應(yīng)用系統(tǒng)安全規(guī)范制定建議

應(yīng)用系統(tǒng)安全標(biāo)準(zhǔn)制定建議應(yīng)用系統(tǒng)安全是當(dāng)前眾多大型企業(yè)要重點(diǎn)關(guān)注的問(wèn)題,但這塊有好多工作要做,現(xiàn)狀是現(xiàn)在很多做安全的人,不怎么太做開(kāi)發(fā),做開(kāi)發(fā)的人懂安全的人又少之又少,這里我從應(yīng)用系統(tǒng)安全,提出幾點(diǎn)自己的建議,當(dāng)然不足之處還請(qǐng)大家討論和指正。1應(yīng)用系統(tǒng)安全類別劃分具體劃分準(zhǔn)則,需要根據(jù)自己?jiǎn)挝粚?shí)際規(guī)模和業(yè)務(wù)特征去定位,我這里把具體的分類細(xì)則隱去了,有興趣的可以討論.網(wǎng)絡(luò)安全性網(wǎng)絡(luò)接入控制未經(jīng)批準(zhǔn)嚴(yán)禁通過(guò)線、各類專線接到外網(wǎng)；如確有需求，必須申請(qǐng)備案后先進(jìn)行與內(nèi)網(wǎng)完全隔離，才可以實(shí)施。網(wǎng)絡(luò)安全域隔離如果有需要與公司外部通訊的服務(wù)器，應(yīng)在保證自身安全的情況下放入公司防火墻DMZ區(qū)，該應(yīng)用服務(wù)器與公司內(nèi)部系統(tǒng)通訊時(shí)，應(yīng)采用內(nèi)部讀取數(shù)據(jù)的方式。其他類應(yīng)用系統(tǒng)服務(wù)器放置在公司內(nèi)部網(wǎng)中。系統(tǒng)平臺(tái)安全性病毒對(duì)系統(tǒng)的威脅各應(yīng)用系統(tǒng)WINDOWS平臺(tái)應(yīng)關(guān)閉掉服務(wù)器的完全共享，并安裝防毒客戶端軟件，啟用實(shí)時(shí)防護(hù)與接受管理，進(jìn)行周期性對(duì)系統(tǒng)全機(jī)病毒掃描。黑客破壞和侵入對(duì)各應(yīng)用系統(tǒng)應(yīng)及時(shí)進(jìn)行系統(tǒng)補(bǔ)丁的升級(jí)和安全配置，并配合進(jìn)行入侵檢測(cè)和漏洞掃描等安全檢查工作。對(duì)于重點(diǎn)系統(tǒng)可以考慮部署主機(jī)入侵檢測(cè)系統(tǒng)來(lái)保證主機(jī)的安全性。應(yīng)用程序安全性在應(yīng)用系統(tǒng)的生命周期中保證安全應(yīng)用系統(tǒng)的設(shè)計(jì)和管理者要在不同的階段采用相應(yīng)的工作方法和工作步驟，設(shè)計(jì)出一個(gè)把安全貫穿始終、切實(shí)可行的安全方案。對(duì)應(yīng)用系統(tǒng)應(yīng)能提供書面可行的安全方案。在應(yīng)用系統(tǒng)啟始設(shè)計(jì)階段實(shí)施安全計(jì)劃在應(yīng)用系統(tǒng)啟始設(shè)計(jì)階段進(jìn)行充分的安全可行性分析，對(duì)應(yīng)用系統(tǒng)應(yīng)該進(jìn)行專門的安全可行性分析。啟始設(shè)計(jì)階段同時(shí)還要進(jìn)行風(fēng)險(xiǎn)的最初評(píng)估，在被選方案之間權(quán)衡效費(fèi)比關(guān)系時(shí)，應(yīng)該參照這個(gè)估計(jì)值，尤其在重點(diǎn)應(yīng)用系統(tǒng)項(xiàng)目中應(yīng)特別注重這方面的考慮。在應(yīng)用系統(tǒng)開(kāi)發(fā)階段建立安全機(jī)制安全需求定義：在軟件開(kāi)發(fā)之前，需要了解相關(guān)的安全規(guī)定和軟件運(yùn)行的環(huán)境要求，并對(duì)此產(chǎn)生的安全需求做出定義。安全設(shè)計(jì)：安全設(shè)計(jì)不能簡(jiǎn)單依附于系統(tǒng)設(shè)計(jì)的控制而了事，安全的內(nèi)容必須滲透到整個(gè)設(shè)計(jì)階段。當(dāng)然，也不必對(duì)每項(xiàng)設(shè)計(jì)決定都采取安全方法。通常，有各種方法使其到達(dá)必要的安全級(jí)別，需要考慮的是如何選擇一種折衷方案給安全以適當(dāng)?shù)牡匚?。良好的安全設(shè)計(jì)能明顯的減少應(yīng)用系統(tǒng)的脆弱性并減少在系統(tǒng)運(yùn)行時(shí)安全的強(qiáng)制性。對(duì)于重點(diǎn)類系統(tǒng)應(yīng)能夠提供這方面的細(xì)節(jié)說(shuō)明，以證實(shí)安全性設(shè)計(jì)的有效性。安全的編程方法：所有應(yīng)用系統(tǒng)都應(yīng)正確選擇程序設(shè)計(jì)語(yǔ)言和其它程序設(shè)計(jì)工具，從而提高最終產(chǎn)品的可靠性和正確性；為提高整個(gè)系統(tǒng)的安全性，要恰當(dāng)?shù)剡x擇并利用這些工具幫助防止程序錯(cuò)誤進(jìn)入源編碼。對(duì)于重點(diǎn)應(yīng)用系統(tǒng)應(yīng)該嚴(yán)格采用軟件工程的方法編制程序，對(duì)編碼至少由一名未參與程序設(shè)計(jì)的程序員檢查程序編碼，全面了解它的安全要點(diǎn)，他與原設(shè)計(jì)者對(duì)程序遺留問(wèn)題應(yīng)負(fù)有同樣的責(zé)任。對(duì)于重點(diǎn)應(yīng)用系統(tǒng)程序庫(kù)應(yīng)有僅允許授權(quán)人存取程序模塊功能，以及記錄所有對(duì)程序模塊存取的安全控制功能。