在intranet应用程序中实现安全性
在intranet应用程序中实现安全性
提问于 2012-05-21 06:20:50
我使用WPF、WCF、EF 4和Seerver 2008 R2组合创建了一个桌面应用程序。
现在我必须为安全审计准备我的软件,我需要知道我能做什么来确保我的应用程序中的安全参数。目前,我正在使用Active的WCF服务身份验证。
据我所知,为了使我的应用程序更加安全,我可以做以下几件事:
- 代码混淆-保护代码库
- 可以使用TDE -保护数据库和加密机密表。
- 可以使用SSL -保护通信通道(关于这方面的任何好文章都会有很大帮助,因为我没有发现任何好的东西,可以解释如何为intranet桌面应用程序这样做)。
我还能做些什么来保护应用程序。我仍然不清楚如何保护客户机<->服务器和服务器<->数据库之间的通信通道。
任何帮助都将不胜感激。谢谢..
Stack Overflow用户
回答已采纳
发布于 2012-05-21 07:44:36
不要把时间浪费在混淆上。良好的安全是透明的。混淆只对保护知识产权有用,即便如此,这也是值得商榷的。
总之,听起来你想集中精力做几件事:
- 为应用服务器和Server获取SSL服务器证书。如果您不想把钱花在一个上面,您可以创建您自己的PKI或自签名证书颁发机构。我不建议生产自签名,滚动您自己的PKI也不应该掉以轻心。
- 使用协议加密来保护应用程序和Server实例之间的连接。
- 使用需要传输安全性的绑定使WCF通信使用SSL。http://msdn.microsoft.com/en-us/library/ms734679.aspx http://social.msdn.microsoft.com/Forums/en-US/wcf/thread/b361ee9e-2f37-4ecf-ba8b-96c6d6e6118a
- 审核您的身份验证例程。你是在查密码和盐渍密码吗?您是否审核安全事件(登录、注销、尝试失败)?一定次数的尝试失败后,您是否锁定帐户?就这样等等。与任何审计您的人一起工作将是有帮助的,以了解他们将寻找什么。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/10680345
复制相关文章
相似问题
腾讯云开发者
