在 Intranet 应用程序中实施安全性

【问题标题】:Implement security in an intranet application在 Intranet 应用程序中实施安全性
【发布时间】:2012-05-27 15:56:07
【问题描述】:

我使用 WPF、WCF、EF 4 和 SQL Seerver 2008 R2 的组合创建了一个桌面应用程序。

现在我必须准备我的软件以进行安全审计,并且我需要知道我可以做些什么来确保我的应用程序中的安全参数。目前我在 Active Directory 中使用 WCF 服务身份验证。

据我所知,我可以采取以下措施使我的应用程序更安全:

  • 代码混淆 -- 保护代码库
  • 可以使用 TDE -- 保护数据库和加密机密表。
  • 可以使用 SSL -- 保护通信通道(任何关于这方面的好文章都会有很大帮助,因为我没有找到任何可以解释如何为 Intranet 桌面应用程序执行此操作的好文章)

我还能做些什么来保护应用程序。我仍然不清楚如何保护客户端 服务器和服务器 数据库之间的通信通道。

任何帮助将不胜感激。谢谢..

【问题讨论】:

    标签: c# wpf security sql-server-2008-r2 wcf-security


    【解决方案1】:

    不要把时间浪费在混淆上。良好的安全性是透明的。混淆只对保护知识产权有用,即使这样也是有争议的。

    不管怎样,听起来你想专注于几件事:

    1. 为您的应用程序服务器和 SQL Server 获取 SSL 服务器证书。如果您不想把钱花在一个上,您可以创建自己的 PKI 或自签名证书颁发机构。我不建议将自签名用于生产,也不应掉以轻心。

    2. Use protocol encryption to secure the connection between your application and the SQL Server instance.

    3. 使用需要传输安全的绑定以使您的 WCF 通信使用 SSL。 http://msdn.microsoft.com/en-us/library/ms734679.aspx

      http://social.msdn.microsoft.com/Forums/en-US/wcf/thread/b361ee9e-2f37-4ecf-ba8b-96c6d6e6118a

    4. 审核您的身份验证例程。你在散列和加盐密码吗?您是否审核安全事件(登录、注销、尝试失败)?您是否在一定次数的失败尝试后锁定帐户?等等等等。与审核您的人合作以了解他们将要寻找的内容会很有帮助。

    【讨论】:

    • +1 用于避免“混淆”和其他通常很好的信息,而不是过于宽泛的问题。
    猜你喜欢
    • 2021-07-20
    • 2012-05-23
    • 1970-01-01
    • 1970-01-01
    • 2019-09-07
    • 1970-01-01
    • 2019-11-07
    • 2013-05-18
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode