面向嵌入式CGI的命令注入漏洞挖掘研究

嵌入式IoT设备系统种类多差别大,系统存在危险数据过滤不严格的风险大,攻击者可通过精心构造的恶意数据包获取系统的控制权。嵌入式系统的安全性已逐渐成为设备被广泛采纳的最大障碍。针对命令注入型漏洞与程序接收数据密切相关这一特征,本文通过对嵌入式通用网关接口(Common Gateway Interface,CGI)程序接收的数据进行数据流分析,使用污点分析技术研判程序接收的数据是否能够不经无害处理而到达系统敏感函数,达到检测CGI程序是否存在命令注入漏洞的目的。

B/S模式下基于角色的权限管理系统设计与实现

结合基于角色的访问控制的原理,实现了一个基于Struts框架B/S模式的权限管理系统。该系统围绕用户、角色、功能、单位等基本定义以及它们之间的关系进行模块编码,实现了灵活、实用的基于角色的权限管理功能,达到了页面级别的权限控制。利用Struts配置文件,隐藏了系统的文件结构,提高了系统安全性。同时利用过滤器技术,通过重载Filter接口,可有效拦截直接在IE的地址栏中输入内部页面地址的访问。实际应用表明,该系统具有很好的可扩展性和通用性。

基于GIS危险化学品泄漏扩散事故处置系统研究与实现

为提高突发危险化学品泄漏事故的应急处置能力,研制开发了基于GIS危险化学品泄漏事故处置系统。系统首先针对应急处置实时性强要求,根据事故泄漏基本情况,借鉴国外的ERG2000初始隔离距离标准,快速在电子地图上画出紧急隔离区域和防护区域,报告泄漏物质的危险特性和基本防护措施。接着,采用常用高斯模型,结合变化的气象条件和环境因素,对气体泄漏扩散进行预测分析,将扩散区域和浓度分布情况在地图上直观地显示出来,并自动查询受影响的单位、人口和重要设施,及时修正处置方案。系统实现了扩散范围预测、影响区域地理信息查询、处置方案等功能的有机集成,为事故的救援工作提供技术支持。

基于三维GIS的油罐区应急管理平台研究与实现

分析油罐区危险特性和事故模式,将三维GIS系统、日常管理、监控预警、应急指挥与辅助决策等功能进行集成,建立基于三维GIS的油罐区一体化应急管理平台。该平台利用数据融合技术,将液位、可燃气体、温度等多参数进行了融合,提高了报警可靠性。同时构建了DEA-BP应急资源配置模型,结合罐区事故类型,实现了罐区重大事故应急资源的优化配置。平台还提供数字化预案和三维应急演练,为油罐区员工提高应急安全技能提供了培训环境。

基于XML的国家重大危险源中间数据库研究与实现

为建立国家重大危险源监管信息系统,针对目前地方数据库系统异构问题,提出了基于XML中间数据库的解决方案。首先对XML与关系数据库的关系进行了分析,并对XML文档结构与数据库结构的映射以及XML与关系数据库之间的转换进行了探讨;接着定义了国家标准中九大类重大危险源信息的XML模版;最后采用JDOM技术,实现了从省市重大危险源数据库集中到国家中间数据库,为进一步建立国家中心数据库奠定了基础。

全国安全生产调查信息系统设计与实现

为对我国安全生产基本情况的全面掌握和风险评估分析,按照"风险优先"原则,实现对重大事故风险的重点监管与控制,研制了全国安全生产调查信息系统。系统采用Struts结构,运用XMLHTTP组件,应用Ajax技术等关键技术和普遍受欢迎B/S模式,实现了企业端信息填写和数据上报,政府端审核评分、查询和统计分析等功能。系统设计合理,操作简单,便于维护,实用性强,为建立全国安全生产基本情况数据库奠定了基础。

北京市危险化学品企业安全生产风险评估分级研究

为对北京市危化品企业基本情况的全面掌握,开展了危险化学品企业安全生产风险评估分级研究,借鉴国外经验和国内有关科研成果,提出了固有风险和动态风险相结合的危化品安全生产风险评估方法。固有风险为企业的基本风险水平,主要由危险化学品物质量、工艺水平、安全监控和周边环境决定,为共性指标;动态风险,反映企业安全生产管理绩效的水平,主要包括安全基础管理和现场管理,为个性指标,不同企业类型,评估动态风险指标有差异。从大量数据中抽取了最能反应企业安全生产状态的指标因素,通过专家组打分法和层次分析法确定评价因素的权重,该评估方法具有较强的实用性和可操作性,是本质安全和安全绩效的创新结合,为企业安全生产评估分级提供了新思路。通过分级,按照"风险优先"原则,政府部门实行差别监管,降低安全监管成本,促进危险化学品安全生产工作向规范化、科学化转变。同时,研制了危化品企业安全生产风险分级系统,为建立北京市危化品企业风险分级数据库奠定了基础。

重大危险源信息系统的研究与实践

在重大危险源信息系统长期实践的基础上,针对SQL server 2000+Tomcat系统,探讨了提高系统稳定性、保证系统安全的方法。一方面从数据设计保证系统规范合理,研究SQL server数据性能优化,数据库安全配置,数据库备份与日志管理;另一方面讨论应用系统部署,通过对Tomcat服务器的外部环境和自身进行优化,防止了内存泄露和不稳定现象的发生,并分析Tomcat入侵途径,探讨了预防黑客攻击的方法。这些方法在很多实践中取得了满意的效果,并对一般信息系统建设也有很强指导意义。

用汇编语言编程实现系统多分区引导

由于计算机用户的不同使用要求,往往需要在计算机上安装多个操作系统.但一般安装多操作系统的方法是先安装低版本的,再安装高版本的,这种方法极为不便.通过对磁盘引导区结构的分析,给出一个多操作系统引导的汇编语言实现方法.

XML与关系数据库实现转换初探

XML作为一种数据交换的国际标准,已经贯穿于Internet应用的各个领域,如何准确地实现XML与关系数据库之间的转换已经成为一个重要的研究课题。本文就XML与关系数据库的关系进行了分析,并对XML文档结构与数据库结构的映射以及XML与关系数据库之间的转换进行了探讨。

工控编程编译工具应用现状分析及展望

为实现国家关键基础工控设备自主化战略,部分国产品牌先后推出了全国产化自主安全PLC。虽然这些国产品牌PLC的核心芯片、操作系统、编程软件工具都实现了国产自主化,但其功能、性能与国外品牌PLC相比具有较大差距,尤其是PLC编程软件工具,PLC的功能全部是通过编程软件工具来实现的,编程软件工具作为PLC的核心组件之一尤为重要。在对国内外编程工具现状分析的基础上,对国产自主开发的编程工具进行对比和探讨,并分析了目前国产自主安全编程工具的瓶颈,提出了一些关键技术和研究建议。

工控行业自主可控编程编译工具关键技术研究

目前在工控行业中使用的编程编译工具大多是国外产品,软件内部逻辑、软件代码自主可控程度低,存在逻辑炸弹、软件后门等安全问题,严重制约国内工控行业的技术发展。针对关键领域自主可控,在分析编译器、架构设计、领域驱动等技术的基础上,研究工控行业中所使用的编程编译工具在国产化自主可控方面的关键应用,提出了基于领域驱动的工控行业编程编译软件架构、工业语言编程编译工具链、异构平台调试技术、国产化基础软硬件平台适配、可信编译五个关键技术研究方向,为工控行业编程编译工具的自主可控研究奠定基础。