中国科学院教育信息化中的Web应用安全增强实践

中国科学院教育信息化旨在为培育高层次科研人才提供信息化支撑,其中Web应用体系规模大、交互性强、耦合性高,面临着许多潜在的安全风险。本文结合该Web应用体系有针对性地设计了一种安全增强方法。方法的有效实施挖掘并修复128个Web安全漏洞,同时SQL注入与XSS两大主要漏洞数目总和在安全编码培训后也下降了55.10%,Web应用体系安全性得到了显著增强。

网络安全扫描技术研究

给出了网络安全扫描技术的概念、分类，对其中的两种主要技术——端口扫描技术和漏洞扫描技术以及它们的原理分别进行了详细阐述，讨论了各类端口扫描技术及部分技术的实现，并针对它们的优缺点进行了比较，介绍了各种漏洞扫描技术的实现原理，指出了漏洞扫描中存在的一些问题并给出了一些完善化的建议。

网络安全管理平台研究

首先阐述了目前主流网络安全产品的局限性，由此引入了网络安全管理平台的概念。随后总结归纳出网络安全管理平台的系统组成模块及平台应具备的功能，在此基础上对网络安全管理平台的关键技术——联动互操作技术进行了深入讨论，并对目前国内外典型产品进行了技术分析，最后对网络安全管理平台的发展趋势及现有难点进行了论述并提出了建议。

网络可生存性研究进展

网络可生存性研究是对传统的安全概念和技术的突破,已经成为网络安全研究的新方向。该文首先分析了可生存性与传统安全概念的差异,通过对网络可生存性研究现状的分析和概括,总结出了可生存性定义要素、测定标准、实现技术及相关研究的一些共识。然后对国外可生存性研究的主要进展——可生存系统分析方法SSA进行了深入探讨,并分析了网络可生存性研究的发展趋势,最后对实现可生存性的两种不同方法进行了对比分析。

自动入侵响应技术研究

首先给出了自动入侵响应的基本特性以及系统模型,然后讨论了与自动入侵响应相关的主要技术,在此基础上分析了两个自动响应系统的实现方法,最后指出自动响应目前存在的问题及今后发展方向。

P2P网络信任管理研究综述

建立信任管理机制对于确保P2P网络中用户的利益,确定资源或者服务的有效性具有重要意义。阐明了P2P网络信任管理中的基本概念,剖析了P2P网络信任管理系统的基本组成及各个部分中的关键问题,在此基础上介绍了P2P环境下的典型信任管理系统,讨论了和其他学科的融合发展。最后,对进一步研究方向如统一描述框架和分析评价标准作了展望。

网络攻击平台攻击决策系统模型的研究与实现

提出了网络攻击平台的架构,并按照黑客攻击理论的典型攻击过程,完成了网络攻击平台攻击决策系统模型的设计与实现,指出系统模型进一步增强和完善的方向,最后强调了这一模型的优点和先进性,并对其应用环境作了进一步的分析。

入侵防御系统的研究与分析

首先介绍了入侵防御系统的概念并总结了特点。然后对其分类、部署方式及工作原理进行了深入的探讨,同时比较了基于网络和基于主机两类入侵防御系统的特性并对其实现方法进行了讨论。最后针对入侵防御系统面临的问题,对其发展趋势进行了展望。

局域网下网络窃听的实现与防范

网络窃听是指非法截获并提取他人正常通信数据流中的重要信息。该文从软件方面详细讨论了局域网下网络窃听的各种实现方法，给出了针对其实现的具体防范措施，同时探讨了如何主动去发现并反击这些非法的窃听。

网络可生存性定义研究

对已经提出的网络可生存性定义进行了分析与研究,归纳并总结了网络可生存性的关键要素,然后基于这些要素给出了一个网络可生存性的定义;在该定义的基础上,提出了更加精确、全面、利于实现的七元组的形式化定义,为网络可生存性需求分析、设计和实现提供理论框架,同时也为验证实现的系统是否满足可生存性定义了标准.

