正文內(nèi)容

項(xiàng)目應(yīng)用系統(tǒng)開(kāi)發(fā)安全管理規(guī)范-資料下載頁(yè)

2025-04-19 01:14本頁(yè)面

　　

【正文】標(biāo)準(zhǔn)庫(kù)中的類(lèi)都默認(rèn)是可以公共訪問(wèn)的（除了由“sun”開(kāi)頭的類(lèi)）。為了保證一個(gè)包的安全性，必須修改${JAVA HOME}/jre/lib/。該文件中的重要行是：216。 =sun.216。雖然該方法有作用，但仍存在問(wèn)題。，“sun.”將保護(hù)“”等包，但是不會(huì)對(duì)“sun”或者“sunshine”等包進(jìn)行保護(hù)。216。另一個(gè)方法是使用JAR密封(sealing) 。JAR(Java ARchive)文件是一些類(lèi)的打包壓縮格式的文件，與常用的ZIP格式類(lèi)似。如果從一個(gè)密封(sealing)的JAR文件中加載一個(gè)類(lèi)，隨后同一個(gè)包的類(lèi)只能從該JAR文件加載。為了起用密封(sealing)，必須在建立JAR文件時(shí)這樣設(shè)置密封(seal)參數(shù)：216。 Sealed: true 216。使用密封(sealing)的JAR文件比權(quán)限 (permission) 設(shè)置更好，因?yàn)樗恍枰惭b安全管理器(security manager)。政策文件Java內(nèi)建的安全管理器是對(duì)應(yīng)用程序進(jìn)行限制的一個(gè)方便的工具。很多情況下需要編制一個(gè)定制的安全管理器。這是通過(guò)Java政策文件實(shí)現(xiàn)的?？梢杂谜呶募韵鄬?duì)模塊化的方式控制文件系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn)。例如可以限制應(yīng)用程序只能修改名字是foo的文件。宜使用Java政策文件和安全管理器而不是重新創(chuàng)建一個(gè)類(lèi)或者系統(tǒng)來(lái)限制對(duì)主機(jī)和網(wǎng)絡(luò)的訪問(wèn)。 C/C++語(yǔ)言C本質(zhì)上是不安全的編程語(yǔ)言。例如如果不謹(jǐn)慎使用的話，其大多數(shù)標(biāo)準(zhǔn)的字符串庫(kù)函數(shù)有可能被用來(lái)進(jìn)行緩沖區(qū)攻擊或者格式字符串攻擊。但是，由于其靈活性、快速和相對(duì)容易掌握，它是一個(gè)廣泛使用的編程語(yǔ)言。下面是針對(duì)開(kāi)發(fā)安全的C語(yǔ)言程序的一些規(guī)范。緩沖區(qū)溢出避免使用不執(zhí)行邊界檢查的字符串函數(shù)，因?yàn)樗鼈兛赡鼙挥脕?lái)進(jìn)行緩沖區(qū)溢出攻擊。下面是應(yīng)避免使用的函數(shù)。同時(shí)，也列出了每個(gè)函數(shù)相應(yīng)的比較安全的替換方式。216。不使用strcpy()，使用strncpy()216。不使用strcat()，使用strncat()216。不使用sprintf()，使用snprintf()216。不使用gets()，使用fgets()在上面的前三個(gè)中函數(shù)中，每個(gè)替代函數(shù)的“n”表示了使用的緩沖區(qū)的大小。最后一個(gè)函數(shù)的“f”，表示格式，它允許用戶指定期望的輸入的格式。這些替換方程強(qiáng)制程序員定義使用的緩沖區(qū)的尺寸以及確定輸入的類(lèi)型。格式化字符串攻擊（Format String Attack）該類(lèi)攻擊往往與緩沖區(qū)溢出相關(guān)，因?yàn)樗鼈兺饕昧四承┖瘮?shù)的假設(shè)，例如sprintf()和vsprintf()假設(shè)緩沖區(qū)的長(zhǎng)度是無(wú)限的。然而即使使用snprintf()替換sprintf()也無(wú)法完全保護(hù)程序不受格式化字符串的攻擊。這些攻擊通過(guò)直接將格式說(shuō)明符（format specifiers）(%d，%s，%n等)傳遞到輸出函數(shù)接收緩沖區(qū)來(lái)進(jìn)行。例如，以下的代碼就是不安全的：snprintf(buffer, sizeof(buffer), string) 這種情況下，可以在字符串中插入格式說(shuō)明符來(lái)操縱內(nèi)存的棧，來(lái)寫(xiě)入攻擊者的數(shù)據(jù)（這些數(shù)據(jù)中包含小的程序代碼，并可由處理器接著執(zhí)行）。更多關(guān)于這些攻擊的具體內(nèi)容請(qǐng)見(jiàn)資源章節(jié)。對(duì)以上的例子建議使用下面的代碼。snprintf(buffer, sizeof(buffer), “%s”, string) 進(jìn)行格式字符串攻擊不太容易。首先攻擊者必須能獲得內(nèi)存棧的內(nèi)容情況（從應(yīng)用導(dǎo)出或者使用調(diào)試器），然后必須知道如何精確訪問(wèn)特定的內(nèi)存空間來(lái)操縱棧中的變量。執(zhí)行外部程序推薦使用exec()函數(shù)而不是system()函數(shù)來(lái)執(zhí)行外部程序。這是因?yàn)閟ystem()接收整個(gè)命令行的隨機(jī)的緩沖區(qū)來(lái)執(zhí)行程序。snprintf(buffer, sizeof(buffer), emacs %s, filename)。 system(buffer)。在以上的例子中，可以通過(guò)使用分號(hào)利用文件名變量在sehll中插入額外的命令（例如文件名可以是/etc/hosts。 rm *，這將在顯示/etc/hosts目錄文件的同時(shí)，刪除目錄中的所有文件）。而exec()函數(shù)只保證第一個(gè)參數(shù)被執(zhí)行：execl(usr/bin/emacs, usr/bin/emacs, filename, NULL)。上面的例子保證文件名僅僅作為一個(gè)參數(shù)輸入Emacs工具，同樣它在Emacs命令中使用完全的路徑而不是使用可以被攻擊者利用的PATH環(huán)境變量。競(jìng)爭(zhēng)條件（race condition）進(jìn)程需要訪問(wèn)資源時(shí)（無(wú)論是磁盤(pán)、內(nèi)存或是文件）通常需要執(zhí)行兩個(gè)步驟：216。首先測(cè)試資源是否空閑可用216。如果可用，就訪問(wèn)該資源，否則它等到資源不再使用為止再去訪問(wèn)它當(dāng)另一個(gè)進(jìn)程在步驟1和2之間想要訪問(wèn)同一個(gè)資源時(shí)將出現(xiàn)問(wèn)題，導(dǎo)致不可預(yù)測(cè)的結(jié)果。進(jìn)程可能會(huì)被鎖定，或者一個(gè)進(jìn)程籍此獲得了另一個(gè)進(jìn)程的較大的權(quán)限而導(dǎo)致安全問(wèn)題。攻擊主要集中在有較大權(quán)限的程序上（稱(chēng)為setuid程序）。競(jìng)爭(zhēng)條件攻擊通常利用程序執(zhí)行時(shí)可以訪問(wèn)到的資源。另外權(quán)限低的程序也存在安全風(fēng)險(xiǎn)，因?yàn)楣粽呖赡軙?huì)等待有較高權(quán)限的用戶執(zhí)行那個(gè)程序(例如root)，然后進(jìn)行攻擊。下面的建議有助于緩解競(jìng)爭(zhēng)條件(race condition)攻擊：在進(jìn)行文件操作時(shí)，利用那些使用文件描述符的函數(shù)而不使用那些使用文件路徑的函數(shù)（例如使用fdopen()而不要使用fopen()）。文件描述符使得惡意的用戶在文件打開(kāi)時(shí)或是在原始的進(jìn)程對(duì)文件進(jìn)行操作前，無(wú)法使用文件連接（符號(hào)式的或是物理的）來(lái)改變文件。在寫(xiě)文件甚至在讀文件時(shí)宜使用ftl()和flock()函數(shù)來(lái)對(duì)文件加鎖，這樣它們就不能被其他進(jìn)程訪問(wèn)。它幾乎可以建立原子級(jí)的操作。應(yīng)謹(jǐn)慎操縱臨時(shí)文件，因?yàn)樗鶗?huì)導(dǎo)致競(jìng)爭(zhēng)

