中国地质大学(北京)
- 格式:pdf
- 大小:358.07 KB
- 文档页数:11
中国地质大学(北京)2021年普通本科招生章程从教育部阳光高考信息公开平台获悉,中国地质大学(北京)2021年普通本科招生章程已公布,具体详情如下:第一章总则第一条为了规范招生行为,保证招生工作顺利进行,依据《中华人民共和国教育法》、《中华人民共和国高等教育法》和教育部有关规定,结合学校实际情况,制定本章程。
第二条我校全称为中国地质大学(北京),为公办、全日制普通高等学校;是教育部直属的全国重点大学,首批设有研究生院的高校之一,国家“双一流”建设高校。
注册地址为北京市海淀区学院路29号,邮政编码*****。
第三条我校普通本科录取的学生,在规定的年限内达到所在专业毕业要求者,颁发中国地质大学(北京)本科毕业证书;符合学校学位授予有关规定者,颁发普通高等教育本科毕业生学士学位证书。
第二章组织机构及职责第四条我校设立由书记、校长、有关校领导及有关部门负责人组成的普通本科招生工作领导小组,负责全面贯彻落实教育部及各省级教育招生主管部门有关普通本科招生工作政策,领导我校普通本科招生工作的具体实施,决策、审议普通本科招生工作中的重大问题。
同时,我校纪检监察部门全程监督普通本科招生录取工作。
第五条领导小组下设招生办公室,挂靠在教务处,负责普通本科招生日常工作。
第三章招生计划第六条按照教育部核准的年度招生规模,本着不断优化生源结构、促进教育公平的原则,综合考虑国家政策与导向、各省生源数量与质量、部属高校区域分布等因素,结合近年来毕业生就业、历年计划安排情况,编制分省分专业招生来源计划,经教育部备案后向社会公布。
第七条预留计划不超过我校本科招生计划总数的1%,用于调节各地统考上线生源的不平衡及解决同分数考生的录取问题。
第四章招生类型及录取规则第八条我校招生录取工作在教育部统一领导下,在各省(自治区、直辖市)教育招生主管部门统一组织下进行,执行教育部规定的“学校负责、省级招办监督”的录取体制,本着公平、公正、公开的原则,综合衡量、择优录取,全面贯彻实施高校招生“阳光工程”。
中国地质大学(北京)远程教育学院学生使用教学平台说明一.中国地质大学(北京)远程教育学院网址(简称地大)地大网站:/index.do二.登录操作步骤:登录平台——用户名——密码——登录 注释:用户名:录入学号密码:录入学生身份证号,尾数有X 的号码请用大写三.学习平台点击标题栏,向导栏会跟着变化。
学生首页:着重需要关注的模块有“教学信息、课程列表、应用咨询”。
☆教学信息:重要在线作业通知、教材或教学方面的管理通知。
☆课程列表:可以清楚地了解到当前学期所学的课程。
☆应用咨询:正确使用学生平台的操作流程简介。
课程教学:着重需要关注的模块有“课程课件(教学材料)、答疑讨论、平时作业”。
☆ 课程课件:选择课程链接到视频课件,是学习平台中的重要模块。
☆ 答疑讨论:关于学习内容与高校老师沟通的平台。
☆ 平时作业:完成在线作业,保证成绩合格的关键。
精品课程:链接了国家级和北京市级的课程,内容丰富精辟讲解生动活泼,有利于扩展学生的知识面。
标题栏四.如何听课件例:大学英语(三)操作步骤:课程教学——选择课程——课程课件——点击课程名称——SKIP——Enter——选择章节——点击播放。
注释::是指英译中的快捷键例:国际贸易实务操作步骤:课程教学——选择课程——课程课件——点击课程名称——选择章节内容——确定。
注释:如果不能正常播放,解决办法有:1.请按系统提示安装播放软件2.将当前页面的网址复制一下,再新建一个页面,重新复制再打开链接五.如何做在线作业操作步骤:课程教学——选择课程——平时作业——开始测试注:1.开始做在线作业请确定网络通畅、电源流通2.在线作业必须在120分完成3.开始作业期间不可暂停,否则成绩不合格由于地大学习平台改版不久部分功能正在完善中,加上时间仓促,这份操作流程如有遗漏和错误之处,请及时指正。
