立即注册
 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

CopyRight 2012-2014 DS文库版权所有
核电厂应用系统渗透测试实践与研究
(0 次评价)117 人阅读0 次下载
1 核电厂应用系统渗透测试实践与研究 福建福清核电有限公司,李思、李喆 摘 要:针对核电厂核心管理应用系统进行了渗透测试,发现系统潜在的高危的、可被利用的安全漏洞,其中包括 了可以获取服务器控制权限的系统漏洞以及可以获取后台数据库敏感信息的 Web 漏洞。通过对漏洞成因的分析,从践行 核电行业管理系统持续安全运营的角度,给出最大限度降低此类风险的途径与措施。 关键词:核电;安全渗透;Web 攻击;系统漏洞;安全加固 1 前言 随着网络信息技术长期高速发展,现有黑客攻击与渗透技术工具可轻易从因特网获取,此类工具具有技 术门槛低、后果影响大的特点。 一旦在核电厂应用系统发生黑客攻击事件(如伊朗“震网” 、 韩国 “Mbr Wiper” 蠕虫病毒攻击[1]) ,轻则应用系统数据遭受破坏或窃取,重则影响核电厂正常运营。因此,在面对黑客攻击 手段多样化、趋利化、政治化的今天,开展应用系统渗透测试,有助于企业充分了解自身的信息安全弱点, 及时有效地实施相应防护手段,可最大限度降低系统被攻破的潜在风险。 应用系统渗透测试是信息安全人员模拟黑客攻击,有利于发现信息系统安全防御体系中漏洞的一种技术 手段,其目的是发现、验证安全漏洞的影响而进行的,注重入侵者可能的通道,并非关注用户的敏感信息内 容。 本文以福清核电为例,主要围绕核电厂某应用系统渗透测试进行研究分析。 通过专业渗透测试挖掘系统自 身存在的弱点,减少系统外围安全威胁,确保系统安全可用。 2 测试对象简介 福清核电是国家重点核电项目,规划有 6 台百万千瓦级压水堆核电机组。并承担了“华龙一号”的重点 建设任务。为保障项目有序进行、进度预算可控,结合实际业务需要,核电厂自主研发了一套“计划-预算- 考核”一体化信息管理系统(简称:A 系统) ,A 系统涵盖了计划管理、预算管理、立项管理、合同管理、资 金管理、支付管理、综合管理、公司督办等领域的管理业务,同步实现业务财务一体,人控、规控、机控高 度统一,概算、预算、核算三算合一,并逐渐成为核电厂重要的信息系统,管理着公司计划、预算、立项、 合同等主要业务数据,安全级别要求较高。 A 系统以 MyExcel 作为中间件进行二次开发,采取 B/S 与 C/S 相结合的方式:B/S 访问系统、填报单据、 流程审批、数据查询统计;C/S 具有 B/S 的所有功能,此外还能定制开发模版、系统维护、流程监控、数据 库管理。系统属于网络密集型应用,采用局域网内分布式部署的方式,部署示意如图 2.1 所示。

打分:

0 星

用户评论:

电力科技在线 (英文缩写etmtch) 在广大电力企事业单位的支持下,无疑更将电力科技的作用与价值推向更深、更高和更广。作为电力行业科技领域的专业媒体《电力科技在线》(www.etmtch.org.cn)更须肩负责任,进一步完成建设沟通和推广平台的同时,树立更有深意的目标,发挥推动电力科技在创新体制、制度、思维、技术以及成果应用的现实作用,为电力产业的智能化未来贡献更大的价值。

合作方式