储粮信息系统弱密码增强多重散列保护方法研究

使用弱密码是计算机信息系统安全的重要漏洞,在粮食储藏信息化应用中亦是如此。单纯的哈希散列加密算法对弱密码存在明显局限性。结合粮库软件系统应用实际,本文提出以哈希散列算法为基础,混入盐值和引入高进制映射等进行增强处理,多次复用散列运算的弱密码保护方法。验证分析表明,方法增加了弱密码的加密值强度,阻断了字典攻击或彩虹表攻击,实现了对弱密码传递和存储的有效保护,且复杂度较低,程序实现难度低,运算耗时均值约2.5ms,对用户无感。方法用于粮食储藏信息化建设管理,可提供良好的安全保障。

基于Python的通信网络安全漏洞扫描方法

常规的通信网络漏洞扫描方法只能生成安全漏洞载荷单元,不能阻止恶意载荷单元的传播,导致漏洞信息扫描量较小。为此,设计了基于Python的通信网络安全漏洞扫描方法。首先,使用专业的漏洞扫描工具来扫描通信网络漏洞信息,生成安全漏洞载荷单元,使用防火墙和入侵检测系统(IDS/IPS)来监控和阻止恶意载荷单元的传播,并过滤、检查所有入站和出站流量,确保只有授权流量可以通过。然后,使用Python编写脚本,利用常见的字典和暴力破解方法来获取弱口令,及时发现并提醒用户更换强密码,再通过发送特定的请求来扫描端口处安全漏洞。实验结果表明,该方法漏洞信息扫描量的均值为4.12 Mb,明显高于对照方法,说明该方法更符合实际应用需求。

IPTV传输分发系统的安全风险

互联网电视(Internet Protocol Television,IPTV)传输分发系统是处于前端电视发送端与终端电视接收端之间的网络传输、存储和分发的系统。基于IPTV电视传输分发系统的网络结构、互联接口、运维情况等信息,分析IPTV电视传输分发系统面临的安全威胁,并提出相应的防护手段。

网络安全漏洞检测软件的设计与实现

分析了几种常见的网络安全漏洞的基本原理。采用具有跨平台运行优势的Java语言编程模拟FTP、SMTP、POP3等多个客户端,实现了弱密码漏洞检测,CGI漏洞检测,SQL注入漏洞检测和IIS解码编码漏洞检测。

办公计算机信息安全隐患防治方法研究

办公计算机的使用与电力行业日常工作息息相关,由于计算机数量庞大、分布地点广泛,使用人员信息安全防范意识参差不齐,导致计算机信息安全隐患难以彻底解决。通过采用层次分析法梳理办公计算机常见信息安全隐患,充分挖掘统一部署的计算机信息安全防护软件潜能,结合日常信息安全督查工作实践,重点针对计算机病毒感染率、本地账号弱口令、敏感文件拷贝等信息安全问题提出专项防护措施,提出办公计算机接入内部网络流程,编写计算机本地违规账号处理程序,开展办公计算机病毒专项治理工作,启用办公计算机USB接口禁用策略,从源头上发现并防治办公计算机存在的安全隐患,全面提升办公计算机信息安全防护能力。

基于网页静态分析的Web应用系统弱口令检测方法

针对现有基于动态截取方式的Web应用账号弱口令检测方法操作繁琐、自动化程度较低,无法满足信息安全监督工作的需要。本文提出一种基于网页静态分析的Web应用系统弱口令检测方法,通过对登录页面的表单进行识别与分析,实现对登录关键信息的自动提取。基于此方法,实现了一个可对Web应用账号进行自动化弱口令检测的系统原型,并支持常见数字和字母组合的验证码识别。系统自动化程度较高,具有较好的实用性和应用前景。

浅谈SQL Server系统中SA弱口令的危害及解决方法

数据库系统可以说是现代信息管理系统和计算机应用系统的核心,而数据库管理系统(DBMS)作为数据库系统的核心,其安全性可以说是上述系统的"生命线"。在众多的DBMS中,微软公司推出的SQL Server系列占据了DBMS市场的半壁江山,也成为入侵者的主要攻击对象。在诸多的攻击方式中,利用系统管理员SA的弱口令漏洞攻击是最常见的方式之一。对SA弱口令的危害进行了简单阐述,并提出了有针对性的解决方案。