教务:钟烘玉2010-11-9。
北京八大学院变迁:1952年改革成抹不去的痛50年代初,为了新中国的建设,国家在北京市海淀区学院路建设大名鼎鼎的学院路八大高校,学院路也因此得名,那时候中国政府在苏联教育体制的影响下,于1952年进行了高校的院系调整,硬是拆分了一些有着悠久历史的学术上很有影响力的综合大学,老牌的高校几乎都难逃拆分的噩运,建立了一批以专门学科为主的高等院校,从而确立了按照专业条块分制的高等教育体制,这些新诞生的学校就是:北京矿业学院(原中国矿院,现中国矿业大学(北京)),北京地质学院(现中国地质大学(北京)),北京钢铁学院(现北京科技大学),北京农业机械工程学院(现中国农业大学(东区)),石油学院(现中国石油大学(北京)),北京航天学院(现北京航空航天大学),北京医学院(现北京大学医学部),北京林业学院(现北京林业大学)。
因此这些学校的校史无一例外的都是52年,可以说是那个时代背景下诞生的八个兄弟院校,同时也名震一时。
事过境迁,现在这些曾经辉煌的学府已经发生了巨大的变化。
你也许已经注意到了其中有好几个大学的名字后面都加了(北京),这可能是这些大学永远也抹不去的伤痛。
由于考虑战略和一系列的历史问题,那是上世纪60年代末,为了防止苏联的入侵,林彪下达了号令,首都重要机关和学院实施大转移,这就是后来著名的大三线建设。
可以说是一次巨大的损失,导致了学院路八大院的衰落。
搬迁的命令一下达。
矿院、地院、林院、油院积极响应,马上搬迁,而其它学校则继续观望。
于是,现在的学院路上,最惨的石油大学(旧址)已经完全被家属院和石勘院占去,现石油大学(北京)在昌平办学;原来1000亩的矿大1972年划地2/3给北语,加上当年北京留守处人员过少,又被占去好几片地(如现东王庄),现在只剩下可怜的320亩;地大(北京)和林大虽然校园相对保存完整,但是校园内都有大量土地被相关的研究机构占去,而北科大、北航等因为当年的观望,没有搬迁,校园保存得相对完整。
中国地质大学中国地质大学的前身是1952年由北京大学、清华大学、天津大学和唐山铁道学院等院校的地质系(科)合并组建的北京地质学院。
1960年被评为"北京市文教战线红旗学院",跻身于64所全国重点高校行列。
1970年迁校,1978年在邓小平同志直接关怀下,在北京原校址恢复办学。
1987年成立中国地质大学,在京汉两地相对独立办学,是我国首批试办研究生院的33所高校之一,并首批进入"211工程"和"985"优势学科创新平台建设行列。
2000年2月,中国地质大学由国土资源部整体划转教育部管理。
2005年3月,大学总部撤销,京汉两地独立办学。
2006年9月,教育部和国土资源部共建中国地质大学。
64年来,学校历经了创建、发展、搬迁、重建和振兴的曲折办学历程。
历届学校领导班子带领全体地大人,忠诚于党的教育事业,艰苦奋斗、自强不息,培养了大批经济建设急需的地质专门人才,为新中国工业的起飞和地质事业的发展做出了不可磨灭的贡献。
学校现有中国科学院院士10人,俄罗斯外籍院士6人,教授217人,副教授302人。
在十万余名毕业生中,有33人成为两院院士,200余人成为省部级以上劳动模范。
经过60余年的建设,学校逐步成为以地质、资源、环境、地学工程技术为主要特色,理、工、文、管、经、法相结合的多科性全国重点大学,成为我国地学人才培养的摇篮和地学研究的重要基地。
学校现有17个教学单位,34个本科专业正在招生,2个国家一级重点学科,14个省部级重点学科,13个一级学科博士学位授权点,33个一级学科硕士学位授权点,17个工程硕士领域和MBA、MPA等10个专业学位授权点,13个博士后流动站。
