設(shè)計安全規(guī)范

1、基于基于.NET的需求分析和解決方案設(shè)計的需求分析和解決方案設(shè)計第第1章章 商務(wù)解決方案設(shè)計商務(wù)解決方案設(shè)計第第2章章 收集和分析信息收集和分析信息第第3章章 解決方案的構(gòu)思解決方案的構(gòu)思 第第4章章 概念設(shè)計的創(chuàng)建概念設(shè)計的創(chuàng)建 第第5章章 邏輯設(shè)計的創(chuàng)建邏輯設(shè)計的創(chuàng)建 第第6章章 物理設(shè)計的創(chuàng)建物理設(shè)計的創(chuàng)建第第7章章 表示層的設(shè)計表示層的設(shè)計第第8章章 數(shù)據(jù)層的設(shè)計數(shù)據(jù)層的設(shè)計第第9章章 設(shè)計安全規(guī)范設(shè)計安全規(guī)范 第第10章章 完成計劃階段完成計劃階段第第11章章 穩(wěn)定和部署方案穩(wěn)定和部署方案第第9章章 設(shè)計安全規(guī)范設(shè)計安全規(guī)范應(yīng)用程序開發(fā)的安全性概述應(yīng)用程序開發(fā)的安全性概述為應(yīng)用程序安

2、全性制定計劃為應(yīng)用程序安全性制定計劃使用使用.NET框架中的安全性框架中的安全性設(shè)計授權(quán)、驗證和審核策略設(shè)計授權(quán)、驗證和審核策略應(yīng)用程序開發(fā)的安全性概述應(yīng)用程序開發(fā)的安全性概述常見的安全漏洞類型常見的安全漏洞類型傳統(tǒng)安全模型的不足傳統(tǒng)安全模型的不足創(chuàng)建安全策略的原則創(chuàng)建安全策略的原則主要安全性術(shù)語主要安全性術(shù)語9.1 應(yīng)用程序開發(fā)的安全性概述應(yīng)用程序開發(fā)的安全性概述常見的安全漏洞類型常見的安全漏洞類型弱密碼弱密碼舉例舉例員工使用空密碼或者自己的生日作為密碼影響影響攻擊者能通過不斷嘗試取得密碼9.1.1 常見的安全漏洞類型常見的安全漏洞類型常見的安全漏洞類型常見的安全漏洞類型未配置正確的軟件未配

3、置正確的軟件舉例舉例網(wǎng)絡(luò)如防火墻應(yīng)用程序如應(yīng)用程序配置文件主機如某些服務(wù)有過高的權(quán)限（超過正常運行所需的權(quán)限）、一些以系統(tǒng)賬戶啟動的服務(wù)影響影響攻擊者能利用這些服務(wù)取得訪問系統(tǒng)的權(quán)限9.1.1 常見的安全漏洞類型常見的安全漏洞類型常見的安全漏洞類型常見的安全漏洞類型社會工程陷阱社會工程陷阱舉例舉例攻擊者裝作技術(shù)支持人員騙取用戶密碼影響影響攻擊者能利用騙來的密碼或管理員賬戶進行破壞9.1.1 常見的安全漏洞類型常見的安全漏洞類型常見的安全漏洞類型常見的安全漏洞類型未加密的數(shù)據(jù)傳輸未加密的數(shù)據(jù)傳輸舉例舉例驗證包以明文方式傳送重要數(shù)據(jù)通過互聯(lián)網(wǎng)明文傳播影響影響攻擊者能方便的獲取數(shù)據(jù)對企業(yè)或者應(yīng)用程序

4、進行攻擊9.1.1 常見的安全漏洞類型常見的安全漏洞類型常見的安全漏洞類型常見的安全漏洞類型緩存溢出緩存溢出舉例舉例受信任的進程運行未受信任的代碼影響影響攻擊者能讓操作系統(tǒng)或應(yīng)用程序崩潰通過出錯信息發(fā)現(xiàn)更多的安全漏洞獲取能運行任何程序的系統(tǒng)內(nèi)存9.1.1 常見的安全漏洞類型常見的安全漏洞類型常見的安全漏洞類型常見的安全漏洞類型代碼注入代碼注入舉例舉例跨站點腳本SQL注入利用緩存溢出注入惡意代碼影響影響攻擊者能在客戶端、Web服務(wù)器、數(shù)據(jù)庫服務(wù)器上注入惡意代碼9.1.1 常見的安全漏洞類型常見的安全漏洞類型常見的安全漏洞類型常見的安全漏洞類型代碼中的秘密信息代碼中的秘密信息舉例舉例從代碼中直接獲

