我应该采取什么措施来保护我的多层ASP.NET应用程序？

Question

我正在设计一个多层ASP.NET web应用程序，该应用程序应该处理敏感信息(比如金融数据)。

我想找出的所有潜在威胁，应用在现实生活中将面临的，并计划相应的对策。

一些细节：

• 该应用程序将托管在客户的数据中心，供内部和外部用户使用
• 目标平台为Windows 2008 + IIS7或Windows 2003 + IIS6
• 目标数据库是MS SQL Server 2008

Answer 1

呼！从哪里开始..。取决于你需要它的“安全”程度。即个人博客和大型公司/政府部门的大型项目之间的区别。等等。

没有特别的顺序

• 通过加密配置文件来保护它们。
• 确保数据库位于某种DMZ的后面，而不是在公开访问的IP上
• 让一家安全公司对您的站点进行一次彻底检查，以发现潜在的漏洞(跨站点脚本/ Sql注入)
• 使用SSL
• 锁定服务器上的所有端口，除非绝对必要，只有80 HTTP & 443 HTTPS除外
• 确保到该框的远程桌面/VNC连接是安全的
• 如果您在DB中存储密码，哈希和盐分它们并且不存储纯文本
• 发布代码，不要将源代码留在服务器上
• 根据已知的标准构建代码，即不要编写自己的密码算法
• 如果站点->DB或网站-MSMQs之间的安全连接可用，请使用它们。

微软有一篇关于保护ASP.NET应用程序安全的好文章，我会挖出来的。

编辑

就像赛义德刚才在他的回复中所写的那样，(给他一个信用)

构建安全ASP.NET应用程序:身份验证、授权和安全通信

Answer 2

http://msdn.microsoft.com/en-us/library/aa302415.aspx

用于多层安全。part3

Answer 3

这是一个非常大(广泛)的问题，有关于安全的完整书籍无法回答这一点。去Border那里拿些安全书籍开始阅读。