【正文】 重點應(yīng)用系統(tǒng) 中傳輸關(guān)鍵、敏感數(shù)據(jù)時要采用傳輸加密技術(shù)，實現(xiàn)數(shù)據(jù)機(jī)密性要求；其他類應(yīng)用系統(tǒng)應(yīng)根據(jù)具體情況來考慮。(4) 如果要求帶恢復(fù)的完整性，同時又具有高粒度保護(hù)，那么將選取傳輸層加密。(2) 強(qiáng)身份認(rèn)證方式有效保障：對重要應(yīng)用系統(tǒng)應(yīng)逐漸傾向于加強(qiáng)的身份認(rèn)證方式來保證用戶身份安全，強(qiáng)身份認(rèn)證方式可采用證書方式或動態(tài)口令方式等來實現(xiàn)。 關(guān)鍵功能的鑒別對于重點應(yīng)用系統(tǒng) 不僅應(yīng)明確其關(guān)鍵功能的關(guān)鍵作用，而且也應(yīng)該明確其它功能轉(zhuǎn)變?yōu)殛P(guān)鍵功能之后的那段時間它的作用。重點應(yīng)用系統(tǒng) 應(yīng)建立良好的管理體制并歸檔，對于其他類 應(yīng)用系統(tǒng)應(yīng)逐步完善管理體制。 服務(wù)器權(quán)限。抗DDOS也是需要考慮的。 3,由于應(yīng)用的復(fù)雜性，防火墻設(shè)置時候往往不能達(dá)到權(quán)限最小化?！颈热鐄rlscan過濾啊等】 數(shù)據(jù)庫層：數(shù)據(jù)庫的安全加固往往大家容易忽略。這一層通常由大型的數(shù)據(jù)庫服務(wù)器實現(xiàn)，如Oracle 、Sybase、MS SQl Server等。分布式計算的潛力巨大，遠(yuǎn)比升級CPU有效。在這里，你基本上要搞清楚，我應(yīng)當(dāng)怎么去我要去的地方。于是我花了點時間，看它是怎么識別漏洞的。它在request里塞了一段代碼，意思是讓數(shù)據(jù)庫20秒后再反應(yīng)，結(jié)果可能當(dāng)時那個response真的是20秒后再過來的，于是它就認(rèn)為注入成功了。大概可以從這么幾個方面考慮： ，端口，服務(wù)，補(bǔ)丁，安全策略 管理員口令強(qiáng)度，本地/遠(yuǎn)程登錄維護(hù)策略，日志及分析等措施 詳細(xì)內(nèi)容可以搜索查找 ，或者Apache，或者其他相關(guān)WEB服務(wù)器程序的安全性 具體內(nèi)容可以搜索一下，關(guān)于這方面的內(nèi)容挺多的 ，注意是否有明顯可以被利用的漏洞和不足 敏感字符過濾，防止SQL注入，定期檢查，防止代碼被修改，被掛載木馬 等等 ，重要數(shù)據(jù)是否考慮加密，補(bǔ)丁，數(shù)據(jù)備份 不必要存儲過程的刪除，用戶權(quán)限控制，管理員口令等等 詳細(xì)內(nèi)容可以搜索一下 5. 客戶的重要商業(yè)信息如果不是很必要的話，最好還是保存到其他的隔離 主機(jī)當(dāng)中，如果實在不能實現(xiàn)，可以考慮對數(shù)據(jù)進(jìn)行加密處理 ，如果已經(jīng)使用防火墻 可以在防火墻設(shè)置相應(yīng)嚴(yán)格的訪問控制策略 ，再服務(wù)器負(fù)載，訪問量不是很大時進(jìn) 行病毒查殺 PS：如果網(wǎng)站程序只是一些靜態(tài)網(wǎng)頁，而且更新周期比較長（4個月， 6個月，更長）可以考慮把網(wǎng)站程序可錄到光盤里，或者存儲到U盤中 并且把U盤寫保護(hù)打開，使U盤中內(nèi)容只能夠讀取。 　　這三個層次構(gòu)筑成數(shù)據(jù)庫系統(tǒng)的安全體系，與數(shù)據(jù)安全的關(guān)系是逐步緊密的，防范的重要性也逐層加強(qiáng)，從外到內(nèi)、由表及里保證數(shù)據(jù)的安全。 　　c)入侵手段更加隱蔽和復(fù)雜。這些安全威脅是無時、無處不在的，因此必須采取有效的措施來保障系統(tǒng)的安全。 　　入侵檢測采用的分析技術(shù)可分為三大類：簽名、統(tǒng)計和數(shù)據(jù)完整性分析法。