Web应用安全保障“六要素”确保应用程序安全的最佳方法是使用建议的安全措施和可以扫描代码的软件,并提醒用户潜在的安全问题。管理员需要定期扫描其Web站点中的漏洞。 当GUI和应用程序的物理位置在同一台计算机时,管理员应该给GUI尽可能少的权限(如有必要,应用程序可以具有较高的权限)。 要素三:应用程序更新 使用最新的安全补丁使应用程序保持更新是你可以采取的最重要的安全措施之一。本节讨论一些轻松地更新应用程序的机制: 手动更新 自动更新 半自动更新 物理更新 手动更新 手动更新需要管理员手工下载一个文件(或使用所提供的媒体,如CD)和相关的系统上安装更新。这个选项是最不可取的,因为它迫使管理者花额外的时间来修补一个工作系统。手动更新是非常常见的开源项目(比如Apache)。 自动更新 当应用程序使用自动更新,它会定期在网站上进行检测,如果存在的话,它会下载并在系统上安装它。用这种方法有两个问题: 带宽使用:考虑上千台计算机组织运行相同的每天自动更新的防病毒软件。每一天,同一个相同更新的副本被下载到成千上万运行此程序的计算机。 安装有问题的补丁:有时补丁(厂商通过发布更新软件修复安全问题和漏洞)会导致弊大于利,因为补丁急于解决关键问题。开发商不能预见所有可能的环境,补丁可以停止应用程序或导致程序紊乱。这就是为什么测试是必要的。 半自动更新 有些应用程序允许管理员决定何时下载更新。更新下载之后,应用程序将更新的下载的分配到所有连接的客户端。 物理更新 使用实际收到的更新来更新系统。一个有目的的攻击者可以通过伪造一个看起来就像原版的但包含了木马或其他恶意软件的更新,创建一个“假的”补丁。为了反抗此类攻击,管理员可以在厂商的网站检查更新的大小和CRC32签名,并与实际副本相比较。 要素四:与操作系统安全集成 当一个应用程序集成了操作系统的安全性,它可以使用的操作系统的安全信息,甚至在需要的时候修改操作系统。这有时是一个应用程序的需求,或是它可能会提供一个可选功能。操作系统安全集成允许应用程序无论是在实时操作系统的进口或访问用户及其权限的列表。想象一下,一个组织有几千名员工的需要访问中央企业资源规划(ERP )应用程序。管理员可以手动输入上千个用户进入ERP的管理控制台,以及他们的权限,但这种方法耗时且需要双重管理。如果组织有一个以上的中央系统,需要用户手动录入,这种情况会更糟。 安全信息人工录入 一个应用程序可以允许管理员导入所有的用户信息,并用它来管理应用程序认证。虽然这种方法可能会加快应用部署,之后还会有双重管理。例如,当一个雇员离开了组织,管理员既要从组织用户列表中删除用户,也要从应用程序列表中删除。 另一个需要考虑的问题是应用程序如何存储用户信息。它受保护的吗?加密?明文存储?如果你不信任你的应用程序的数据存储安全,可以加密整个硬盘。
责编:王雅京  微信扫一扫实时了解行业动态 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc|
|
