安全性体系结构和设计审查.docVIP

安全性体系结构和设计审查 更新日期： 2004年04月12日 本页内容 本模块内容 目标 适用范围 如何使用本模块 体系结构和设计审查过程 部署与基础结构注意事项 输入验证 身份验证 授权 配置管理 敏感数据 会话管理 加密 参数操作 异常管理 审核和日志记录 小结 其他资源 本模块内容 要生成安全的 Web 应用程序，必须要有正确的体系结构和设计。如果在开发完成后再重新改造安全设置，代价实在太高。在开发阶段开始前研究体系结构和设计审查，有助于验证应用程序中与安全相关的设计功能。这样，您可以在漏洞被人探测到之前明确并修复潜在的漏洞，同时避免了修复中必需的重新工程处理。 本模块提供了全面评价体系结构设计前必须考虑的问题。即便您已创建了应用程序，仍要阅读本模块，然后重新审视在应用程序设计过程中使用的概念、原则和技术。 返回页首 目标 使用本模块可以实现： ? 了解全面评价体系结构设计要考虑的问题。 ? 分析 Web 应用程序的体系结构和设计。 ? 开发并完善当前的安全评价措施。 ? 建立在设计阶段修复漏洞的过程。 ? 明确应用程序的关键部署和基础结构安全事项。 ? 确保 Web 应用程序部署的平稳和安全。 返回页首 适用范围 Web 应用程序 返回页首 如何使用本模块 为了充分理解本模块内容，请： ? 在体系结构设计过程中增加安全评价。尽早在更改设计时使用本模块提供的步骤来评价更改。 ? 开发安全评价措施。本模块提供了在完善设计安全时要考虑的问题。要完成评价过程，可能还要增加一些特定于应用程序的问题。 ? 理解潜在的威胁。模块 2 威胁和对策列出了影响应用程序各构成组件和层的威胁。只有了解这些威胁，才能完善评价过程的结果。 返回页首 体系结构和设计审查过程 体系结构和设计审查过程要从安全角度分析。如果刚完成设计，可使用设计文档来帮助执行该过程。无论设计文档如何详尽，您都必须能分解应用程序并识别关键内容，包括信任边界、数据流、入口点和特权代码。此外，还必须了解应用程序的物理部署配置。请注意常出现漏洞的区域的设计方法。本指南将这些划分为应用程序漏洞类别。 请在评价应用程序的体系结构和设计时考虑下列问题： ? 部署与基础结构。针对目标部署环境和相关安全策略来评价应用程序的设计。此外，考虑底层基础结构层安全所要求的限制。 ? 应用程序体系结构和设计。对应用程序关键区域采用的方法进行评价，这些区域包括身份验证、授权、输入验证、异常管理等。可将应用程序漏洞类别作为一种路线图，确保不在评价过程中遗漏任何关键区域。 ? 逐层分析。对应用程序的各逻辑层进行分析，检验 ASP.NET Web 页和控件、Web 服务、服务组件、Microsoft .NET 远程处理、数据访问代码等的安全性。 图 5.1 显示了这种三路并进的评价方法。 图 5.1应用程序评价 本模块的剩余部分提供了评价各不同区域时考虑的关键事项。 返回页首 部署与基础结构注意事项 检验底层网络和主机基础结构提供给应用程序的安全设置，然后检验目标环境要求的所有限制。此外，考虑部署的拓扑结构以及中间层应用程序服务器、外围区域以及内部防火墙对设计的影响。 检验下列问题，确定可能存在的部署和基础结构问题： ? 网络是否提供了安全的通信？ ? 部署拓扑结构是否包括内部防火墙？ ? 部署拓扑结构中是否包括远程应用程序服务器？ ? 基础结构安全性要求的限制是什么？ ? 是否考虑了 Web 场问题？ ? 目标环境支持怎样的信任级别？ 网络是否提供了安全的通信？ 数据在客户端与服务器（或服务器与服务器）之间传输时最易受到攻击。数据应有怎样的私有程度？是否对客户数据负法律责任？ 应用程序负责在传输数据前处理并转换数据，网络负责数据传输的完整性和私密性。如果必须保留数据隐私，可使用适当的加密算法。此外，还必须确保网络设备安全。因为这是维护网络完整性所必需的。 部署拓扑结构是否包括内部防火墙？ 如果内部防火墙将 Web 服务器与应用程序服务器（或数据库服务器）分隔开来，请考虑下列问题，确保您的设计能适应这种配置： ? 下游服务器如何验证 Web 服务器的身份？ 如果使用域帐户和 Windows 身份验证，防火墙是否打开了必要的端口？如果不打开（或如果 Web 服务器和下游服务器位于不同的域），可使用镜像的本地帐户。例如，可复制特权最少的本地 ASPNET 帐户，用于在数据库服务器中运行 Web 应用程序。 ? 是否使用分布式事务？ 如果 Web 服务器使用 Microsoft Distributed Transaction Coordinator (DTC) 的服务来启动分布式事务，内部防