我們有一個內部的CRM系統是目前只能提供內部網訪問的網站。老闆現在想讓它暴露於外部世界,以便人們可以在家中和在路上使用它。我擔心的是安全性,因爲我們會將我們的客戶羣體暴露給外部世界。我已經實現安全的3層如下:安全揭內部基於Web的應用程序世界
基本上IM有點福利局在關於網絡安全的。任何人都可以給我建議我是否缺少任何東西?或者應該改變什麼?
有東西整個世界而言,你應該考慮,而這將是真的很難快速的回答這個 - 所以我會在一個範圍內的資源應該幫助你/的點,你讓你開始。
首先,我要插http://security.stackexchange.com,對你有什麼具體的問題 - 他們可能是一個很大的幫助。
現在,以更直接的東西,你應該檢查:
處於防火牆的保護您的系統?我建議至少將你的數據庫放在一個不直接供外界使用的服務器上。
探索和運行一系列針對您的網站(免費),安全工具,試圖發現任何問題。例如: https://asafaweb.com http://sectools.org/
閱讀上常見的攻擊(如SQL注入),並確保您防範他們: https://www.owasp.org/index.php/Top_10_2010-Main https://www.owasp.org/index.php/Category:Vulnerability
如何您的令牌被傳來傳去,會發生什麼如果其他用戶得到它(例如,它被緩存在另一臺機器上)?
確保你有一個體面的密碼保護策略(體面的複雜性,防止通過後,3次嘗試鎖定帳戶蠻力攻擊)。
如果這是您的一個大問題(在最壞的情況下考慮您的業務的風險)考慮讓專家或某人對您的系統進行安全測試?
或者,如mrunion出色指出,在上述(+1)的意見,你有沒有考慮開放這件事的其他更安全的方式,這樣就不需要發佈這個在網絡上?
希望能讓你開始。
如果它被暴露,但只能被僱用人員使用,爲什麼不考慮添加到網絡的VPN訪問。然後,網站本身不「暴露」。 – mrunion