在职教职工1345人,全日制在校生15000余人,继续教育和网络远程教育在读生60000余人。
现任党委书记王鸿冰,校长邓军。
学校认真贯彻党的教育方针,坚持社会主义办学方向,秉承"艰苦朴素、求真务实"的优良校训,坚持"特色加精品"的办学理念,培养"品德优良、基础厚实、知识广博、专业精深"的高素质创新人才,加快建设高水平研究型大学,为实现"地球科学领域世界一流大学"的长远目标而不懈奋斗!(相关统计数据截止到2016年12月)一、一级国家重点学科地质资源与地质工程地质学二、二级国家重点学科矿物学、岩石学、矿床学古生物学与地层学第四纪地质学地质工程地球探测与信息技术矿产普查与勘探构造地质学地球化学四、省级重点学科地质学地球化学古生物学与地层学矿物学、岩石学、矿床学构造地质学第四纪地质学地质资源与地质工程矿产普查与勘探地质工程地球探测与信息技术教育部重点实验室岩石圈构造与深部过程及探测技术教育部重点实验室省部重点实验室北京市国土资源信息开发研究实验室工程实验中心中国地质大学(北京)能源地质与评价虚拟仿真实验教学中心国家自然科技资源平台国家岩矿化石标本库信息网中国地质大学(北京)青藏高原地质研究中心地质过程与矿产资源国家重点实验室地质超深钻探技术国家专业实验室矿物岩石材料国家专业实验室岩石圈构造深部过程及探测技术教育部重点实验室国土资源与高新技术研究中心中国地质大学(北京)期刊中心中国地质大学(北京)海洋地学研究中心北京大学地学研究中心中国地质大学(北京)地学实验中心中国地质大学(北京)地质调查研究院北京市国土资源信息研究开发重点实验室国土资源部非传统矿产资源开放研究实验室地下信息探测技术与仪器教育部重点实验室中国地质大学(北京)沉积盆地研究所中国地质大学(北京)机械实验教学中心中国地质大学(北京)计算机教学中心表面工程研究所物理实验教学中心辐射与环境实验室北京地大宝石检验中心。
中国地质大学(北京)大学生学籍管理实施细则(二OO六年九月修订)为了全面贯彻党的教育方针,维护学校正常的教育教学秩序和生活秩序,保障学生的身心健康,促进学生德、智、体、美全面发展,依据《教育法》、《高等教育法》、《普通高等学校学生管理规定》以及其它有关法律、法规,制定本实施细则。
第一章学生基本权利与义务第一条凡我校在籍本、专科学生依照国家法律、法规和学校的规章制度享有下列基本权利:(一)参加学校培养方案安排的各项活动,使用学校提供的教育教学资源;(二)努力学习;(二)参加社会服务、勤工助学,在校内组织、参加学生团体及文体活动;(三)在思想品德、学业成绩等方面获得公正评价,完成学校规定学业后获得相应的学历证书、学位证书;(四)对学校给予的处分或处理有异议,向学校学生申诉处理委员会或教育行政部门提出申诉;对学校、教职员工侵犯其人身权、财产权等合法权益,提出申诉或依法提起诉讼;(五)对学校教育教学工作、管理和改革等方面提出建议;(六)法律、法规所规定的其他权利。
第二条凡我校在籍本、专科学生,依照国家法律、法规和学校的规章履行下列基本义务:(一)遵守宪法、法律、法规;(二)遵守学校管理制度;(三)参加学校教育教学计划规定和统一安排、组织的活动,完成学校规定的学业或研究任务;(四)按规定缴纳学费及有关费用;(五)遵守学生行为规范,尊敬师长,养成良好的思想品德和行为习惯;(六)法律、法规规定的其他义务。
第二章入学与注册第三条按国家招生规定被本校录取的新生,持《中国地质大学(北京)录取通知书》和其它有关证件,按学校有关要求和规定的期限到校办理入学手续。
因故不能按期入学者,应事先书面向学校招生办公室请假,并附原单位或所在街道、乡镇证明。
