我應該採取什麼措施來保護我的多層ASP.NET應用程序？

Question

我正在設計一個應用於敏感信息（如財務數據）的多層ASP.NET Web應用程序。

我想找出所有潛在威脅應用將面臨在現實生活中，並計劃在對策相應。

一些細節：

• 該應用程序將在客戶的數據中心託管的內部和外部用戶
• 目標平臺爲Windows Server 2008 + IIS7或Windows Server 2003 + IIS6
• 目標DB是MS SQL Server 2008的

Answer 1

唷！從哪裏開始......取決於你需要的「安全」。即個人博客和大型公司/政府部門的大型項目之間的差異。等等......

沒有特定的順序

• 通過加密保護您的配置文件。
• 確保您的數據庫的背後是某種形式的DMZ中，而不是在公開訪問的IP
• 找擔保公司給你的網站的潛在vulneribilities大修（跨站點腳本/ SQL注入）
• 使用SSL
• 鎖定下來的一切，除了在服務器上的端口明智的80 HTTP & 443 HTTPS，除非絕對必要
• 確保框中輸入您的遠程桌面/ VNC連接牢固
• 如果在DB的存儲密碼，哈希&鹽他們不存儲明文
• 發佈您的代碼，並沒有在服務器上保留源代碼
• 構建你的代碼基於已知的標準，即不寫自己的加密算法
• 如果站點 - >數據庫或站點 - MSMQ之間的安全連接可用，請使用它們

微軟在保護ASP.NET應用程序的安全方面我有很好的文章。

編輯

而作爲賽剛剛發佈的答覆，（+1歸功於他）

Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication

Answer 2

http://msdn.microsoft.com/en-us/library/aa302415.aspx

用於多層安全。 http://msdn.microsoft.com/en-us/library/aa302415.aspx#secnetlp_part3

Answer 3

這是一個非常大的（寬）的問題，也有完整的關於安全性的書籍無法回答。去邊境並拿到幾本安全書並開始閱讀。