顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - wisely

頁: [1]
1
1.差不多, 更精確的說法是假如Intranet是192.168.1.0/24, 那DMZ2可以設為192.168.2.0/24, 而且與防火牆連結Intranet使用的network interface不一樣.
5.許多DB Security問題來自於前端介面, 以此例來說就是Web Service. 因為DB保護的再好, 如果前端程式設計有疏失, 也是沒有意義的, 因為在DB的角度看來, 同樣都是合法的帳號及密碼登入存取資料. 這部分涉及Web AP Development, 如果你不具備網頁程式開發經驗(例如ASP/PHP/JSP/CGI), 不清楚這部分是很正常的, 可以找你們單位負責這部分的同仁討論一下.
6.沒錯, Apache/Tomcat等AP的安全性要注意, 還有像是作業系統(Linux)安全性, 密碼強固性等等, 都必須兼顧, 作業系統不安全, 也是很難繼續維護DB安全性的(連sa password都能改了...).
8.ccc...有案子要做嗎??:P

引述: "argus"
1.您說的DMZ2 是說假如內部網路是192.168.1.x  ,然後設個192.168.2.xxxx是這樣?
2.這個我門有規劃了,只有一個人可以寫入
3.這個有想到
4.這個也有考慮到
5.這個聽不太懂,可以解釋一下嗎
6.您是說例如apache有漏洞這樣???
7.這倒不會,主要還是內部的DB有重要,但是DB外面的人不能查
8.請留下MSN............
引述: "wisely"
原有設計在個人感覺上的確不"夠"安全, 當然這要看你們的需求而定, 一點建議, 請參考.



先決條件:
1.Web Server/Service必須提供
2.DB data不能洩漏, 不能被竄改, 不能資料遺失 (CIA)
3.Web Service必須能存取DB

幾項建議:
1.DB不要放在內部網路, 可以的話, 獨立一個網段, 也就是設個DMZ2, 與Web Server, Intranet都區隔開, Intranet實在不安全, 要知道有多不安全, 可以問Birdman...XD
2.DB本身規劃不清楚, 不知道所有Data都在一個DB內還是分別有多個不同的資料庫. 建議針對DB Users分別設定權限, 採"least priviledge"方式, 只能讀取就不要有寫入權限, 不該讀取就不要給讀取權限, 不應該存在的使用者就不應該存在, 然後每個使用者採取強密碼保護.
3.DB system administrator的密碼記得不要用default password.
4.DB定期備份, 同時針對對安全的需求程度考量異地備份, 異地備援, 並設計回復計劃定期測試回復流程.
5.Web Service進行code review或penetration test, 確認網站程式設計有無漏洞, 例如SQL Injection, Cross-Site scripting這些常見的問題.
6.Web Server本身系統安全性, 作業系統安全性一樣要注意, 這方面不詳述. web server本身啟動iptables跟啟動tcpwrapper也差不多, 使用了並不能因此增加多少安全性.
7.Web Service如果要跟使用者傳輸比較"敏感"或機密的資料, 建議使用SSL tunnel保護.
8.如果還是有太多疑問不清楚, 建議可以尋求外部專家協助, 有興趣可以跟我聯繫...:P
:P  :P  :P  :P  :P

2
原有設計在個人感覺上的確不"夠"安全, 當然這要看你們的需求而定, 一點建議, 請參考.

先決條件:
1.Web Server/Service必須提供
2.DB data不能洩漏, 不能被竄改, 不能資料遺失 (CIA)
3.Web Service必須能存取DB

幾項建議:
1.DB不要放在內部網路, 可以的話, 獨立一個網段, 也就是設個DMZ2, 與Web Server, Intranet都區隔開, Intranet實在不安全, 要知道有多不安全, 可以問Birdman...XD
2.DB本身規劃不清楚, 不知道所有Data都在一個DB內還是分別有多個不同的資料庫. 建議針對DB Users分別設定權限, 採"least priviledge"方式, 只能讀取就不要有寫入權限, 不該讀取就不要給讀取權限, 不應該存在的使用者就不應該存在, 然後每個使用者採取強密碼保護.
3.DB system administrator的密碼記得不要用default password.
4.DB定期備份, 同時針對對安全的需求程度考量異地備份, 異地備援, 並設計回復計劃定期測試回復流程.
5.Web Service進行code review或penetration test, 確認網站程式設計有無漏洞, 例如SQL Injection, Cross-Site scripting這些常見的問題.
6.Web Server本身系統安全性, 作業系統安全性一樣要注意, 這方面不詳述. web server本身啟動iptables跟啟動tcpwrapper也差不多, 使用了並不能因此增加多少安全性.
7.Web Service如果要跟使用者傳輸比較"敏感"或機密的資料, 建議使用SSL tunnel保護.
8.如果還是有太多疑問不清楚, 建議可以尋求外部專家協助, 有興趣可以跟我聯繫...:P

頁: [1]