Web应用程序构建后的一些必备安全措施

问：我们刚完成一个WEB应用程序的构建，我想知道你推荐使用哪些安全设备来保护它的正常运行。

答：在对你想要尝试保护的数据和设备充分了解前，我是不可能对你所需要的外围网络和应用程序数据安全设备做出详细具体的建议的。你可以参照一些基本步骤来为任何一种WEB应用程序所必需的安全特性准备一个简短的采购清单。

首先，将WEB应用程序所要使用到的数据进行分类是非常重要的，它将会存储在哪？它是如何进行存取和处理的？下一步，识别及评估这些数据以及处理这些数据的系统及应用程序的风险，这个过程被称做威胁建模，应该在应用程序设计过程中实现。通过从一个攻击者的角度来分析一个WEB应用程序，你将会对如下问题有更好的理解：

1.它是如何受到攻击的？

2.它为什么会受攻击？

3.如何最大程度上减轻任何可识别的风险？

这个过程也可以帮助完善文档材料来识别和证明这个WEB应用程序的安全需求。

这些WEB应用程序的安全需求需要和整个组织全局性的安全策略相统一，这个全局性的安全策略定义了如何合法地保护这些数据的目标，基于此策略来决定如何最好地保护WEB应用程序，以防止受到任何可识别的威胁和降低敏感信息的风险。有一点我是非常肯定的，那就是如果重写部分应用程序的代码，逻辑及功能可以去除部分的漏洞，这样的努力应该通过附加的安全设备来进行补充，但是你的政策和策略必须明确一点，那就是你需要这些设备用来保护你的哪些数据以及用来防范哪些威胁。

当完成一个WEB应用程序后，你在查看用于减轻威胁的设备时，记得复查下它们用来保护防范哪种类型的威胁。有一些设备同时提供多种威胁的防护，比如病毒，间谍软件和恶意软件，而其它设备可能会着重于一种特定威胁，比如对即时聊天通讯上进行安全保护。你需要多加关注各家厂商在一种或多种安全领域所用到的这些技术覆盖的深度和方法。对应用程序数据带来多种攻击的一个常见问题是，它们经常在合法的客户端请求和响应上进行反复尝试，SQL注入是一个很经典的例子，因此传统的外围保护技术，比如包过滤防火墙已经不再有足够的保护能力。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]