【摘 要】
:
核电企业内网越来越多的信息化项目采用基于WEB的服务方式,程序员在编写程序时对文件上传部分的代码控制不足或者处理时存在一定的缺陷,导致产生可以被恶意攻击者利用的文件上传漏洞,本文通过对文件保存路径中存在空字符而引起的上传漏洞的原理分析与利用该漏洞进行攻击过程的模拟演示,提出了由有关空字符导致的上传漏洞的防范措施以及较为系统全面的上传漏洞防范方法:防止外部表单数据提交、给上传的ASP、CER等危险后
【机 构】
:
中核核电运行管理有限公司信息项目处
【出 处】
:
2016年(第十届)发电企业信息技术与应用研讨会
论文部分内容阅读
核电企业内网越来越多的信息化项目采用基于WEB的服务方式,程序员在编写程序时对文件上传部分的代码控制不足或者处理时存在一定的缺陷,导致产生可以被恶意攻击者利用的文件上传漏洞,本文通过对文件保存路径中存在空字符而引起的上传漏洞的原理分析与利用该漏洞进行攻击过程的模拟演示,提出了由有关空字符导致的上传漏洞的防范措施以及较为系统全面的上传漏洞防范方法:防止外部表单数据提交、给上传的ASP、CER等危险后缀名添加一个尾字符"_"、检查文件内容是不是图片文件或者自己允许上传的文件类型、增加隐含的验证码等.
其他文献
在电力企业管理的实践中,由于部分管理人员和决策者对计算机在企业管理中基本知识的缺乏和误解,常常会出现许多失误和谬误,从而导致在企业管理应用计算机软件开发上失联、失衡和失效或性能大析折扣.针对诸多问题的剖析,希望对有关单位和项目有所借鉴和参考.
随着企业信息化的不断发展,信息安全风险也日益提高,软件开发过程中的安全风险也不容忽视.本文通过三门核电有限公司在信息化建设过程中积累的经验,从管理和技术两个维度对软件开发过程中存在的安全风险做了阐述,同时提供了相应的规避措施:从管理层面来说,应强化参与人员的信息安全意识、合同签订时将信息安全相关事项明确并强调、将承包商与生产环境隔离等;从技术层面来说,引入安全开发周期概念,并对需求分析、软件设计、
信息技术的广泛应用,给现化发电企业管理工作带来了机遇,推动了企业管理工作向信息化建设发展,并逐渐成为了提高企业管理工作效率与质量的可行性策略.在此背景下,本文就企业信息化建设的内涵出发,通过对加强企业管理信息化建设的重要性展开分析,经过探索发现信息化对企业内部组织结构、管理理念、管理人员等的影响,进而以此为基础,提出信息化建设下的企业管理应对策略,即树立以信息化为导向的管理思想、创新和完善企业管理
核电厂因其特殊的业务需求,对安全、保密工作尤为重视,信息安全亦是不可或缺的重要一环。为防止企业单位内部人员由于误操作、越权访问等行为对IT系统造成重大损失,就必须建立完善的IT系统安全审计体系,对企业内部用户的操作行为进行严格审计.文中从运维安全审计系统基本功能、部署模式、运维权限管理分配、运维审计、运维用户安全登陆等技术实现与安全性分析对此进行了论述。
本文以多年的企业内部软件开发工作经验作为研究背景,提出并诠释了以面向使用的软件设计方法的方式开发软件,从使用、可用性,提高可用性,用户界面等方面对该思想进行详细阐述,并用工作中的实际范例进行体现,在企业内部软件的开发设计上提出了创新思想,可以充分的解决企业内部某些软件所遇到的问题.
本文首先简要讨论了电厂信息化建设的必要性,分析了电厂信息化规划的原则和预期目标,重点针对电厂信息化基础设施规划、应用规划和安全规划进行了深入讨论,并结合讨论提出了作者的若干观点,最后总结了电厂信息化建设的难点和重点,即明确电厂信息化建设的目标,并将其作为支撑电厂管理创新变革的重要手段。
本报告首先简要介绍了万州港电的基本情况,然后介绍了万州港电的信息化规划,重点介绍了电厂信息化基础设施规划和应用规划,在此基础上介绍了万州港电的重点信息化项目在网络建设、虚拟化平台建设、应用系统建设、安全系统建设方面的实施情况,最后总结了万州港电信息化建设的特点:SIS网络和MIS网络的一体化建设、三维数字化移交与运营管理系统、燃料管理精细化、全面应用服务器虚拟技术、全方位的移动应用支持等.
在信息时代,IT架构已经成为企业组织的重要基础架构.随着移动互联、云计算、物联网和大数据等信息技术的发展,企业组织为用户提供产品和服务的方式更加丰富多样,用户个性化、多样化的需求已然成为企业组织创新发展的动力.支持用户个性化、多样化的需求需要企业组织的业务具有高度的敏捷性,而传统的IT架构已无法满足企业快速调整、组合或构造业务的要求.本文基于敏捷业务对基础IT架构需求的分析和对当前IT架构的分析,
随着IT技术的发展,核电站设计工作的数字化也提上日程.核电站设计是否能够像西屋一样也建立自己的设计基线?笔者结合自身工作实际,探讨了IT软件开发的基线,即如何做好整个配置管理.事实上,配置管理是任何一个项目中,贯穿整个项目生命周期的一项重要工作。文中从配置库与基线、工具选择和SVN使用、版本控制这几个方面对如何做好软件开发的配置管理进行了说明。总之,充分利用SVN工具做好软件开发工作,为设计工作准
KKS编码是目前国际上运用最为广泛的电厂标识系统,在基建管理、生产管理、以及资源管理方面都体现出了明显的优势.我国自2010年正式发布(电厂标示系统编码标准BG/TS0549-2010)后,KKS编码在电力系统中的应用已得到全面普及.鉴于热力系统与电力系统具有诸多相似的特征,KKS编码应用于热力系统标识是具有可行性的.本文以某热源厂为例,简要介绍KKS编码在热力系统中的应用.