인트라넷 응용 프로그램의 보안 구현

Question

저는 WPF, WCF, EF 4 및 SQL Seerver 2008 R2의 조합을 사용하여 만든 데스크톱 응용 프로그램을 작성했습니다.

이제 보안 감사를 위해 소프트웨어를 준비해야하며 응용 프로그램의 보안 매개 변수를 보장하기 위해 최선을 다할 수 있어야합니다. 현재 Active Directory에서 WCF 서비스 인증을 사용하고 있습니다. 데이터베이스 보안 및 기밀 테이블을 암호화하기 위해 - - TDE를 사용할 수 코드베이스

을 확보하기

• 코드 난독 : 나는 내 응용 프로그램의 보안을 위해 할 수있는 일 다음 내 지식

  .

• 은 SSL을 사용할 수 - 통신 채널을 확보하기 위해

(이 캔에 대한 좋은 기사가 많은 사촌을하는 데 도움이 내가 인트라넷 데스크톱 응용 프로그램이 작업을 수행하는 방법과 같이 설명 할 수있는 좋은 어떤 일을 발견하지 않았다) 응용 프로그램 보안을 위해 내가 할 수있는 다른 조치는 무엇입니까? 나는 클라이언트 < -> 서버와 서버 < -> 데이터베이스 사이의 통신 채널을 안전하게하는 방법에 대해서는 여전히 명확하지 않다.

도움이 될 것입니다. 감사합니다 ...

Answer 1

난독 화로 시간을 낭비하지 마십시오. 좋은 보안은 투명합니다. 난독 화는 지적 재산 보호에만 유용하며, 심지어는 논쟁의 여지가 있습니다.

1. 이 SQL Server에 대한 또한 응용 프로그램 서버에 대한 SSL 서버 인증서를 구하여 : 당신은 몇 가지에 초점을 맞추고 자처럼

   어쨌든, 그것은 소리. 돈을 지출하고 싶지 않은 경우 자체 PKI 또는 자체 서명 된 인증 기관을 만들 수 있습니다. 프로덕션을 위해 자체 서명하는 것을 권장하지 않으며 자신의 PKI 롤링도 가볍게 받아 들여서는 안됩니다.

2. Use protocol encryption to secure the connection between your application and the SQL Server instance.

3. WCF 통신에 SSL을 사용하려면 전송 보안이 필요한 바인딩을 사용하십시오. http://msdn.microsoft.com/en-us/library/ms734679.aspx

   http://social.msdn.microsoft.com/Forums/en-US/wcf/thread/b361ee9e-2f37-4ecf-ba8b-96c6d6e6118a

4. 감사하여 인증 루틴. 당신은 암호를 해싱하고 소금을 짜고 있습니까? 보안 이벤트 (로그인, 로그 아웃, 실패한 시도)를 감사합니까? 일정 횟수 이상 실패하면 계정을 잠근다. 이렇게. 당신이 찾고있는 것에 대한 느낌을 갖기 위해 감사하는 사람과 함께 일하는 것이 도움이 될 것입니다.