设计安全规范

1、基于基于.NET的需求分析和解决方案设计的需求分析和解决方案设计第第1章章 商务解决方案设计商务解决方案设计第第2章章 收集和分析信息收集和分析信息第第3章章 解决方案的构思解决方案的构思 第第4章章 概念设计的创建概念设计的创建 第第5章章 逻辑设计的创建逻辑设计的创建 第第6章章 物理设计的创建物理设计的创建第第7章章 表示层的设计表示层的设计第第8章章 数据层的设计数据层的设计第第9章章 设计安全规范设计安全规范 第第10章章 完成计划阶段完成计划阶段第第11章章 稳定和部署方案稳定和部署方案第第9章章 设计安全规范设计安全规范应用程序开发的安全性概述应用程序开发的安全性概述为应用程序安

2、全性制定计划为应用程序安全性制定计划使用使用.NET框架中的安全性框架中的安全性设计授权、验证和审核策略设计授权、验证和审核策略应用程序开发的安全性概述应用程序开发的安全性概述常见的安全漏洞类型常见的安全漏洞类型传统安全模型的不足传统安全模型的不足创建安全策略的原则创建安全策略的原则主要安全性术语主要安全性术语9.1 应用程序开发的安全性概述应用程序开发的安全性概述常见的安全漏洞类型常见的安全漏洞类型弱密码弱密码举例举例员工使用空密码或者自己的生日作为密码影响影响攻击者能通过不断尝试取得密码9.1.1 常见的安全漏洞类型常见的安全漏洞类型常见的安全漏洞类型常见的安全漏洞类型未配置正确的软件未配

3、置正确的软件举例举例网络如防火墙应用程序如应用程序配置文件主机如某些服务有过高的权限（超过正常运行所需的权限）、一些以系统账户启动的服务影响影响攻击者能利用这些服务取得访问系统的权限9.1.1 常见的安全漏洞类型常见的安全漏洞类型常见的安全漏洞类型常见的安全漏洞类型社会工程陷阱社会工程陷阱举例举例攻击者装作技术支持人员骗取用户密码影响影响攻击者能利用骗来的密码或管理员账户进行破坏9.1.1 常见的安全漏洞类型常见的安全漏洞类型常见的安全漏洞类型常见的安全漏洞类型未加密的数据传输未加密的数据传输举例举例验证包以明文方式传送重要数据通过互联网明文传播影响影响攻击者能方便的获取数据对企业或者应用程序

4、进行攻击9.1.1 常见的安全漏洞类型常见的安全漏洞类型常见的安全漏洞类型常见的安全漏洞类型缓存溢出缓存溢出举例举例受信任的进程运行未受信任的代码影响影响攻击者能让操作系统或应用程序崩溃通过出错信息发现更多的安全漏洞获取能运行任何程序的系统内存9.1.1 常见的安全漏洞类型常见的安全漏洞类型常见的安全漏洞类型常见的安全漏洞类型代码注入代码注入举例举例跨站点脚本SQL注入利用缓存溢出注入恶意代码影响影响攻击者能在客户端、Web服务器、数据库服务器上注入恶意代码9.1.1 常见的安全漏洞类型常见的安全漏洞类型常见的安全漏洞类型常见的安全漏洞类型代码中的秘密信息代码中的秘密信息举例举例从代码中直接获

5、取秘密信息在调试方式下运行不同的安全应用程序在客户端页面文件中获取秘密信息影响影响密码、密钥泄漏9.1.1 常见的安全漏洞类型常见的安全漏洞类型传统安全模型的不足传统安全模型的不足没有对代码本身提供特定的限制访问机制没有对代码本身提供特定的限制访问机制病毒、蠕虫可通过以下途径感染受信任的用户病毒、蠕虫可通过以下途径感染受信任的用户打开电子邮件的附件运行Web页面内嵌的脚本打开从互联网上下载的文件9.1.2 传统安全模型的不足传统安全模型的不足创建安全策略的原则创建安全策略的原则 仅信任测试过并证明为安全的系统仅信任测试过并证明为安全的系统 假设外部系统不安全假设外部系统不安全 应用最小权限原则