點(diǎn)擊復(fù)制文檔內(nèi)容

公司管理相關(guān)推薦

信息系統(tǒng)開(kāi)發(fā)的項(xiàng)目管理-資料下載頁(yè)

【總結(jié)】第五章信息系統(tǒng)開(kāi)發(fā)的項(xiàng)目管理第一節(jié)信息系統(tǒng)開(kāi)發(fā)項(xiàng)目的立項(xiàng)與鑒定第二節(jié)信息系統(tǒng)開(kāi)發(fā)的組織管理第三節(jié)信息系統(tǒng)的計(jì)劃管理第四節(jié)信息系統(tǒng)的質(zhì)量管理復(fù)習(xí)思考題五第一節(jié)信息系統(tǒng)開(kāi)發(fā)項(xiàng)目的立項(xiàng)與鑒定項(xiàng)目管理是指在一定約束條件下，為了高效率地實(shí)現(xiàn)項(xiàng)目的目標(biāo)，按照項(xiàng)目的內(nèi)在規(guī)律和程序，對(duì)

2025-02-26 16:59

中國(guó)石油公司應(yīng)用系統(tǒng)開(kāi)發(fā)安全管理通則-資料下載頁(yè)

【總結(jié)】中國(guó)石油信息安全標(biāo)準(zhǔn)編號(hào)：中國(guó)石油天然氣股份有限公司應(yīng)用系統(tǒng)開(kāi)發(fā)安全管理通則中國(guó)石油天然股份有限公司前言隨著中國(guó)石油天然氣股份有限公司（以下簡(jiǎn)稱(chēng)“中國(guó)石油”）信息化建設(shè)的穩(wěn)步推進(jìn)，信息安全日益受到中國(guó)石油的廣泛關(guān)注，……………………本規(guī)范是依據(jù)中國(guó)石油信息安全的現(xiàn)狀，參照國(guó)際、國(guó)內(nèi)和行業(yè)相關(guān)技術(shù)標(biāo)準(zhǔn)及規(guī)范，結(jié)合中國(guó)石油自身的

2025-04-15 13:47

第13講應(yīng)用系統(tǒng)開(kāi)發(fā)-資料下載頁(yè)

【總結(jié)】第13講應(yīng)用系統(tǒng)開(kāi)發(fā)問(wèn)題?問(wèn)題如何開(kāi)發(fā)一個(gè)MIS系統(tǒng)？系統(tǒng)目標(biāo)在Delphi中使用SQLServer數(shù)據(jù)庫(kù)表?（1）在Delphi集成開(kāi)發(fā)環(huán)境中通過(guò)菜單命令【File】→【New】→【Application】建立一個(gè)新的工程。

2025-08-23 09:20

數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)開(kāi)發(fā)-資料下載頁(yè)

【總結(jié)】第12章數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)開(kāi)發(fā)主要內(nèi)容需求分析數(shù)據(jù)庫(kù)設(shè)計(jì)系統(tǒng)設(shè)計(jì)系統(tǒng)實(shí)現(xiàn)與調(diào)試數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)開(kāi)發(fā)實(shí)例復(fù)習(xí)思考題需求分析需求調(diào)查需求分析需求分析選課登記處理學(xué)生信息表開(kāi)課計(jì)劃表學(xué)號(hào)、班級(jí)開(kāi)課號(hào)、班級(jí)選課清單課程

2025-05-09 03:04

物聯(lián)網(wǎng)應(yīng)用系統(tǒng)開(kāi)發(fā)概述-資料下載頁(yè)

【總結(jié)】物聯(lián)網(wǎng)應(yīng)用技術(shù)導(dǎo)論第6章物聯(lián)網(wǎng)應(yīng)用系統(tǒng)開(kāi)發(fā)《物聯(lián)網(wǎng)應(yīng)用技術(shù)導(dǎo)論》課件第6章物聯(lián)網(wǎng)應(yīng)用系統(tǒng)開(kāi)發(fā)東軟電子出版社羅漢江主編《物聯(lián)網(wǎng)應(yīng)用技術(shù)導(dǎo)論》教材配套課件6物聯(lián)網(wǎng)應(yīng)用技術(shù)導(dǎo)論第6章物聯(lián)網(wǎng)應(yīng)用系統(tǒng)開(kāi)發(fā)第6章物聯(lián)網(wǎng)應(yīng)用系統(tǒng)開(kāi)發(fā)物聯(lián)網(wǎng)應(yīng)用系統(tǒng)開(kāi)發(fā)概述物聯(lián)網(wǎng)應(yīng)用系統(tǒng)

2025-01-18 17:13

小型應(yīng)用系統(tǒng)開(kāi)發(fā)ppt課件-資料下載頁(yè)