5、取秘密信息在調(diào)試方式下運行不同的安全應(yīng)用程序在客戶端頁面文件中獲取秘密信息影響影響密碼、密鑰泄漏9.1.1 常見的安全漏洞類型常見的安全漏洞類型傳統(tǒng)安全模型的不足傳統(tǒng)安全模型的不足沒有對代碼本身提供特定的限制訪問機制沒有對代碼本身提供特定的限制訪問機制病毒、蠕蟲可通過以下途徑感染受信任的用戶病毒、蠕蟲可通過以下途徑感染受信任的用戶打開電子郵件的附件運行Web頁面內(nèi)嵌的腳本打開從互聯(lián)網(wǎng)上下載的文件9.1.2 傳統(tǒng)安全模型的不足傳統(tǒng)安全模型的不足創(chuàng)建安全策略的原則創(chuàng)建安全策略的原則 僅信任測試過并證明為安全的系統(tǒng)僅信任測試過并證明為安全的系統(tǒng) 假設(shè)外部系統(tǒng)不安全假設(shè)外部系統(tǒng)不安全 應(yīng)用最小權(quán)限原則

6、應(yīng)用最小權(quán)限原則 減小數(shù)據(jù)暴露區(qū)域減小數(shù)據(jù)暴露區(qū)域 默認設(shè)置為安全模式默認設(shè)置為安全模式 不要信任外部輸入不要信任外部輸入 不要信任未知的東西不要信任未知的東西 遵循遵循STRIDE原則原則 9.1.3 創(chuàng)建安全策略的原則創(chuàng)建安全策略的原則主要安全性術(shù)語主要安全性術(shù)語驗證驗證主動識別客戶端的身份（客戶端包括最終用戶、服務(wù)、進程或計算機）授權(quán)授權(quán)規(guī)定驗證用戶能看到或者能做什么9.1.4 主要安全性術(shù)語主要安全性術(shù)語主要安全性術(shù)語主要安全性術(shù)語模擬模擬服務(wù)器應(yīng)用程序以客戶端身份訪問資源的方式委派委派一種擴展形式的模擬服務(wù)器進程代表客戶端訪問遠程計算機的資源9.1.4 主要安全性術(shù)語主要安全性術(shù)語主

7、要安全性術(shù)語主要安全性術(shù)語安全通信安全通信確保通信過程中信息私密性和完整性安全上下文安全上下文能影響進程、線程安全方面動作的設(shè)置集合由進程的登錄會話和訪問標志組成身份身份惟一表征用戶、進程9.1.4 主要安全性術(shù)語主要安全性術(shù)語第第9章章 設(shè)計安全規(guī)范設(shè)計安全規(guī)范應(yīng)用程序開發(fā)的安全性概述應(yīng)用程序開發(fā)的安全性概述為應(yīng)用程序安全性制定計劃為應(yīng)用程序安全性制定計劃使用使用.NET框架中的安全性框架中的安全性設(shè)計授權(quán)、驗證和審核策略設(shè)計授權(quán)、驗證和審核策略為應(yīng)用程序安全性制定計劃為應(yīng)用程序安全性制定計劃MSF 階段和安全性措施階段和安全性措施STRIDE威脅模型威脅模型創(chuàng)建威脅模型創(chuàng)建威脅模型使用威脅

