基于.NET的需求分析和解決方案設(shè)計(jì)第1章商務(wù)解決方案設(shè)計(jì)第2章收集和分析信息第3章解決方案的構(gòu)思

第4章概念設(shè)計(jì)的創(chuàng)建第5章邏輯設(shè)計(jì)的創(chuàng)建第6章物理設(shè)計(jì)的創(chuàng)建第7章表示層的設(shè)計(jì)第8章數(shù)據(jù)層的設(shè)計(jì)第9章設(shè)計(jì)安全規(guī)范

第10章完成計(jì)劃階段第11章穩(wěn)定和部署方案第9章設(shè)計(jì)安全規(guī)范應(yīng)用程序開發(fā)的安全性概述為應(yīng)用程序安全性制定計(jì)劃使用.NET框架中的安全性設(shè)計(jì)授權(quán)、驗(yàn)證和審核策略應(yīng)用程序開發(fā)的安全性概述常見的安全漏洞類型傳統(tǒng)安全模型的不足創(chuàng)建安全策略的原則主要安全性術(shù)語(yǔ)9.1應(yīng)用程序開發(fā)的安全性概述常見的安全漏洞類型弱密碼舉例員工使用空密碼或者自己的生日作為密碼影響攻擊者能通過(guò)不斷嘗試取得密碼9.1.1常見的安全漏洞類型常見的安全漏洞類型未配置正確的軟件舉例網(wǎng)絡(luò)如防火墻應(yīng)用程序如應(yīng)用程序配置文件主機(jī)如某些服務(wù)有過(guò)高的權(quán)限（超過(guò)正常運(yùn)行所需的權(quán)限）、一些以系統(tǒng)賬戶啟動(dòng)的服務(wù)影響攻擊者能利用這些服務(wù)取得訪問(wèn)系統(tǒng)的權(quán)限9.1.1常見的安全漏洞類型常見的安全漏洞類型社會(huì)工程陷阱舉例攻擊者裝作技術(shù)支持人員騙取用戶密碼影響攻擊者能利用騙來(lái)的密碼或管理員賬戶進(jìn)行破壞9.1.1常見的安全漏洞類型常見的安全漏洞類型未加密的數(shù)據(jù)傳輸舉例驗(yàn)證包以明文方式傳送重要數(shù)據(jù)通過(guò)互聯(lián)網(wǎng)明文傳播影響攻擊者能方便的獲取數(shù)據(jù)對(duì)企業(yè)或者應(yīng)用程序進(jìn)行攻擊9.1.1常見的安全漏洞類型常見的安全漏洞類型緩存溢出舉例受信任的進(jìn)程運(yùn)行未受信任的代碼影響攻擊者能讓操作系統(tǒng)或應(yīng)用程序崩潰通過(guò)出錯(cuò)信息發(fā)現(xiàn)更多的安全漏洞獲取能運(yùn)行任何程序的系統(tǒng)內(nèi)存9.1.1常見的安全漏洞類型常見的安全漏洞類型代碼注入舉例跨站點(diǎn)腳本SQL注入利用緩存溢出注入惡意代碼影響攻擊者能在客戶端、Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器上注入惡意代碼9.1.1常見的安全漏洞類型常見的安全漏洞類型代碼中的秘密信息舉例從代碼中直接獲取秘密信息在調(diào)試方式下運(yùn)行不同的安全應(yīng)用程序在客戶端頁(yè)面文件中獲取秘密信息影響密碼、密鑰泄漏9.1.1常見的安全漏洞類型傳統(tǒng)安全模型的不足沒(méi)有對(duì)代