上官雨宝
2
CISM-WSE
中级信息安全等级测评师
上官雨宝2
CISM-WSE
中级信息安全等级测评师
1.一定要设置强密码;2.不给用户选项集密码;3.禁用登录表单中的自动完成功能;4.全面实施SSL;5.禁用生产中的所有测试帐户;6.注意您的会话管理;7.验证您的输入;8.尽最大可能分割数据环境。
PII即是个人身份信息,从名称中可以看出,PII处理的是一种允许某人识别特定人的数据。例如,您的社会安全号码是PII的一个很好的例子,因为它是独一无二的,而这个数字本身就会引导某人直接找你。除此之外,诸如全名,驾驶执照ID,电子邮件地址,银行账户信息,密码或电话号码之类的东西也可以被视为个人可识别信息。
- 一定要让用户选择设置强密码。看到拥有巨额营销预算的大公司以安全为荣,却不允许你在密码中使用像特殊字符或数字这样简单的东西,这真是令人沮丧!
- 甚至不给用户选项集密码,例如abc123或123456。可悲的是,我经常看到这种情况。如果您允许他们,他们一定会这样做。
- 禁用登录表单中的自动完成功能,以防止笔记本电脑不安全(即没有全盘加密)的人在丢失或笔记本电脑失窃时公开其登录凭据。它不是万无一失的,但可以提供帮助。
- 全面实施SSL –在站点的任何位置,期间。
- 在进行开发,质量检查,功能和安全性测试之后,请禁用生产中的所有测试帐户。
- 注意您的会话管理。永远不要让旧的会话重复使用,并始终检查每个会话以确保其合法性。
- 验证您的输入!可以说,导致暴露PII的最大监督是SQL Injection。输入验证还有助于跨站点脚本编写,URL重定向和其他可能间接影响PII的输入篡改。
- 尽最大可能分割数据环境。将数据库放置在单独的服务器,单独的VLAN或单独的防火墙后面,以阻止即兴演奏,特别是在内部网络上。
007bug
2
安全集成(专业级)SP/PL
CICSA
007bug2
安全集成(专业级)SP/PL
CICSA
PII即是个人身份信息,从名称中可以看出,PII处理的是一种允许某人识别特定人的数据。开发人员保护PII的措施如下:
尽最大可能分割数据环境。将数据库放置在单独的服务器,单独的VLAN或单独的防火墙后面,以阻止即兴演奏,特别是在内部网络上。
禁用登录表单中的自动完成功能,以防止笔记本电脑不安全(即没有全盘加密)的人在丢失或笔记本电脑失窃时公开其登录凭据。它不是万无一失的,但可以提供帮助。
注意您的会话管理。永远不要让旧的会话重复使用,并始终检查每个会话以确保其合法性。
全面实施SSL在站点的任何位置期间。
在进行开发,质量检查,功能和安全性测试之后,请禁用生产中的所有测试帐户。
验证您的输入!可以说,导致暴露PII的最大监督是SQL Injection。输入验证还有助于跨站点脚本编写,URL重定向和其他可能间接影响PII的输入篡改。
一定要让用户选择设置强密码。看到拥有巨额营销预算的大公司以安全为荣,却不允许你在密码中使用像特殊字符或数字这样简单的东西,这真是令人沮丧
甚至不给用户选项集密码,例如abc123或123456。可悲的是,我经常看到这种情况。如果您允许他们,他们一定会这样做。
推荐文章