在協(xié)作式入侵監(jiān)測系統(tǒng)中，IDS基于一種統(tǒng)一的規(guī)范，入侵監(jiān)測組件之間自動地交換信息，并且通過信息的交換得到了對入侵的有效監(jiān)測，可以應(yīng)用于不同的網(wǎng)絡(luò)環(huán)境。 　　◆訪問權(quán)限：規(guī)定用戶的權(quán)限。發(fā)表主題: 個人見解,僅供參考我覺得最重要的是意識、是對安全的認(rèn)識 安全不是一個人、幾個人或者某個部門的事情，而是整個企業(yè)的事情 僅僅依靠技術(shù)、管理制度去維系企業(yè)的信息安全，則很難保障不會出現(xiàn)內(nèi)部威脅，而內(nèi)部威脅對信息安全而言，是很要命的事情。 這里面，對員工日常的安全意識的培訓(xùn)教育是一方面，員工本身的職業(yè)道德素養(yǎng)的培養(yǎng)又是另一方面。 應(yīng)用軟件安全應(yīng)用軟件安全性應(yīng)考慮三方面，個人認(rèn)為： （1）安全架構(gòu)設(shè)計； （2）安全編程 （3）安全測試。目前操作系統(tǒng)平臺大多數(shù)集中在Windows NT和Unix，安全級別通常為CC2級。人們從攻擊模式中歸納出它的簽名，編寫到IDS系統(tǒng)的代碼里。 　　(1)防火墻是應(yīng)用最廣的一種防范技術(shù): 　　作為系統(tǒng)的第一道防線，其主要作用是監(jiān)控可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的訪問通道，可在內(nèi)部與外部網(wǎng)絡(luò)之間形成一道防護(hù)屏障，攔截來自外部的非法訪問并阻止內(nèi)部信息的外泄，但它無法阻攔來自網(wǎng)絡(luò)內(nèi)部的非法操作。 　　b)重發(fā)(Replay)。 　　 　　從廣義上講，數(shù)據(jù)庫的安全首先依賴于網(wǎng)絡(luò)系統(tǒng)。各種應(yīng)用系統(tǒng)的數(shù)據(jù)庫中大量數(shù)據(jù)的安全問題、敏感數(shù)據(jù)的防竊取和防篡改問題，越來越引起人們的高度重視。 今天上午，HP的WebInspect的一個老外遠(yuǎn)程給我們做他們產(chǎn)品的培訓(xùn)，看了下它家的產(chǎn)品，他提出的是一攬子解決方案，從設(shè)計，開發(fā)，測試等階段都有他們的相關(guān)產(chǎn)品，最后還有個什么控制工具能圖形化的管理這些流程中存在的風(fēng)險點。但是如果APP里對異常包裝的比較好，或者壓根就不拋異常，它就沒轍了。 這種規(guī)劃類的東西，可繁可簡，根據(jù)你們的具體情況來看了，看你老板想要什么樣的東西；找咨詢公司做，怕是要花上不少銀子和時間，自己鼓搗一下，也未必過不了關(guān)。用戶端只能通過邏輯層來訪問數(shù)據(jù)層，減少了入口點，把很多危險的系統(tǒng)功能都屏蔽了。三層結(jié)構(gòu)適合群體開發(fā)，每人可以有不同的分工，協(xié)同工作使效率倍增。 另外：重中之重：是要建立一套完整的風(fēng)險管理體系。一是每個方面都要加強(qiáng)，同時不要忽略任意一方面。網(wǎng)絡(luò)安全本身也是非常重要的。防止誤操作降低被攻擊風(fēng)險。管理措施是對管理輔之以技術(shù)手段，達(dá)到強(qiáng)化管理的目的。此外，針對替換場所的通信要設(shè)計出一種方法提供足夠的傳輸設(shè)備；對配備的人員要進(jìn)行有針對性的培訓(xùn)。 不可否認(rèn)性對核心系統(tǒng)必須考慮不可否認(rèn)性的功能，重點系統(tǒng) 應(yīng)該逐漸考慮系統(tǒng)操作的不可否認(rèn)性，不可否認(rèn)性可以用數(shù)字簽名等來實現(xiàn)。(5) 不推薦在數(shù)據(jù)鏈路層上加密。(2) 加密信息量大時應(yīng)使用對稱加密算法，加密重要信息時應(yīng)使用非對稱加密算法。錯誤容限規(guī)定：公司各類應(yīng)用系統(tǒng) 對錯誤的容限度和在可接受的限度內(nèi)維護(hù)錯誤級別的需求必須被定義在安全需求中。對于重點應(yīng)用系統(tǒng) 應(yīng)該