碼本身提供特定的限制訪問(wèn)機(jī)制病毒、蠕蟲可通過(guò)以下途徑感染受信任的用戶打開電子郵件的附件運(yùn)行Web頁(yè)面內(nèi)嵌的腳本打開從互聯(lián)網(wǎng)上下載的文件9.1.2傳統(tǒng)安全模型的不足創(chuàng)建安全策略的原則僅信任測(cè)試過(guò)并證明為安全的系統(tǒng)假設(shè)外部系統(tǒng)不安全應(yīng)用最小權(quán)限原則減小數(shù)據(jù)暴露區(qū)域默認(rèn)設(shè)置為安全模式不要信任外部輸入不要信任未知的東西遵循STRIDE原則9.1.3創(chuàng)建安全策略的原則主要安全性術(shù)語(yǔ)驗(yàn)證主動(dòng)識(shí)別客戶端的身份（客戶端包括最終用戶、服務(wù)、進(jìn)程或計(jì)算機(jī)）授權(quán)規(guī)定驗(yàn)證用戶能看到或者能做什么9.1.4主要安全性術(shù)語(yǔ)主要安全性術(shù)語(yǔ)模擬服務(wù)器應(yīng)用程序以客戶端身份訪問(wèn)資源的方式委派一種擴(kuò)展形式的模擬服務(wù)器進(jìn)程代表客戶端訪問(wèn)遠(yuǎn)程計(jì)算機(jī)的資源9.1.4主要安全性術(shù)語(yǔ)主要安全性術(shù)語(yǔ)安全通信確保通信過(guò)程中信息私密性和完整性安全上下文能影響進(jìn)程、線程安全方面動(dòng)作的設(shè)置集合由進(jìn)程的登錄會(huì)話和訪問(wèn)標(biāo)志組成身份惟一表征用戶、進(jìn)程9.1.4主要安全性術(shù)語(yǔ)第9章設(shè)計(jì)安全規(guī)范應(yīng)用程序開發(fā)的安全性概述為應(yīng)用程序安全性制定計(jì)劃使用.NET框架中的安全性設(shè)計(jì)授權(quán)、驗(yàn)證和審核策略為應(yīng)用程序安全性制定計(jì)劃MSF階段和安全性措施STRIDE威脅模型創(chuàng)建威脅模型使用威脅模型安全策略9.2為應(yīng)用程序安全性制定計(jì)劃MSF階段和安全性措施構(gòu)思收集安全性方面的需求將這些需求寫入文檔中創(chuàng)建威脅模型規(guī)劃安全性方面的功能減輕找出的威脅實(shí)施功能規(guī)格說(shuō)明書中涉及的安全性方面的功能進(jìn)行安全性測(cè)試監(jiān)控對(duì)應(yīng)用程序安全性方面的威脅規(guī)劃開發(fā)穩(wěn)定部署9.2.1MSF階段和安全性措施STRIDE威脅模型偽造身份S否認(rèn)R信息泄露I拒絕服務(wù)D權(quán)限提升E篡改數(shù)據(jù)（完整性）T9.2.2STRIDE威脅模型創(chuàng)建威脅模型組織集思廣益的會(huì)議1使用STRIDE模型中的類別3記錄筆記4調(diào)研5將威脅按照嚴(yán)重性分級(jí)6列出所有可能的威脅29.2.3創(chuàng)建威脅模型示例創(chuàng)建威脅模型瀏覽器LDAP：緩存在客戶端或者在聯(lián)機(jī)狀態(tài)下從域中獲得驗(yàn)證SSL通過(guò)Sockets

