移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

Web利用法度安然不成忽视的几大年夜标题问题

时间:2014-02-11 13:38来源:TuZhiJiaMi企业信息安全专家 点击:
对任何一个项目,开端阶段对交付安然的利用来讲很是关头。恰当的安然要求会导致准确的安然设计。下面会商在阐发Web利用法度的安然要求时需要考虑的八大年夜标题问题。 1、认证和口令治
Tags应用安全(1006)应用程序(59)Web(532)  

  对任何一个项目,开端阶段对交付安然的利用来讲很是关头。恰当的安然要求会导致准确的安然设计。下面会商在阐发Web利用法度的安然要求时需要考虑的八大年夜标题问题。

  1、认证和口令治理:这主如果一种一次性的勾当并且仅仅是作为项目标一部门而完成的。有人可能会问一些与认证和口令治理有关的标题问题:

  ◆口令策略:这个标题问题很是首要的启事在于避免与用户凭据有关的字典报复打击。

  ◆口令哈希算法:确保经由过程恰当的加密算法来加密口令也很是首要。

  ◆口令重置机制:为了不黑客点窜或截获口令,重置机制很是关头。

  2、认证和角色治理:在阐发项目标安然标题问题时,要确认所有的关头功能,并确认哪些人可以获得授权拜候这些功能。如许做有助于确认各类不合的角色,并可使拜候节制到位。

  3、审计日记记实。扣问并确认所有与已产生的报复打击有关的所有关头营业是很首要的,这是因为这些报复打击对企业的会产生重大年夜影响。企业该当可以或许阐发与这些营业有关的审计日记记实。

  4、第三方组件阐发。扣问并阐发一下企业是不是必需利用第三方的组件也是一个首要标题问题。在此根本上,企业阐发与这些组件有关的已知缝隙,并做出得当的建议。

  5、输进数据验证和净化。扣问并理解和阐发输进数据的属性,并为数据的验证和净化做好打算是很首要的。这类把持首要与解决跨站脚本报复打击这类缝隙有关。数据验证和净化还有助于避免SQL注进的大年夜范围产生。

  6、加密和密钥治理。这是为了阐发是不是存在需要包管其安然的营业,并且这些营业是不是需要握手机制(在措置营业之前,可利用多种与公钥或私钥的互换有关的多种手艺来实施这类机制)。

  7、源代码的完全性:这是一种一次性的勾当,并且要求在项目标开端阶段完成。如许做有助于以下两个方面:

  源代码该当存放在一个有杰出安然保障的节制仓库中,并且在遵守“起码特权”的原则前提下,有健旺的认证和基于角色的拜候节制。你还该当存眷关于源代码库和相干东西的标题问题。

  别的,在代码的开辟及传输过程中,你还可以阐发关于源代码容器的东西标题问题和代码的呵护标题问题。

  8、源代码的治理。会商源代码的审查策略是一个关头标题问题,因为这类做法会要求主动化的和人工的代码查抄标题问题,并且在必然程度上会影响整体的项目时候(要求进行代码查抄时候和针对查抄定见的修复时候)。这是一种一次性的勾当,因此该当在项目标开端阶段完成。

------分隔线----------------------------

推荐内容