2

私は、WPF、WCF、EF 4、および SQL Seerver 2008 R2 の組み合わせを使用して作成したデスクトップ アプリケーションに取り組んできました。

次に、セキュリティ監査のためにソフトウェアを準備する必要があり、アプリケーションのセキュリティ パラメータを確保するために何ができるかを知る必要があります。現在、Active Directory で WCF サービス認証を使用しています。

私の知る限り、アプリケーションをより安全にするためにできることは次のとおりです。

  • コードの難読化 -- コードベースを保護する
  • TDE を使用できます -- データベースを保護し、機密テーブルを暗号化します。
  • SSLを使用できます-通信チャネルを保護します(これに関する優れた記事は、イントラネットデスクトップアプリケーションでこれを行う方法のように説明できる良いものを見つけられなかったため、非常に役立ちます)

アプリケーションを保護するために他に何ができますか。クライアント<-->サーバーとサーバー<-->データベース間の通信チャネルを保護する方法については、まだ明確ではありません。

どんな助けでも大歓迎です。ありがとう..

4

1 に答える 1

3

難読化で時間を無駄にしないでください。優れたセキュリティは透過的です。難読化は知的財産を保護するためにのみ役立ちますが、それでも議論の余地があります。

とにかく、いくつかのことに集中したいようです。

  1. アプリケーション サーバーと SQL Server の SSL サーバー証明書を取得します。お金をかけたくない場合は、独自の PKI または自己署名認証局を作成できます。本番用に自己署名することはお勧めしません。また、独自の PKI を展開することも軽視すべきではありません。

  2. プロトコル暗号化を使用して、アプリケーションと SQL Server インスタンス間の接続をセキュリティで保護します。

  3. WCF 通信で SSL を使用するには、トランスポート セキュリティを必要とするバインディングを使用します。http://msdn.microsoft.com/en-us/library/ms734679.aspx

    http://social.msdn.microsoft.com/Forums/en-US/wcf/thread/b361ee9e-2f37-4ecf-ba8b-96c6d6e6118a

  4. 認証ルーチンを監査します。パスワードのハッシュ化とソルト化を行っていますか? セキュリティ イベント (ログイン、ログアウト、試行の失敗) を監査していますか? 試行に一定回数失敗すると、アカウントをロックしますか? などなど。あなたを監査している人と協力して、彼らが何を求めているかを感じ取ることは役に立ちます。

于 2012-05-21T07:44:36.283 に答える