请假不能超过两周。
未请假或请假逾期者,除因不可抗力等正当事由以外,取消入学资格。
第四条新生入学后三个月内,由院(系)学生工作部门查阅本院(系)学生档案,进行政治、思想品德复查,由校医院组织进行健康复查。
地大北京教工工号规则地大北京是指中国地质大学(北京)的简称,是一所以地质学为特色,工科为主的综合性大学。
在地大北京,每位教职工都会被分配一个独特的教工工号,以便于管理和识别。
本文将介绍地大北京教工工号的规则和含义。
地大北京教工工号由一系列数字组成,通常为7位数。
其中,前两位数字代表所属单位,第三位数字代表岗位类别,后四位数字代表个人编码。
下面将详细介绍这些数字的含义。
1. 所属单位:地大北京有多个院系和部门,每个单位都有对应的编号。
这些编号由地大北京的管理部门统一规定,并严格按照层级进行分配。
例如,01代表地质学院,02代表石油与天然气工程学院,03代表资源与地球科学学院,依此类推。
2. 岗位类别:地大北京的教职工分为教学岗和科研岗两类。
教学岗的教工主要从事教学工作,科研岗的教工主要从事科研工作。
为了区分不同岗位的教工,地大北京分配了不同的岗位类别代码。
其中,1代表教学岗,2代表科研岗。
3. 个人编码:个人编码是根据教工的入职时间和入职顺序进行分配的。
一般来说,个人编码是按照入职时间先后顺序进行递增分配的,越早入职的教工个人编码越小。
个人编码的作用是唯一标识每位教工,方便管理和查询。
通过以上规则,我们可以举一个具体的例子来说明地大北京教工工号的含义。
假设教工工号为0123456,那么可以解读为:该教工所属单位为地质学院(01),岗位类别为教学岗(1),个人编码为3456。
这样,地大北京的管理部门就可以根据教工工号来识别教工的所属单位、岗位类别和个人信息。
地大北京教工工号的规则和含义在教工管理中起到了至关重要的作用。
通过教工工号,地大北京可以快速准确地了解每位教工的基本信息和工作情况,也方便了教工的管理和调配。
同时,教工工号的规则也保证了教工工号的唯一性,避免了重复和混淆。
地大北京教工工号的规则和含义是地大北京教工管理中的重要组成部分。
通过教工工号,地大北京可以高效地管理和识别教工,为教工提供更好的工作环境和服务。
学院路八大院校现状50年代初,为了新中国的建设,国家在北京市海淀区学院路建设大名鼎鼎的学院路八大高校:北京矿业学院(原中国矿院,现中国矿业大学(北京)),北京地质学院(现中国地质大学(北京)),北京钢铁学院(现北京科技大学),北京农业机械工程学院(现中国农业大学(东区)),石油学院(现中国石油大学(北京)),北京航天学院(现北京航空航天大学),北京医学院(现北京大学医学部),北京林业学院(现北京林业大学)。
事过境迁,现在这些曾经辉煌的学府已经发生了巨大的变化。
你也许已经注意到了其中有好几个大学的名字后面都加了(北京),这可能是这些大学永远也抹不去的伤痛。
那是上世纪60年代末,为了防止苏联的入侵,林彪下达了?号令,首都重要机关和学院实施大转移,这就是后来著名的大三线建设。
学院路八大院校就在其中。
矿院、地院、林院、油院积极响应,马上搬迁,而其它学校则继续观望。
于是,现在的学院路上,最惨的石油大学(旧址)已经完全被家属院和石勘院占去,现石油大学(北京)在昌平办学;原来1000亩的矿大1972年划地2/ 3给北语,加上当年北京留守处人员过少,又被占去好几片地(如现东王庄),现在只剩下可怜的320亩;地大(北京)和林大虽然校园保存完整,但是校园内都有大量土地被相关的研究机构占去,而北科大、北航等因为当年的观望,没有搬迁,校园保存得相对完整。
先说说北京矿院——中国矿业大学(北京)。
这是当年最辉煌的学院之一,也是现在最落魄的之一。
