10、门户安全：保障信息安全的关键

门户安全：保障信息安全的关键

一、门户安全的重要性与评估

门户平台用于交付众多对安全性要求极高的应用程序，如电子商务、金融、银行和零售等相关应用。因此，其宿主平台——门户，需要全面的安全保障。

门户安全评估主要包含以下几个关键要素：
1. 门户安全审查 ：在门户开发过程中，要进行早期和迭代的安全代码审查，遵循安全编码的最佳实践，并利用安全检查清单。同时，要进行适用的安全合规性和监管检查，如符合 ISO27001、PCI 标准等。可以借助开源安全扫描工具，如 PMD、FindBugs 和 OWASP 模型与工具来实现安全代码审查的自动化。安全代码审查和安全合规性应作为门户发布的关键准入标准。
2. 门户应用风险评估 ：可邀请内部安全团队和外部安全专家评估门户应用的风险。他们会对应用进行风险分析和威胁建模，确定潜在风险和攻击方式，从而设计更有针对性的安全测试用例和场景。
3. 门户应用安全扫描 ：使用安全工具对门户应用进行漏洞扫描，模拟 SQL 注入、缓冲区溢出、跨站脚本攻击等利用场景，以识别门户系统中存在的漏洞。
4. 门户安全测试 ：执行各种应用安全测试，如渗透测试、基于风险的测试、道德黑客攻击、拒绝服务测试以及白盒和黑盒测试等。

二、门户安全架构

门户安全主要依赖于门户的内置安全模型及其扩展，以及外部企业安全基础设施。

（一）门户的内置安全模型

1. 用户认证模块 ：根据配置的