运营层面(日常的工作人员)
1. 做好各种日志,例如所有管理员的所有操作
2. 原则上内部系统更加容易比外部系统攻破,因为大家都很大意,默认内部用户都是 真善美
3. 严防内鬼,做好入职前的培训,说一些丑话狠话,可以很好的避免内鬼问题,特别是BOSS的亲属
4. 普通员工不要对外部私人有任何信息泄露。对外只干活,不说话。能对外说话的只有宣传部门。
5. 保密所有信息:用户数量,日活,日常在线,技术栈,成交量,频次,公司内部丑闻等。
开发层面(代码,开发,框架的使用)
1. 绝对不要透露技术栈(小心日常招聘帖子。建议不要只放自家的技术栈,例如java, 可以多放一些职位(例如python, rust) 用来障眼)
2. 绝对不要为了方便把生产数据库放到测试库上
3. 开发人员不能碰生产服务器
4. 开发人员不能在代码(注释中)写入个人信息,包括 电话,email 等,同样不能在生产环境中留下这些信息,例如使用个人真实信息注册用户(往往前10 名用户就是:技术负责人,测试人员,开发人员, 大BOSS, 用户第一人。...)
5. 特别是需要人脸识别,真实身份认证的时候,前20个用户的真实信息(身份证等)务必隐去。
运维层面(服务器,部署,防火墙等)
1. 服务器真实IP绝对不能透露
2. 服务器只开启必须开启的端口
3. 不要使用密码登录, 或者密码登录也可以,必须每个月自动更新,自动生成。
4. 必须使用 cloudflare / aws WAF
5. 除非访问频次过大, 否则必须使用 openresty waf
6. 时刻关注服务器的健康度,做好相关进程的心跳检查
安全层面(代码审查,漏洞的监控,打补丁)
1. 对上线的源代码进行审查
2. 随时监控最新的漏洞情报
3. 做内部的渗透测试(日常)
4. 跟开发打补丁,验证效果
其他层面(意识,防钓鱼)
全员要具备防钓鱼的意识。