軟件安全性的檢測(cè)和評(píng)估:公司所有類應(yīng)用系統(tǒng) 綜合運(yùn)用靜態(tài)和動(dòng)態(tài)檢測(cè)技術(shù)，進(jìn)行全面認(rèn)真的檢測(cè)和評(píng)估，發(fā)現(xiàn)在應(yīng)用系統(tǒng)設(shè)計(jì)和編碼中的錯(cuò)誤、疏忽和其它缺陷。在操作運(yùn)行中保障安全數(shù)據(jù)控制: 重點(diǎn)應(yīng)用系統(tǒng)應(yīng)從輸入準(zhǔn)備、數(shù)據(jù)媒介存儲(chǔ)、輸出傳播各個(gè)階段所需的控制入手，保證數(shù)據(jù)安全成功處理。對(duì)安全變異的響應(yīng):重點(diǎn)應(yīng)用系統(tǒng)中，一切與現(xiàn)行安全規(guī)定抵觸的每一件事或不能解釋的結(jié)果以及其它異常事件都應(yīng)視為安全變異現(xiàn)象，應(yīng)該給予足夠的重視，并盡快報(bào)告管理員或其他負(fù)責(zé)人采取必要措施，以減少或消除不安全隱患。報(bào)告方式要保密、過(guò)程要簡(jiǎn)單。安全記賬與審計(jì)：重點(diǎn)應(yīng)用系統(tǒng)中，應(yīng)利用應(yīng)用系統(tǒng)審計(jì)日志進(jìn)行監(jiān)控，并作為一種主動(dòng)的監(jiān)督管理形式和一種檢測(cè)觸犯安全規(guī)定事件的手段。同時(shí)必須加強(qiáng)對(duì)應(yīng)用系統(tǒng)的審計(jì)日志類信息的保護(hù)，對(duì)審計(jì)日志和監(jiān)控功能的使用也必須做審計(jì)記錄。接口安全性接口安全性要求職責(zé)分隔：應(yīng)用系統(tǒng)接口是易受攻擊的脆弱點(diǎn)，重點(diǎn)應(yīng)用系統(tǒng)中，應(yīng)從職責(zé)管理上加強(qiáng)，將責(zé)任實(shí)現(xiàn)最正確別離。明確敏感客體和操作規(guī)定：重點(diǎn)應(yīng)用系統(tǒng)中，應(yīng)能夠根據(jù)可靠性、保密性和可用性三者定義每個(gè)數(shù)據(jù)客體(數(shù)據(jù)輸入、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)輸出等)的安全需求，并通過(guò)系統(tǒng)實(shí)施時(shí)的培訓(xùn)來(lái)落實(shí)。錯(cuò)誤容限規(guī)定：公司各類應(yīng)用系統(tǒng)對(duì)錯(cuò)誤的容限度和在可接受的限度內(nèi)維護(hù)錯(cuò)誤級(jí)別的需求必須被定義在安全需求中?？捎眯孕枨螅汗靖黝悜?yīng)用系統(tǒng)為防止因?yàn)橄到y(tǒng)不能有效使用而產(chǎn)生的嚴(yán)重危害，必須制定可用性需求，然后根據(jù)需求采取措施來(lái)保證系統(tǒng)的可用性。接口擴(kuò)展性要求接口標(biāo)準(zhǔn)性要求：對(duì)于各類應(yīng)用系統(tǒng)應(yīng)該能夠盡量接口標(biāo)準(zhǔn)化，從而利于應(yīng)用系統(tǒng)間信息的互通。對(duì)于應(yīng)用系統(tǒng)建設(shè)、改造等有代表性的，需要制定相關(guān)接口標(biāo)準(zhǔn)，作為將來(lái)工作的參照。接口標(biāo)準(zhǔn)細(xì)化程度：對(duì)于各類應(yīng)用系統(tǒng)接口標(biāo)準(zhǔn)應(yīng)該盡量細(xì)化，減少接口描述不清出現(xiàn)新的安全隱患。對(duì)于重點(diǎn)應(yīng)用系統(tǒng)應(yīng)該有明確的接口類文檔說(shuō)明部分。數(shù)據(jù)安全性數(shù)據(jù)傳輸?shù)臋C(jī)密性重點(diǎn)應(yīng)用系統(tǒng)中傳輸關(guān)鍵、敏感數(shù)據(jù)時(shí)要采用傳輸加密技術(shù)，實(shí)現(xiàn)數(shù)據(jù)機(jī)密性要求；其他類應(yīng)用系統(tǒng)應(yīng)根據(jù)具體情況來(lái)考慮。密碼算法選擇:密碼算法必須具有較高的保密強(qiáng)度和抗攻擊能力。加密信息量大時(shí)應(yīng)使用對(duì)稱加密算法，加密重要信息時(shí)應(yīng)使用非對(duì)稱加密算法。要根據(jù)所保護(hù)信息的敏感程度與攻擊者破解所要花的代價(jià)值不值得和系統(tǒng)所要求的反應(yīng)時(shí)間來(lái)綜合考慮決定要采用的密碼算法。加解密實(shí)現(xiàn)方式:如果要求全通信業(yè)務(wù)流機(jī)密性，那么應(yīng)選取物理層加密，或傳輸安全手段(例如，適當(dāng)?shù)臄U(kuò)頻技術(shù))。如果要求高粒度保護(hù)(即對(duì)每個(gè)應(yīng)用聯(lián)系可能提供不同的密鑰)和防抵賴或選擇字段保護(hù)，應(yīng)選取表示層加密。如果希望的是所有端系統(tǒng)到端系統(tǒng)通信的簡(jiǎn)單塊保護(hù)，或希望有一個(gè)外部的加密設(shè)備〔例如為了給算法和密鑰以物理保護(hù)，或防止錯(cuò)誤軟件〕，那么應(yīng)選取網(wǎng)絡(luò)層加密。這能夠提供機(jī)密性與不帶恢復(fù)的完整性。如果要求帶恢復(fù)的完整性，同時(shí)又具有高粒度保護(hù)，那么將選取傳輸層加密。這能提供機(jī)密性、帶恢復(fù)的完整性或不帶恢復(fù)的完整性。不推薦在數(shù)據(jù)鏈路層上加密。當(dāng)關(guān)系到以上問(wèn)題中的兩項(xiàng)或多項(xiàng)時(shí)，加密可能需要在多個(gè)層上提供。