【總結(jié)】VisualFoxPro應(yīng)應(yīng)用系用系統(tǒng)統(tǒng)開(kāi)開(kāi)發(fā)發(fā)小型應(yīng)用系統(tǒng)開(kāi)發(fā)小型應(yīng)用系統(tǒng)開(kāi)發(fā)3數(shù)據(jù)庫(kù)保護(hù)2主要功能模塊設(shè)計(jì)1應(yīng)用系統(tǒng)開(kāi)發(fā)概述1應(yīng)用系統(tǒng)開(kāi)發(fā)概述應(yīng)用系統(tǒng)開(kāi)發(fā)概述系統(tǒng)維護(hù)階段系統(tǒng)實(shí)施階段系統(tǒng)設(shè)計(jì)階段系統(tǒng)分析階段系統(tǒng)分析階段系統(tǒng)分析階段在數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)開(kāi)發(fā)的分析階段，要在信息收集的基礎(chǔ)

2025-04-29 01:03

數(shù)據(jù)庫(kù)系統(tǒng)與應(yīng)用-旅游管理系統(tǒng)開(kāi)發(fā)設(shè)計(jì)-資料下載頁(yè)

【總結(jié)】PanzhihuaUniversity攀枝花學(xué)院數(shù)據(jù)庫(kù)系統(tǒng)與應(yīng)用課程設(shè)計(jì)論文[旅游管理系統(tǒng)]學(xué)生姓名：學(xué)生學(xué)號(hào)：院（系）：計(jì)算機(jī)學(xué)院年級(jí)專(zhuān)業(yè)：2020級(jí)計(jì)算機(jī)科學(xué)與技術(shù)1班指導(dǎo)教師：職稱(chēng)：

2025-08-30 03:04

某石油天然氣股份公司應(yīng)用系統(tǒng)開(kāi)發(fā)安全管理通則-資料下載頁(yè)

【總結(jié)】x信息安全標(biāo)準(zhǔn)編號(hào)：某石油天然氣股份公司應(yīng)用系統(tǒng)開(kāi)發(fā)安全管理通則前言隨著x天然氣股份有限公司（以下簡(jiǎn)稱(chēng)“x”）信息化建設(shè)的穩(wěn)步推進(jìn)，信息安全日益受到x的廣泛關(guān)注，????????本規(guī)范是依據(jù)x信息安全的現(xiàn)狀，參照國(guó)際、國(guó)內(nèi)和行業(yè)相關(guān)技術(shù)標(biāo)準(zhǔn)及規(guī)范，結(jié)合x(chóng)自身的應(yīng)用特點(diǎn)

2025-05-12 21:07

信息系統(tǒng)開(kāi)發(fā)項(xiàng)目管理教學(xué)大綱-資料下載頁(yè)

【總結(jié)】《信息系統(tǒng)開(kāi)發(fā)項(xiàng)目管理》教學(xué)大綱課程編號(hào)051471課程性質(zhì)學(xué)科方向課，選修學(xué)時(shí)48學(xué)分2適用專(zhuān)業(yè)電子商務(wù)、信息管理與信息系統(tǒng)I大綱本文一、課程內(nèi)容（一）信息系統(tǒng)開(kāi)發(fā)項(xiàng)目管理概述：信息系統(tǒng)的戰(zhàn)略角色，信息系統(tǒng)開(kāi)發(fā)對(duì)組織、業(yè)務(wù)及人的影響，信息系統(tǒng)開(kāi)發(fā)技術(shù)和方法的復(fù)雜性等：面臨的新環(huán)境和新問(wèn)題，可能采取的對(duì)

2025-04-07 23:02

學(xué)校管理系統(tǒng)開(kāi)發(fā)設(shè)計(jì)-資料下載頁(yè)

【總結(jié)】校管理系統(tǒng)2007級(jí)信息管理與信息系統(tǒng)綜合模擬摘要隨著信息技術(shù)在管理上越來(lái)越深入而廣泛的應(yīng)用，信息管理系統(tǒng)的實(shí)施在技術(shù)上已逐步成熟。信息管理系統(tǒng)是一個(gè)不斷發(fā)展的新型學(xué)科，任何一個(gè)單位要生存要發(fā)展，要高效率地把內(nèi)部活動(dòng)有機(jī)地組織起來(lái)，就必須建立與自身特點(diǎn)相適應(yīng)的信息管理系統(tǒng)。本文

2025-04-07 23:06

倉(cāng)庫(kù)管理系統(tǒng)開(kāi)發(fā)設(shè)計(jì)-資料下載頁(yè)

【總結(jié)】摘要庫(kù)存管理系統(tǒng)是典型的信息管理系統(tǒng)(MIS)，其開(kāi)發(fā)主要包括后臺(tái)數(shù)據(jù)庫(kù)的建立和維護(hù)以及前端應(yīng)用程序的開(kāi)發(fā)兩個(gè)方面。。而對(duì)于后者則要求應(yīng)用程序功能完備，易操作易使用等特點(diǎn)。經(jīng)過(guò)分析如此情況，我決定使用微軟公司的VisualBasic6為開(kāi)發(fā)工具，利用其提供的各種面向?qū)ο蟮拈_(kāi)發(fā)工具，尤其是ADO，是能方便而簡(jiǎn)潔操縱數(shù)據(jù)庫(kù)的智能化對(duì)象，短期內(nèi)就可以開(kāi)發(fā)出用戶滿意的可行系統(tǒng)。

2025-04-07 12:11

信息系統(tǒng)開(kāi)發(fā)項(xiàng)目管理指導(dǎo)書(shū)-資料下載頁(yè)

【總結(jié)】信息系統(tǒng)開(kāi)發(fā)項(xiàng)目管理指導(dǎo)書(shū)1、項(xiàng)目建設(shè)總體目標(biāo)系統(tǒng)應(yīng)該根據(jù)甲方用戶的現(xiàn)有業(yè)務(wù)需求及發(fā)展規(guī)劃的擴(kuò)延要求，提供功能完善、界面友好、流程清晰、智能高效，配置維護(hù)方便的系統(tǒng)功能，滿足系統(tǒng)運(yùn)行穩(wěn)定、安全、可靠、高效等技術(shù)要求。提供電腦版和手機(jī)版2個(gè)版本。2、項(xiàng)目開(kāi)發(fā)建設(shè)過(guò)程及要求為了確保項(xiàng)目能按照甲乙雙方達(dá)成的目標(biāo)要求順利開(kāi)展，甲乙雙方應(yīng)該聯(lián)合成立項(xiàng)目組，由乙方編

2025-04-18 03:33

資訊系統(tǒng)開(kāi)發(fā)工作項(xiàng)目-資料下載頁(yè)

【總結(jié)】程式設(shè)計(jì)軟體系統(tǒng)設(shè)計(jì)軟體系統(tǒng)分析專(zhuān)案管理資料庫(kù)系統(tǒng)數(shù)位學(xué)習(xí)數(shù)位內(nèi)容資訊安全嵌入式系統(tǒng)電腦稽核資訊系統(tǒng)管理資訊軟體人才分類(lèi)網(wǎng)路通訊DatabaseapplicationWeb-basedapplicationIAapplicationGameapplication個(gè)人電腦應(yīng)用第三級(jí)第二級(jí)第一級(jí)網(wǎng)路管理(

2025-07-20 06:01

信息化系統(tǒng)開(kāi)發(fā)之項(xiàng)目管理-資料下載頁(yè)

【總結(jié)】第9章信息系統(tǒng)的管理教學(xué)要求1.了解信息系統(tǒng)項(xiàng)目管理2.了解信息系統(tǒng)的運(yùn)行管理3.了解信息系統(tǒng)的評(píng)價(jià)4.了解信息管理部門(mén)設(shè)置等基本知識(shí)本章重要知識(shí)點(diǎn)外包網(wǎng)絡(luò)計(jì)劃法日常運(yùn)行管理日常維護(hù)適應(yīng)性維護(hù)信息系統(tǒng)的評(píng)價(jià)信息主管第一節(jié)信息系統(tǒng)開(kāi)發(fā)的項(xiàng)目管理一、信息系

2025-01-26 12:30

信息系統(tǒng)開(kāi)發(fā)或?qū)嵤╉?xiàng)目管理-資料下載頁(yè)

【總結(jié)】流程名稱(chēng)：信息系統(tǒng)開(kāi)發(fā)或?qū)嵤╉?xiàng)目管理流程說(shuō)明流程編號(hào)：IT4流程擁有者：信息技術(shù)部流程步驟工作內(nèi)容的簡(jiǎn)要描述重要輸入重要輸出相關(guān)表單1.使用部門(mén)提出臨時(shí)的信息系統(tǒng)需求業(yè)務(wù)對(duì)信息系統(tǒng)需求信息系統(tǒng)需求清單信息系統(tǒng)需求清單2.信息技術(shù)部參照上年末制定的信息技術(shù)戰(zhàn)略規(guī)劃信息技術(shù)戰(zhàn)略規(guī)劃3.IT部門(mén)與使用部門(mén)溝通IT長(zhǎng)

2025-02-26 16:57

freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片