A Cross Language Code Security Audit Framework Based on Normalized Representation

With the rapid development of information technology,audit objects and audit itself are more and more inseparable from software.As an important means of software security audit,code security audit will become an important aspect of future audit that cannot be ignored.However,the existing code security audit ismainly based on source code,which is difficult to meet the audit needs of more and more programming languages and binary commercial software.Based on the idea of normalized transformation,this paper constructs a cross language code security audit framework(CLCSA).CLCSA first uses compile/decompile technology to convert different highlevel programming languages and binary codes into normalized representation,and then usesmachine learning technology to build a cross language code security audit model based on normalized representation to evaluate code security and find out possible code security vulnerabilities.Finally,for the discovered vulnerabilities,the heuristic search strategy will be used to find the best repair scheme from the existing normalized representation sample library for automatic repair,which can improve the effectiveness of code security audit.CLCSA realizes the normalized code security audit of different types and levels of code,which provides a strong support for improving the breadth and depth of code security audit.

基于Fortify SCA的GB/T 3494X源码审计规则研究与应用

2017年颁布的GB/T 34943—2017《C/C++语言源代码漏洞测试规范》、GB/T 34944—2017《Java语言源代码漏洞测试规范》、GB/T 34946—2017《C#语言源代码漏洞测试规范》等国家标准使代码审计朝着规范化方向发展。然而,当前代码审计工作仍面临部分问题。通过对知名代码审计工具Fortify SCA的审计规则进行深入研究,文章完成了国标合规性审计应用实验,为代码审计提供了有效的解决方案。

DRG 付费下高倍率病例解决路径分析

目的对某院高倍率病例进行现状分析,探索更优化的解决路径。方法提取徐州市第二医院2021年1月—2022年6月病案首页数据导入某公司疾病诊断相关分组工具处理后得到3930份高倍率病例,分析其分布与构成,为高倍率病例精细化管理提供指导和借鉴。结果筛选出3930份高倍率病例,占161570份DRG入组病例的2.58%,CMI值为1.98,RW值为4.3。3930份高倍率病例中401份诊断和手术操作存在错填和漏填,错误类型包括主要诊断编码错误、主要手术操作编码错误、诊断或手术操作漏编,占比依次为54.4%、26.7%、18.9%,高倍率病例住院费用构成上,药品费在高倍率病例组占比最高,灰色关联分析发现药品费与住院总费用变化态势的关联度最大。结论合理补偿医院因治疗急症危重患者导致的高倍率病组费用的同时,加强编码能力培训,重点审查高倍率病例的药品结算费用清单和超长住院天数病例,加强审核监管,促进医保精细化管理。

软件代码质量治理

近年来,公司不断加强信息安全体系和能力建设,其中一项重要内容是动态及时维护信息资产及资产价值,以此为依据对信息资产风险进行评估,并采取措施规避、降低资产面临的威胁和脆弱性(漏洞)。研发部需要找到适合部门的管理及技术手段,提升部门的安全能力建设,同时结合自身面临的复杂局面,从提升全体员工安全意识到代码审核和制定部门制度,来全面提升集团的信息安全体系和能力建设。

基于以太网的列车控制网络信息安全技术研究

基于以太网的列车控制网络存在非法外联、网络攻击等信息安全隐患。本文结合轨道交通信息安全技术、相关技术标准的要求,总结了以太网列车控制网络的相关特点,阐述了信息安全相关防护技术及相关要求;针对以太网列车控制网络的主要信息安全风险因素,提出了边界防护、访问控制、入侵及恶意代码防范、安全审计等信息安全防护措施,并提出一套车载信息安全防护系统技术方案,解决以太网列车控制网络的信息安全问题。