物联网设备Web弱口令自动化探测

由于物联网设备多且Web登录页面复杂多样,弱口令自动化探测难度较大。针对此问题,设计一套面向物联网设备Web应用系统的弱口令自动化探测框架。结合HTML特征和所提规则,解决口令探测中自动化控件定位和结果判断的难题。基于该框架开发一套自动化弱口令探测系统,对北京市、山东省和浙江省的公网物联网设备进行Web弱口令探测,共发现12 179台存在Web弱口令的设备,占所有发现物联网设备的7.58%,验证了所提框架的有效性。

基于口令的安全用户认证模型

对基于口令的访问控制进行研究,应用DES,SHA-512和Diffe-Hellman密钥交换协议,提出一个基于口令的安全用户认证模型。此模型可以抵抗中间人攻击、重放攻击、字典攻击和拒绝服务攻击,同时还能提供完善向前保密。基于提出的安全用户认证模型应用HOOK技术,给出了一个基于C/S方式的原型实现。

ISO/IEC 20009-4匿名实体鉴别标准中国贡献分析

实体鉴别是系统安全功能的构建基石,用来验证实体身份的有效性。介绍了正在制定过程中的ISO/IEC20009-4《匿名实体鉴别:基于弱秘密的机制》标准基本情况,详细阐述了中国提出的标准贡献NAPAKE机制,并通过对NAPAKE机制与ISO/IEC 20009-4中既有的SKI机制、HE+PIR机制进行对比分析,得出NAPAKE机制更具优势的结论。

基于机器学习建模的口令脆弱性检测

为了解决网络中的口令脆弱性评估、口令混淆检测等问题,研究基于机器学习融合告警的口令脆弱性评估方法,从大量的样本集中学习概率语言特征和文本上下文特征,通过随机森林算法和逻辑回归算法构建机器学习融合告警模型,实现了口令脆弱性的智能评估功能。将机器学习算法引入口令评估领域,大幅提高口令的评估检测能力,能够准确识别时序变化和恶意混淆的口令。

基于ISO 27001的宝信eCop认证分析

通过研究ISO 27001的目标、措施和当前我国信息安全的现状,指出建设信息安全管理体系的主要任务在于建立安全的内网环境。宝信eCop内网安全产品在访问控制、保障终端运行安全、防范违规行为、事件响应、审计监督等方面给企事业单位面临的风险提供了解决方案。

SMB弱口令防范扫描检测工具

为了快速有效地对安徽省电力公司SMB登陆密码的安全性,因此开发出针对SMB的弱口令的扫描工具,可以自己添加需要扫描的IP或者IP地址段信息和登陆密码库维护,然后对设备进行实时扫描,及时发现SMB弱口令的终端设备,并进行整改。

基于ARP欺骗构建全网口令安全扫描系统

在基本ARP欺骗技术的基础上,提出了5个欺骗策略以高效地实现全网主机数据截获,提出了5个数据分析策略以实现口令扫描和安全性分析,提出了3个自适应的扫描速度调节策略以避免扫描动作给网络运行效率造成影响。在上述技术基础上,实现了一个基于ARP欺骗的全网口令安全扫描系统。系统能够较为有效地发现网内用户使用电子邮件等应用服务时明文传输口令或者使用弱口令的风险,从而达到了保障信息安全的目的。

新一代邮件智能检测和攻击溯源系统

针对APT、0day等更高级、更危险的邮件威胁,基于攻击者视角的新一代电子邮件智能监测和攻击溯源的解决方案,将多元行为分析、意图分析、情报溯源、黑客画像、沙箱检测等智能化威胁感知和监测技术应用于电子邮件安全,有效发现弱口令、账号被控、商业欺诈、APT社工、病毒、木马、蠕虫、URL钓鱼、主机被控等高级威胁并进行溯源分析,解决邮件安全面临的各种问题。

弱口令应急处理实现方法探讨

文章讨论分析Windows系统的XP及vista之后版本的登录机制细节,并探讨了弱口令的应急处理方案和思路,为使用大量网络终端的企业安全加强提供参考思路。