日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

Michael Cobb是認(rèn)證信息系統(tǒng)安全架構(gòu)專家（CISSP-ISSAP），知名的安全作家，具有十多年豐富的IT行業(yè)經(jīng)驗(yàn)，并且還從事過十六年的金融行業(yè)。他是Cobweb Applications公司的創(chuàng)始人兼常務(wù)董事，該公司主要提供IT培訓(xùn)，以及數(shù)據(jù)安全和分析的支持。

創(chuàng)新互聯(lián)建站是一家專業(yè)提供三都企業(yè)網(wǎng)站建設(shè),專注與成都做網(wǎng)站、成都網(wǎng)站建設(shè)、成都外貿(mào)網(wǎng)站建設(shè)、HTML5、小程序制作等業(yè)務(wù)。10年已為三都眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站建設(shè)公司優(yōu)惠進(jìn)行中。

問：我們剛完成一個(gè)WEB應(yīng)用程序的構(gòu)建，我想知道你推薦使用哪些安全設(shè)備來保護(hù)它的正常運(yùn)行。

答：在對(duì)你想要嘗試保護(hù)的數(shù)據(jù)和設(shè)備充分了解前，我是不可能對(duì)你所需要的外圍網(wǎng)絡(luò)和應(yīng)用程序數(shù)據(jù)安全設(shè)備做出詳細(xì)具體的建議的。你可以參照一些基本步驟來為任何一種WEB應(yīng)用程序所必需的安全特性準(zhǔn)備一個(gè)簡(jiǎn)短的采購(gòu)清單。

首先，將WEB應(yīng)用程序所要使用到的數(shù)據(jù)進(jìn)行分類是非常重要的，它將會(huì)存儲(chǔ)在哪？它是如何進(jìn)行存取和處理的？下一步，識(shí)別及評(píng)估這些數(shù)據(jù)以及處理這些數(shù)據(jù)的系統(tǒng)及應(yīng)用程序的風(fēng)險(xiǎn)，這個(gè)過程被稱做威脅建模，應(yīng)該在應(yīng)用程序設(shè)計(jì)過程中實(shí)現(xiàn)。通過從一個(gè)攻擊者的角度來分析一個(gè)WEB應(yīng)用程序，你將會(huì)對(duì)如下問題有更好的理解：

1.它是如何受到攻擊的？

2.它為什么會(huì)受攻擊？

3.如何最大程度上減輕任何可識(shí)別的風(fēng)險(xiǎn)？

這個(gè)過程也可以幫助完善文檔材料來識(shí)別和證明這個(gè)WEB應(yīng)用程序的安全需求。

這些WEB應(yīng)用程序的安全需求需要和整個(gè)組織全局性的安全策略相統(tǒng)一，這個(gè)全局性的安全策略定義了如何合法地保護(hù)這些數(shù)據(jù)的目標(biāo)，基于此策略來決定如何最好地保護(hù)WEB應(yīng)用程序，以防止受到任何可識(shí)別的威脅和降低敏感信息的風(fēng)險(xiǎn)。有一點(diǎn)我是非?？隙ǖ?，那就是如果重寫部分應(yīng)用程序的代碼，邏輯及功能可以去除部分的漏洞，這樣的努力應(yīng)該通過附加的安全設(shè)備來進(jìn)行補(bǔ)充，但是你的政策和策略必須明確一點(diǎn)，那就是你需要這些設(shè)備用來保護(hù)你的哪些數(shù)據(jù)以及用來防范哪些威脅。

