当前位置：清风网络学院 → 网络技术 → 网络安全 → 实现 Web 应用程序安全的捷径


	精品推荐


特别推荐


热点TOP10

·网站安全：单引号导致的网站崩溃 L-blog入侵实录

·FoxMail和OICQ泄密

实现 Web 应用程序安全的捷径

日期：2008年2月27日作者：查看:[大字体中字体小字体]

　　
　　4.找出威胁。
　　
　　牢记攻击者的目标，借助应用程序体系结构和潜在缺陷的信息找出可能会影响应用程序的威胁。
　　
　　5.记录威胁。
　　
　　使用定义了核心属性集（处理任意威胁都必须获取这些属性）的通用威胁模板记录各种威胁。
　　
　　6.评估威胁。
　　
　　评估威胁的级别，然后区分优先顺序。首先处理的是最严重的威胁，即风险最大的威胁。评估过程可权衡威胁发生时造成的损害的概率。通过比较威胁的风险与应对措施的成本可能会发现，有些威胁可能不值得采取任何应对措施。
　　
　　在产品生命周期中应用指南
　　本指南的不同部分要应用于产品开发生命周期中的不同阶段。指南中各单元的出现顺序反映了生命周期的典型阶段。图 5 给出了单元与角色的关系。
　　　小知识：实现 Web 应用程序安全的捷径（图七）

　　图 5. 单元与产品生命周期的关系。
　　
　　注威胁建模和安全性评估（特别是代码审查和部署审查单元）在构建新的 Web 应用程序或者审查现有应用程序时应用。
　　
　　实施指南内容
　　本指南以任务为基础并按单元进行划分，每个单元与产品开发生命周期的各种阶段以及涉及的各种角色相关联。这些角色包括架构师、开发人员、系统管理员及安全性专家。您可以挑选特定单元来执行特定的任务，或者将一系列单元应用于产品开发生命周期的某个阶段。
　　
　　表 3 显示的检查表突出强调了本指南涉及的、确保网络、主机和应用程序的安全所需的各个领域。
　　　小知识：实现 Web 应用程序安全的捷径（图八）

　　谁做什么？
　　设计并构建安全的应用程序是一种由多种角色协作完成的工作。本指南的组织方式为讨论每一角色以其需考虑的相关安全因素。要处理的类别和问题概述如下。
　　
　　RACI 图表
　　
　　RACI 代表：
　　
　　Responsible（负责执行任务的角色）
　　
　　Accountable（对任务负全责的角色）
　　
　　Consulted（提供输入辅助执行任务的人员）
　　
　　Keep Informed （拥有既定特权、应及时得到通知的人员）
　　
　　在开始执行项目时，您可通过 RACI 图表来找出与关键安全性相关的任务，以及执行每一任务的相关角色。
　　
　　表 4 阐明了本指南使用的简单 RACI 图表。（标题行列出了不同角色；第一列是任务，其余各列则依据角色描述了不同任务的责任级别。）
　　小知识：实现 Web 应用程序安全的捷径（图九）

　　小结
　　本“捷径”单元重点说明了指南中使用的基本方法，目的是帮助您设计和开发抗攻击的 Web 应用程序，然后评估现有应用程序的安全性。此外，本文还指明依据项目生命周期中的特定角色来应用指南内容的方式。

（出处：清风网络学院）

上一页 [1] [2]

上一篇:打造功能强大的Windows XP启动密码

下一篇:VB.NET创建对方法类型安全引用入门

·如何实现局域网打印机共享

·从零开始　无线网络终极应用宝典

·基础知识初级黑客安全技术命令详解

·注册表应用100例—注册表使用全攻略之十一

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot