0

我们有一个内部 CRM 系统,该系统目前是一个只能在我们的 Intranet 内部访问的网站。老板现在想让它暴露在外面的世界,这样人们就可以在家中和路上使用它。我担心的是安全性,因为我们将把我们的客户群暴露给外界。我已经实现了 3 层安全性,如下所示:

  1. 用于登录的用户名和强密码组合
  2. 跨行推送的所有数据的 SSL
  3. 一旦用户登录并通过身份验证,服务器就会向他们传递一个令牌,该令牌必须用于与服务器的所有通信。

基本上我在网络安全方面有点新手。任何人都可以就我是否遗漏任何东西给我建议吗?或者应该改变什么?

4

1 回答 1

2

您应该考虑的东西有很多,而且很难快速回答这个问题 - 所以我会为您指出一系列可以帮助您/帮助您入门的资源。

首先,我将插入http://security.stackexchange.com,以解决您遇到的任何具体问题 - 它们可能会很有帮助。

现在,您应该检查更直接的事情:

  1. 您的系统是否在防火墙后面?我建议至少将您的数据库放置在外部世界无法直接使用的服务器上。

  2. 探索并针对您的站点运行一系列(免费)安全工具,以尝试找出任何问题。例如: https ://asafaweb.com http://sectools.org/

  3. 阅读常见漏洞(例如 SQL 注入)并确保您防范它们: https ://www.owasp.org/index.php/Top_10_2010-Main https://www.owasp.org/index.php/类别:漏洞

  4. 您的令牌是如何传递的,如果另一个用户获得它(例如,在它被缓存在另一台机器上之后),它会发生什么?

  5. 确保你有一个体面的密码保护策略(体面的复杂性,通过在 3 次尝试后锁定帐户来防止暴力攻击)。

  6. 如果这对您来说是一个大问题(考虑在最坏的情况下对您的业务造成的风险)考虑聘请专家或有人对您的系统进行安全测试?

或者,正如 mrunion 在上面的评论 (+1) 中出色指出的那样,您是否考虑过其他更安全的方法来打开它,这样您就不需要在网络上发布它?

希望这能让你开始。

于 2013-02-04T01:33:07.527 回答