6、应用最小权限原则 减小数据暴露区域减小数据暴露区域 默认设置为安全模式默认设置为安全模式 不要信任外部输入不要信任外部输入 不要信任未知的东西不要信任未知的东西 遵循遵循STRIDE原则原则 9.1.3 创建安全策略的原则创建安全策略的原则主要安全性术语主要安全性术语验证验证主动识别客户端的身份（客户端包括最终用户、服务、进程或计算机）授权授权规定验证用户能看到或者能做什么9.1.4 主要安全性术语主要安全性术语主要安全性术语主要安全性术语模拟模拟服务器应用程序以客户端身份访问资源的方式委派委派一种扩展形式的模拟服务器进程代表客户端访问远程计算机的资源9.1.4 主要安全性术语主要安全性术语主

7、要安全性术语主要安全性术语安全通信安全通信确保通信过程中信息私密性和完整性安全上下文安全上下文能影响进程、线程安全方面动作的设置集合由进程的登录会话和访问标志组成身份身份惟一表征用户、进程9.1.4 主要安全性术语主要安全性术语第第9章章 设计安全规范设计安全规范应用程序开发的安全性概述应用程序开发的安全性概述为应用程序安全性制定计划为应用程序安全性制定计划使用使用.NET框架中的安全性框架中的安全性设计授权、验证和审核策略设计授权、验证和审核策略为应用程序安全性制定计划为应用程序安全性制定计划MSF 阶段和安全性措施阶段和安全性措施STRIDE威胁模型威胁模型创建威胁模型创建威胁模型使用威胁

8、模型使用威胁模型安全策略安全策略9.2 为应用程序安全性制定计划为应用程序安全性制定计划MSF 阶段和安全性措施阶段和安全性措施构思构思 收集安全性方面的需求收集安全性方面的需求 将这些需求写入文档中将这些需求写入文档中 创建威胁模型创建威胁模型 规划安全性方面的功能减轻找出的威规划安全性方面的功能减轻找出的威胁胁 实施功能规格说明书中涉及的安全性实施功能规格说明书中涉及的安全性 方面的功能方面的功能 进行安全性测试进行安全性测试 监控对应用程序安全性方面的威胁监控对应用程序安全性方面的威胁 规划规划 开发开发 稳定稳定 部署部署 9.2.1 MSF 阶段和安全性措施阶段和安全性措施STRID

9、E威胁模型威胁模型伪造身份伪造身份 S否认否认 R信息泄露信息泄露 I拒绝服务拒绝服务 D权限提升权限提升 E篡改数据（完整性）篡改数据（完整性） T9.2.2 STRIDE威胁模型威胁模型创建威胁模型创建威胁模型组织集思广益的会议组织集思广益的会议 1使用使用STRIDE模型中的类别模型中的类别 3记录笔记记录笔记 4调研调研 5将威胁按照严重性分级将威胁按照严重性分级 6列出所有可能的威胁列出所有可能的威胁 29.2.3 创建威胁模型创建威胁模型示例示例 创建威胁模型创建威胁模型浏览器浏览器 LDAP：缓存在客户：缓存在客户 端或者在联机状态端或者在联机状态 下从域中获得下从域中获得 验证

10、验证 SSL 通过通过Sockets 的的SQL 基于基于Web的报销系统的报销系统公司公司Web服务服务 器器 数据库服数据库服 务器务器 员工数据员工数据 时间报表信息时间报表信息 用户验证信用户验证信 息息 审核信息审核信息 9.2.3 创建威胁模型创建威胁模型使用威胁模型使用威胁模型对每种威胁提出应对方案对每种威胁提出应对方案 通知用户 削减功能（Remove features） 使用减轻威胁的技术9.2.4 使用威胁模型使用威胁模型使用威胁模型使用威胁模型减轻安全性方面威胁可采用的技术减轻安全性方面威胁可采用的技术 验证和授权验证和授权 安全通信安全通信 服务质量（服务质量（QoS）

11、 限制（限制（Throttling） 审核审核 筛选筛选 最小权限最小权限 9.2.4 使用威胁模型使用威胁模型安全策略安全策略安全策略安全策略 定义了保护企业计算机和网络安全性的需求 决定了应用程序能做什么，哪些用户能使用该应用程序对比安全策略决定威胁的应对措施对比安全策略决定威胁的应对措施 容忍威胁 委派其他公司解决威胁 采取保护措施9.2.5 安全策略安全策略第第9章章 设计安全规范设计安全规范应用程序开发的安全性概述应用程序开发的安全性概述为应用程序安全性制定计划为应用程序安全性制定计划使用使用.NET框架中的安全性框架中的安全性设计授权、验证和审核策略设计授权、验证和审核策略使用使用

