　　图 1. 指南的范围
　　
　　本指南解决了跨三个物理层的安全问题，如图 1 所示，包括 Web 服务器、远程应用程序服务器和数据库服务器。每一层都面临网络层、主机层和应用程序层的安全问题。图 1 还显示了指南用来组织各种安全配置设置的配置类别（安全配置设置应用于主机和网络），以及用于组织应用程序的安全事项的应用程序缺陷类别。
　　
　　整体的方法
　　Web 应用程序的安全问题始终是所有应用程序层和多个级别都要考虑的。攻击者可能会利用任何层次上的缺陷进行攻击。因此，本指南针对应用程序的安全问题提出一种整体方法，并将它应用于全部三个层次。解决安全问题的整体方法如图 2 所示。
　　　小知识：实现 Web 应用程序安全的捷径（图二）

　　图 2. 解决安全问题的整体方法
　　
　　图 2 给出了本指南涉及的多个层，包括网络层、主机层和应用程序层。主机层包括操作系统、平台服务与组件、以及运行时服务与组件。平台服务与组件包括 Microsoft? SQL Server? 2000 和企业服务。运行时服务与组件还包括 Asp.Net 和 .NET 代码访问安全性。
　　
　　保证网络的安全
　　安全网络的三个核心元素是路由器、防火墙和交换机。本指南涉及了全部三个元素。表 1 是每个元素的简要描述。
　　　小知识：实现 Web 应用程序安全的捷径（图三）

　　保证主机的安全
　　主机包括操作系统、.NET Framework 和相关服务与组件。无论主机是运行 IIS 的 Web 服务器、还是运行企业服务的应用程序服务器、或是运行 SQL Server 的数据库服务器，本指南皆遵循一种常规的安全方法（在各种服务器角色和类型中通用）。
　　
　　指南使用了不同的类别来组织必须采取的预防措施和必须配置的设置。使用这些配置类别，您可以自顶向下系统地执行安全过程，或者挑选特定的类别来完成特定的步骤。
　　
　　图 3 显示了指南的第 IV 部分“确保网络、主机和应用程序的安全”所使用的配置类别。
　　　小知识：实现 Web 应用程序安全的捷径（图四）

　　图 3. 主机安全类别
　　
　　保证应用程序的安全
　　本指南定义了一组应用程序缺陷类别，它们可帮助您设计和构建安全的 Web 应用程序，评估现有应用程序的安全性。这些类别是通用的，在分层式体系结构的多种技术和组件中适用。这些类别在设计、构建和安全性评估单元中进行重点讨论。
　　　小知识：实现 Web 应用程序安全的捷径（图五）

　　找出威胁
　　在成功地应用安全性措施之前，您需要知道自己面临的威胁。威胁可能来自外部，如来自 Internet 的攻击者；威胁也可能来自内部，如来自心怀不满的雇员或者管理员。本指南将帮助您使用两种方法找出威胁：
　　
　　列出在网络层、主机层和应用程序层上最具影响的 Web 应用程序威胁。
　　
　　展示了威胁建模的过程，帮助您找出哪些威胁与自己的应用程序相关。
　　
　　图 4 给出了本指南中介绍的威胁建模过程概览。
　　　小知识：实现 Web 应用程序安全的捷径（图六）

　　图 4. 威胁建模的过程
　　
　　图 4 中给出的步骤可描述如下：
　　
　　1.找出资源。
　　
　　找出系统必须要保护的有价值资源。

[1] [2] 下一页

上一篇:打造功能强大的Windows XP启动密码

下一篇:VB.NET创建对方法类型安全引用入门

实现 Web 应用程序安全的捷径相关文章：

·每周电脑应用技巧荟萃

·软件限制策略的简单应用

·Windows XP系统应用技巧之安装与开关机篇

实现 Web 应用程序安全的捷径相关软件：

·AutoCAD应用技巧与常见问题你问我答

·中文版 AutoCAD2004 应用实例与技巧

·注册表实例应用视频教程swf

·计算机绘图应用教程——CAXA电子图板XP

·Excel应用宝典

·全国专业技术人员计算机应用能力考试模拟

·全国专业技术人员计算机应用能力考试模拟 V2.1

·C++语言程序设计及应用实例PDF电子书

·嵌入式系统应用开发技术 wmv 视频教程

·CorelDRAW9应用速成

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.viphot.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:vipcn