的SQL基于Web的報(bào)銷系統(tǒng)公司W(wǎng)eb服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器員工數(shù)據(jù)時(shí)間報(bào)表信息用戶驗(yàn)證信息審核信息9.2.3創(chuàng)建威脅模型使用威脅模型對(duì)每種威脅提出應(yīng)對(duì)方案通知用戶削減功能（Removefeatures）使用減輕威脅的技術(shù)9.2.4使用威脅模型使用威脅模型減輕安全性方面威脅可采用的技術(shù)驗(yàn)證和授權(quán)安全通信服務(wù)質(zhì)量（QoS）限制（Throttling）審核篩選最小權(quán)限9.2.4使用威脅模型安全策略安全策略定義了保護(hù)企業(yè)計(jì)算機(jī)和網(wǎng)絡(luò)安全性的需求決定了應(yīng)用程序能做什么，哪些用戶能使用該應(yīng)用程序?qū)Ρ劝踩呗詻Q定威脅的應(yīng)對(duì)措施容忍威脅委派其他公司解決威脅采取保護(hù)措施9.2.5安全策略第9章設(shè)計(jì)安全規(guī)范應(yīng)用程序開發(fā)的安全性概述為應(yīng)用程序安全性制定計(jì)劃使用.NET框架中的安全性設(shè)計(jì)授權(quán)、驗(yàn)證和審核策略使用.NET框架的安全特性類型安全驗(yàn)證代碼簽名加密和數(shù)據(jù)簽名代碼訪問(wèn)安全基于角色的安全性獨(dú)立存儲(chǔ).NET的安全特性9.3使用.NET框架的安全特性類型安全驗(yàn)證類型安全代碼僅能訪問(wèn)有權(quán)限的特定內(nèi)存僅能訪問(wèn)對(duì)象可以訪問(wèn)的成員符合以下條件的運(yùn)行時(shí)是類型安全的對(duì)類型的引用與引用的類型相一致對(duì)象僅被調(diào)用了適當(dāng)定義后的操作通過(guò)定義好的接口調(diào)用方法，避免安全檢測(cè)被跳過(guò)9.3.1類型安全驗(yàn)證代碼簽名代碼簽名保證了真實(shí)性和完整性.NET框架中的代碼簽名依靠強(qiáng)名稱簽名支持Authenticode數(shù)字證書和簽名9.3.2代碼簽名加密和數(shù)據(jù)簽名加密將明文轉(zhuǎn)成密文使用哈希和數(shù)據(jù)簽名哈希將任何長(zhǎng)度的數(shù)據(jù)變換成惟一且長(zhǎng)度固定的字節(jié)序列數(shù)據(jù)簽名可包含通過(guò)哈希加密后的任何形式內(nèi)容的簽名數(shù)據(jù)哈希保證數(shù)據(jù)簽名者的身份并且確保數(shù)據(jù)未經(jīng)篡改9.3.3加密和數(shù)據(jù)簽名代碼訪問(wèn)安全好處限制了代碼能做的事情示例：一個(gè)文件訪問(wèn)的應(yīng)用程序可限制可訪問(wèn)的文件限制了哪些代碼能訪問(wèn)你的代碼示例：僅允許企業(yè)中開發(fā)的其他程序訪問(wèn)你的程序集識(shí)別代碼示例：可通過(guò)強(qiáng)名稱、URL或者哈希值來(lái)識(shí)別代碼9.3.4代碼訪問(wèn)安全代碼訪問(wèn)安全組成部分代碼證據(jù)（Evidence）權(quán)限策略代碼組9.3.4代碼訪問(wèn)安全基于角色的安全性防止未授權(quán)的用戶進(jìn)行特定操作用戶名=Fred用戶.NET框架Windows用戶和組成員或普通身份和策略驗(yàn)證驗(yàn)證資源9.3.5基于角色的安全性獨(dú)立存儲(chǔ)為應(yīng)用程序提供安全的數(shù)據(jù)存儲(chǔ)使用虛擬文件系統(tǒng)允許設(shè)置大小對(duì)存儲(chǔ)的訪問(wèn)許可基于下列身份用戶程序集應(yīng)用程序9.3.6獨(dú)立存儲(chǔ).NET的安全特性技術(shù)驗(yàn)證授權(quán)安全通信ASP.NET無(wú)（自定義）、Windows、表單、Passport