8、模型使用威脅模型安全策略安全策略9.2 為應(yīng)用程序安全性制定計劃為應(yīng)用程序安全性制定計劃MSF 階段和安全性措施階段和安全性措施構(gòu)思構(gòu)思 收集安全性方面的需求收集安全性方面的需求 將這些需求寫入文檔中將這些需求寫入文檔中 創(chuàng)建威脅模型創(chuàng)建威脅模型 規(guī)劃安全性方面的功能減輕找出的威規(guī)劃安全性方面的功能減輕找出的威脅脅 實施功能規(guī)格說明書中涉及的安全性實施功能規(guī)格說明書中涉及的安全性 方面的功能方面的功能 進行安全性測試進行安全性測試 監(jiān)控對應(yīng)用程序安全性方面的威脅監(jiān)控對應(yīng)用程序安全性方面的威脅 規(guī)劃規(guī)劃 開發(fā)開發(fā) 穩(wěn)定穩(wěn)定 部署部署 9.2.1 MSF 階段和安全性措施階段和安全性措施STRID

9、E威脅模型威脅模型偽造身份偽造身份 S否認否認 R信息泄露信息泄露 I拒絕服務(wù)拒絕服務(wù) D權(quán)限提升權(quán)限提升 E篡改數(shù)據(jù)（完整性）篡改數(shù)據(jù)（完整性） T9.2.2 STRIDE威脅模型威脅模型創(chuàng)建威脅模型創(chuàng)建威脅模型組織集思廣益的會議組織集思廣益的會議 1使用使用STRIDE模型中的類別模型中的類別 3記錄筆記記錄筆記 4調(diào)研調(diào)研 5將威脅按照嚴重性分級將威脅按照嚴重性分級 6列出所有可能的威脅列出所有可能的威脅 29.2.3 創(chuàng)建威脅模型創(chuàng)建威脅模型示例示例 創(chuàng)建威脅模型創(chuàng)建威脅模型瀏覽器瀏覽器 LDAP：緩存在客戶：緩存在客戶 端或者在聯(lián)機狀態(tài)端或者在聯(lián)機狀態(tài) 下從域中獲得下從域中獲得 驗證

10、驗證 SSL 通過通過Sockets 的的SQL 基于基于Web的報銷系統(tǒng)的報銷系統(tǒng)公司公司W(wǎng)eb服務(wù)服務(wù) 器器 數(shù)據(jù)庫服數(shù)據(jù)庫服 務(wù)器務(wù)器 員工數(shù)據(jù)員工數(shù)據(jù) 時間報表信息時間報表信息 用戶驗證信用戶驗證信 息息 審核信息審核信息 9.2.3 創(chuàng)建威脅模型創(chuàng)建威脅模型使用威脅模型使用威脅模型對每種威脅提出應(yīng)對方案對每種威脅提出應(yīng)對方案 通知用戶 削減功能（Remove features） 使用減輕威脅的技術(shù)9.2.4 使用威脅模型使用威脅模型使用威脅模型使用威脅模型減輕安全性方面威脅可采用的技術(shù)減輕安全性方面威脅可采用的技術(shù) 驗證和授權(quán)驗證和授權(quán) 安全通信安全通信 服務(wù)質(zhì)量（服務(wù)質(zhì)量（QoS）

11、 限制（限制（Throttling） 審核審核 篩選篩選 最小權(quán)限最小權(quán)限 9.2.4 使用威脅模型使用威脅模型安全策略安全策略安全策略安全策略 定義了保護企業(yè)計算機和網(wǎng)絡(luò)安全性的需求 決定了應(yīng)用程序能做什么，哪些用戶能使用該應(yīng)用程序?qū)Ρ劝踩呗詻Q定威脅的應(yīng)對措施對比安全策略決定威脅的應(yīng)對措施 容忍威脅 委派其他公司解決威脅 采取保護措施9.2.5 安全策略安全策略第第9章章 設(shè)計安全規(guī)范設(shè)計安全規(guī)范應(yīng)用程序開發(fā)的安全性概述應(yīng)用程序開發(fā)的安全性概述為應(yīng)用程序安全性制定計劃為應(yīng)用程序安全性制定計劃使用使用.NET框架中的安全性框架中的安全性設(shè)計授權(quán)、驗證和審核策略設(shè)計授權(quán)、驗證和審核策略使用使用