原中国矿院(在天津)系1909年的焦作路矿学堂发展而来(焦作路矿学堂是当时有名的18所私立学堂),历经福中矿物大学等阶段,基础较好,后来又接受了清华大学、北洋大学、唐山交通大学相关科系的并入,实力很强。
文革时迁到四川合川办学(条件极差),是八大学院里迁得最惨的。
就在这短短的几年里,发生了让矿大人至今愤懑和耻辱的一件事(这件事影响巨大,甚至是矿大衰落的重要原因)——划地北语,那堵长长的墙至今让多少老教授为之落泪。
中国地质大学(北京)信息网络中心文件信息网络中心 2013.5.15 _____________________________________________________________________我校数字校园建设于2008年,在统一身份认证、统一平台、统一门户的构架中,其核心是应用系统,主要包括:教务管理系统、研究生管理系统、学生工作管理系统、学生收发费系统、数字迎新系统、协同办公系统、人事管理系统、科研管理系统、财务管理系统、设备资产管理系统、实验室管理系统、后勤管理系统等。
数字校园应用系统成为校内主要部门的业务处理平台,也是广大教职工及学生的信息获取平台,内容涉及到教学、科研、学习、生活等方方面面。
因此应用系统的安全管理就显得非常重要,一方面要保障应用系统的正常运行,一方面还要保障业务信息的安全。
1系统架构1、部署在校园内网除了个别有特殊要求的应用,几乎所有的应用系统由校园网防火墙隔离,部署在校园内网,校园网用户通过统一身份认证授权直接访问数字校园应用系统,校外用户通过VPN获取校内IP地址后再通过统一身份认证授权访问数字校园应用系统。
2、使用Linux操作系统Linux比Windows操作系统更稳定:Linux更新无需重启,这意味着不需要停止Server,是真正的Server;Linux很少宕机;Linux处理多进程比Windows要好很多。
Linux比Windows操作系统更安全:Linux建立在Unix上,从开始就是为多用户设计的操作系统;几乎没有用户或应用可以访问内核;Linux也会被攻击,但是反应速度明显高于Windows。
3、应用与数据分离为增强应用系统抗风险能力,将应用系统的应用服务器和数据库服务器分离,应用系统和数据库分别安装部署不同的服务器上,并对应用和数据库分别做数据备份。
4、数据库系统RAC模式数字校园的核心业务系统都是使用Oracle数据库、并采用RAC双机并行模式。
Oracle RAC并行模式与传统的双机热备方式不同。
传统的双机热备环境中,始终有一台机器作为备用机,只有当主节点出现问题的时候才换切换到备用机上。
而RAC是一种双机并行模式的架构,也就是说,两个节点的集群节点间是并行运行并具有负载均衡关系,当一台主机出现故障或Oracle 进程宕机,RAC会自动漂移到另一台主机或Oracle 进程,RAC 模式极大地提高了系统的可靠性。
5、应用系统主备模式对于关键的业务应用系统的应用程序,除了正式运行着的应用服务器,还专门搭建了与正式环境相同的备用应用服务器环境,并且无论是对应用程序升级还是对应用程序备份,主、备两套应用程序都同时处理,以确保正式运行的应用程序出现问题时,随时可以切换到备用应用程序上。
2系统安全防护1、操作系统密码策略应用服务器的操作系统密码安全非常关键,对于操作系统密码的保护至少做到以下几点:(1)所设置密码的安全强度要比较高,不能简单,如:至少10位以上,同时包含数字、大小写字母或特殊字符。
(2)定期修改密码。
(3)密码不要记下来随手乱放,最好以加密手段来存储和记录密码2、系统防火墙防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。
防火墙还可以关闭不使用的端口。
