对于任何一个项目,开始阶段对于交付安全的应用来说非常关键。适当的安全要求会导致正确的安全设计。下面讨论在分析Web应用程序的安全要求时需要考虑的八大问题。
1、认证和口令管理: 这主要是一种一次性的活动而且仅仅是作为项目的一部分而完成的。有人可能会问一些与认证和口令管理有关的问题:
◆口令策略:这个问题非常重要的原因在于避免与用户凭据有关的字典攻击。
◆口令哈希算法:确保通过适当的加密算法来加密口令也非常重要。
◆口令重置机制:为了避免黑客修改或截获口令,重置机制非常关键。
2、认证和角色管理: 在分析项目的安全问题时,要确认所有的关键功能,并确认哪些人可以获得授权访问这些功能。这样做有助于确认各种不同的角色,并可以使访问控制到位。
3、审计日志记录。 询问并确认所有与已经发生的攻击有关的所有关键业务是很重要的,这是因为这些攻击对企业的会产生重大影响。企业应当能够分析与这些业务有关的审计日志记录。
4、第三方组件分析。 询问并分析一下企业是否必须使用第三方的组件也是一个重要问题。在此基础上,企业分析与这些组件有关的已知漏洞,并做出恰当的建议。
5、输入数据验证和净化。 询问并理解和分析输入数据的属性,并为数据的验证和净化做好计划是很重要的。这种操作主要与解决跨站脚本攻击这类漏洞有关。数据验证和净化还有助于避免SQL注入的大规模发生。
6、加密和密钥管理。 这是为了分析是否存在需要保证其安全的业务,并且这些业务是否需要握手机制(在处理业务之前,可使用多种与公钥或私钥的交换有关的多种技术来实施这种机制)。
7、源代码的完整性: 这是一种一次性的活动,并且要求在项目的开始阶段完成。这样做有助于如下两个方面:
源代码应当存放在一个有良好安全保障的控制仓库中,并且在遵循“最少特权”的原则前提下,有强健的认证和基于角色的访问控制。你还应当关注关于源代码库和相关工具的问题。
此外,在代码的开发及传输过程中,你还可以分析关于源代码容器的工具问题以及代码的保护问题。
8、源代码的管理。 讨论源代码的审查策略是一个关键问题,因为这种做法会要求自动化的和人工的代码检查问题,并且在一定程度上会影响总体的项目时间(要求进行代码检查时间和针对检查意见的修复时间)。这是一种一次性的活动,因而应当在项目的开始阶段完成。
XP系统黑屏自动重启是怎么回事?
希望对你有所帮助:电脑黑屏的原因很多,常见的有: 显示数据线接触不良; 主板没有供电; 显卡接触不良或; CPU 接触不良及过热; 内存条接触不良; 电源性能差; 机器感染 CIH 病毒,BIOS 被破坏性刷新。 微软黑屏,请打补丁。 这类问题多数是内存和显卡的关系,松动或接触不良,动一动它或用橡皮擦擦接口的金手指就好.
VISTA系统的特点是什么优缺点各是什么
优 点1、操作系统核心进行了全新修正。 Winxp和2k的核心并没有安全性方面的设计,因此只能一点点打补丁,Vista在这个核心上进行了很大的修正。 例如在Vista中,部分操作系统运行在核心模式下,而硬件驱动等运行在用户模式下,核心模式要求非常高的权限,这样一些病毒木马等就很难对核心系统形成破坏。 Vista上的“heap”设计更先进,方便了开发者,提高了他们的效率。 在电源管理上也引入了睡眠模式,让电脑可以从不关机,而只是极低电量消耗的待机,启动起来非常快,比现在的休眠效率高多了。 内存管理和文件系统方面引入了SuperFetch技术,可以把经常使用的程序预存入到内存,提高性能,此外你的后台程序不会夺取较高的运行等级,不用担心突然一个后台程序运作让你动弹不得。 因为硬件驱动运作在用户模式,驱动坏了系统也没事,而且装驱动都不用重启。 2、网络方面集成IPv6支持,防火墙的效率和易用性更高,优化了TCP/IP模块,从而大幅增加网络连接速度,对于无线网络的支持也加强了。 3、媒体中心模块将被内置在Home Premium版本中,用户界面更新、支持CableCard,可以观看有线高清视频。 4、音频方面,音频驱动工作在用户模式,提高稳定性,同时速度和音频保真度也提高了不少,内置语音识别模块,带有针对每个应用程序的音量调节。 5、显示方面,Vista内置Direct X 10,这个可是Vista only的,使用更多的dll,不向下兼容,显卡的画质和速度会得到革命性的提升。 6、集成应用软件:取代系统还原的新SafeDoc功能让你自动创建系统的影像,内置的备份工具将更加强大,许多人可以用它取代Ghost;在Vista上outlook升级为Windows mail,搜索功能将非常强大,还有内置日程表模块,新的图片集程序、movie maker、Windows media player11等等都是众所期待的升级。 