文件權(quán)限、URL權(quán)限、主體權(quán)限、.NET角色

SSLWeb服務(wù)Windows、無(wú)（自定義）、消息級(jí)驗(yàn)證文件權(quán)限、URL權(quán)限、主體權(quán)限、.NET角色SSL和消息級(jí)加密遠(yuǎn)程處理Windows

文件權(quán)限、URL權(quán)限、主體權(quán)限、.NET角色SSL和消息級(jí)加密企業(yè)服務(wù)Windows

企業(yè)服務(wù)（COM+）角色、NTFS權(quán)限RPC加密SQLServerWindows（Kerberos

/NTLM）、SQL驗(yàn)證服務(wù)器登錄名、數(shù)據(jù)庫(kù)登錄名、數(shù)據(jù)庫(kù)默認(rèn)角色、自定義角色、應(yīng)用程序角色SSL9.3.7.NET的安全特性第9章設(shè)計(jì)安全規(guī)范應(yīng)用程序開發(fā)的安全性概述為應(yīng)用程序安全性制定計(jì)劃使用.NET框架中的安全性設(shè)計(jì)授權(quán)、驗(yàn)證和審核策略設(shè)計(jì)授權(quán)、驗(yàn)證和審核策略設(shè)計(jì)授權(quán)和身份驗(yàn)證策略為用戶界面組件設(shè)計(jì)授權(quán)策略為業(yè)務(wù)組件設(shè)計(jì)授權(quán)策略為數(shù)據(jù)訪問(wèn)組件設(shè)計(jì)授權(quán)為用戶界面組件設(shè)計(jì)身份驗(yàn)證策略為數(shù)據(jù)訪問(wèn)組件設(shè)計(jì)身份驗(yàn)證策略設(shè)計(jì)審核策略9.4設(shè)計(jì)授權(quán)、驗(yàn)證和審核策略應(yīng)用程序級(jí)別操作系統(tǒng)級(jí)別表單、Passport、Windows集成（Kerberos或NTLM）、Basic、Digest確定哪些身份需要在整個(gè)應(yīng)用程序中傳遞例如，一個(gè)后端資源管理器需要在每次調(diào)用時(shí)進(jìn)行授權(quán)，調(diào)用者的身份必須傳遞給資源管理器調(diào)用者的身份進(jìn)程身份服務(wù)賬戶自定義身份基于角色基于資源實(shí)例：Web服務(wù)器資源如Web頁(yè)面、Web服務(wù)和靜態(tài)資源（HTML頁(yè)面和圖片）數(shù)據(jù)庫(kù)資源如每個(gè)用戶的數(shù)據(jù)或應(yīng)用程序的數(shù)據(jù)網(wǎng)絡(luò)資源如遠(yuǎn)程文件系統(tǒng)資源和活動(dòng)目錄中存儲(chǔ)的數(shù)據(jù)設(shè)計(jì)授權(quán)和身份驗(yàn)證策略確定資源1選擇訪問(wèn)資源的身份3確定身份是否需要在系統(tǒng)內(nèi)流轉(zhuǎn)4選擇驗(yàn)證方式5確定身份如何在系統(tǒng)內(nèi)流轉(zhuǎn)6選擇授權(quán)策略2確定資源1選擇訪問(wèn)資源的標(biāo)識(shí)3確定標(biāo)識(shí)是否需要在系統(tǒng)內(nèi)流轉(zhuǎn)4選擇身份驗(yàn)證方法5確定標(biāo)識(shí)如何在系統(tǒng)內(nèi)流動(dòng)6選擇授權(quán)策略29.4.1設(shè)計(jì)授權(quán)和身份驗(yàn)證策略為用戶界面組件設(shè)計(jì)授權(quán)策略在用戶界面組件上進(jìn)行授權(quán)限制用戶輸入或查看用戶界面組件授權(quán)指導(dǎo)方針用戶進(jìn)程組件授權(quán)指導(dǎo)方針僅顯示給需要看到的用戶設(shè)置用戶界面程序集代碼的訪問(wèn)權(quán)限按照用戶不同在用戶交互過(guò)程中添加刪除步驟或者用戶界面組件控制用戶是否能開始一個(gè)用戶界面交互進(jìn)程9.4.2為用戶界面組件設(shè)計(jì)授權(quán)策略為業(yè)務(wù)組件設(shè)計(jì)授權(quán)策略指導(dǎo)方針業(yè)務(wù)進(jìn)程授權(quán)應(yīng)獨(dú)立于用戶上下文盡可能使用基于角色的權(quán)限9.4.3為業(yè)務(wù)組件設(shè)計(jì)授權(quán)策略為數(shù)據(jù)訪問(wèn)組件設(shè)計(jì)授權(quán)對(duì)數(shù)據(jù)訪問(wèn)組件進(jìn)行授權(quán)Windows驗(yàn)證情況下，使用企業(yè)服務(wù)角色和.NETPrincipalPermission屬性Windows安全上下文情況下，使用.NET角色和相關(guān)屬性限制用戶僅能訪問(wèn)需要的程序集在數(shù)據(jù)存儲(chǔ)中采用相同用戶上下文的情況下，使用數(shù)據(jù)庫(kù)授權(quán)功能9.4.4為數(shù)據(jù)訪問(wèn)組件設(shè)計(jì)授權(quán)為用戶界面組件設(shè)計(jì)身份驗(yàn)證策略基于Web界面的驗(yàn)證方式根據(jù)情況選擇驗(yàn)證機(jī)制基于Windows界面的驗(yàn)證方式自定義驗(yàn)證Windows登錄用戶進(jìn)程組件的驗(yàn)證方式不進(jìn)行驗(yàn)證通過(guò)在程序開始設(shè)置的安全上下文9.4.5為用戶界面組件設(shè)計(jì)身份驗(yàn)證策略示例基于Web界面的驗(yàn)證方式用戶一定

