基于Web的农电体系标准化——信息安全研究

【摘要】： 随着国家电网公司(SGCC)农电部门企业信息化管理的引进,办公和生产管理软件的使用越来越普遍。这在很大程度上提高了企业内部的工作效率和企业的服务质量,但是软件的安全性却是制约企业信息化管理进一步推广的一个障碍,这已成为影响电力部门生产和经营正常运行的重大问题。 为了解决软件安全性问题,本文做了如下工作：首先,从软件开发生命周期的设计阶段就加入威胁建模技术,提早分析软件可能存在的漏洞,有效地防范攻击,明确在安全方面需要达到的目标、减少软件可能遇到的攻击和安全隐患等,并将这种行为活动归结到项目的建模上面来；接下来在威胁建模分析的基础上分析出软件所面临的威胁,包括假冒、篡改、抵赖、信息泄露和特权提升等,并针对这些威胁采取相应的消减措施；然后详细介绍了软件开发过程中用到的安全性策略：软件开发平台及数据库的选择、软件架构的选择、网站安全策略、网络通信安全策略等,并给出了软件开发中编码阶段用到的核心代码；最后,分析并介绍了针对于农电体系标准化管理软件权限管理子模块的系统设计与实现过程,以及电子公文处理系统的设计与实现过程,其中重点分析了采用数字签名技术实现电子审批功能的过程。 通过对农电体系标准化系统进行安全性研究,该系统的安全性有了进一步的提高,基本能够达到供电部门安全性标准。