【正文】 同的階段采用相應(yīng)的工作方法和工作步驟，設(shè)計(jì)出一個(gè)把安全貫穿始終、切實(shí)可行的安全方案。其他類應(yīng)用系統(tǒng) 服務(wù)器放置在公司內(nèi)部網(wǎng)中。1 應(yīng)用系統(tǒng)安全類別劃分應(yīng)用系統(tǒng)安全規(guī)范制定建議 系統(tǒng)平臺(tái)安全性 病毒對(duì)系統(tǒng)的威脅各應(yīng)用系統(tǒng) WINDOWS平臺(tái)應(yīng)關(guān)閉掉服務(wù)器的完全共享，并安裝防毒客戶端軟件，啟用實(shí)時(shí)防護(hù)與接受管理，進(jìn)行周期性對(duì)系統(tǒng)全機(jī)病毒掃描。對(duì)應(yīng)用系統(tǒng)應(yīng)能提供書面可行的安全方案。安全設(shè)計(jì)：安全設(shè)計(jì)不能簡(jiǎn)單依附于系統(tǒng)設(shè)計(jì)的控制而了事，安全的內(nèi)容必須滲透到整個(gè)設(shè)計(jì)階段。對(duì)于重點(diǎn)類系統(tǒng)應(yīng)能夠提供這方面的細(xì)節(jié)說(shuō)明，以證實(shí)安全性設(shè)計(jì)的有效性。(2)綜合運(yùn)用靜態(tài)和動(dòng)態(tài)檢測(cè)技術(shù)，進(jìn)行全面認(rèn)真的檢測(cè)和評(píng)估，發(fā)現(xiàn)在應(yīng)用系統(tǒng)設(shè)計(jì)和編碼中的錯(cuò)誤、疏忽和其它缺陷。對(duì)安全變異的響應(yīng): 重點(diǎn)應(yīng)用系統(tǒng)中，一切與現(xiàn)行安全規(guī)定抵觸的每一件事或不能解釋的結(jié)果以及其它異常事件都應(yīng)視為安全變異現(xiàn)象，應(yīng)該給予足夠的重視，并盡快報(bào)告管理員或其他負(fù)責(zé)人采取必要措施，以減少或消除不安全隱患。 接口安全性 接口安全性要求職責(zé)分隔：應(yīng)用系統(tǒng)接口是易受攻擊的脆弱點(diǎn)，重點(diǎn)應(yīng)用系統(tǒng)中，應(yīng)從職責(zé)管理上加強(qiáng)，將責(zé)任實(shí)現(xiàn)最佳分離。 接口擴(kuò)展性要求接口標(biāo)準(zhǔn)性要求：對(duì)于各類應(yīng)用系統(tǒng) 應(yīng)該能夠盡量接口標(biāo)準(zhǔn)化，從而利于應(yīng)用系統(tǒng)間信息的互通。 數(shù)據(jù)安全性 數(shù)據(jù)傳輸?shù)臋C(jī)密性重點(diǎn)應(yīng)用系統(tǒng) 中傳輸關(guān)鍵、敏感數(shù)據(jù)時(shí)要采用傳輸加密技術(shù)，實(shí)現(xiàn)數(shù)據(jù)機(jī)密性要求；其他類應(yīng)用系統(tǒng)應(yīng)根據(jù)具體情況來(lái)考慮。加解密實(shí)現(xiàn)方式:(1) 如果要求全通信業(yè)務(wù)流機(jī)密性，那么應(yīng)選取物理層加密，或傳輸安全手段(例如，適當(dāng)?shù)臄U(kuò)頻技術(shù))。(4) 如果要求帶恢復(fù)的完整性，同時(shí)又具有高粒度保護(hù)，那么將選取傳輸層加密。 數(shù)據(jù)傳輸?shù)耐暾詳?shù)據(jù)完整性：對(duì)于重點(diǎn) 應(yīng)用系統(tǒng)，因數(shù)據(jù)在INTERNET上傳播或至關(guān)重要，應(yīng)該保障數(shù)據(jù)的完整性，針對(duì)應(yīng)用系統(tǒng)信息的重要程度，可以采用不同的數(shù)據(jù)完整性驗(yàn)證手段。(2) 強(qiáng)身份認(rèn)證方式有效保障：對(duì)重要應(yīng)用系統(tǒng)應(yīng)逐漸傾向于加強(qiáng)的身份認(rèn)證方式來(lái)保證用戶身份安全，強(qiáng)身份認(rèn)證方式可采用證書方式或動(dòng)態(tài)口令方式等來(lái)實(shí)現(xiàn)。其他應(yīng)用系統(tǒng) 應(yīng)能夠滿足系統(tǒng)功能、角色劃分，滿足用戶需求。 所有類應(yīng)用系統(tǒng) 的授權(quán)系統(tǒng)維護(hù)應(yīng)簡(jiǎn)單易行,避免發(fā)生錯(cuò)誤。 異常情況或不兼容的授權(quán)數(shù)據(jù)應(yīng)及早發(fā)現(xiàn)并報(bào)告。 關(guān)鍵功能的鑒別對(duì)于重點(diǎn)應(yīng)用系統(tǒng) 不僅應(yīng)明確其關(guān)鍵功能的關(guān)鍵作用，而且也應(yīng)該明確其它功能轉(zhuǎn)變?yōu)殛P(guān)鍵功能之后的那段時(shí)間它的作用。