@Niki
2年前 提问
1个回答
应用软件的安全设计主要针对哪些方面
delay
2年前
应用软件的安全设计主要针对以下方面:
用户授权及访问控制:不同的应用程序应创建不同的独立用户,对各个用户可授予不同的系统权限。各应用程序中的账户管理员、权限管理员、安全审计员、数据库管理员、密钥管理员的权限要相互独立,要采用双因子认证体系进行系统认证。可以将生物特征识别系统、动态码认证技术引入该系统管理中,如人脸识别、指纹识别、虹膜识别、声音识别、笔迹识别、步态识别、手机获取动态码以及与用户互动等。
完善日志管理机制:系统日志需要对用户登录、访问行为和实际操作等进行记录。系统日志是网络系统中数据等级最高的,通常是不允许被访问的,只有必要的时候,安全审计员才能调阅、查看。应用程序日志可以针对不同类别的问题自定义日志等级。记录程序报错,能方便管理员维护程序。
数据的安全管理:网络系统中每一名用户都会产生自己的专有数据,应对自己的专有敏感数据进行安全加密、权限设置,可以针对每一部分设定使用范围,以此来保障专有敏感数据的安全。
应用软件的加密处理:通信协议加密,应采用加密的传输协议,如HTTPS、SFTP协议。可执行程序代码加密,应防止对用户授权和安全访问控制程序进行解密。密码管理员负责对系统的加密算法和密钥进行管理,从而保证系统数据库中的核心数据的安全。
输入参数安全认证:对应用软件输入的参数要采取严格的检验措施,避免成为网络系统的薄弱点。不要相信用户输入的任何数据,对用户输入的数据要进行过滤或者是验证后猜能使用,防止黑客模拟用户的的输入伪造攻击,所以最好对用户的输入进行安全认证。