P2P网络分布式证书管理方法的研究

在P2P环境下需要证书来构建信任关系和授权访问,选择一种适合P2P环境的SPKI/SDSI证书,并且利用分布式哈希表算法实现了在分布式网络中高效地发布和快速查找到SPKI/SDSI证书。该方法是高效和健壮的。

P2P网络的认证方法研究(英文)

P2P网络离散、动态和自治的特点使得传统的认证方法不能很好的解决其认证问题.采用证书和信任值相结合的方式,提出了一个新的认证协议APExSPKI用于解决P2P网络中节点之间的互认证问题.信任值绑定在证书中使得节点在身份认证的同时还可以进行授权和访问控制操作.此外APExSPKI不需要可信服务器的参与,它允许网络中的任何节点参与到认证的过程中来,参与信任值投票并可充当代理节点来为其他节点颁发证书,这充分体现了节点对等、自治的特点.

入侵检测系统概述

该文首先介绍了入侵检测系统的发展过程,接着阐述了入侵检测系统的功能、模型、分类,并在入侵检测系统的结构和标准化上做了深入的探讨。然后详细研究了入侵检测系统的检测技术,最后指出了目前入侵检测系统中存在的问题,提出了入侵检测系统的发展前景。

安全漏洞等级划分关键技术研究

针对安全漏洞管理过程中涉及到的威胁等级划分问题,选取了访问途径、利用复杂度和影响程度3组安全漏洞评估要素,采用层次分析法建立安全漏洞等级划分模型,将安全漏洞等级评定为超危、高危、中危和低危4个级别。最终为安全漏洞国家标准制定、安全漏洞管理、安全漏洞处理、风险评估、风险减缓等方面的工作提供参考。

数据库安全技术研究

对过去30多年来的数据库安全技术的研究进行了总结,并在此基础上设计出了一种安全级别至少为B1的安全数据库体系结构,展望了数据库安全研究的方向。

系统安全漏洞研究及数据库实现

计算机系统安全漏洞的研究以及漏洞库的建设，对于提高系统安全性，减少安全事件发生具有重要意义。该文在对系统安全漏洞分类研究的基础上，提出了一个系统安全漏洞数据库的结构模型，并以此构建了一个以国际CVE编号为标准的漏洞数据库，并给出了数据库中的一个漏洞实例。

网络安全管理综述

随着网络的日益发展,网络管理的安全性也越来越重要。文章从安全的角度全面地阐述了网络管理协议,重点分析了SNMP的安全策略,并对当前常用的网管软件及其安全策略进行了分析,最后论述了安全网络管理中要考虑的一些问题。

DoS攻击及其防范

介绍了DoS(DenialofService,拒绝服务 )攻击的概念、原理和分类 ,阐述了DoS攻击的技术发展和防范技术 ,并提出了针对整个系统的DoS攻击防范策略建议 。

蠕虫病毒的传播机制研究

分析了网络蠕虫的特征,从扫描方法入手研究了蠕虫的传播机制,对其性能进行了比较,并提出了蠕虫的控制方法。

基于Fuzzing的ActiveX控件漏洞挖掘技术研究

ActiveX控件漏洞存在广泛且往往具有较高的威胁等级,有必要对此类漏洞的挖掘技术展开研究,发现并修复漏洞,从而杜绝安全隐患.在对ActiveX控件特性进行分析的基础上,设计并实现了ActiveX控件漏洞挖掘工具——ActiveX-Fuzzer.它基于黑盒Fuzzing测试技术,能够自动地构造半有效数据对控件接口展开测试,尝试发现潜在的缓冲区溢出、整数溢出及格式化字符串错误等安全问题.通过使用该工具对常用ActiveX控件进行广泛的测试,发现多个未公布的高危漏洞,受影响的软件包括腾讯QQ、WinZip、微软Office等国内外重要软件,以及部分知名银行的网上服务中使用的控件.该测试结果表明了ActiveX-Fuzzer的有效性和先进性.