一、网络安全性
1.程序以外:
(1)配置防火墙
(2)定期备份转储数据库文件和日志文件;
(3)服务器使用安全性较好的Windows2003 Server操作系统和IIS6.0
(3)服务器使用安全性较好的Windows2003 Server操作系统和IIS6.0
(4) 虚拟路径的设置:不同用户对不同目录访问权限不同,可以设定虚拟目录来实现
(5)用户登陆使用验证码
(6)尽可能安装软件的最新服务包和修补程序;
(7) SQL Server2000数据库服务器层安全
a. 将SQL Server安装在NTFS分区上;
b.安装当时发布的最新服务包和修补程序;
a. 将SQL Server安装在NTFS分区上;
b.安装当时发布的最新服务包和修补程序;
2.程序相关
ASP.NET的安全机制、数据库安全控制、管理员网络安全防范意识的基础上,可以极大提高Web应用程序的安全性能。
(1)而对数据库表的操作文件放在特殊的文件夹bin下,因为该目录是禁止任何浏览器访问的,从而避免了远程客户下载代码的可能性。
(2)充分利用后台数据库系统的视图和存储过程,如:创建带参数的视图,实现不同角色身份的用户对各自权限范围内的数据访问。
(3) 用户口令存储问题:不要将实际的口令存储在数据库表中,因为口令直接放在数据库或文件中存在安全隐患,因此要存储加密后的口令。使用时,例如当用户登录时,对口令加密,然后与数据库中存放的加密口令进行比较.在可以使用当前最流行的IDEA加密算法
(4) 数据库连接字符串常量放在应用程序的web.config文件中。并已经加密
(5)使用 HTML表单验证(Forms Authentication),是向开发人员提供确认客户凭证并控制访问权限的技术
(6)页面出错处理策略:出错时转向统一的出错页面,而不必在每个网页中写代码,控制转向出错页面,避免了程序运行期间任何未处理的意外发生时,错误页面代码泄露或使用户不知所云的尴尬发生。