12、.NET框架的安全特性框架的安全特性類型安全驗證類型安全驗證代碼簽名代碼簽名加密和數(shù)據(jù)簽名加密和數(shù)據(jù)簽名代碼訪問安全代碼訪問安全基于角色的安全性基于角色的安全性獨立存儲獨立存儲.NET的安全特性的安全特性9.3 使用使用.NET框架的安全特性框架的安全特性類型安全驗證類型安全驗證類型安全代碼類型安全代碼僅能訪問有權(quán)限的特定內(nèi)存僅能訪問對象可以訪問的成員符合以下條件的運行時是類型安全的符合以下條件的運行時是類型安全的對類型的引用與引用的類型相一致對象僅被調(diào)用了適當定義后的操作通過定義好的接口調(diào)用方法，避免安全檢測被跳過9.3.1 類型安全驗證類型安全驗證代碼簽名代碼簽名代碼簽名保證了真實性和完整

13、性代碼簽名保證了真實性和完整性.NET框架中的代碼簽名框架中的代碼簽名依靠強名稱簽名支持Authenticode數(shù)字證書和簽名9.3.2 代碼簽名代碼簽名加密和數(shù)據(jù)簽名加密和數(shù)據(jù)簽名加密加密將明文轉(zhuǎn)成密文使用哈希和數(shù)據(jù)簽名哈希哈希將任何長度的數(shù)據(jù)變換成惟一且長度固定的字節(jié)序列數(shù)據(jù)簽名數(shù)據(jù)簽名可包含通過哈希加密后的任何形式內(nèi)容的簽名數(shù)據(jù)哈希保證數(shù)據(jù)簽名者的身份并且確保數(shù)據(jù)未經(jīng)篡改9.3.3 加密和數(shù)據(jù)簽名加密和數(shù)據(jù)簽名代碼訪問安全代碼訪問安全好處好處 限制了代碼能做的事情示例：一個文件訪問的應(yīng)用程序可限制可訪問的文件 限制了哪些代碼能訪問你的代碼示例：僅允許企業(yè)中開發(fā)的其他程序訪問你的程序集 識

14、別代碼示例：可通過強名稱、URL或者哈希值來識別代碼9.3.4 代碼訪問安全代碼訪問安全代碼訪問安全代碼訪問安全組成部分組成部分 代碼 證據(jù)（Evidence） 權(quán)限 策略 代碼組9.3.4 代碼訪問安全代碼訪問安全基于角色的安全性基于角色的安全性防止未授權(quán)的用戶進行特定操作防止未授權(quán)的用戶進行特定操作 用戶名用戶名 = Fred 用戶用戶 .NET 框架框架 Windows用戶和組成員用戶和組成員 或或 普通身份和策略普通身份和策略 驗證驗證 驗證驗證 資源資源 9.3.5 基于角色的安全性基于角色的安全性獨立存儲獨立存儲為應(yīng)用程序提供安全的數(shù)據(jù)存儲為應(yīng)用程序提供安全的數(shù)據(jù)存儲使用虛擬文件系

15、統(tǒng)允許設(shè)置大小對存儲的訪問許可基于下列身份對存儲的訪問許可基于下列身份用戶程序集應(yīng)用程序9.3.6 獨立存儲獨立存儲.NET的安全特性的安全特性技術(shù)技術(shù)驗證驗證授權(quán)授權(quán)安全通信安全通信ASP.NET無（自定義）、 Windows、表單、Passport 文件權(quán)限、URL權(quán)限、主體權(quán)限、.NET角色 SSLWeb服務(wù)服務(wù)Windows、無（自定義）、消息級驗證文件權(quán)限、URL權(quán)限、主體權(quán)限、.NET角色SSL和 消息級加密遠程處理遠程處理Windows 文件權(quán)限、URL權(quán)限、主體權(quán)限、.NET角色SSL和消息級加密 企業(yè)服務(wù)企業(yè)服務(wù)Windows 企業(yè)服務(wù)（COM+） 角色、NTFS權(quán)限RPC加