當(dāng)完成一個(gè)WEB應(yīng)用程序后，你在查看用于減輕威脅的設(shè)備時(shí)，記得復(fù)查下它們用來保護(hù)防范哪種類型的威脅。有一些設(shè)備同時(shí)提供多種威脅的防護(hù)，比如病毒，間諜軟件和惡意軟件，而其它設(shè)備可能會(huì)著重于一種特定威脅，比如對(duì)即時(shí)聊天通訊上進(jìn)行安全保護(hù)。你需要多加關(guān)注各家廠商在一種或多種安全領(lǐng)域所用到的這些技術(shù)覆蓋的深度和方法。對(duì)應(yīng)用程序數(shù)據(jù)帶來多種攻擊的一個(gè)常見問題是，它們經(jīng)常在合法的客戶端請(qǐng)求和響應(yīng)上進(jìn)行反復(fù)嘗試，SQL注入是一個(gè)很經(jīng)典的例子，因此傳統(tǒng)的外圍保護(hù)技術(shù)，比如包過濾防火墻已經(jīng)不再有足夠的保護(hù)能力。

性能和可擴(kuò)展性是另兩個(gè)重要的考量點(diǎn)，某些安全設(shè)備可能受限于每小時(shí)可掃描的事務(wù)量，而另一些設(shè)備則可能有網(wǎng)絡(luò)限制或僅對(duì)很小范圍內(nèi)的一些應(yīng)用程序協(xié)議提供保護(hù)，我認(rèn)為，何時(shí)選擇一個(gè)安全設(shè)備應(yīng)該先回答如下的關(guān)鍵問題：

1.基于公司層面的安全策略目標(biāo)和需求而言，它需要達(dá)到哪些目的？

2.它對(duì)于現(xiàn)有網(wǎng)絡(luò)的適應(yīng)性如何？就目前所所擁有的技術(shù)力量能否正確有效地使用它？

3.它將會(huì)對(duì)現(xiàn)存設(shè)備及用戶造成什么影響，會(huì)造成怎么樣的損失，比如設(shè)備重新采購(gòu)，配置，人員培訓(xùn)所帶來的花費(fèi)等。

4.它會(huì)提供哪些額外的服務(wù)？

很明顯地，用于防護(hù)和處理數(shù)據(jù)的所有設(shè)備需要正確地安裝。安裝過程需要遵循一個(gè)包括四個(gè)步驟的安全生命周期：即安全、監(jiān)控、測(cè)試和改進(jìn)。這是一個(gè)持續(xù)的過程，一旦按照此流程完成，它將會(huì)在一個(gè)固定的保護(hù)周期中，不停地在這四個(gè)步驟中循環(huán)。在任何一臺(tái)設(shè)備連接上生產(chǎn)網(wǎng)絡(luò)前，確保它已經(jīng)被加固過，打過補(bǔ)丁，同時(shí)進(jìn)行進(jìn)一步的安全配置。

配置期間請(qǐng)確保參考你們自己的安全策略，用來保證這個(gè)設(shè)備被正確地配置以完成相應(yīng)的任務(wù)，并且符合公司的安全方針。既然花了時(shí)間在選擇和安裝網(wǎng)絡(luò)防護(hù)設(shè)備上，那么實(shí)施一個(gè)滲透測(cè)試是非常重要的，它可以確保這些設(shè)備的確按計(jì)劃提供了這些保護(hù)。通過模擬這樣的攻擊，你可以評(píng)估你的站點(diǎn)是否還存在潛在的漏洞。

記住，你必須將基于滲透測(cè)試的結(jié)果所作的任何變更記錄下來供以后參考，而且要確保配置沒有被錯(cuò)誤地改動(dòng)，同時(shí)也必須做好對(duì)所有網(wǎng)絡(luò)安全設(shè)備的物理訪問控制和邏輯訪問控制。如果僅限于依靠一些使用計(jì)量表類的安全設(shè)備，想達(dá)到保障應(yīng)用程序安全是不可能的。你必須在各層次都建立防護(hù)措施：物理，網(wǎng)絡(luò)，應(yīng)用程序。通過使用這種威脅建模的流程可以保證在WEB應(yīng)用程序?qū)用嬉彩前踩?，在增加了它們的?qiáng)壯性外，也減少了對(duì)外圍安全設(shè)備的依賴。

網(wǎng)頁標(biāo)題：Web應(yīng)用程序構(gòu)建后的一些必備安全措施
網(wǎng)站鏈接：http://www.dlmjj.cn/article/djssicc.html