Web一些主要的安全防护措施

OWASP

(安全防护、漏洞验证工具)

    开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。

    开放式Web应用程序安全项目(OWASP)是一个非营利组织,不附属于任何企业或财团。因此,由OWASP提供和开发的所有设施和文件都不受商业因素的影响。OWASP支持商业安全技术的合理使用,它有一个论坛,在论坛里信息技术专业人员可以发表和传授专业知识和技能。

运作原则

· 自由与开放

· 通过共识进程和运营要求进行管理

· 遵守道德准则

· 非营利性目的

· 非商业利益所驱动

· 基于风险的方法

web服务一些主要的安全防护措施:

1.两层物理隔离 外网——内网,业务层——数据层

2.安装必要的杀毒软件

3.启用IP白名单,仅允许白名单的IP主机访问

4.使用Https进行通信,使用tls加密,而不是直接使用http

5.登录授权,生成唯一的session id /token进行后续操作、接口访问

6.敏感数据进行加密或编码

7.系统软件启用License授权,随时检测授权是否过期,而不是开启软件才检测

8.系统软件进行代码保护,启用加密或加壳防止软件被反编译

——单片机里面的烧录的程序,推荐启用加密,或者启用读保护,防止程序被不法人员使用

9.KMS(Key management system)

引入密钥管理系统 纯软件的密钥管理系统/软硬件结合的密钥管理系统

10.End to end security communication

采用端对端加密通信,中间所有节点只负责透传,不保存任何通信信息

11.启用对称加密/非对称加密进行通信

 

 

 

你可能感兴趣的:(网络安全,安全证书)