數(shù)據(jù)傳輸?shù)耐暾詳?shù)據(jù)完整性：對(duì)于重點(diǎn)應(yīng)用系統(tǒng)，因數(shù)據(jù)在INTERNET上傳播或至關(guān)重要，應(yīng)該保障數(shù)據(jù)的完整性，針對(duì)應(yīng)用系統(tǒng)信息的重要程度，可以采用不同的數(shù)據(jù)完整性驗(yàn)證手段。實(shí)現(xiàn)完整性方式選擇：由加密提供的數(shù)據(jù)完整性機(jī)制；基于非對(duì)稱加密的數(shù)據(jù)完整性機(jī)制，重點(diǎn)類系統(tǒng)應(yīng)該盡量采用這種方式；其它數(shù)據(jù)完整性機(jī)制。用戶安全性用戶身份認(rèn)證對(duì)身份認(rèn)證的需求:對(duì)用戶身份認(rèn)證的需求取決于應(yīng)用系統(tǒng)的性質(zhì)，對(duì)于重點(diǎn)類系統(tǒng)要采用強(qiáng)身份認(rèn)證方式。身份認(rèn)證的實(shí)現(xiàn):(1)弱身份認(rèn)證方式加強(qiáng)：對(duì)口令長(zhǎng)度、復(fù)雜度、更新周期、保密性等進(jìn)行嚴(yán)格管理。(2)強(qiáng)身份認(rèn)證方式有效保障：對(duì)重要應(yīng)用系統(tǒng)應(yīng)逐漸傾向于加強(qiáng)的身份認(rèn)證方式來(lái)保證用戶身份安全，強(qiáng)身份認(rèn)證方式可采用證書方式或動(dòng)態(tài)口令方式等來(lái)實(shí)現(xiàn)。從管理角度考慮：沒(méi)有一項(xiàng)身份認(rèn)證技術(shù)是絕對(duì)可靠的，須依靠嚴(yán)格的強(qiáng)化管理和用戶合作來(lái)提高認(rèn)證技術(shù)的可靠性，并根據(jù)每個(gè)系統(tǒng)的實(shí)際需要部署，防止造成不必要的負(fù)擔(dān)而影響應(yīng)用系統(tǒng)的使用。不可否認(rèn)性對(duì)核心系統(tǒng)必須考慮不可否認(rèn)性的功能，重點(diǎn)系統(tǒng)應(yīng)該逐漸考慮系統(tǒng)操作的不可否認(rèn)性，不可否認(rèn)性可以用數(shù)字簽名等來(lái)實(shí)現(xiàn)。授權(quán)清晰的授權(quán)方案：對(duì)重點(diǎn)系統(tǒng)需要有清晰的授權(quán)方案，有時(shí)不僅要指明應(yīng)用哪些系統(tǒng)模塊，還要明確使用哪臺(tái)終端。其他應(yīng)用系統(tǒng)應(yīng)能夠滿足系統(tǒng)功能、角色劃分，滿足用戶需求。授權(quán)委托時(shí)效性：所有類應(yīng)用系統(tǒng)的授權(quán)機(jī)制應(yīng)該能夠處理、識(shí)別、取消或修改授權(quán)操作的最終結(jié)果。授權(quán)數(shù)據(jù)的保護(hù)：(1) 所有類應(yīng)用系統(tǒng)的授權(quán)系統(tǒng)維護(hù)應(yīng)簡(jiǎn)單易行,防止發(fā)生錯(cuò)誤。(2)重點(diǎn)應(yīng)用系統(tǒng)的授權(quán)機(jī)制應(yīng)具有自我保護(hù)能力。異常情況或不兼容的授權(quán)數(shù)據(jù)應(yīng)及早發(fā)現(xiàn)并報(bào)告。授權(quán)數(shù)據(jù)必須認(rèn)真加以保護(hù)，以防任何非授權(quán)修改和惡意破壞。應(yīng)急計(jì)劃所有應(yīng)用系統(tǒng)應(yīng)制定相應(yīng)的應(yīng)急計(jì)劃，它是重要的應(yīng)用系統(tǒng)安全防衛(wèi)措施。應(yīng)急計(jì)劃應(yīng)該包括操作系統(tǒng)中斷、數(shù)據(jù)庫(kù)和物理設(shè)備被破壞等情況的應(yīng)急措施，這個(gè)計(jì)劃也應(yīng)該包括自動(dòng)或人工過(guò)程所需設(shè)備的使用步驟。關(guān)鍵功能的鑒別對(duì)于重點(diǎn)應(yīng)用系統(tǒng)不僅應(yīng)明確其關(guān)鍵功能的關(guān)鍵作用，而且也應(yīng)該明確其它功能轉(zhuǎn)變?yōu)殛P(guān)鍵功能之后的那段時(shí)間它的作用。替換場(chǎng)所操作對(duì)于重點(diǎn)應(yīng)用系統(tǒng)要設(shè)法在其它部門找到相同或兼容的設(shè)備，當(dāng)緊急情況發(fā)生時(shí)，這些作為備份的設(shè)備有可能分配時(shí)間給運(yùn)行失效的應(yīng)用系統(tǒng)，這樣的替換安排應(yīng)該是相互的。此外，針對(duì)替換場(chǎng)所的通信要設(shè)計(jì)出一種方法提供足夠的傳輸設(shè)備；對(duì)配備的人員要進(jìn)行有針對(duì)性的培訓(xùn)。有限的人工替換處理必要時(shí)，將某些關(guān)鍵功能恢復(fù)成人工處理也是一種補(bǔ)償方法。對(duì)于重點(diǎn)應(yīng)用系統(tǒng)如果對(duì)應(yīng)用系統(tǒng)運(yùn)行的持續(xù)性要求較高時(shí)，人工操作所需的一切必須事前準(zhǔn)備妥當(dāng)，如要考慮工作場(chǎng)所、實(shí)時(shí)數(shù)據(jù)的可用性、書面的原始數(shù)據(jù)、人工使用的特殊設(shè)備、報(bào)告格式、通信、傳送、人員的選擇和培訓(xùn)以及及時(shí)記錄所有人工傳遞的處理過(guò)程等。