Web一些主要的安全防護措施

OWASP

(安全防護、漏洞驗證工具)

    開放式Web應用程式安全項目(OWASP，Open Web Application Security Project)是一個組織，它提供有關計算機和網際網路應用程式的公正、實際、有成本效益的資訊。其目的是協助個人、企業和機構來發現和使用可信賴軟體。

    開放式Web應用程式安全項目(OWASP)是一個非營利組織，不附屬于任何企業或财團。是以，由OWASP提供和開發的所有設施和檔案都不受商業因素的影響。OWASP支援商業安全技術的合理使用，它有一個論壇，在論壇裡資訊技術專業人員可以發表和傳授專業知識和技能。

運作原則

· 自由與開放

· 通過共識程序和營運要求進行管理

· 遵守道德準則

· 非營利性目的

· 非商業利益所驅動

· 基于風險的方法

web服務一些主要的安全防護措施：

1.兩層實體隔離 外網——内網，業務層——資料層

2.安裝必要的防毒軟體

3.啟用IP白名單，僅允許白名單的IP主機通路

4.使用Https進行通信，使用tls加密，而不是直接使用http

5.登入授權，生成唯一的session id /token進行後續操作、接口通路

6.敏感資料進行加密或編碼

7.系統軟體啟用License授權，随時檢測授權是否過期，而不是開啟軟體才檢測

8.系統軟體進行代碼保護，啟用加密或加殼防止軟體被反編譯

——單片機裡面的燒錄的程式，推薦啟用加密，或者啟用讀保護，防止程式被不法人員使用

9.KMS(Key management system)

引入密鑰管理系統 純軟體的密鑰管理系統/軟硬體結合的密鑰管理系統

10.End to end security communication

采用端對端加密通信，中間所有節點隻負責透傳，不儲存任何通信資訊

11.啟用對稱加密/非對稱加密進行通信