ASP.NET网站的网络安全性

 

 一、网络安全性

1.程序以外：

(1)配置防火墙

(2)定期备份转储数据库文件和日志文件;
(3)服务器使用安全性较好的Windows2003 Server操作系统和IIS6.0

(4) 虚拟路径的设置:不同用户对不同目录访问权限不同,可以设定虚拟目录来实现

(5)用户登陆使用验证码

(6)尽可能安装软件的最新服务包和修补程序；

(7) SQL   Server2000数据库服务器层安全    
a.  将SQL   Server安装在NTFS分区上；    
 b.安装当时发布的最新服务包和修补程序；    

2.程序相关

ASP.NET的安全机制、数据库安全控制、管理员网络安全防范意识的基础上,可以极大提高Web应用程序的安全性能。

(1)而对数据库表的操作文件放在特殊的文件夹bin下,因为该目录是禁止任何浏览器访问的,从而避免了远程客户下载代码的可能性。

(2)充分利用后台数据库系统的视图和存储过程,如:创建带参数的视图,实现不同角色身份的用户对各自权限范围内的数据访问。

(3) 用户口令存储问题:不要将实际的口令存储在数据库表中,因为口令直接放在数据库或文件中存在安全隐患,因此要存储加密后的口令。使用时,例如当用户登录时,对口令加密,然后与数据库中存放的加密口令进行比较.在可以使用当前最流行的IDEA加密算法

(4) 数据库连接字符串常量放在应用程序的web.config文件中。并已经加密

 (5)使用 HTML表单验证(Forms Authentication),是向开发人员提供确认客户凭证并控制访问权限的技术

(6)页面出错处理策略:出错时转向统一的出错页面,而不必在每个网页中写代码,控制转向出错页面,避免了程序运行期间任何未处理的意外发生时,错误页面代码泄露或使用户不知所云的尴尬发生。