我应该采取什么措施来保护我的多层ASP.NET应用程序？

Question

我正在设计一个应用于敏感信息（如财务数据）的多层ASP.NET Web应用程序。

我想找出所有潜在威胁应用将面临在现实生活中，并计划在对策相应。

一些细节：

• 该应用程序将在客户的数据中心托管的内部和外部用户
• 目标平台为Windows Server 2008 + IIS7或Windows Server 2003 + IIS6
• 目标DB是MS SQL Server 2008的

Answer 1

唷！从哪里开始......取决于你需要的“安全”。即个人博客和大型公司/政府部门的大型项目之间的差异。等等......

没有特定的顺序

• 通过加密保护您的配置文件。
• 确保您的数据库的背后是某种形式的DMZ中，而不是在公开访问的IP
• 找担保公司给你的网站的潜在vulneribilities大修（跨站点脚本/ SQL注入）
• 使用SSL
• 锁定下来的一切，除了在服务器上的端口明智的80 HTTP & 443 HTTPS，除非绝对必要
• 确保框中输入您的远程桌面/ VNC连接牢固
• 如果在DB的存储密码，哈希&盐他们不存储明文
• 发布您的代码，并没有在服务器上保留源代码
• 构建你的代码基于已知的标准，即不写自己的加密算法
• 如果站点 - >数据库或站点 - MSMQ之间的安全连接可用，请使用它们

微软在保护ASP.NET应用程序的安全方面我有很好的文章。

编辑

而作为赛刚刚发布的答覆，（+1归功于他）

Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication

Answer 2

http://msdn.microsoft.com/en-us/library/aa302415.aspx

用于多层安全。 http://msdn.microsoft.com/en-us/library/aa302415.aspx#secnetlp_part3

Answer 3

这是一个非常大的（宽）的问题，也有完整的关于安全性的书籍无法回答。去边境并拿到几本安全书并开始阅读。