伏发电开发建设管理实施细则》,细则指出,分布式光伏发电上网模式包括全额上网、全部自发自用、自发自用余电上网三种。自然人户用、非自然人户用分布式光伏可选择全额上网、全部自发自用或者自发自用余电上网模式。一般工商业、大型工商业分布式光伏可
2025年2月,国家发展改革委、国家能源局下发了《关于深化新能源上网电价市场化改革促进新能源高质量发展的通知》(发改价格〔2025〕136号),标志着我国新能源产业和电力市场建设进入新的发展阶段。新能源存量项目如何与“机制电量/价”衔接,增量项目如何进行科学投决,如何全面参与电力市场从单一的
当前,能源产业生态正经历从“供给侧资源主导”向“需求侧价值创造”的范式跃迁。现代能源服务业通过构建“用户需求-能效服务-价值共享”的新型商业闭环,催生出涵盖规划咨询、系统集成、智慧运维的全周期解决方案。为把握产业变革机遇,北极星电力网拟于2025年8月7-8日在上海举办2025第七届综合能源服
被誉为中国风电“风向标”与“晴雨表”的CWP2025将于10月20日—22日在北京·中国国际展览中心(顺义馆)举办来自全球风电领域的1000余家企业将齐聚盛会展会同期还将举办200多场论坛活动将全面聚焦行业热点领航风电产业发展金秋十月诚邀全球风电人共襄盛会CWP2025观众注册全面启动CWP2025不收取参观门票
2025年2月国家发展改革委、国家能源局下发了《关于深化新能源上网电价市场化改革促进新能源高质量发展的通知》(发改价格〔2025〕136号),标志着我国新能源产业和电力市场建设进入新的发展阶段。新能源存量项目如何与“机制电量/价”衔接,增量项目如何进行科学投决,如何全面参与电力市场从单一的投
6月5日,汉中市发改委发布汉中市电力高质量发展实施意见(草稿),文件指出,鼓励屋顶分布式项目开发,推动工商业屋顶分布式光伏发展,支持优先采用“自发自用”建设模式,鼓励分布式光伏项目配置储能设施,减小公共电网运行压力。住房城乡建设、发展改革、自然资源、财政、机关事务管理等部门,应当共
北极星售电网获悉,近日,陕西省汉中市发展和改革委员会发布《汉中市电力高质量发展实施意见(草稿)》,其中提到,县级以上人民政府及其有关部门应当因地制宜推动储蓄、火电、水电等多种电源与新能源发电协同运营,有序发展多能互补项目;健全多能源发电协同调度机制,统筹优化调峰电源运行,保障新能
根据透明度市场调研公司(TransparencyMarketResearch)的报告预测,全球智能电网安全市场将从2016年的43.5亿美元增至2025年的105.8亿美元,期间年复合增率达10.5%。全球智能电网安全市场的增长和发展中经济体的人口增长及快速城镇化息息相关。由于城市人口对于能源的增长需求,能源公司正利用物联网和
电力行业按电监会二次系统安全防护总体方案实现了安全分区、网络专用、横向隔离、纵向认证,有效地保证了确保电力实时闭环监控系统及调度数据网络的安全,防止了由此导致一次系统事故或大面积停电事故,及二次系统的崩溃或瘫痪。通过内外网隔离方案,特别是数据库正反向隔离装置有效地保障了电力系统避
电力行业按电监会二次系统安全防护总体方案实现了安全分区、网络专用、横向隔离、纵向认证,有效地保证了确保电力实时闭环监控系统及调度数据网络的安全,防止了由此导致一次系统事故或大面积停电事故,及二次系统的崩溃或瘫痪。通过内外网隔离方案,特别是数据库正反向隔离装置有效地保障了电力系统避
电力行业是国家正常运行最核心的支撑,关系到国家能源安全和国民经济命脉。为适应特高压电网运行的客观需要,全面提升调度机构驾驭大电网的能力,国家电网公司国家电力调度控制中心组织开展了智能电网调度技术支持系统(简称D5000系统)的研制工作。为了响应国家提倡的自主创新策略,充分发挥国产自主品牌软硬件产品的优势,全面提升D5000系统的安全性能,国家电网公司通过多年实践考察,细致严格地分析比较,最终确定使用达梦数据库搭建D5000系统的基础软件平台。个性定制,在智能电网实现规模应用达梦数据库针对智能电网调度技术支持系统的业务特点,在功能及性能方面进行了很多定制
