文章分类 | 推荐文章 | 最新文章 | 热点文章 | 最新软件 | 精品软件 | 下载排行 | 推荐下载 | 免费看大片 | WPS | 杀毒软件
清风网络
首 页 软件下载 网络学院 数码学院
QQ 电脑入门 游戏 操作系统 图形处理 办公软件 媒体动画 精文荟萃 工具软件 网络编程 程序开发 网络技术 认证考试 网站建设 文章专栏
当前位置:清风网络学院网络技术网络安全实现 Web 应用程序安全的捷径
精品推荐
特别推荐
·无线入侵的技术细节
·SQL注入和CSS攻击的检测
·详解:五种Windows常用密码设置
·浅析黑客攻击时的常用方法和攻击步骤
·不怕攻击 家庭上网必学八招安全绝招
·入门者如何获取肉鸡
·Linux安全配置步骤简述
·Wi-Fi网络安全探讨及组网策略
·网页病毒的概念
·保障您网站安全的十点技巧
热点TOP10
·PING命令的小秘密
·不怕攻击 家庭上网必学八招安全绝招
·内网数据库服务器入侵实战
·六个简单方法防止上网被钓鱼
·网络安全指南--中小企业网络安全指南
·大网站是保障网络安全的技巧
·预防网络病毒的几个忠告
·认识“瞬时攻击“的危险性
·网站安全:单引号导致的网站崩溃 L-blog入侵实录
·FoxMail和OICQ泄密

实现 Web 应用程序安全的捷径
日期:2008年2月27日 作者: 查看:[大字体 中字体 小字体]

 目标与范围  本指南可帮助您设计、构建和配置抗攻击的 Web 应用程序。这些应用程序可以减少攻击的成功概率,并减轻受到攻击时受损的程度。图 1 显示了指南的范围及其使用的三层式方法:确保网络安全、确保主机安全和确保应用程序安全。
  
 小知识:实现 Web 应用程序安全的捷径(图一)


  
图 1. 指南的范围

  
  本指南解决了跨三个物理层的安全问题,如图 1 所示,包括 Web 服务器、远程应用程序服务器和数据库服务器。每一层都面临网络层、主机层和应用程序层的安全问题。图 1 还显示了指南用来组织各种安全配置设置的配置类别(安全配置设置应用于主机和网络),以及用于组织应用程序的安全事项的应用程序缺陷类别。
  
  整体的方法
  Web 应用程序的安全问题始终是所有应用程序层和多个级别都要考虑的。攻击者可能会利用任何层次上的缺陷进行攻击。因此,本指南针对应用程序的安全问题提出一种整体方法,并将它应用于全部三个层次。解决安全问题的整体方法如图 2 所示。
  
 小知识:实现 Web 应用程序安全的捷径(图二)

  
图 2. 解决安全问题的整体方法

  
  图 2 给出了本指南涉及的多个层,包括网络层、主机层和应用程序层。主机层包括操作系统、平台服务与组件、以及运行时服务与组件。平台服务与组件包括 Microsoft? SQL Server? 2000 和企业服务。运行时服务与组件还包括 ASP.NET 和 .NET 代码访问安全性。
  
  保证网络的安全
  安全网络的三个核心元素是路由器、防火墙和交换机。本指南涉及了全部三个元素。表 1 是每个元素的简要描述。
  
 小知识:实现 Web 应用程序安全的捷径(图三)

  保证主机的安全
  主机包括操作系统、.NET Framework 和相关服务与组件。无论主机是运行 IIS 的 Web 服务器、还是运行企业服务的应用程序服务器、或是运行 SQL Server 的数据库服务器,本指南皆遵循一种常规的安全方法(在各种服务器角色和类型中通用)。
  
  指南使用了不同的类别来组织必须采取的预防措施和必须配置的设置。使用这些配置类别,您可以自顶向下系统地执行安全过程,或者挑选特定的类别来完成特定的步骤。
  
  图 3 显示了指南的第 IV 部分“确保网络、主机和应用程序的安全”所使用的配置类别。
  
 小知识:实现 Web 应用程序安全的捷径(图四)

  
图 3. 主机安全类别

  
  保证应用程序的安全
  本指南定义了一组应用程序缺陷类别,它们可帮助您设计和构建安全的 Web 应用程序,评估现有应用程序的安全性。这些类别是通用的,在分层式体系结构的多种技术和组件中适用。这些类别在设计、构建和安全性评估单元中进行重点讨论。
  
 小知识:实现 Web 应用程序安全的捷径(图五)

  找出威胁
  在成功地应用安全性措施之前,您需要知道自己面临的威胁。威胁可能来自外部,如来自 Internet 的攻击者;威胁也可能来自内部,如来自心怀不满的雇员或者管理员。本指南将帮助您使用两种方法找出威胁:
  
  列出在网络层、主机层和应用程序层上最具影响的 Web 应用程序威胁。
  
  展示了威胁建模的过程,帮助您找出哪些威胁与自己的应用程序相关。
  
  图 4 给出了本指南中介绍的威胁建模过程概览。
  
 小知识:实现 Web 应用程序安全的捷径(图六)

  
图 4. 威胁建模的过程

  
  图 4 中给出的步骤可描述如下:
  
  1.找出资源。
  
  找出系统必须要保护的有价值资源。
  
  2.创建体系结构概述。
  
  使用简单的图表来记录应用程序的体系结构,包括子系统、信任边界和数据流。
  
  3.分解应用程序。
  
  分解应用程序的体系结构,包括基础网络和主机基础结构设计,目标是创建应用程序的安全配置文件。安全配置文件旨在揭示应用程序设计、实现或部署配置中存在的缺陷。

[1] [2] 下一页 




上一篇:打造功能强大的Windows XP启动密码

下一篇:VB.NET创建对方法类型安全引用入门

相关文章:
·如何实现局域网打印机共享
·从零开始 无线网络终极应用宝典
·基础知识 初级黑客安全技术命令详解
·注册表应用100例—注册表使用全攻略之十一
·添加或删除启动时自动运行的程序
·如何以安全模式启动计算机
·WindowsXP应用技巧的具体总结
·Excel2000工作薄安全攻略
·如何进入QQ空间安全模式
·水晶报表的jsp实现
相关软件:
·C语言程序设计
·2007网络安全黄皮书V1.0.0
·如何加固Windows XP 主机安全
·Windows环境下32位汇编语言程序设计
·注册表实例应用视频教程swf
·Excel应用宝典
·AUTOCAD 2002机械设计应用与实例
·防骗 安全教育片
·360安全卫士v3.2
·中文版 AutoCAD2004 应用实例与技巧

特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源:http://www.vipcn.com
| 帮助(?) | 版权声明 | 友情连接 | 关于我们 | 信息发布
Copyright 2007 www.vipcn.com All Rights Reserved. 鄂ICP备05000083号Powered by:vipcn