全媒体智能生产制作系统设计与实现

本文介绍的全媒体智能生产制作系统作为“Z视介”的生产制作和媒资管理后台,集成智能中台、转码中心、迁移服务、蓝云租户基础服务等PaaS服务,可实现媒资存储、AI审核、转码分发等功能。同时,该系统在素材汇聚、生产、管理过程中融入了智能化识别的能力,可实现成品内容的质量提升和编辑人员的工作效率提高。

基于内容的邮件安全审计系统及实现

分析了电子邮件的编码规则及传送媒体格式 ,提出了电子邮件审计系统的不同实现方案及其关键技术 ,实现了一种分布式的基于字符内容的实时审计系统 .该系统基于布尔模型和空间向量模型 ,对不同编码的邮件内容进行实时翻译和匹配 ,具有分组识别和全文识别 2种工作模式 ,整个系统由前端信息探测器、后台信息处理控制中心、审计统计查询数据库 3个主要部分组成 ,分别工作于Linux和Windows系统平台之上 .经过实际运行测试 ,系统稳定 ,达到了设计指标 。

ORACLE数据库触发器及其应用

首先简要地介绍了ORACLE数据库触发器的基本构成。然后重点阐述了如何应用数据库触发器解决几个实际问题 ,如非声明的完整性约束、自动不间断编码、特殊审计信息收集记录和视图更新等 。

基于代码审计技术的OpenSSL脆弱性分析

本文讨论应用代码审计技术,分析OpenSSL源代码,进行脆弱性分析,并作出针对性修补建议.在进行源码级分析时,主要采用数据流分析技术,动态污点分析技术,定理证明等.各类代码审计技术由于都主要采用形式化手段分析软件构架的安全需求,通常都对某种特定场景有较好效果,但实用性较差.在审计linux,xen等大型成熟软件项目时,存在效率低下,误报率高等缺陷,甚至可能根本无法挖掘出有效漏洞.为此通过采用搭配使用各种不同代码审计技术,同时使用一种新的安全属性定义手法,从底层角度定义安全属性,以提升其对软件安全需求描述的准确度,避免其审计缺陷.在保留代码审计技术自动化程度高的优点同时提升其审计效率以及降低误报率,深层次发掘代码脆弱性.

Web数据库系统安全控制方案的设计与实现

在分析目前普遍采用安全实现策略的基础上,对Web数据库系统构建出一种基于应用层、系统层及数据层相结合的安全机制,利用身份认证、授权控制、数据加密、监视跟踪、审计、备份与故障恢复等技术来实现Web数据库系统的安全管理,有效地消除了系统的安全隐患,提高了系统的可靠性和可用性,并在恩施州中小学继续教育网络平台的开发实践中得到了有效应用.

代码安全性审查方法研究

软件中的安全问题一直是困扰软件行业发展的一个难题,为了找出软件中存在的漏洞和安全隐患,人们发明了各种安全性测试方法,但只有源代码级的测试才能深入挖掘软件中的深层次安全问题.从常用的软件测试方法入手,对代码审查中质量审查和安全性审查的不同点进行了比较,并从代码安全性人工走查和代码安全性工具静态分析2个方面对代码安全性审查的方法进行了研究,最后对代码安全性审查未来发展的方向进行了展望.

面向再生编码云存储的高效隐私保护审计方案

再生码技术在大数据分布式云存储中具有重要的应用价值,如何利用编码技术构造轻量型的隐私保护和审计机制仍然是基于再生码的分布式云存储系统尚未解决的问题.采用质询响应计算安全外包的策略和动态随机线性掩码技术,提出了一种适用于再生码云存储系统隐私保护数据审计方案,方案不仅能实时完成服务器质询响应数据的在线动态加密,而且在云存储节点和审计者之间构造了一种隐私计算协同外包的审计策略.理论分析和实验表明,该方案实现了完备的隐私保护机制和审计安全性,与现有工作相比,具有较快的实现效率.