7、Aero Glass以及新的用户界面,窗口支持3D显示提高工作效率。 显卡现在是一个共享的资源,它也负责Windows的加速工作,再加上双核处理器的支持,以后大型游戏对于Windows来说也不会是什么大任务了,开启一个小窗口就可以运行。 8、重新设计的内核模式加强了安全性,加上更安全的IE7、更有效率的备份工具,你的Vista会安全很多。 缺 点1、不管是哪个版本的Vista,价格都比较高。 2、尽管Vista在安全性上下了很大的工夫,更新了核心,但是这个核心还是基于旧有的、摇摇欲坠的核心下面的。 新的内核并不安全,证据之一就是1月份微软推出的第一个针对WMF的Vista安全补丁。 微软确实对这个核心垃圾做了很多清理工作,不过像linux,根本不需要清理垃圾。 3、在内存和heap管理方面,Vista确实有了很大的进步,不过linux、MAC OS等几年前就到这个水平了。 如果开发人员要从Vista的这种更新上获利,必须重新编写程序。 4、新的SuperFetch技术在很多开放GCC软件中早有应用,而微软的设计是需要一个U盘充当硬盘和内存之间的缓存,这个东西可并不保险。 5、关于媒体中心的更新似乎只是名称而已,所谓加入了对CableCard的支持不过是因为他们还没有出售针对PC的CableCard而已!6、directx10可能会很棒,但是现在你买的显卡在上面毫无用武之地了。 7、Vista集成的软件越好,给微软造成的诉讼垄断等问题恐怕就越多。
QQ医生全面诊断中各诊断项有哪些?
■ 进程项进程项是指当前系统中正在运行的程序。 ■ 启动项启动项是在计算机操作系统启动时自动运行的程序和服务,“全面诊断”检查启动项的范围要比“管理启动项”那里的启动项多一点。 ■ 浏览器辅助对象BHO(Browser Helper Object,浏览器辅助对象)一种随因特网浏览器(如IE)每次启动而自动执行的小程序。 通常的BHO会帮助用户更方便地浏览因特网或调用上网辅助功能,也有一部分BHO会被广告软件或间谍软件利用。 ■ 第三方IE插件第三方插件是指会随着IE浏览器的启动自动执行的程序。 有可能会被广告软件或间谍软件利用。 ■ IE右键菜单当我们安装了一些和网络有关的软件后,可能会在IE的右键菜单增加很多快捷方式,如果这些快捷方式过多,就会影响系统的性能,给我们的使用带来不便。 ■ IE工具栏有些网络软件会在IE工具栏增加一些图标,如果这些图标过多,就会影响浏览器的整洁,影响系统的性能,给我们的使用带来不便。 ■ ActiveX对象ActiveX对象是一些软件组件或对象,可以将其插入到WEB网页或其它应用程序中。 ActiveX对象允许网页通过脚本和控件交互产生更加丰富的效果,同时也带来一些安全性的问题。 ■ 默认浏览器默认浏览器是指您打开一个URL链接、或者打开一个网页文件时,默认使用的浏览器。 ■ 文件关联当您打开某一种类型的文件时,系统会默认启动的一个可以打开它的程序。 这种依存关系就叫文件关联。 比如您双击一个txt文件,就会默认使用记事本软件打开这个文件。 ■ 系统服务系统服务是一种应用程序类型,随系统启动,并在系统后台运行,以便支持其他程序,尤其是低层(接近硬件)程序。 关掉一些不必要的系统服务可以提高系统运行的效率。 ■ HostsHosts文件是一个文本文件,包含IP地址和Host name(主机名)的映射关系。 我们可以利用Hosts把一些恶意网站的域名映射到错误的IP或自己计算机的IP,以达到屏蔽的目的。 但是有些病毒木马也会将一些我们经常访问的网站映射到恶意网站的IP,给我们的系统安全带来很大的危害。 ■ 协议相关当您打开某些网页或文件时,系统会根据默认协议启动不同的程序。 有些恶意软件通过将您的电脑的默认协议替换为自己的协议,以达到监控数据的目的。 ■ 已知DLL当运行某程序时,系统会根据注册表的这一键值决定优先启用哪个DLL文件。 有些木马会修改或增加这个键值,以达到启动恶意程序的目的。 ■ 打印监控打印监控是系统为监控打印机运行状态启动的程序。 ■ 随系统加载的其它模块指会随系统启动的一些其它模块,包括安全模式下启动的程序,URL执行挂钩等。 ■ 调试相关项当运行某程序加载失败或崩溃时,系统会根据这一键值启动相应的调试程序。 一般默认为。 ■ 驱动程序为保证电脑一些硬件设备的正常使用,系统会启动一系列的驱动程序。 有些病毒木马也会伪装成驱动程序随系统启动,以达到其运行的目的。
发表评论