而且它还能禁止特定端口的流出通信,封锁特洛伊木马。
最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
防火墙具有很好的保护作用。
入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。
你可以将防火墙配置成许多不同保护级别。
高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
3、系统安全扫描(1)采用专业化的漏洞扫描软件,定期对操作系统进行安全扫描支持的操作系统漏洞包括:系统漏洞、WEB应用中间件漏洞、CGI应用漏洞、FTP类漏洞、DNS、后门类、网络设备漏洞类、缓冲区溢出、信息泄露、MAIL类、PRC、NFS、NIS、SNMP、守护进程、PROXY、强力攻击等1000种以上。
(2)从技术层面处理相应漏洞漏洞扫描之后生成系统安全评估报告,我们对于扫描出的各类漏洞进行针对性地解决。
如:进行组件补丁升级。
3应用安全防护3.1应用安全访问控制数字校园内网应用系统大多数是要面向广大教职工和学生的,对于教职工及学生登录应用系统的账号及初始密码的生成要满足数字校园的统一信息标准及基本的安全规则要求。
应用系统的用户登录应用系统后在修改本人的密码时,密码的设置要求必须符合一定的规则,如:不能少于8位,必须至少同时包含数字和字母等。
应用系统的用户密码以MD5密文存储。
数字校园内网采用了基于LDAP的统一身份认证技术和基于CAS的单点登录集成,认证传输信息时采用https的双向ssl加密访问技术。
3.2应用漏洞扫描采用先进的web应用扫描工具,支持JSP,ASP,.NET,PHP等B/S结构的WEB应用,发现和解决web应用中的漏洞。
1、定期漏洞扫描(1)跨站脚本漏洞"跨站点脚本编制"攻击是一种隐私违例,可让攻击者获取合法用户的凭证,并在与特定Web 站点交互时假冒这位用户。
这个攻击立足于下列事实:Web 站点中所包含的脚本直接将用户在 HTML 页面中的输入(通常是参数值)返回,而不预先加以清理。
如果脚本在响应页面中返回由JavaScript 代码组成的输入,浏览器便可以执行输入中的代码。
因此,有可能形成指向站点的若干链接,且其中一个参数是由恶意的 JavaScript 代码组成。
该代码将在站点上下文中(由用户浏览器)执行,这授权它通过用户浏览器访问用户所拥有的站点 Cookie 以及站点的其他窗口。
攻击依照下列方式继续进行:攻击者诱惑合法用户单击攻击者生成的链接。
用户单击该链接时,便会生成对于 Web 站点的请求,其中的参数值含有恶意的 JavaScript 代码。
如果Web 站点将这个参数值嵌入在响应的 HTML 页面中(这正是站点问题的本质所在),恶意代码便会在用户浏览器中运行。
(2)注入漏洞注入漏洞,特别是SQL 注入漏洞,Web 应用程序通常在后端使用数据库,以与企业数据仓库交互。
查询数据库事实上的标准语言是 SQL(各大数据库供应商都有自己的不同版本)。
Web 应用程序通常会获取用户输入(取自 HTTP 请求),将它并入 SQL 查询中,然后发送到后端数据库。
接着应用程序便处理查询结果,有时会向用户显示结果。
如果应用程序对用户(攻击者)的输入处理不够小心,攻击者便可以利用这种操作方式。
在此情况下,攻击者可以注入恶意的数据,当该数据并入 SQL 查询中时,就将查询的原始语法更改得面目全非。
例如,如果应用程序使用用户的输入(如用户名和密码)来查询用户帐户的数据库表,以认证用户,而攻击者能够将恶意数据注入查询的用户名部分(和/或密码部分),查询便可能更改成完全不同的数据复制查询,可能是修改数据库的查询,或在数据库服务器上运行 Shell命令的查询。
