安全审查常见要求

一、是否有密码复杂度策略、是否有密码有效期

1）密码长度至少8位；

2）要求用户密码必须包含大小写字母、数字、特殊字符

3）避免常见密码 123456，qwerty, password; 

4) 强制用户定期修改密码；

5）限制尝试登录次数；

6）双因素身份证验证，要求用户使用两个或两个以上身份因素验证，如密码、手机验证码或指纹、邮件验证码、人脸识别；

二、是否有登录失败处理功能？是否有登录连接超时自动退出功能

1） 控制尝试登录次数3次，超过3次锁定帐户30~60分钟；

2）基于 Token 的身份验证机制，后端在用户登录成功后生成一个 Token，并返回给前端。前端将 Token 存储在本地（通常使用 LocalStorage 或者 Cookie）。前端可以在每个请求的请求头中携带 Token，后端根据 Token 验证用户身份和刷新会话时间。如果用户在一定时间内没有发送请求，后端会话自动失效，用户需要重新登录。（注：这种方式要求帐户登录是独占的，另外一台电脑用同一个帐户登录时，前面登录的用户token将会失效）

三、应用系统日志备份策略是什么？如 怎么进行备份的？备份到哪里？备份周期？

3.1 Fluentd

       Fluentd不生产日志，Fluentd只是日志的搬运工。

       后端系统包括告警系统（Nagios）、分析系统（MongoDB、MySQL、Hadoop、ElasticSearch）、存储系统（Amazon S3)

https://github.com/fluent/fluentd

3.2 ELK 日志框架

四、应用系统是否定期漏扫？如有请提供漏扫报告，并说明漏扫周期

 几款开源免费的web漏洞扫描工具

4.1 OWASP ZAP

OWASP ZAP 是一款功能强大的 Web 漏洞扫描工具，可以帮助用户发现和修复 Web 应用程序中的漏洞。它支持多种平台，包括 Windows。ZAP 提供了易于使用的界面，并支持自定义脚本和插件，以扩展其功能。

下载地址：     https://www.zaproxy.org/download/

4.2   Arachni

Arachni 是一款全面的 Web 应用程序安全测试框架，具有自动化测试的能力。它提供了易于使用的 Web 界面，并支持自定义脚本和插件。Arachni 可以运行在 Windows 系统上，以及其他多种平台上。

下载地址：https://github.com/Arachni/arachni/releases/tag/v1.6.1.3

五、重要数据备份策略是什么？如  怎么进行备份的？备份到哪里？备份周期？

      是否进行异地备份？如  怎么进行备份的？备份到哪里？备份周期？

       数据库是否有定期进行漏洞扫描？（OpenVAS）

     定期备份，多样性备份（云存储备份、本地备份） 

5.1 使用Navicat实现MySQL自动定时备份

• 修改备份位置，右键编辑连接，打开连接属性
• 修改设置位置；

      当你在 Navicat 中设置了一个计划任务（例如定时备份数据库），Navicat 会帮助你生成相应的 SQL 脚本，并将其保存在Windows操作系统的计划任务中。计划任务的执行与 Navicat 是否打开或关闭无关，它完全依赖于操作系统的计划任务服务。

  5.2  要求备份到异地区域的机房，或者手动备份至线下。

六、应用系统是否收集基础个人信息和个人敏感信息？如姓名、身份证、手机号等

七、服务器
1、服务器日志是否有发送至日志审计
2、服务器是否有安装防护软件
3、服务器是否有定期进行漏洞扫描
4、服务器是否有进行备份（提供具体备份策略）
5、服务器是否有进行异地备份