數(shù)據(jù)備份對(duì)于重點(diǎn)應(yīng)用系統(tǒng)應(yīng)該根據(jù)系統(tǒng)的重要程度制定相應(yīng)的數(shù)據(jù)備份策略，并加以落實(shí)實(shí)施，并能熟練實(shí)現(xiàn)在發(fā)生數(shù)據(jù)災(zāi)難時(shí)的數(shù)據(jù)快速恢復(fù)工作。安全管理建立管理體制建立管理體制包括建立防范組織、健全規(guī)章制度和明確職責(zé)任務(wù)三部分。管理體制是進(jìn)行管理的基礎(chǔ)，規(guī)章制度應(yīng)在權(quán)限的分配過(guò)程中建立，并可根據(jù)需要參照?qǐng)?zhí)行。重點(diǎn)應(yīng)用系統(tǒng)應(yīng)建立良好的管理體制并歸檔，對(duì)于其他類應(yīng)用系統(tǒng)應(yīng)逐步完善管理體制。實(shí)施管理措施實(shí)施管理措施應(yīng)以實(shí)施存取控制和監(jiān)督設(shè)備運(yùn)行為主要內(nèi)容。管理措施是對(duì)管理輔之以技術(shù)手段，到達(dá)強(qiáng)化管理的目的。重點(diǎn)類應(yīng)用系統(tǒng)應(yīng)建立起管理措施對(duì)應(yīng)的標(biāo)準(zhǔn)化流程，其他類應(yīng)用系統(tǒng)也應(yīng)該明確其管理措施細(xì)節(jié)，落實(shí)到位。加強(qiáng)教育培訓(xùn)重點(diǎn)類應(yīng)用系統(tǒng)安全培訓(xùn)應(yīng)該以普及安全知識(shí)、教授安全措施的具體操作為重點(diǎn)。其他類應(yīng)用系統(tǒng)應(yīng)在系統(tǒng)幫助里面注明有關(guān)操作條目。應(yīng)該是個(gè)立體的從網(wǎng)絡(luò)層-系統(tǒng)層-應(yīng)用層-后臺(tái)數(shù)據(jù)庫(kù)層面..都應(yīng)該考慮網(wǎng)絡(luò)層主要考慮數(shù)據(jù)傳輸?shù)目煽啃泻捅Ｃ苄浴矓?shù)據(jù)嗅探，監(jiān)聽(tīng)，劫持〕系統(tǒng)層主要考慮系統(tǒng)自身安全〔權(quán)限補(bǔ)丁等等〕應(yīng)用層考慮代碼的強(qiáng)壯性〔開(kāi)發(fā)初期就要注意安全的編碼習(xí)慣〕后期上線的白盒〔源代碼安全評(píng)估閱讀-主要靠經(jīng)驗(yàn)〕黑盒測(cè)試〔web的滲透測(cè)試安全檢測(cè)-應(yīng)用安全典型十大風(fēng)險(xiǎn),及目前主流的發(fā)展變形技術(shù)〕數(shù)據(jù)庫(kù)層面考慮數(shù)據(jù)庫(kù)本身安全補(bǔ)丁端口權(quán)限設(shè)置〔帳戶，服務(wù)權(quán)限二次設(shè)置〕等其他還有很多小的方面需要有個(gè)總體的列表歸納下需要注意的點(diǎn)產(chǎn)品方面現(xiàn)在有很多了國(guó)內(nèi)國(guó)外都有ips〔國(guó)內(nèi)綠盟，啟明的〕效果還是不錯(cuò)的（針對(duì)應(yīng)用層說(shuō)）慢慢會(huì)比較多了ps-我們公司就在做要上線了呵呵總之應(yīng)用針對(duì)網(wǎng)站的說(shuō)需要考慮的因素還是比較多的，需要一個(gè)有經(jīng)驗(yàn)的人把握方方面面即便一個(gè)地方小的疏忽都很有可能威脅到網(wǎng)站安全設(shè)備已經(jīng)很多了。除了樓主說(shuō)的外，我認(rèn)為應(yīng)該精力更應(yīng)該放到細(xì)節(jié)上，比方系統(tǒng)安全不只是補(bǔ)丁和漏洞。1、 服務(wù)器權(quán)限。盡量使用低權(quán)限賬號(hào)，日常登陸服務(wù)器及維護(hù)站點(diǎn)都用低權(quán)限。---防止誤操作降低被攻擊風(fēng)險(xiǎn)。2、 服務(wù)器密碼存放。---本地存放和密碼策略，密碼變更管理等。3、 管理服務(wù)器用戶的IP限制等4、 防DDOS,ARP等大家都說(shuō)了這么多了：我根據(jù)自己的經(jīng)驗(yàn)。也來(lái)說(shuō)兩句。網(wǎng)絡(luò)層面：嚴(yán)格的網(wǎng)絡(luò)防火墻是必要的。抗DDOS也是需要考慮的。同時(shí)NIDS可以有效的監(jiān)控可能帶來(lái)危害的行為。網(wǎng)絡(luò)安全本身也是非常重要的?！颈恍崽竭@些也是高危險(xiǎn)性的?！肯到y(tǒng)層面：對(duì)系統(tǒng)的補(bǔ)丁管理，反病毒，單機(jī)防火墻，HIPS,IPSEC,防篡改都能有一些幫助。但也有些問(wèn)題。1，補(bǔ)丁不及時(shí)，不全面。還是被溢出了？？2，殺毒軟件殺不了毒。由于應(yīng)用的復(fù)雜性，防火墻設(shè)置時(shí)候往往不能到達(dá)權(quán)限最小化。。。。。。。。。要解決所有這些問(wèn)題。一是每個(gè)方面都要加強(qiáng)，同時(shí)不要忽略任意一方面。安全在這里可以說(shuō)是木桶原理的最好表達(dá)了。應(yīng)用層面：主要就是代碼本身了。代碼本身假設(shè)不安全，做太多的措施也是，只要一個(gè)sql注入就全玩玩了。如何編寫安全的web代碼，可以參照owasp。個(gè)人認(rèn)為在配iis也有很多的安全竅門?！颈确絬rlscan過(guò)濾啊等】數(shù)據(jù)庫(kù)層：數(shù)據(jù)庫(kù)的安全加固往往大家容易忽略。這方面可以參考cis相關(guān)資料。