日本h无遮挡动漫在线看_欧美真人淫在线观看_亚洲成在人线a免费_av不卡无码高清在线观看

目錄
目錄X

新架構的動易SiteAzure特性之安全性

  與OA、ERP、CRM 等其他運行在內網(wǎng)上的軟件系統(tǒng)不同,網(wǎng)站運行在互聯(lián)網(wǎng)大環(huán)境中,因互聯(lián)網(wǎng)與生俱來的開放性、交互性和分散性等特征,網(wǎng)站時刻存在著被攻擊的危險,網(wǎng)站被攻擊、內容被篡改以及重要敏感信息泄露等事件時有發(fā)生,因此網(wǎng)站管理系統(tǒng)的安全顯得尤為重要。
 
  動易擁有龐大用戶基數(shù),深知網(wǎng)站安全的重要性,即使是細小的安全漏洞也有可能帶來不可預計的嚴重后果和巨大影響,因此動易一直視“產(chǎn)品安全性”為企業(yè)生命,用盡各種方法來保證動易產(chǎn)品的安全性。早在2008年,動易在業(yè)界就首次與國內安全服務組織 BCT 合作,花費重金邀請對方為動易軟件產(chǎn)品的代碼進行安全檢測。
 
  動易在不斷提升軟件產(chǎn)品的同時,也在無私分享自身成果,推動著政府網(wǎng)站管理軟件安全性的不斷提升。由動易軟件安全工程師耗時半年精心編制,積累了動易十年網(wǎng)站建設領域研發(fā)經(jīng)驗的《動易安全開發(fā)手冊》正式發(fā)布,解讀網(wǎng)站安全開發(fā)標準,已成為網(wǎng)站架構研發(fā)必備的參考標準之一。
 
  同時,網(wǎng)站安全是一項系統(tǒng)工程,除了保證軟件產(chǎn)品的安全性之外,還需要保證服務器配置、運維的安全性。因此,動易還特別為安全運維人員推出了《動易系統(tǒng)安全部署與配置手冊》,幫助客戶提升網(wǎng)站整體安全性。
 
  目前,動易經(jīng)過十一年的發(fā)展,已經(jīng)建立起了非常完善的安全研發(fā)體系、走審查體系和測試體系,動易軟件產(chǎn)品安全性已經(jīng)穩(wěn)居行業(yè)領先地位。而即將發(fā)布的基于新架構的動易SiteAzure 又將產(chǎn)品安全性提升到了新的高度,以下列舉我們所采用的部分安全措施:
 
一、輸入驗證
 
  ● 識別所有的數(shù)據(jù)源,并將其分為可信的和不可信的,驗證所有來自不可信數(shù)據(jù)源(比如:數(shù)據(jù)庫,文件流等)的數(shù)據(jù)。
  ● 系統(tǒng)提供一個集中的輸入驗證規(guī)則,驗證所有來自客戶端的數(shù)據(jù),包括:所有參數(shù)、URL、HTTP 頭信息(比如:cookie 名字和數(shù)據(jù)值),并會對數(shù)據(jù)進行客戶端驗證和服務器端驗證。
  ● 系統(tǒng)會驗證正確的數(shù)據(jù)類型、數(shù)據(jù)范圍、數(shù)據(jù)長度,公共錄入的數(shù)據(jù)會盡可能采用“白名單”形式來驗證輸入。
  ● 如果任何潛在的危險字符必須被作為輸入,系統(tǒng)會對危險字符執(zhí)行額外的控制,比如:輸出編碼、過濾等。
 
二、輸出編碼
 
  ● 在服務器上執(zhí)行所有的編碼,并為每一種輸出編碼方法采用一個標準的、已通過測試的規(guī)則。
  ● 對所有返回到客戶端的來自于應用程序信任邊界之外的數(shù)據(jù)進行編碼以防止跨站腳本攻擊。
 
三、身份驗證和密碼管理
 
  ● 系統(tǒng)建立并使用標準的、已通過測試的身份驗證服務。
  ● 對于管理員和用戶的身份憑證過使用強加密單向 salted 哈希算法得到密碼。
  ● 對于身份驗證的失敗提示信息進行模糊化處理。
  ● 通過規(guī)則加強密碼復雜度的要求(比如:要求使用字母、數(shù)字和/或特殊符號),并確保足夠的長度。身份驗證的憑據(jù)信息確保足夠復雜以對抗在其所部署環(huán)境中的各種威脅攻擊。
  ● 當連續(xù)多次登錄失敗后,會要求輸入驗證碼,必要時可以強制鎖定賬戶。以阻止暴力攻擊猜測登錄信息。
  ● 系統(tǒng)通過設置規(guī)則,強制定期更改密碼。
 
四、加密規(guī)范
 
  ● 保護主要秘密信息免受未授權的訪問。對于密碼進行哈希加密。
  ● 對連接字符串使用“”形式來加密,防止用戶非法得到數(shù)據(jù)庫連接密碼。
  ● 為防范對隨機數(shù)據(jù)的猜測攻擊,系統(tǒng)使用加密模塊中已驗證的隨機數(shù)生成器生成所有的隨機數(shù)、隨機文件名、隨機 GUID 和隨機字符串。
 
五、錯誤處理
 
  ● 系統(tǒng)使用全局的錯誤處理和異常處理機制。
  ● 系統(tǒng)默認屏蔽在錯誤響應中泄露敏感信息,包括:系統(tǒng)的詳細信息、會話標識符或者帳號信息。
  ● 使用通用的錯誤消息并使用定制的錯誤頁面。
 
六、日志記錄
 
  ● 系統(tǒng)日志記錄所有重要的日志事件數(shù)據(jù)。
  ● 系統(tǒng)確保日志記錄中包含的不可信數(shù)據(jù),不會在查看界面以代碼的形式被執(zhí)行。
  ● 限制只有授權的管理員才能訪問日志。
  ● 不在日志中保存敏感信息,包括:不必要的系統(tǒng)詳細信息、會話標識符或密碼。
  ● 記錄所有失敗的輸入驗證。
  ● 記錄所有的身份驗證嘗試,特別是失敗的驗證。
  ● 記錄所有失敗的訪問控制。
 
七、其他方面
 
  配套《動易安全開發(fā)手冊》,針對互聯(lián)網(wǎng)最新攻擊方式組建多層防御體系,針對 OWASP 組織發(fā)布的近年 Web 應用程序脆弱性10大統(tǒng)計排名,對跨站腳本、注入漏洞、跨站請求偽造、信息泄露等新型主流攻擊方式制定了特別的防御方案。
 

掃描二維碼加入動易公司微信公眾平臺,

第一時間了解新產(chǎn)品動態(tài)!

 

 
【打印正文】 發(fā)布時間:2015-07-17 14:47:31 瀏覽次數(shù): 作者:動易軟件 來源:本站原創(chuàng)
×

用戶登錄