16、密SQL ServerWindows（Kerberos/NTLM）、SQL驗證服務(wù)器登錄名、數(shù)據(jù)庫登錄名、數(shù)據(jù)庫默認角色、自定義角色、應(yīng)用程序角色SSL9.3.7 .NET的安全特性的安全特性第第9章章 設(shè)計安全規(guī)范設(shè)計安全規(guī)范應(yīng)用程序開發(fā)的安全性概述應(yīng)用程序開發(fā)的安全性概述為應(yīng)用程序安全性制定計劃為應(yīng)用程序安全性制定計劃使用使用.NET框架中的安全性框架中的安全性設(shè)計授權(quán)、驗證和審核策略設(shè)計授權(quán)、驗證和審核策略設(shè)計授權(quán)、驗證和審核策略設(shè)計授權(quán)、驗證和審核策略設(shè)計授權(quán)和身份驗證策略設(shè)計授權(quán)和身份驗證策略為用戶界面組件設(shè)計授權(quán)策略為用戶界面組件設(shè)計授權(quán)策略為業(yè)務(wù)組件設(shè)計授權(quán)策略為業(yè)務(wù)組件設(shè)計授權(quán)

17、策略為數(shù)據(jù)訪問組件設(shè)計授權(quán)為數(shù)據(jù)訪問組件設(shè)計授權(quán)為用戶界面組件設(shè)計身份驗證策略為用戶界面組件設(shè)計身份驗證策略為數(shù)據(jù)訪問組件設(shè)計身份驗證策略為數(shù)據(jù)訪問組件設(shè)計身份驗證策略設(shè)計審核策略設(shè)計審核策略9.4 設(shè)計授權(quán)、驗證和審核策略設(shè)計授權(quán)、驗證和審核策略應(yīng)用程序級別應(yīng)用程序級別操作系統(tǒng)級別操作系統(tǒng)級別表單、表單、Passport、Windows集成（集成（Kerberos或或NTLM）、）、Basic、 Digest確定哪些身份需要在整個應(yīng)用程序中傳遞確定哪些身份需要在整個應(yīng)用程序中傳遞例如，一個后端資源管理器需要在每次調(diào)用時進行授權(quán)，調(diào)例如，一個后端資源管理器需要在每次調(diào)用時進行授權(quán)，調(diào)用者的身份

18、必須傳遞給資源管理器用者的身份必須傳遞給資源管理器調(diào)用者的身份調(diào)用者的身份進程身份進程身份服務(wù)賬戶服務(wù)賬戶自定義身份自定義身份基于角色基于角色基于資源基于資源實例：實例：Web服務(wù)器資源如服務(wù)器資源如 Web頁面、頁面、Web服務(wù)和靜態(tài)資源（服務(wù)和靜態(tài)資源（HTML頁頁面和圖片）面和圖片）數(shù)據(jù)庫資源如每個用戶的數(shù)據(jù)或應(yīng)用程序的數(shù)據(jù)數(shù)據(jù)庫資源如每個用戶的數(shù)據(jù)或應(yīng)用程序的數(shù)據(jù)網(wǎng)絡(luò)資源如遠程文件系統(tǒng)資源和活動目錄中存儲的數(shù)據(jù)網(wǎng)絡(luò)資源如遠程文件系統(tǒng)資源和活動目錄中存儲的數(shù)據(jù)設(shè)計授權(quán)和身份驗證策略設(shè)計授權(quán)和身份驗證策略確定資源確定資源1選擇訪問資源的身份選擇訪問資源的身份3確定身份是否需要在系統(tǒng)內(nèi)流轉(zhuǎn)確

19、定身份是否需要在系統(tǒng)內(nèi)流轉(zhuǎn)4選擇驗證方式選擇驗證方式5確定身份如何在系統(tǒng)內(nèi)流轉(zhuǎn)確定身份如何在系統(tǒng)內(nèi)流轉(zhuǎn)6選擇授權(quán)策略選擇授權(quán)策略2確定資源確定資源1選擇訪問資源的標識選擇訪問資源的標識3確定標識是否需要在系統(tǒng)內(nèi)流轉(zhuǎn)確定標識是否需要在系統(tǒng)內(nèi)流轉(zhuǎn)4選擇身份驗證方法選擇身份驗證方法5確定標識如何在系統(tǒng)內(nèi)流動確定標識如何在系統(tǒng)內(nèi)流動6選擇授權(quán)策略選擇授權(quán)策略29.4.1 設(shè)計授權(quán)和身份驗證策略設(shè)計授權(quán)和身份驗證策略為用戶界面組件設(shè)計授權(quán)策略為用戶界面組件設(shè)計授權(quán)策略在用戶界面組件上進行授權(quán)限制用戶輸入或查看在用戶界面組件上進行授權(quán)限制用戶輸入或查看用戶界面組件授權(quán)指導方針用戶界面組件授權(quán)指導方針用戶進

