Security安全要求

November 25th, 2021

Security安全要求

后台部分:

1.前后台分离,自定义url,不要使用如:/admin

2.登录功能加验证码(3次输入错误使用验证码/锁死账号/发邮件告警)

3.log记录(针对用户的登录地,ip,访问了哪个url,点击了什么功能做记录)

4.异地登录报警(不在后台ip白名单里)的要发邮件/slack报警

5.强制不能使用弱密码,并强制更新密码(3个月更新一次),所有密码要加密

强密码定义:

长度8位以上,要包含大小写,数字,特殊字符(!@#$%^&*)+,并且不能使用连续的数字(123)和重复数字(222), 新密码不能和之前的密码重复

前台:

所有的输入框要进行限制,如长度,内容,网址是不允许写的,script,特殊字符(!@#$%^&*),html

Base Safety rules:

  1. 弱密码

    提高安全意识 开发在程序中采用强密码判断 定期修改密码 使用在线生成密码工具

  2. 技术分享

    不能把公司代码及架构分享出去 分享Demo时不能带公司任何信息(Logo, URL, Name, etc.) 不能泄露公司Key Confluence中不能出现密码信息

  3. key管理

    共享的Key(如s3),要定期修改(Sys与Dev) 服务器SSH 默认Key定期修改(Sys) VPN Key定期修改(Sys) App Key定期修改(Sys与Dev)

  4. 第三方账号

    定期修改 不能分享给他人,正常情况下1人1个账号(特殊情况除外) 用公司邮箱申请(如谷歌账号,公司项目Bitbucket)

  5. aws权限管理

    每个人一个账号 定期修改密码,不得使用弱密码

  6. 个人账号

    Jira/Git/Email/Slack/Skype 以及项目中涉及的账号不能使用弱密码。 不能分享 账号互发时1对1,不许发在大组里 发账号密码分两部分发,slack/email/skype 等

  7. 服务器网络安全设置

    不需要开的端口,不对外开 只针对公司IP(我们和客户的办公室(不需要服务器权限的客户不用开))开放和跳板机 定期扫描端口,判断firewall是否有效 寻找其他在线工具及客户端扫描工具 不同的程序框架有那些安全工具?

  8. 创建账号时,接收方,接受账号则代表有义务保护好账号并对此账号负责

  9. when the account is created, the receiving party accepts the account, and the representative has the obligation to protect the account and take account of the account.

  10. 发送信息时,用户名密码分开发,slack/skype

  11. when sending information, the username and password are developed separately, slack / Skype.

  12. 要按照安全规则去设置项目的安全

  13. Need to set up the safety of the project according to the safety rules

  14. 当不在电脑边上时要锁屏
  15. Lock the screen when it is not on the side of the computer
company rules:

  1. 不要使用弱密码(可以使用在线生成密码工具)。

  2. 定期修改密码。

  3. 不在电脑边上时,要锁屏。

  4. 不能把公司信息,代码及架构分享出去。

  5. 公共文档中不能出现密码,不要把密码记在第三方平台。

  6. 不能分享账号信息,正常情况下每个人使用自己的账号(特殊情况除外)。

  7. 公司相关的操作要用公司邮箱申请(如谷歌账号,公司项目bitbucket),不要使用私人邮箱。

  8. 发送账号和密码分开发,slack/email/skype/wechat等。

  9. 每个项目要定期找sys和dev进行安全例行检查,并记录和更新当前的安全机制列表。

  10. PM要对自己项目的账号信息进行管理。

  11. 每个人接收到自己的账号,要主动修改密码。

  12. 每个人要保护好自己的账号信息。不再使用的账号主动还给相关项目负责人。

  13. 不要创建一次性的账号,不再使用的账号创建者和使用者要及时回收。

  14. 不要安装来源不明的软件,要从官网下载。要定期更新系统,安装补丁。

  15. 不要把密码等信息发到大组里,要一对一,并且分开发送给具体的人。

  1. Do not use weak passwords. Here is the website to help generate strong passwords:
  2. Change your password regularly.
  3. Lock your screen when you are not at the seat.
  4. Do not disclose any Proprietary Information or any information derived therefrom to any third person.
  5. Do not note the password in public files and platform.
  6. Do not share your password with other people except in extreme circumstances.
  7. Use your company e-mail address as the username of Google and bitbucket.
  8. Use different tools(slack/email/skype/wechat) to send username and password separately.
  9. Sys and dev should be responsible for the routine safety inspection of all programs and update the list of security mechanisms.
  10. PM should administer all the account information of the program.
  11. Change your initial passwords in time.
  12. Return the account out of use to the PM.
  13. Do not create the disposable account.
  14. Download the software from the official website and update regularly.
  15. Share the password one to one if necessary. Do not share it publicly.

Demi_YuHongJun

Demi的随笔和技术空间