提高自然资源部信息系统主动安全防御能力探讨

本文主要探讨如何利用主动防护技术路线,弥补传统安全技术被动防御的不足和局限,提高自然资源重要信息系统主动安全防御能力。

基于二进制再生编码的云存储公开审计方案

为了实现云存储中数据的完整性,提出一种基于二进制再生编码的公开审计方案(PA-BRC)。该方案可以在实现公开审计、支持批量数据动态更新的同时,保证用户数据隐私及降低分布式拒绝服务攻击。审计方案还可以实现审计者同时去验证多个服务器中的数据,并当检测到存在损坏数据时,能定位损坏数据所在服务器。当检测到数据损坏时,通过采用二进制再生编码,云服务器可以自行恢复数据。更新方案支持批量数据操作,大大降低了计算量和通信开销。安全性和性能分析,表明了提出方案的安全性和有效性。

适用于再生编码分布式存储的轻量型隐私保护审计方案

为了降低面向再生编码分布式存储系统的外包数据审计机制的安全实现开销,提出了一种正交化代数编码方法,以此构造一类基于线性同态认证的轻量型隐私保护审计方案。利用文件编码数据与私有密钥向量的正交化构造外包存储向量的同态认证标签,并提出利用密钥特定分量的正交基向量组的随机化掩码来完成审计响应消息的隐私保护,实现代数编码、隐私保护和安全审计的高效融合。理论分析表明,所提方案在再生编码分布式存储应用中可实现信息理论意义下的安全性。与现有同类工作相比,该方案计算复杂度低,通信开销小,具有更好的性能优势。

中国注册会计师执业准则的特点及其对实务的影响

本文对中国注册会计师执业准则进行了较全面的分析,认为新执业准则与现行的独立审计准则比较有八个方面的特点,并将对现实审计实践产生重大影响,可能执行时会困境重重。注册会计师和会计师事务所应正视这种情况,充分发挥新执业准则的作用。

现场作业稽查系统的研究与开发

本文介绍了现场作业稽查系统的总体构架,论述了其运用红外通信技术实现现场稽查终端与电能表现场数据交换,以及通过条形码技术采集电能表条形码信息,实现现场稽查终端与电能表现场自动匹配及客户数据比对的技术原理。总结归纳了该系统在线、离线的工作流程。

基于动态单边自相关序列和频率规整线性预测的抗噪声语音识别

提出了一种既符合人耳听觉特性又具有良好抗噪性的语音特征分析方法。首先将单边自相关函数序列进行时间方向的平滑处理,提高单边自相关函数的抗噪性,然后用平滑后的单边自相关函数序列代替原信号进行频率规整的LPC分析,最后经倒谱变换得到该特征参数。数字语音识别实验证明:利用该特征参数的语音识别系统的识别性能优于MEL倒谱系数、LPC倒谱系数等传统的语音特征参数。

审计机关廉政风险防控关键路径研究

审计机关是反腐败的利剑和公共权力运行的"紧箍咒",但现实中还存在审计腐败的现象,构建廉政风险防控体系成为审计机关必须面对的现实问题。审计实务中不乏廉政风险防控的良好实践,但尚缺乏结合典型案例进行的深度分析。本文采用内容编码分析法,对威海市审计局廉政风险防控工作进行个案分析,结合其他审计机关廉政风险防控路径验证,归纳出审计机关存在思想道德、外部环境、审计业务执行、制度机制、监督制约、机关内部综合管理六类廉政风险,其中审计业务执行是审计机关廉政风险主要来源。亦归纳出由廉政风险排查、预防、监控预警构成的运行机制和由制度建设、思想教育和监管问责构成的保障机制,探究了审计机关廉政风险防控路径。

数据挖掘对信息安全的影响

数据挖掘是目前学术界研究的热点,它在应用领域取得了巨大的成功。数据挖掘技术的发展极大地推动了信息安全领域的研究工作,同时,它也对信息安全有一定的消极影响。论述数据挖掘技术对信息安全各领域的积极作用,并给出了对其不利影响的应对策略。