12、.NET框架的安全特性框架的安全特性类型安全验证类型安全验证代码签名代码签名加密和数据签名加密和数据签名代码访问安全代码访问安全基于角色的安全性基于角色的安全性独立存储独立存储.NET的安全特性的安全特性9.3 使用使用.NET框架的安全特性框架的安全特性类型安全验证类型安全验证类型安全代码类型安全代码仅能访问有权限的特定内存仅能访问对象可以访问的成员符合以下条件的运行时是类型安全的符合以下条件的运行时是类型安全的对类型的引用与引用的类型相一致对象仅被调用了适当定义后的操作通过定义好的接口调用方法，避免安全检测被跳过9.3.1 类型安全验证类型安全验证代码签名代码签名代码签名保证了真实性和完整

13、性代码签名保证了真实性和完整性.NET框架中的代码签名框架中的代码签名依靠强名称签名支持Authenticode数字证书和签名9.3.2 代码签名代码签名加密和数据签名加密和数据签名加密加密将明文转成密文使用哈希和数据签名哈希哈希将任何长度的数据变换成惟一且长度固定的字节序列数据签名数据签名可包含通过哈希加密后的任何形式内容的签名数据哈希保证数据签名者的身份并且确保数据未经篡改9.3.3 加密和数据签名加密和数据签名代码访问安全代码访问安全好处好处 限制了代码能做的事情示例：一个文件访问的应用程序可限制可访问的文件 限制了哪些代码能访问你的代码示例：仅允许企业中开发的其他程序访问你的程序集 识

14、别代码示例：可通过强名称、URL或者哈希值来识别代码9.3.4 代码访问安全代码访问安全代码访问安全代码访问安全组成部分组成部分 代码 证据（Evidence） 权限 策略 代码组9.3.4 代码访问安全代码访问安全基于角色的安全性基于角色的安全性防止未授权的用户进行特定操作防止未授权的用户进行特定操作 用户名用户名 = Fred 用户用户 .NET 框架框架 Windows用户和组成员用户和组成员 或或 普通身份和策略普通身份和策略 验证验证 验证验证 资源资源 9.3.5 基于角色的安全性基于角色的安全性独立存储独立存储为应用程序提供安全的数据存储为应用程序提供安全的数据存储使用虚拟文件系

15、统允许设置大小对存储的访问许可基于下列身份对存储的访问许可基于下列身份用户程序集应用程序9.3.6 独立存储独立存储.NET的安全特性的安全特性技术技术验证验证授权授权安全通信安全通信ASP.NET无（自定义）、 Windows、表单、Passport 文件权限、URL权限、主体权限、.NET角色 SSLWeb服务服务Windows、无（自定义）、消息级验证文件权限、URL权限、主体权限、.NET角色SSL和 消息级加密远程处理远程处理Windows 文件权限、URL权限、主体权限、.NET角色SSL和消息级加密 企业服务企业服务Windows 企业服务（COM+） 角色、NTFS权限RPC加

16、密SQL ServerWindows（Kerberos/NTLM）、SQL验证服务器登录名、数据库登录名、数据库默认角色、自定义角色、应用程序角色SSL9.3.7 .NET的安全特性的安全特性第第9章章 设计安全规范设计安全规范应用程序开发的安全性概述应用程序开发的安全性概述为应用程序安全性制定计划为应用程序安全性制定计划使用使用.NET框架中的安全性框架中的安全性设计授权、验证和审核策略设计授权、验证和审核策略设计授权、验证和审核策略设计授权、验证和审核策略设计授权和身份验证策略设计授权和身份验证策略为用户界面组件设计授权策略为用户界面组件设计授权策略为业务组件设计授权策略为业务组件设计授权

17、策略为数据访问组件设计授权为数据访问组件设计授权为用户界面组件设计身份验证策略为用户界面组件设计身份验证策略为数据访问组件设计身份验证策略为数据访问组件设计身份验证策略设计审核策略设计审核策略9.4 设计授权、验证和审核策略设计授权、验证和审核策略应用程序级别应用程序级别操作系统级别操作系统级别表单、表单、Passport、Windows集成（集成（Kerberos或或NTLM）、）、Basic、 Digest确定哪些身份需要在整个应用程序中传递确定哪些身份需要在整个应用程序中传递例如，一个后端资源管理器需要在每次调用时进行授权，调例如，一个后端资源管理器需要在每次调用时进行授权，调用者的身份