另外：重中之重：是要建立一套完整的風(fēng)險(xiǎn)管理體系。風(fēng)險(xiǎn)評(píng)估，滲透測(cè)試，安全加固等等網(wǎng)站架構(gòu)和訪問(wèn)控制權(quán)限上下手，如果為前臺(tái)靜態(tài)發(fā)布+管理發(fā)布生成控制臺(tái)+后臺(tái)數(shù)據(jù)庫(kù)+各模塊，架構(gòu)安全了，再談其他的首先看一下三層架構(gòu)的組成：一：界面層界面層提供應(yīng)用戶一個(gè)視覺(jué)上的界面，通過(guò)界面層，用戶輸入數(shù)據(jù)、獲取數(shù)據(jù)。界面層同時(shí)也提供一定的安全性，確保用戶有會(huì)看到機(jī)密的信息。二：邏輯層邏輯層是界面層和數(shù)據(jù)層的橋梁，它響應(yīng)界面層的用戶請(qǐng)求，執(zhí)行任務(wù)并從數(shù)據(jù)層抓取數(shù)據(jù)，并將必要的數(shù)據(jù)傳送給界面層。三：數(shù)據(jù)層數(shù)據(jù)層定義、維護(hù)數(shù)據(jù)的完整性、安全性，它響應(yīng)邏輯層的請(qǐng)求，訪問(wèn)數(shù)據(jù)。這一層通常由大型的數(shù)據(jù)庫(kù)服務(wù)器實(shí)現(xiàn)，如Oracle、Sybase、MSSQIServer等。下面是三層架構(gòu)的優(yōu)勢(shì)分析：從開(kāi)發(fā)角度和應(yīng)用角度來(lái)看，三層架構(gòu)比雙層或單層結(jié)構(gòu)都有更大的優(yōu)勢(shì)。三層結(jié)構(gòu)適合群體開(kāi)發(fā)，每人可以有不同的分工，協(xié)同工作使效率倍增。開(kāi)發(fā)雙層或單層應(yīng)用時(shí)，每個(gè)開(kāi)發(fā)人員都應(yīng)對(duì)系統(tǒng)有較深的理解，能力要求很高，開(kāi)發(fā)三層應(yīng)用時(shí)，則可以結(jié)合多方面的人才，只需少數(shù)人對(duì)系統(tǒng)全面了解，從一定程度工降低了開(kāi)發(fā)的難度。三層架構(gòu)屬于瘦客戶的模式，用戶端只需一個(gè)較小的硬盤、較小的內(nèi)存、較慢的CPU就可以獲得不錯(cuò)的性能。相比之下，單層或胖客戶對(duì)面器的要求太高。三層架構(gòu)的另一個(gè)優(yōu)點(diǎn)在于可以更好的支持分布式計(jì)算環(huán)境。邏輯層的應(yīng)用程序可以有多個(gè)機(jī)器上運(yùn)行，充分利用網(wǎng)絡(luò)的計(jì)算功能。分布式計(jì)算的潛力巨大，遠(yuǎn)比升級(jí)CPU有效。三層架構(gòu)的最大優(yōu)點(diǎn)是它的安全性。用戶端只能通過(guò)邏輯層來(lái)訪問(wèn)數(shù)據(jù)層，減少了入口點(diǎn)，把很多危險(xiǎn)的系統(tǒng)功能都屏蔽了。另外三層架構(gòu)還可以支持如下功能：RemoteAccess（遠(yuǎn)程訪問(wèn)資料），例如可透過(guò)Internet存取遠(yuǎn)程數(shù)據(jù)庫(kù)；HighPerformance（提升運(yùn)算效率）解決集中式運(yùn)算（Centralize）及主從式架構(gòu)（Client-Server）中，數(shù)據(jù)庫(kù)主機(jī)的運(yùn)算負(fù)擔(dān)，降低數(shù)據(jù)庫(kù)主機(jī)的ConnectionLoad，并可藉由增加AppServer處理眾多的數(shù)據(jù)處理要求，這一點(diǎn)跟前面講到的分布式計(jì)算提高運(yùn)算能力是一個(gè)道理；Client端發(fā)出Request（工作要求）后，便可離線，交由AppServer和DataBaseServer共同把工作完成，減少Client端的等待時(shí)間；這個(gè)功能我覺(jué)得應(yīng)用場(chǎng)合不是很多，自己感受也不是很深刻，從理論上是成立的；這方面的專家請(qǐng)補(bǔ)充和分析一下三層架構(gòu)在安全性方面的影響，水漲船高??；對(duì)于asp.net沒(méi)有專門的研究，僅提供如下思路，供參考：1、 對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全配置，例如你的程序連接數(shù)據(jù)庫(kù)所使用的帳戶/口令/權(quán)限，如果是瀏覽新聞的，用只讀權(quán)限即可；可以對(duì)不同的模塊使用不同的帳戶/權(quán)限；另外，數(shù)據(jù)庫(kù)的哪些存儲(chǔ)過(guò)程可以調(diào)用，也要進(jìn)行嚴(yán)格地配置，用不到的全部禁用〔特別是cmd這種〕，防止注入后利用數(shù)據(jù)庫(kù)的存儲(chǔ)過(guò)程進(jìn)行系統(tǒng)調(diào)用；2、 在獲取客戶端提交的參數(shù)時(shí)，進(jìn)行嚴(yán)格的過(guò)濾，包括參數(shù)長(zhǎng)短、參數(shù)類型等等；3、 對(duì)管理員后臺(tái)進(jìn)行嚴(yán)格的保護(hù)，有條件的話，應(yīng)該設(shè)置為只允許特定的IP訪問(wèn)〔例如只允許管理員網(wǎng)段訪問(wèn)〕——這個(gè)要根據(jù)實(shí)際情況來(lái)看的；4、 對(duì)操作系統(tǒng)進(jìn)行安全配置，防止注入后調(diào)用系統(tǒng)的功能，例如把cmd.exe/tftp.exe/ftp.exe/net.exe這些文件全部轉(zhuǎn)移到其他目錄，并對(duì)目錄進(jìn)行嚴(yán)格的權(quán)限指派；5、 設(shè)置網(wǎng)絡(luò)訪問(wèn)控制；6、 有條件的話，配置針對(duì)HTTP的內(nèi)容過(guò)濾，過(guò)濾病毒、惡意腳本等；7、 如果有必要，可以考慮選擇HTTPS〔這樣可以防止很多的注入工具掃描，我以前自己開(kāi)發(fā)注入檢測(cè)工具的時(shí)候，考慮過(guò)做支持HTTPS方式的，但目前還沒(méi)付諸實(shí)施，相信其他兄弟姐妹考慮到這一點(diǎn)的也不多:〕；相信你也看出來(lái)了，總的來(lái)說(shuō)程序方面主要考慮權(quán)限、參數(shù)過(guò)濾等問(wèn)題；權(quán)限主要包括IIS瀏覽權(quán)限、數(shù)據(jù)庫(kù)調(diào)用權(quán)限。