(3)恶意文件执行目标网站代码存在远程文件包含漏洞,允许攻击者直接上传恶意代码,控制目标网站;受影响的应用,包括PHP 以及XML 。
文件上传功能可以让用户将本地文件系统的文件复制到Web 服务器,它提供一种将信息轻松自在添加到站点的方法。
不过,倘若未采取适当措施来确保这个能力不致滥用,攻击者可能会利用这个不安全的文件上载过程。
站点有可能因为现有文件遭到覆盖而损坏,甚至有可能上载脚本档或二进制文件,再愚弄服务器运行它们,从而执行任意代码。
(4)直接对象引用隐患直接对象引用是指开发商将内部执行对象,如文件、目录、数据库记录或关键字以URL链接地址或参数形式暴露给用户,导致敏感信息泄露通过验证用户输入使用,能够有效检测并阻断直接对象引用攻击,防止恶意用户非法访问限定文件或目录等敏感信息。
(5)跨站点请求伪造漏洞跨站点请求伪造攻击通过强制已登录受害者的浏览器向目标网站发送预认证请求,然后强制受害者浏览器执行有利于攻击者的行为,跨站点请求伪造攻击是一种强大的Web应用攻击方法,通过对来自Web 系统响应的cookies 和参数注入密码校验功能来阻断会话劫持和跨站点请求伪造攻击。
Web 应用系统中表单的发布由插入的包含加密令牌的表单验证参数的会话所约束,该加密令牌能证明该配置行为(发布一个含有表单的页面)是Web 应用防御系统的一部分。
(6)认证和会话管理隐患帐户凭据和会话令牌往往没有得到适当的保护。
攻击者通过该隐患获取用户的密码,密钥,认证令牌或假冒其他使用者的身份通过对会话的Cookies 进行客户端IP 地址校验来检测阻断认证和会话管理攻击。
(7)加密存储隐患应用程序测试过程中,检测到将未加密的登录请求发送到服务器。
由于登录过程所用的部分输入字段(例如:用户名、密码、电子邮件地址、社会保险号码,等等)是个人敏感信息,建议通过加密连接(如 SSL)将其发送到服务器。
任何以明文传给服务器的信息都可能被窃,稍后可用来电子欺骗身份或伪装用户。
此外,若干隐私权法规指出,用户凭证之类的敏感信息一律以加密方式传给网站。
(8)通信隐患当有必要为保护某些敏感通信而进行数据传送加密,Web 应用数据传送频繁失败,可以选择HTTPS 协议来访问Web 资源。
此外HTTP (明文)请求可以重定向使用HTTPS 。
(9)无限制URL 访问隐患通常Web 应用敏感信息保护模块通过不显示敏感信息的URL 链接来防止未经授权的用户访问Web 敏感信息。
攻击者利用该隐患可直接访问敏感信息URL,获取Web 敏感信息。
访问敏感信息URL 需要有效的用户会话,未经验证的用户(用户没有一个有效的会话)的会话请求,Web 防御系统应将对其进行阻断,来防止此类安全隐患。
2、增加web应用过滤器针对某些类别的漏洞及安全隐患,在关键的web应用中增加过滤器,减少受攻击的机会,提高其安全防护功能。
已经增加的过滤器目前能够防护的安全漏洞及隐患主要有以下几类:(1)SQL注入漏洞(2)HTML注入(3)SCRIPT注入(4)跨站脚本攻击(XSS)(5)CSRF-跨站请求伪造漏洞4应用安全监测web应用挂马、web应用篡改等事件通常都是突发性事件,持续时间短,但是挂马事件、篡改事件一旦产生,将会给学校形象、信息网络甚至核心业务造成严重的破坏。
而通过定期的安全扫描或安全检查并不能够第一时间发现这些已经产生的严重风险事件并做出相应的处理工作。
因此我们使用专业的网站安全监测系统(WSM)进行安全监测、实时告警,来主动地发现web应用的风险隐患,并及时采取修补措施,达到降低风险、减少损失的目的。
WSM提供实时的对漏洞、挂马的监测功能,以及提供网页篡改、网页敏感内容和网站平稳度的监测。