一、网络安全性
1. 程序以外:
(1) 配置防火墙
备份转储数据库文件和日志文件
;
(3)
服务器使用
安全性较好的
Windows2003 Server
操作系统和
IIS6.0
(4) 虚拟路径的设置 : 不同用户对不同目录访问权限不同 , 可以设定虚拟目录来实现
(5) 用户登陆使用验证码
(6) 尽可能安装软件的最新服务包和修补程序;
(7) SQL Server2000
数据库服务器层安全
a.
将
SQL Server
安装在
NTFS
分区上;
b.
安装当时发布的最新服务包和修补程序;
2. 程序相关
ASP.NET 的安全机制、数据库安全控制、管理员网络安全防范意识的基础上 , 可以极大提高 Web 应用程序的安全性能。
(1) 而对数据库表的操作文件放在特殊的文件夹 bin 下 , 因为该目录是禁止任何浏览器访问的 , 从而避免了远程客户下载代码的可能性。
(2) 充分利用后台数据库系统的视图和存储过程 , 如 : 创建带参数的视图 , 实现不同角色身份的用户对各自权限范围内的数据访问。
(3) 用户口令存储问题 : 不要将实际的口令存储在数据库表中 , 因为口令直接放在数据库或文件中存在安全隐患 , 因此要存储加密后的口令。使用时 , 例如当用户登录时 , 对口令加密 , 然后与数据库中存放的加密口令进行比较 . 在可以使用当前最流行的 IDEA 加密算法
(4) 数据库连接字符串常量放在应用程序的 web.config 文件中。并已经加密
(5) 使用 HTML 表单验证 (Forms Authentication), 是向开发人员提供确认客户凭证并控制访问权限的技术
(6) 页面出错处理策略 : 出错时转向统一的出错页面 , 而不必在每个网页中写代码 , 控制转向出错页面 , 避免了程序运行期间任何未处理的意外发生时 , 错误页面代码泄露或使用户不知所云的尴尬发生。
