精品人妻少妇无码视频_哦中亚洲黄片免费在线。_欧美在线看片a免费观看_久久91精品福利视频

目錄
目錄X

新架構(gòu)的動易SiteAzure特性之安全性

  與OA、ERP、CRM 等其他運(yùn)行在內(nèi)網(wǎng)上的軟件系統(tǒng)不同,網(wǎng)站運(yùn)行在互聯(lián)網(wǎng)大環(huán)境中,因互聯(lián)網(wǎng)與生俱來的開放性、交互性和分散性等特征,網(wǎng)站時刻存在著被攻擊的危險,網(wǎng)站被攻擊、內(nèi)容被篡改以及重要敏感信息泄露等事件時有發(fā)生,因此網(wǎng)站管理系統(tǒng)的安全顯得尤為重要。
 
  動易擁有龐大用戶基數(shù),深知網(wǎng)站安全的重要性,即使是細(xì)小的安全漏洞也有可能帶來不可預(yù)計的嚴(yán)重后果和巨大影響,因此動易一直視“產(chǎn)品安全性”為企業(yè)生命,用盡各種方法來保證動易產(chǎn)品的安全性。早在2008年,動易在業(yè)界就首次與國內(nèi)安全服務(wù)組織 BCT 合作,花費(fèi)重金邀請對方為動易軟件產(chǎn)品的代碼進(jìn)行安全檢測。
 
  動易在不斷提升軟件產(chǎn)品的同時,也在無私分享自身成果,推動著政府網(wǎng)站管理軟件安全性的不斷提升。由動易軟件安全工程師耗時半年精心編制,積累了動易十年網(wǎng)站建設(shè)領(lǐng)域研發(fā)經(jīng)驗的《動易安全開發(fā)手冊》正式發(fā)布,解讀網(wǎng)站安全開發(fā)標(biāo)準(zhǔn),已成為網(wǎng)站架構(gòu)研發(fā)必備的參考標(biāo)準(zhǔn)之一。
 
  同時,網(wǎng)站安全是一項系統(tǒng)工程,除了保證軟件產(chǎn)品的安全性之外,還需要保證服務(wù)器配置、運(yùn)維的安全性。因此,動易還特別為安全運(yùn)維人員推出了《動易系統(tǒng)安全部署與配置手冊》,幫助客戶提升網(wǎng)站整體安全性。
 
  目前,動易經(jīng)過十一年的發(fā)展,已經(jīng)建立起了非常完善的安全研發(fā)體系、走審查體系和測試體系,動易軟件產(chǎn)品安全性已經(jīng)穩(wěn)居行業(yè)領(lǐng)先地位。而即將發(fā)布的基于新架構(gòu)的動易SiteAzure 又將產(chǎn)品安全性提升到了新的高度,以下列舉我們所采用的部分安全措施:
 
一、輸入驗證
 
  ● 識別所有的數(shù)據(jù)源,并將其分為可信的和不可信的,驗證所有來自不可信數(shù)據(jù)源(比如:數(shù)據(jù)庫,文件流等)的數(shù)據(jù)。
  ● 系統(tǒng)提供一個集中的輸入驗證規(guī)則,驗證所有來自客戶端的數(shù)據(jù),包括:所有參數(shù)、URL、HTTP 頭信息(比如:cookie 名字和數(shù)據(jù)值),并會對數(shù)據(jù)進(jìn)行客戶端驗證和服務(wù)器端驗證。
  ● 系統(tǒng)會驗證正確的數(shù)據(jù)類型、數(shù)據(jù)范圍、數(shù)據(jù)長度,公共錄入的數(shù)據(jù)會盡可能采用“白名單”形式來驗證輸入。
  ● 如果任何潛在的危險字符必須被作為輸入,系統(tǒng)會對危險字符執(zhí)行額外的控制,比如:輸出編碼、過濾等。
 
二、輸出編碼
 
  ● 在服務(wù)器上執(zhí)行所有的編碼,并為每一種輸出編碼方法采用一個標(biāo)準(zhǔn)的、已通過測試的規(guī)則。
  ● 對所有返回到客戶端的來自于應(yīng)用程序信任邊界之外的數(shù)據(jù)進(jìn)行編碼以防止跨站腳本攻擊。
 
三、身份驗證和密碼管理
 
  ● 系統(tǒng)建立并使用標(biāo)準(zhǔn)的、已通過測試的身份驗證服務(wù)。
  ● 對于管理員和用戶的身份憑證過使用強(qiáng)加密單向 salted 哈希算法得到密碼。
  ● 對于身份驗證的失敗提示信息進(jìn)行模糊化處理。
  ● 通過規(guī)則加強(qiáng)密碼復(fù)雜度的要求(比如:要求使用字母、數(shù)字和/或特殊符號),并確保足夠的長度。身份驗證的憑據(jù)信息確保足夠復(fù)雜以對抗在其所部署環(huán)境中的各種威脅攻擊。
  ● 當(dāng)連續(xù)多次登錄失敗后,會要求輸入驗證碼,必要時可以強(qiáng)制鎖定賬戶。以阻止暴力攻擊猜測登錄信息。
  ● 系統(tǒng)通過設(shè)置規(guī)則,強(qiáng)制定期更改密碼。
 
四、加密規(guī)范
 
  ● 保護(hù)主要秘密信息免受未授權(quán)的訪問。對于密碼進(jìn)行哈希加密。
  ● 對連接字符串使用“”形式來加密,防止用戶非法得到數(shù)據(jù)庫連接密碼。
  ● 為防范對隨機(jī)數(shù)據(jù)的猜測攻擊,系統(tǒng)使用加密模塊中已驗證的隨機(jī)數(shù)生成器生成所有的隨機(jī)數(shù)、隨機(jī)文件名、隨機(jī) GUID 和隨機(jī)字符串。
 
五、錯誤處理
 
  ● 系統(tǒng)使用全局的錯誤處理和異常處理機(jī)制。
  ● 系統(tǒng)默認(rèn)屏蔽在錯誤響應(yīng)中泄露敏感信息,包括:系統(tǒng)的詳細(xì)信息、會話標(biāo)識符或者帳號信息。
  ● 使用通用的錯誤消息并使用定制的錯誤頁面。
 
六、日志記錄
 
  ● 系統(tǒng)日志記錄所有重要的日志事件數(shù)據(jù)。
  ● 系統(tǒng)確保日志記錄中包含的不可信數(shù)據(jù),不會在查看界面以代碼的形式被執(zhí)行。
  ● 限制只有授權(quán)的管理員才能訪問日志。
  ● 不在日志中保存敏感信息,包括:不必要的系統(tǒng)詳細(xì)信息、會話標(biāo)識符或密碼。
  ● 記錄所有失敗的輸入驗證。
  ● 記錄所有的身份驗證嘗試,特別是失敗的驗證。
  ● 記錄所有失敗的訪問控制。
 
七、其他方面
 
  配套《動易安全開發(fā)手冊》,針對互聯(lián)網(wǎng)最新攻擊方式組建多層防御體系,針對 OWASP 組織發(fā)布的近年 Web 應(yīng)用程序脆弱性10大統(tǒng)計排名,對跨站腳本、注入漏洞、跨站請求偽造、信息泄露等新型主流攻擊方式制定了特別的防御方案。
 

掃描二維碼加入動易公司微信公眾平臺,

第一時間了解新產(chǎn)品動態(tài)!

 

 
【打印正文】 發(fā)布時間:2015-07-17 14:47:31 瀏覽次數(shù): 作者:動易軟件 來源:本站原創(chuàng)
×

用戶登錄