应用软件的安全设计主要针对哪些方面

应用软件的安全设计主要针对以下方面：

• 用户授权及访问控制：不同的应用程序应创建不同的独立用户，对各个用户可授予不同的系统权限。各应用程序中的账户管理员、权限管理员、安全审计员、数据库管理员、密钥管理员的权限要相互独立，要采用双因子认证体系进行系统认证。可以将生物特征识别系统、动态码认证技术引入该系统管理中，如人脸识别、指纹识别、虹膜识别、声音识别、笔迹识别、步态识别、手机获取动态码以及与用户互动等。

• 完善日志管理机制：系统日志需要对用户登录、访问行为和实际操作等进行记录。系统日志是网络系统中数据等级最高的，通常是不允许被访问的，只有必要的时候，安全审计员才能调阅、查看。应用程序日志可以针对不同类别的问题自定义日志等级。记录程序报错，能方便管理员维护程序。

• 数据的安全管理：网络系统中每一名用户都会产生自己的专有数据，应对自己的专有敏感数据进行安全加密、权限设置，可以针对每一部分设定使用范围，以此来保障专有敏感数据的安全。

• 应用软件的加密处理：通信协议加密，应采用加密的传输协议，如HTTPS、SFTP协议。可执行程序代码加密，应防止对用户授权和安全访问控制程序进行解密。密码管理员负责对系统的加密算法和密钥进行管理，从而保证系统数据库中的核心数据的安全。

• 输入参数安全认证：对应用软件输入的参数要采取严格的检验措施，避免成为网络系统的薄弱点。不要相信用户输入的任何数据，对用户输入的数据要进行过滤或者是验证后猜能使用，防止黑客模拟用户的的输入伪造攻击，所以最好对用户的输入进行安全认证。