除此以外，還要考慮數(shù)據(jù)庫(kù)、操作系統(tǒng)的安全配置。另外，不知道你們?cè)陂_(kāi)發(fā)過(guò)程中會(huì)不會(huì)用到其他人開(kāi)發(fā)的組件，例如圖片上傳之類的，這類組件你們研究過(guò)其安全性么？或者開(kāi)發(fā)的過(guò)程中，絕大多數(shù)人會(huì)使用網(wǎng)上、書上提供的現(xiàn)成代碼，例如用戶登錄驗(yàn)證等等，這些公開(kāi)代碼，也要研究其安全性問(wèn)題。只是一個(gè)普通的思路而已，談不上建設(shè)性，希望對(duì)你有幫助；要做信息安全規(guī)劃當(dāng)然不能憑空去想，去寫；我覺(jué)得你要做如下幾個(gè)作業(yè)：那就是你要明確三個(gè)問(wèn)題：要去哪里？現(xiàn)在在哪里？如何去你那里？了解信息安全管理方面的最正確實(shí)踐和標(biāo)準(zhǔn)，例如iso17799,等；對(duì)信息安全管理有一個(gè)全貌的了解，心中要裝有藍(lán)圖；證券行業(yè)歸口證監(jiān)會(huì)管，證監(jiān)會(huì)的一些針對(duì)證券行業(yè)的監(jiān)管要求也要看的，了解外部環(huán)境的要求，這些你都是要裝到肚子里面的，你叫他藍(lán)圖也好，你叫他基線也行，這是你做事情的基準(zhǔn)；否則你不知道要去哪里對(duì)吧？了解目前你所在的證券公司的信息安全建設(shè)現(xiàn)狀，以及來(lái)自你的管理層的期望〔如果是一些戰(zhàn)略性的指示那就最好不過(guò)了〕；這樣你會(huì)了解到同藍(lán)圖相比你們的差距以及高層面的指導(dǎo)，如果這種指導(dǎo)是業(yè)務(wù)層面的，那么你要想好實(shí)現(xiàn)業(yè)務(wù)層面的目標(biāo)，信息安全如何幫助你們證券公司去實(shí)現(xiàn)業(yè)務(wù)目標(biāo)；在這里，你就是要搞清楚，我現(xiàn)在在哪里的問(wèn)題。根據(jù)你了解的差距，以及領(lǐng)導(dǎo)的期望，結(jié)合你們現(xiàn)在的實(shí)際情況〔例如資源、范圍等〕整理出近期、中期、遠(yuǎn)期的建設(shè)路線，或者叫安全能力提升路線。在這里，你基本上要搞清楚，我應(yīng)當(dāng)怎么去我要去的地方。當(dāng)然，第2、3步要做的話，還是需要去看一些更詳細(xì)的資料，看如何落實(shí)；例如是不是考慮通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)做現(xiàn)狀分析，那么你要看一些風(fēng)險(xiǎn)評(píng)估方面的標(biāo)準(zhǔn)和資料；能力演進(jìn)路線確實(shí)定也要有一些要素考慮，特別是安全能力提升優(yōu)先級(jí)上，例如外部監(jiān)管要求、你們公司實(shí)際面臨的緊急問(wèn)題、你們的財(cái)力、人力，目前市場(chǎng)上的技術(shù)和能力等等。這種規(guī)劃類的東西，可繁可簡(jiǎn)，根據(jù)你們的具體情況來(lái)看了，看你老板想要什么樣的東西；找咨詢公司做，怕是要花上不少銀子和時(shí)間，自己鼓搗一下，也未必過(guò)不了關(guān)。試用過(guò)IBM的AppScan,這玩意本身就做成了一個(gè)網(wǎng)站的形式，提交個(gè)URL,配置些policy，就可以掃描了，用起來(lái)比較方便。然后掃描了一下他給的樣例網(wǎng)站，發(fā)現(xiàn)扒取功能比較強(qiáng)大，而且掃出了不少漏洞，例如配置文件沒(méi)有隱藏，XSS，還有各種Injection。然后就拿它去掃了一下原來(lái)測(cè)試過(guò)的一個(gè)WebAPP。很遺憾，什么漏洞都沒(méi)有發(fā)現(xiàn)。但是我們測(cè)過(guò)的這個(gè)WebAPP本身是有很多漏洞的，代碼級(jí)別的有n個(gè)XSS，SQLInjection。于是我花了點(diǎn)時(shí)間，看它是怎么識(shí)別漏洞的。以SQLInjection為例，他通過(guò)在request里塞入特殊字符，然后就觀察返回的response有沒(méi)有出現(xiàn)數(shù)據(jù)庫(kù)異常的Exception,通過(guò)提取關(guān)鍵字來(lái)發(fā)現(xiàn)是否有SQL注入漏洞。但是如果APP里對(duì)異常包裝的比較好，或者壓根就不拋異常，它就沒(méi)轍了。也就說(shuō)，他也許已經(jīng)注入成功了，但是沒(méi)法識(shí)別是否成功。而我又看了下XSS是怎么識(shí)別的，同理，也是在request里塞一段代碼，然后看緊跟的response里有沒(méi)有這段代碼。