Web一些主要的安全防护措施

OWASP

(安全防护、漏洞验证工具)

    开放式Web应用程序安全项目(OWASP&＃xff0c;Open Web Application Security Project)是一个组织&＃xff0c;它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。

    开放式Web应用程序安全项目(OWASP)是一个非营利组织&＃xff0c;不附属于任何企业或财团。因此&＃xff0c;由OWASP提供和开发的所有设施和文件都不受商业因素的影响。OWASP支持商业安全技术的合理使用&＃xff0c;它有一个论坛&＃xff0c;在论坛里信息技术专业人员可以发表和传授专业知识和技能。

运作原则

· 自由与开放

· 通过共识进程和运营要求进行管理

· 遵守道德准则

· 非营利性目的

· 非商业利益所驱动

· 基于风险的方法

web服务一些主要的安全防护措施&＃xff1a;

1.两层物理隔离 外网——内网&＃xff0c;业务层——数据层

2.安装必要的杀毒软件

3.启用IP白名单&＃xff0c;仅允许白名单的IP主机访问

4.使用Https进行通信&＃xff0c;使用tls加密&＃xff0c;而不是直接使用http

5.登录授权&＃xff0c;生成唯一的session id /token进行后续操作、接口访问

6.敏感数据进行加密或编码

7.系统软件启用License授权&＃xff0c;随时检测授权是否过期&＃xff0c;而不是开启软件才检测

8.系统软件进行代码保护&＃xff0c;启用加密或加壳防止软件被反编译

——单片机里面的烧录的程序&＃xff0c;推荐启用加密&＃xff0c;或者启用读保护&＃xff0c;防止程序被不法人员使用

9.KMS(Key management system)

引入密钥管理系统 纯软件的密钥管理系统/软硬件结合的密钥管理系统

10.End to end security communication

采用端对端加密通信&＃xff0c;中间所有节点只负责透传&＃xff0c;不保存任何通信信息

11.启用对称加密/非对称加密进行通信