网站导航免费论文 原创论文 论文搜索 原创论文 网学软件 学术大家 资料中心 会员中心 问题解答 原创论文 大学论文导航 设计下载 最新论文 下载排行 原创论文 论文源代码
返回网学首页
网学联系
最新论文 推荐专题 热门论文 素材专题
当前位置: 网学 > 编程文档 > ASP.net > 正文

ASP.NET 2.0应用程序安全强化纵览

来源:http://myeducs.cn 联系QQ:点击这里给我发消息 作者: 用户投稿 来源: 网络 发布时间: 12/10/13

  目前,实现Web开发的核心技术之一是ASP.NET 2.0。这种技术能够帮助企业快速开发出功能强大的Web应用程序,深受开发人员喜爱。然而,在开发人员实现业务逻辑的同时,由于各种原因的影响,应用程序的性总是不能让人满意。本文的主要目的就是帮助开发维护人员强化ASP.NET应用程序的性。众所周知,提高ASP.NET应用程序的安全性涉及很多方面的内容,例如安全代码和操作系统、通讯与Microsoft ASP.NET自身的经过强化的配置。因此,本文将从总体指导原则、操作系统、数据库、Web以及ASP.NET等五个方面进行讲解。

   总体指导原则

   下面列出了一些有关安全强化的总体指导原则。遵守这些规则通常会使系统和应用程序更安全,反之则会降低安全性。

   (1)为服务器进行准确单一的定位。很多时候都会看到,一个服务器担当了多个角色,其既要提供Web服务,又要支持邮件、DNS服务器等其它角色。这种做法是非常不安全的。首先,如果一个服务器必须支持多个角色,那么就会使配置更加复杂,而复杂的事物是安全的天敌。其次,如果在允许系统级访问的组件中发现一个弱点,那么会危及同一计算机中的所有其它服务的安全。再次,如果在一个服务器中配置许多功能,那么由于某些原因造成其死机,就会丧失多个网络服务。

   (2)最小化服务器中的软件和服务。在确定了服务器在网络中的角色后,应该删除不属于这个角色的所有软件和服务。特别是那些打开端口,并处理网络信息包的服务。这种做法的优点是使整个系统的配置变得更加简单。由于只要更新实际使用的服务,所以补丁被极大地简化。同时,这样还能够减少潜在的、易受攻击的代码和程序。

   (3)设置最少的权限。也就是说,系统中的每个用户或进程应只有完成工作所必须的权限。此外,Web应用程序应始终运行在最少权限的安全环境中,并应该只访问它们需要访问的资源。这可能会涉及内建的NETWORK SERVICE帐户或自定义用户帐户。不要使用高权限的帐户,例如管理员或SYSTEM帐户。

   (4)及时全面的安装补丁。服务器上的所有组件(例如操作系统、数据库和Microsoft .NET Framework)应及时安装最新的安全补丁。这种做法的必要性和重要性是显而易见的。

   (5)配置多方面的防御实体。这意味着应该始终保有多个防御措施。例如,安装,杀毒软件,信息包过滤器等等。即使维护人员配置了这样的防御措施,也不能认为就万事大吉了。可能在维护人员得意洋洋的时候,那些不怀好意的人也在冷笑。

   (6)重点防御,保护最脆弱的连接。识别应用程序或系统中最脆弱的连接,在其周围放上额外的防御措施。例如,ASP.NET中的登陆页面或网络上的远程访问网关。因为这些区域都是首选攻击目标,并且难于防御,因此通常必须增加更多的监测和防御措施。

   (7)提供强大的身份验证功能。如果通过身份验证来访问到应用程序或系统,那么这个身份验证应始终是强大的。例如,设置强制密码策略,高的密码复杂度等。同时,要考虑使用多因素身份验证或替代的技术,例如使用一次性密码等。

    加强操作系统安全

    根据总体指导原则,首先要做的是,当安装新服务器的操作系统时,要列出所有的要求和必须提供给它们的服务。在这方面, Server 2003做得很不错,它是第一个根据初始安装设置安装基本系统组件和服务的操作系统。不知道 Server 2008是否会采取相同策略。在做好这个方面的工作之后,还要注意完成以下安全措施。

   (1)打开自动更新功能。在安装所有必需的组件后(例如,IIS和ASP.NET),应该确定安全最新的补丁。Windows操作系统提供了自动更新服务,该服务能够定

  • 上一篇资讯: 在MFC中使用WPF技术
  • 网学推荐

    免费论文

    原创论文

    设为首页 | 加入收藏 | 论文首页 | 论文专题 | 设计下载 | 网学软件 | 论文模板 | 论文资源 | 程序设计 | 关于网学 | 站内搜索 | 网学留言 | 友情链接 | 资料中心
    版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn] 您电脑的分辨率是 像素
    Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved 湘ICP备09003080号