但是大家都知道StoredXSS是把代碼存在數(shù)據(jù)庫(kù)里的，也許是其他頁(yè)面才能看到，或者壓根是別人才能看到，所以它同樣沒(méi)轍。上述的還是漏報(bào)，我經(jīng)歷過(guò)一次誤報(bào)就更搞笑了。paros提供簡(jiǎn)單的掃描功能，有一次用它掃描，居然發(fā)現(xiàn)了sql注入漏洞，但是看過(guò)代碼認(rèn)為這個(gè)漏洞是不會(huì)發(fā)生的，于是看了下細(xì)節(jié)，笑翻了。它在request里塞了一段代碼，意思是讓數(shù)據(jù)庫(kù)20秒后再反應(yīng)，結(jié)果可能當(dāng)時(shí)那個(gè)response真的是20秒后再過(guò)來(lái)的，于是它就認(rèn)為注入成功了。所以我覺(jué)得自動(dòng)化測(cè)試工具本身是有局限性的，誤報(bào)漏報(bào)很正常，因?yàn)閷?duì)漏洞的偵測(cè)可能需要綜合一些現(xiàn)象去判斷，工具的AI只能覆蓋部分內(nèi)容。今天上午，HP的WebInspect的一個(gè)老外遠(yuǎn)程給我們做他們產(chǎn)品的培訓(xùn)，看了下它家的產(chǎn)品，他提出的是一攬子解決方案，從設(shè)計(jì)，開(kāi)發(fā)，測(cè)試等階段都有他們的相關(guān)產(chǎn)品，最后還有個(gè)什么控制工具能圖形化的管理這些流程中存在的風(fēng)險(xiǎn)點(diǎn)。最后演示了下他們的漏洞掃描功能，跟APPScan差不多，問(wèn)他原理是怎么樣的，他不知道是沒(méi)聽(tīng)懂還是故意閃爍其詞,反正就是沒(méi)講原理咋樣。我覺(jué)得樓主要買這些產(chǎn)品的話，先要擺正這個(gè)產(chǎn)品的位置。我很同意mimime的說(shuō)法，自動(dòng)化掃描工具能提供參考，縮小范圍，加快效率，但是千萬(wàn)不能迷信，一套合理的流程是必須的。設(shè)計(jì)時(shí)就考慮安全，編代碼時(shí)要符合bestpractice，測(cè)試時(shí)先工具掃描再人工掃描,有條件的話還可以找黑客做滲透性測(cè)試。所以樓主在評(píng)估時(shí)，可以考慮哪個(gè)軟件能很好地融入公司的開(kāi)發(fā)流程，方便風(fēng)險(xiǎn)管理，至于漏洞掃描，可以自己找個(gè)自己清楚的網(wǎng)站評(píng)估下，看看哪個(gè)AI強(qiáng)一點(diǎn)，不要用它提供的樣例網(wǎng)站。大概可以從這么幾個(gè)方面考慮：操作系統(tǒng)自身的安全性，端口，服務(wù)，補(bǔ)丁，安全策略管理員口令強(qiáng)度，本地/遠(yuǎn)程登錄維護(hù)策略，日志及分析等措施詳細(xì)內(nèi)容可以搜索查找2.IIS，或者Apache，或者其他相關(guān)WEB服務(wù)器程序的安全性具體內(nèi)容可以搜索一下，關(guān)于這方面的內(nèi)容挺多的3.網(wǎng)站程序自身的安全性，注意是否有明顯可以被利用的漏洞和不足敏感字符過(guò)濾，防止SQL注入，定期檢查，防止代碼被修改，被掛載木馬后臺(tái)數(shù)據(jù)庫(kù)的安全性，重要數(shù)據(jù)是否考慮加密，補(bǔ)丁，數(shù)據(jù)備份不必要存儲(chǔ)過(guò)程的刪除，用戶權(quán)限控制，管理員口令等等詳細(xì)內(nèi)容可以搜索一下客戶的重要商業(yè)信息如果不是很必要的話，最好還是保存到其他的隔離主機(jī)當(dāng)中，如果實(shí)在不能實(shí)現(xiàn)，可以考慮對(duì)數(shù)據(jù)進(jìn)行加密處理不知道這臺(tái)WEB服務(wù)器前端有沒(méi)有部署防火墻，如果已經(jīng)使用防火墻可以在防火墻設(shè)置相應(yīng)嚴(yán)格的訪問(wèn)控制策略安裝防病毒軟件及時(shí)升級(jí)病毒庫(kù)，再服務(wù)器負(fù)載，訪問(wèn)量不是很大時(shí)進(jìn)行病毒查殺PS：如果網(wǎng)站程序只是一些靜態(tài)網(wǎng)頁(yè)，而且更新周期比較長(zhǎng)〔4個(gè)月，6個(gè)月，更長(zhǎng)〕可以考慮把網(wǎng)站程序可錄到光盤里，或者存儲(chǔ)到U盤中并且把U盤寫保護(hù)打開(kāi)，使U盤中內(nèi)容只能夠讀取。暫時(shí)想到這么多，在補(bǔ)充吧保證數(shù)據(jù)庫(kù)系統(tǒng)的安全隨著電腦技術(shù)的飛速發(fā)展，數(shù)據(jù)庫(kù)的應(yīng)用十分廣泛，深入到各個(gè)領(lǐng)域，但隨之而來(lái)產(chǎn)生了數(shù)據(jù)的安全問(wèn)題。各種應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)中大量數(shù)據(jù)的安全問(wèn)題、敏感數(shù)據(jù)的防竊取和防篡改問(wèn)題，越來(lái)越引起人們的高度重視。數(shù)據(jù)庫(kù)系統(tǒng)作為信息的聚集體，是電腦信息系統(tǒng)的核心部件，其安全性至關(guān)重要，關(guān)系到企業(yè)興衰、成敗。因此，如何有效地保證數(shù)據(jù)庫(kù)系統(tǒng)的安全，實(shí)現(xiàn)數(shù)據(jù)的保密性、完整性和有效性，已經(jīng)成為業(yè)界人士探索研究的重要課題之一，本文就安全防入侵技術(shù)做簡(jiǎn)要的討論。