對(duì)于重點(diǎn)應(yīng)用系統(tǒng) 如果對(duì)應(yīng)用系統(tǒng)運(yùn)行的持續(xù)性要求較高時(shí)，人工操作所需的一切必須事前準(zhǔn)備妥當(dāng)，如要考慮工作場(chǎng)所、實(shí)時(shí)數(shù)據(jù)的可用性、書面的原始數(shù)據(jù)、人工使用的特殊設(shè)備、報(bào)告格式、通信、傳送、人員的選擇和培訓(xùn)以及及時(shí)記錄所有人工傳遞的處理過(guò)程等。重點(diǎn)應(yīng)用系統(tǒng) 應(yīng)建立良好的管理體制并歸檔，對(duì)于其他類 應(yīng)用系統(tǒng)應(yīng)逐步完善管理體制。 加強(qiáng)教育培訓(xùn)重點(diǎn)類應(yīng)用系統(tǒng) 安全培訓(xùn)應(yīng)該以普及安全知識(shí)、教授安全措施的具體操作為重點(diǎn)。 服務(wù)器權(quán)限。本地存放和密碼策略，密碼變更管理等。抗DDOS也是需要考慮的?！?系統(tǒng)層面：對(duì)系統(tǒng)的補(bǔ)丁管理，反病毒，單機(jī)防火墻，HIPS，IPSEC,防篡改都能有一些幫助。 3,由于應(yīng)用的復(fù)雜性，防火墻設(shè)置時(shí)候往往不能達(dá)到權(quán)限最小化。 應(yīng)用層面：主要就是代碼本身了?！颈热鐄rlscan過(guò)濾啊等】 數(shù)據(jù)庫(kù)層：數(shù)據(jù)庫(kù)的安全加固往往大家容易忽略。網(wǎng)站架構(gòu)和訪問(wèn)控制權(quán)限上下手，如果為前臺(tái)靜態(tài)發(fā)布+管理發(fā)布生成控制臺(tái)+后臺(tái)數(shù)據(jù)庫(kù)+各模塊，架構(gòu)安全了，再談其他的首先看一下三層架構(gòu)的組成： 一：界面層 界面層提供給用戶一個(gè)視覺(jué)上的界面，通過(guò)界面層，用戶輸入數(shù)據(jù)、獲取數(shù)據(jù)。這一層通常由大型的數(shù)據(jù)庫(kù)服務(wù)器實(shí)現(xiàn)，如Oracle 、Sybase、MS SQl Server等。 三層架構(gòu)屬于瘦客戶的模式，用戶端只需一個(gè)較小的硬盤、較小的內(nèi)存、較慢的CPU就可以獲得不錯(cuò)的性能。分布式計(jì)算的潛力巨大，遠(yuǎn)比升級(jí)CPU有效。除此以外，還要考慮數(shù)據(jù)庫(kù)、操作系統(tǒng)的安全配置。在這里，你基本上要搞清楚，我應(yīng)當(dāng)怎么去我要去的地方。然后掃描了一下他給的樣例網(wǎng)站，發(fā)現(xiàn)扒取功能比較強(qiáng)大，而且掃出了不少漏洞，例如配置文件沒(méi)有隱藏，XSS，還有各種Injection。于是我花了點(diǎn)時(shí)間，看它是怎么識(shí)別漏洞的。而我又看了下XSS是怎么識(shí)別的，同理，也是在request里塞一段代碼，然后看緊跟的response里有沒(méi)有這段代碼。它在request里塞了一段代碼，意思是讓數(shù)據(jù)庫(kù)20秒后再反應(yīng)，結(jié)果可能當(dāng)時(shí)那個(gè)response真的是20秒后再過(guò)來(lái)的，于是它就認(rèn)為注入成功了。 我覺(jué)得樓主要買這些產(chǎn)品的話，先要擺正這個(gè)產(chǎn)品的位置。大概可以從這么幾個(gè)方面考慮： ，端口，服務(wù)，補(bǔ)丁，安全策略 管理員口令強(qiáng)度，本地/遠(yuǎn)程登錄維護(hù)策略，日志及分析等措施 詳細(xì)內(nèi)容可以搜索查找 ，或者Apache，或者其他相關(guān)WEB服務(wù)器程序的安全性 具體內(nèi)容可以搜索一下，關(guān)于這方面的內(nèi)容挺多的 ，注意是否有明顯可以被利用的漏洞和不足 敏感字符過(guò)濾，防止SQL注入，定期檢查，防止代碼被修改，被掛載木馬 等等 ，重要數(shù)據(jù)是否考慮加密，補(bǔ)丁，數(shù)據(jù)備份 不必要存儲(chǔ)過(guò)程的刪除，用戶權(quán)限控制，管理員口令等等 詳細(xì)內(nèi)容可以搜索一下 5. 客戶的重要商業(yè)信息如果不是很必要的話，最好還是保存到其他的隔離 主機(jī)當(dāng)中，如果實(shí)在不能實(shí)現(xiàn)，可以考慮對(duì)數(shù)據(jù)進(jìn)行加密處理 ，如果已經(jīng)使用防火墻 可以在防火墻設(shè)置相應(yīng)嚴(yán)格的訪問(wèn)控制策略 ，再服務(wù)器負(fù)載，訪問(wèn)量不是很大時(shí)進(jìn) 行病毒查殺 PS：如果網(wǎng)站程序只是一些靜態(tài)網(wǎng)頁(yè)，而且更新周期比較長(zhǎng)（4個(gè)月， 6個(gè)月，更長(zhǎng)）可以考慮把網(wǎng)站程序可錄到光盤里，或者存儲(chǔ)到U盤中 并且把U盤寫保護(hù)打開(kāi)，使U盤中內(nèi)容只能夠讀取。因此，如何有效地保證數(shù)據(jù)庫(kù)系統(tǒng)的安全，實(shí)現(xiàn)數(shù)據(jù)的保密性、完整性和有效性，已經(jīng)成為業(yè)界人