国家电网公司信息系统安全运行题解

前言

随着国家电网公司“SGl86工程”全面竣工，公司信息化整体迈入国内领先、国际先进水平。2010年是公司信息化“深化应用年”，公司信息化工作由大规模建设阶段进入“完善提升、深化应用、安全运行、再上水平”的新阶段。为了适应信息化工作发展的新形势，进一步提高国家电网公司信息系统运行人员的技术水平和专业技能，确保公司信息系统安全稳定运行，特编制了本书。作为第一本针对电力行业信息系统运行维护技能的全面试题解析读物，本书既有理论高度，又有很强的实用性，体现了电力行业最佳实践指导方式，可作为电力信息化相关工作者和咨询业、培训业从业者的培训及工具用书。本书基于2009年国家电网公司成功举办的信息系统安全运行技能竞赛笔试题库及实际操作试题编写，定位准确、贴近生产和实际应用。全书共分为6章，详细介绍了网络、主机、数据库、中间件、安全管理和规章制度等相关内容。解析部分详尽，通过对各种题型的详细解析，使读者能更加准确地掌握信息系统运行维护的相关知识；配有2套试卷（A、B），由浅入深，有利于读者巩固、消化所学内容。在本书编写过程中得到了许多领导、专家和工程技术人员的大力支持，他们提出了大量宝贵的意见和建议，在此表示衷心的感谢！

内容概要

本书结合现阶段国家电网信息化工作成果，提供了涵盖电力行业信息系统运行各个方面的基础习题和部分解析，为提升电力行业信息系统运行整体技术水平和专业技能提供智力支持。 　　国家电网公司信息系统安全运行题解是针对电力行业信息系统运行维护技能的全面试题解析读物。 　　　本书可作为电力行业信息化工作者的入职培训、业务咨询等的教材及参考用书。

书籍目录

前言 第一章 网络 第二章 主机 第三章 数据库 第四章 中间件 第五章 安全管理 第六章 规章制度

章节摘录

插图：（1）使用安全可靠的DNS服务器管理自己的域名，并且注意跟进DNS的相关漏洞信息，更新最新补丁，加固服务器。（2）保护自己的重要机密信息安全，避免域名管理权限被窃取。（3）提高服务器安全级别，更新系统及第三方软件漏洞，避免遭受攻击。5.187什么是SQL注入攻击以及如何防范？答案要点：SQL注入攻击（SQL，Injection），是发生于应用程序的数据库层的安全漏洞。简而言之，是在输入的数据字符串之中夹带SQL指令，在设计不良的程序当中忽略了检查，那么这些夹带进去的指令就会被数据库服务器误认为是正常的SQL指令而运行，因此招致到破坏。防范要点：（1）在设计应用程序时，完全使用参数化查询（Parameterized Query）来设计数据访问功能。（2）在组合SQL字符串时，先针对所传入的参数作字符取代（将单引号字符取代为连续2个单引号字符）。（3）如果使用PHP开发网页程序的话，也可以打开PHP的魔术引号（Magic quote）功能（自动将所有的网页传入参数，将单引号字符取代为连续2个单引号字符）。（4）使用其他更安全的方式连接SQL数据库。例如已修正过SQL注入问题的数据库连接组件，例如ASENET的SQLDataSource对象或是LINQ to SQL。（5）使用SQL防注入系统。5.188请简单描述数字签名技术的原理和采用的算法。答案要点：数字签名与用户的姓名和手写签名形式毫无关系，它实际使用了信息发送者的私有密钥变换所需传输的信息。对于不同的文档信息，发送者的数字签名并不相同。没有私有密钥，任何人都无法完成非法复制。从这个意义上来说，“数字签名”是通过一个单向函数对要传送的报文进行处理得到的，用以认证报文来源并核实报文是否发生变化的一个字母数字串。原理：该技术在具体工作时，首先发送方对信息施以数学变换，所得的信息与原信息唯一对应；在接收方进行逆变换，得到原始信息。只要数学变换方法优良，变换后的信息在传输中就具有很强的安全性，很难被破译、篡改。这一个过程称为加密，对应的反变换过程称为解密。现在有两类不同的加密技术。一类是对称加密，双方具有共享的密钥，只有在双方都知道密钥的情况下才能使用，通常应用于孤立的环境之中，比如在使用自动取款机（ATM）时，用户需要输入用户识别号码（PIN），银行确认这个号码后，双方在获得密码的基础上进行交易，如果用户数目过多，超过了可以管理的范围时，这种机制并不可靠。另一类是非对称加密，也称为公开密钥加密，密钥是由公开密钥和私有密钥组成的密钥对，用私有密钥进行加密，利用公开密钥可以进行解密，但是由于公开密钥无法推算出私有密钥，所以公开的密钥并不会损害私有密钥的安全，公开密钥无需保密，可以公开传播，而私有密钥必须保密，丢失时需要报告鉴定中心及数据库。

编辑推荐

《国家电网公司信息系统安全运行题解》由中国电力出版社出版。

图书封面

图书标签Tags

无

评论、评分、阅读与下载

---

    国家电网公司信息系统安全运行题解 PDF格式下载

---