近日,2013电力行业信息化年会成功举办。启明星辰公司信息安全专家在会上发表了主题为“电力信息系统业务行为审计方法探索”的演讲并得到了相关领导、参会人员的一致好评。本次会议围绕大数据、智能电网建设、信息安全等行业热点话题展开交流与讨论。大会设有三个分论坛,分别为“智能电力”、“电力云与大数据”、“电力信息安全”。在12月1日的“信息消费触动大数据,智能化重启信息安全”主会场互动中,信息化专委会委员就信息化建设中遇到的热点问题,面对面地
电力行业是国民经济的基础产业,是国民经济发展和人民生活极其重要的基础设施之一。近些年来,电力信息化建设取得了非常显著的成就,信息化建设已经有了一定的规模,电力行业的信息系统庞大复杂,IT系统治理难度大。随着智能电网建设的不断向前发展,同时国家电网集团公司对信息安全的指导要求逐步在加强。2004年,国家电力监管委员会发布第5 号令 《电力二次系统安全防护规定》;2005年,电力二次系统安全防护专家组和工作组提出《电力二次系统安全防护总体方案》;2008年,国家电网信息化工作部印发316号文件 《国家电网公司信息化“SG186”工程
2013年4月,达梦数据库管理系统通过中国信息安全测评中心自主原创测评,成为国内第一家获得“信息技术产品自主原创测评证书”的数据库安全产品。到目前为止,全国只有11个信息安全产品获得该项证书。为了支持和保护我国信息技术产品的关键技术原创性,适应国际知识产权保护的发展趋势,达梦数据库有限公司主动申请对达梦数据库管理系统进行“信息技术产品自主原创评测”。测评工作在开发者自主声明的基础上展开。整个测评过程严格按照测评中心《信息技术 安全技术 信息技术安行评估准则》、《信息技术产品自主原创测评准则》及保密协议的规
2010年,伊朗核设施遭遇STUXNET(超级工厂病毒)攻击,造成伊朗核电站推迟发电;2011年,索尼、RSA、洛克希德·马丁公司等大型公司相继遭遇有针对性攻击;2012年,几家国内大型电力企业也遭受网络恶性攻击。有报告称,每日有针对性的网络攻击数量由2010年底的77次增加到了2011年底的82次。网络恶意攻击的职业化、有组织化,并具有商业犯罪、军事攻击、恐怖袭击等特征转变的倾向。作为整个系统的基础平台,智能电网调度技术支持系统(以下简称D-5000)是整个系统研制的核心和重点,如果D-5000采用国外的数据库软件就会受制于人
2011年9月14日,国家电网公司坚强智能电网首批试点工程之一,基于达梦数据库管理系统之上的华中智能电网调度技术支持系统投入电网运行控制,标志着智能电网调度技术支持系统试点项目由建设转入正式运行。2011年9月28日,基于达梦数据库管理系统之上的华中智能电网调度技术支持系统调度计划类(日前计划部分)应用功能又投入在线运行,日前计划应用功能和静态安全校核应用功能先后投入运行,标志着华中调度计划类应用功能开发由建设转入试运行阶段。在我国,现代能源工业的主要生产部门有煤炭工业、石油工业、电力工业,而电力工业在我国能源行业所占比例最大,规模及综合实力也最强。由
近日发改委下发通知,决定围绕三个领域组织实施2011年国家信息安全专项,三个领域为:为重要信息系统和涉密信息系统提供支撑的信息安全产品产业化,为国家信息化建设和重要信息系统安全运行提供技术支持的信息安全专业化服务,重要信息安全产品的关键标准。专项将重点支持满足电信、金融、军工、电力、铁路、政务等特殊领域需求的安全可信操作系统、安全可信服务器、安全网关、安全数据库、安全中间件、操作系统和数据库安全加固产品,以及基于国产密码芯片及可信计算芯片的安全应用产品;工业控制安全保障、面向工业控制的脆弱性分析与风险评估、电子数据取证、信息系统及其终端的安全检测和防护
请使用微信扫一扫
关注公众号完成登录
姓名: | |
性别: | |
出生日期: | |
邮箱: | |
所在地区: | |
行业类别: | |
工作经验: | |
学历: | |
公司名称: | |
任职岗位: |
我们将会第一时间为您推送相关内容!