20、程組件授權(quán)指導方針用戶進程組件授權(quán)指導方針僅顯示給需要看到的用戶設(shè)置用戶界面程序集代碼的訪問權(quán)限按照用戶不同在用戶交互過程中添加刪除步驟或者用戶界面組件控制用戶是否能開始一個用戶界面交互進程9.4.2 為用戶界面組件設(shè)計授權(quán)策略為用戶界面組件設(shè)計授權(quán)策略為業(yè)務(wù)組件設(shè)計授權(quán)策略為業(yè)務(wù)組件設(shè)計授權(quán)策略指導方針指導方針業(yè)務(wù)進程授權(quán)應(yīng)獨立于用戶上下文業(yè)務(wù)進程授權(quán)應(yīng)獨立于用戶上下文盡可能使用基于角色的權(quán)限盡可能使用基于角色的權(quán)限9.4.3 為業(yè)務(wù)組件設(shè)計授權(quán)策略為業(yè)務(wù)組件設(shè)計授權(quán)策略為數(shù)據(jù)訪問組件設(shè)計授權(quán)為數(shù)據(jù)訪問組件設(shè)計授權(quán)對數(shù)據(jù)訪問組件進行授權(quán)對數(shù)據(jù)訪問組件進行授權(quán)Windows驗證情況下，使用企業(yè)

21、服務(wù)角色和.NET PrincipalPermission屬性Windows安全上下文情況下，使用.NET角色和相關(guān)屬性限制用戶僅能訪問需要的程序集在數(shù)據(jù)存儲中采用相同用戶上下文的情況下，使用數(shù)據(jù)庫授權(quán)功能9.4.4 為數(shù)據(jù)訪問組件設(shè)計授權(quán)為數(shù)據(jù)訪問組件設(shè)計授權(quán)為用戶界面組件設(shè)計身份驗證策略為用戶界面組件設(shè)計身份驗證策略基于基于Web界面的驗證方式界面的驗證方式根據(jù)情況選擇驗證機制基于基于Windows界面的驗證方式界面的驗證方式自定義驗證Windows登錄用戶進程組件的驗證方式用戶進程組件的驗證方式不進行驗證通過在程序開始設(shè)置的安全上下文9.4.5 為用戶界面組件設(shè)計身份驗證策略為用戶界面組

22、件設(shè)計身份驗證策略示例示例 基于基于Web界面的驗證方式界面的驗證方式用戶一定用戶一定 需要登錄？需要登錄？ 開始開始 匿名匿名Cookie匿名匿名Passport是否需要是否需要 個性化個性化 不需要知道不需要知道 用戶身份用戶身份 是是匿名匿名 否否 用戶在操作系統(tǒng)中用戶在操作系統(tǒng)中 是否有賬戶是否有賬戶 用戶通過登錄訪問服務(wù)和內(nèi)容用戶通過登錄訪問服務(wù)和內(nèi)容 用戶是否有用戶是否有 Passport賬戶賬戶 是否需要是否需要 確保登錄安全確保登錄安全 是否交互用戶是否交互用戶 登錄登錄 否否否否證書證書 表單驗證表單驗證否否是是否否通過通過SSL 表單驗證表單驗證 Passport驗證驗證 是是是是系統(tǒng)是否系統(tǒng)是否 運行于互聯(lián)網(wǎng)運行于互聯(lián)網(wǎng) 是否需要委派是否需要委派 安全上下文安全上下文 服務(wù)器和客戶端是否服務(wù)器和客戶端是否 只有只有Windows 2000 是否需要是否需要 安全登錄安全登錄 是是是，運行在是，運行在互聯(lián)網(wǎng)上互聯(lián)網(wǎng)上Basic/SSL Digest/SSL 表單驗證表單驗證/SSL 證書證書 是是表單驗證表單驗證 Basic