国家电网公司信息系统安全运行题解

内容简介

本书结合现阶段国家电网信息化工作成果，提供了涵盖电力行业信息系统运行各个方面的基础习题和部分解析，为提升电力行业信息系统运行整体技术水平和专业技能提供智力支持。
　　国家电网公司信息系统安全运行题解是针对电力行业信息系统运行维护技能的全面试题解析读物。 　
　　本书可作为电力行业信息化工作者的入职培训、业务咨询等的教材及参考用书。

目录

前言
第二章 主机
第三章 数据库
第四章 中间件
第五章 安全管理
第六章 规章制度

摘要与插图

    （1）使用安全可靠的DNS服务器管理自己的域名，并且注意跟进DNS的相关漏洞信息，更新补丁，加固服务器。
    （2）保护自己的重要机密信息安全，避免域名管理权限被窃取。
    （3）提高服务器安全级别，更新系统及第三方软件漏洞，避免遭受攻击。
    5.187什么是SQL注入攻击以及如何防范？
    答案要点：
    SQL注入攻击（SQL，Injection），是发生于应用程序的数据库层的安全漏洞。简而言之，是在输入的数据字符串之中夹带SQL指令，在设计不良的程序当中忽略了检查，那么这些夹带进去的指令就会被数据库服务器误认为是正常的SQL指令而运行，因此招致到破坏。
    防范要点：
    （1）在设计应用程序时，使用参数化查询（Parameterized Query）来设计数据访问功能。
    （2）在组合SQL字符串时，先针对所传入的参数作字符取代（将单引号字符取代为连续2个单引号字符）。
    （3）如果使用PHP开发网页程序的话，也可以打开PHP的魔术引号（Magic quote）功能（自动将所有的网页传入参数，将单引号字符取代为连续2个单引号字符）。
    （4）使用其他更安全的方式连接SQL数据库。例如已修正过SQL注入问题的数据库连接组件，例如ASENET的SQLDataSource对象或是LINQ to SQL。
    （5）使用SQL防注入系统。
    5.188请简单描述数字签名技术的原理和采用的算法。
    答案要点：
    数字签名与用户的姓名和手写签名形式毫无关系，它实际使用了信息发送者的私有密钥变换所需传输的信息。对于不同的文档信息，发送者的数字签名并不相同。没有私有密钥，任何人都无法完成非法复制。从这个意义上来说，“数字签名”是通过一个单向函数对要传送的报文进行处理得到的，用以认证报文来源并核实报文是否发生变化的一个字母数字串。
    原理：
    该技术在具体工作时，先发送方对信息施以数学变换，所得的信息与原信息对应；在接收方进行逆变换，得到原始信息。只要数学变换方法优良，变换后的信息在传输中就具有很强的安全性，很难被破译、篡改。这一个过程称为加密，对应的反变换过程称为解密。
    现在有两类不同的加密技术。一类是对称加密，双方具有共享的密钥，只有在双方都知道密钥的情况下才能使用，通常应用于孤立的环境之中，比如在使用自动取款机（ATM）时，用户需要输入用户识别号码（PIN），银行确认这个号码后，双方在获得密码的基础上进行交易，如果用户数目过多，超过了可以管理的范围时，这种机制并不可靠。另一类是非对称加密，也称为公开密钥加密，密钥是由公开密钥和私有密钥组成的密钥对，用私有密钥进行加密，利用公开密钥可以进行解密，但是由于公开密钥无法推算出私有密钥，所以公开的密钥并不会损害私有密钥的安全，公开密钥无需保密，可以公开传播，而私有密钥必须保密，丢失时需要报告鉴定中心及数据库。