需要登錄？開始匿名＋Cookie

匿名＋Passport是否需要

個(gè)性化不需要知道

用戶身份是匿名否用戶在操作系統(tǒng)中

是否有賬戶用戶通過(guò)登錄訪問(wèn)服務(wù)和內(nèi)容用戶是否有

Passport賬戶是否需要

確保登錄安全是否交互用戶

登錄否否證書表單驗(yàn)證否是否通過(guò)SSL

表單驗(yàn)證Passport驗(yàn)證是是系統(tǒng)是否

運(yùn)行于互聯(lián)網(wǎng)是否需要委派

安全上下文服務(wù)器和客戶端是否

只有Windows2000是否需要

安全登錄是是，運(yùn)行在

互聯(lián)網(wǎng)上Basic/SSL

Digest/SSL表單驗(yàn)證/SSL證書是表單驗(yàn)證BasicNTLM證書否否否自定義身份映射BasicKerberosBasicDigestNTLMKerberos證書否，只有

局域網(wǎng)是是9.4.5為用戶界面組件設(shè)計(jì)身份驗(yàn)證策略為數(shù)據(jù)訪問(wèn)組件設(shè)計(jì)身份驗(yàn)證策略使用服務(wù)賬戶在連接數(shù)據(jù)源時(shí)，對(duì)最初調(diào)用者的身份模擬無(wú)法進(jìn)行對(duì)登錄其他系統(tǒng)的賬戶只有很小的更改權(quán)利訪問(wèn)的數(shù)據(jù)存儲(chǔ)與其他應(yīng)用程序使用不同的驗(yàn)證機(jī)制使用調(diào)用者的身份模擬數(shù)據(jù)存儲(chǔ)根據(jù)登錄用戶進(jìn)行授權(quán)數(shù)據(jù)存儲(chǔ)需要審核每個(gè)最終用戶的活動(dòng)安全計(jì)劃示例9.4.6為數(shù)據(jù)訪問(wèn)組件設(shè)計(jì)身份驗(yàn)證策