18、必须传递给资源管理器用者的身份必须传递给资源管理器调用者的身份调用者的身份进程身份进程身份服务账户服务账户自定义身份自定义身份基于角色基于角色基于资源基于资源实例：实例：Web服务器资源如服务器资源如 Web页面、页面、Web服务和静态资源（服务和静态资源（HTML页页面和图片）面和图片）数据库资源如每个用户的数据或应用程序的数据数据库资源如每个用户的数据或应用程序的数据网络资源如远程文件系统资源和活动目录中存储的数据网络资源如远程文件系统资源和活动目录中存储的数据设计授权和身份验证策略设计授权和身份验证策略确定资源确定资源1选择访问资源的身份选择访问资源的身份3确定身份是否需要在系统内流转确

19、定身份是否需要在系统内流转4选择验证方式选择验证方式5确定身份如何在系统内流转确定身份如何在系统内流转6选择授权策略选择授权策略2确定资源确定资源1选择访问资源的标识选择访问资源的标识3确定标识是否需要在系统内流转确定标识是否需要在系统内流转4选择身份验证方法选择身份验证方法5确定标识如何在系统内流动确定标识如何在系统内流动6选择授权策略选择授权策略29.4.1 设计授权和身份验证策略设计授权和身份验证策略为用户界面组件设计授权策略为用户界面组件设计授权策略在用户界面组件上进行授权限制用户输入或查看在用户界面组件上进行授权限制用户输入或查看用户界面组件授权指导方针用户界面组件授权指导方针用户进

20、程组件授权指导方针用户进程组件授权指导方针仅显示给需要看到的用户设置用户界面程序集代码的访问权限按照用户不同在用户交互过程中添加删除步骤或者用户界面组件控制用户是否能开始一个用户界面交互进程9.4.2 为用户界面组件设计授权策略为用户界面组件设计授权策略为业务组件设计授权策略为业务组件设计授权策略指导方针指导方针业务进程授权应独立于用户上下文业务进程授权应独立于用户上下文尽可能使用基于角色的权限尽可能使用基于角色的权限9.4.3 为业务组件设计授权策略为业务组件设计授权策略为数据访问组件设计授权为数据访问组件设计授权对数据访问组件进行授权对数据访问组件进行授权Windows验证情况下，使用企业

21、服务角色和.NET PrincipalPermission属性Windows安全上下文情况下，使用.NET角色和相关属性限制用户仅能访问需要的程序集在数据存储中采用相同用户上下文的情况下，使用数据库授权功能9.4.4 为数据访问组件设计授权为数据访问组件设计授权为用户界面组件设计身份验证策略为用户界面组件设计身份验证策略基于基于Web界面的验证方式界面的验证方式根据情况选择验证机制基于基于Windows界面的验证方式界面的验证方式自定义验证Windows登录用户进程组件的验证方式用户进程组件的验证方式不进行验证通过在程序开始设置的安全上下文9.4.5 为用户界面组件设计身份验证策略为用户界面组

22、件设计身份验证策略示例示例 基于基于Web界面的验证方式界面的验证方式用户一定用户一定 需要登录？需要登录？ 开始开始 匿名匿名Cookie匿名匿名Passport是否需要是否需要 个性化个性化 不需要知道不需要知道 用户身份用户身份 是是匿名匿名 否否 用户在操作系统中用户在操作系统中 是否有账户是否有账户 用户通过登录访问服务和内容用户通过登录访问服务和内容 用户是否有用户是否有 Passport账户账户 是否需要是否需要 确保登录安全确保登录安全 是否交互用户是否交互用户 登录登录 否否否否证书证书 表单验证表单验证否否是是否否通过通过SSL 表单验证表单验证 Passport验证验证 是是是是系统是否系统是否 运行于互联网运行于互联网 是否需要委派是否需要委派 安全上下文安全上下文 服务器和客户端是否服务器和客户端是否 只有只有Windows 2000 是否需要是否需要 安全登录安全登录 是是是，运行在是，运行在互联网上互联网上Basic/SSL Digest/SSL 表单验证表单验证/SSL 证书证书 是是表单验证表单验证 Basic