數(shù)據(jù)庫(kù)系統(tǒng)的安全除依賴自身內(nèi)部的安全機(jī)制外，還與外部網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境、從業(yè)人員素質(zhì)等因素息息相關(guān)，因此，從廣義上講，數(shù)據(jù)庫(kù)系統(tǒng)的安全框架可以劃分為三個(gè)層次：網(wǎng)絡(luò)系統(tǒng)層次;宿主操作系統(tǒng)層次;(3)數(shù)據(jù)庫(kù)管理系統(tǒng)層次。這三個(gè)層次構(gòu)筑成數(shù)據(jù)庫(kù)系統(tǒng)的安全體系，與數(shù)據(jù)安全的關(guān)系是逐步緊密的，防范的重要性也逐層加強(qiáng)，從外到內(nèi)、由表及里保證數(shù)據(jù)的安全。下面就安全框架的三個(gè)層次展開(kāi)論述。1.網(wǎng)絡(luò)系統(tǒng)層次安全技術(shù)從廣義上講，數(shù)據(jù)庫(kù)的安全首先依賴于網(wǎng)絡(luò)系統(tǒng)。隨著Internet的發(fā)展和普及，越來(lái)越多的公司將其核心業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)移，各種基于網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)如雨后春筍般涌現(xiàn)出來(lái)，面向網(wǎng)絡(luò)用戶提供各種信息服務(wù)?？梢哉f(shuō)網(wǎng)絡(luò)系統(tǒng)是數(shù)據(jù)庫(kù)應(yīng)用的外部環(huán)境和基礎(chǔ)，數(shù)據(jù)庫(kù)系統(tǒng)要發(fā)揮其強(qiáng)大作用離不開(kāi)網(wǎng)絡(luò)系統(tǒng)的支持，數(shù)據(jù)庫(kù)系統(tǒng)的用戶(如異地用戶、分布式用戶)也要通過(guò)網(wǎng)絡(luò)才能訪問(wèn)數(shù)據(jù)庫(kù)的數(shù)據(jù)。網(wǎng)絡(luò)系統(tǒng)的安全是數(shù)據(jù)庫(kù)安全的第一道屏障，外部入侵首先就是從入侵網(wǎng)絡(luò)系統(tǒng)開(kāi)始的。網(wǎng)絡(luò)入侵試圖破壞信息系統(tǒng)的完整性、機(jī)密性或可信任的任何網(wǎng)絡(luò)活動(dòng)的集合，具有以下特點(diǎn)：沒(méi)有地域和時(shí)間的限制，跨越國(guó)界的攻擊就如同在現(xiàn)場(chǎng)一樣方便；通過(guò)網(wǎng)絡(luò)的攻擊往往混雜在大量正常的網(wǎng)絡(luò)活動(dòng)之中，隱蔽性強(qiáng)；入侵手段更加隱蔽和復(fù)雜。電腦網(wǎng)絡(luò)系統(tǒng)開(kāi)放式環(huán)境面臨的威脅主要有以下幾種類型：欺騙(Masquerade);重發(fā)(Replay);扌報(bào)文修改(Modificationofmessage);拒絕服務(wù)(Denyofservice);陷阱門(Trapdoor);特洛伊木馬(Trojanhorse);攻擊，如透納攻擊(TunnelingAttack)、應(yīng)用軟件攻擊等。這些安全威脅是無(wú)時(shí)、無(wú)處不在的，因此必須采取有效的措施來(lái)保障系統(tǒng)的安全。從技術(shù)角度講，網(wǎng)絡(luò)系統(tǒng)層次的安全防范技術(shù)有很多種，大致可以分為防火墻、入侵檢測(cè)、協(xié)作式入侵檢測(cè)技術(shù)等。防火墻是應(yīng)用最廣的一種防范技術(shù):作為系統(tǒng)的第一道防線，其主要作用是監(jiān)控可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的訪問(wèn)通道，可在內(nèi)部與外部網(wǎng)絡(luò)之間形成一道防護(hù)屏障，攔截來(lái)自外部的非法訪問(wèn)并阻止內(nèi)部信息的外泄，但它無(wú)法阻攔來(lái)自網(wǎng)絡(luò)內(nèi)部的非法操作。它根據(jù)事先設(shè)定的規(guī)則來(lái)確定是否攔截信息流的進(jìn)出，但無(wú)法動(dòng)態(tài)識(shí)別或自適應(yīng)地調(diào)整規(guī)則，因而其智能化程度很有限。防火墻技術(shù)主要有三種：數(shù)據(jù)包過(guò)濾器(packetfilter)、代理(proxy)和狀態(tài)分析(statefulinspection)?，F(xiàn)代防火墻產(chǎn)品通常混合使用這幾種技術(shù)。入侵檢測(cè)(IDS—InstrusionDetectionSystem)是近年來(lái)發(fā)展起來(lái)的一種防范技術(shù):綜合采用了統(tǒng)計(jì)技術(shù)、規(guī)則方法、網(wǎng)絡(luò)通信技術(shù)、人工智能、密碼學(xué)、推理等技術(shù)和方法，其作用是監(jiān)控網(wǎng)絡(luò)和電腦系統(tǒng)是否出現(xiàn)被入侵或?yàn)E用的征兆。1987年，DerothyDenning首次提出了一種檢測(cè)入侵的思想，經(jīng)過(guò)不斷發(fā)展和完善，作為監(jiān)控和識(shí)別攻擊的標(biāo)準(zhǔn)解決方案，IDS系統(tǒng)已經(jīng)成為安全防御系統(tǒng)的重要組成部分。入侵檢測(cè)采用的分析技術(shù)可分為三大類：簽名、統(tǒng)計(jì)和數(shù)據(jù)完整性分析法。簽名分析法:主要用來(lái)監(jiān)測(cè)對(duì)系統(tǒng)的已知弱點(diǎn)進(jìn)行攻擊的行為。人們從攻擊模式中歸納出它的簽名，編寫到IDS系統(tǒng)的代碼里