语境

让我们假设您有一个服务器，它公开一个 Web 服务器和一个或多个 Web 服务来存储和管理有关自然人的合理信息（假设，在这个例子中，有完整的病史，还有电话号码、电子邮件和其他私人信息）。

访问经过身份验证，您在代码中完成了达到合理安全级别所需的一切。

Web 服务器和 Web 服务运行在带有 IIS + ASP.NET 的 Windows Server 上，数据库位于单个 SQL Server 实例中。假设系统始终是最新的，日志经过仔细评估，系统配置正确，攻击者无法物理访问机器本身。

当前架构

• SQL Server安装在单独的-防火墙-机器（什么是用于放置数据库服务器在安全的网络拓扑结构的最佳实践和怎样专家，一个数据库服务器不应该驻留在DMZ解释一下吗？）。
• 显然，每个用户输入都经过验证和清理（如果/在需要时），客户端发送的信息（即使不是由用户直接输入）也会重新验证，不一致会触发警报）。

即使与 DB 没有直接关系也要记住：

• 正确的密码管理（使用良好且缓慢的散列算法存储散列，还描述了如何安全地散列密码？）和安全规则（鼓励使用密码短语而不是短/复杂的密码，只有在多次登录尝试失败后才需要更改密码，请参阅还如何更改密码每90天增加安全性？）。
• 处理并行攻击（每次失败登录的增量延迟- 来自相同的 IP 和相同的用户名 - 和黑名单）。相关：如何唯一标识具有相同外部IP地址的用户？.
• 会话超时（用户活动重置短一，长一固定）。客户端还有一个弱保护，如果他在没有断开连接的情况下导航离开，它会自动断开用户连接（与谷歌浏览器在崩溃后恢复会话 cookie 中描述的相同，如何避免？而且在导航离开时自动注销）。
• 日志是手动监控的，但有一些规则会自动触发警报。

数据存储在 N+3 个不同的数据库中（每个数据库都配置了完全需要的权限，没有sa类似的访问权限，如所述如何保护应用程序的用户数据库表？）。

• 一个日志数据库（Web 服务器帐户只写）。
• 一个用于存储登录信息的数据库（对于 Web 服务器帐户只读，不同的 Intranet Web 应用程序将以不同的用户运行）。
• 一个数据库将登录映射到物理数据库（以及其他用于管理帐户的内部内容），对于外部可访问的 Web 应用程序也是只读的。
• 系统的每个用户都有一个单独的数据库（每个人都可以读和写）。 …