1. 公司/客户做了什么——监控
- 公司/客户的电脑有监控
- 公司/客户的网络、WIFI有监控
- 公司/客户的VPN有监控
2. 设备安全
- 公司/客户的设备一定要放在安全的地方、不要放在危险、无人、易被盗取的地方
- 公司/客户的设备远离水杯,调皮的小孩等
- 未经客户允许,禁止外接一切存储设备 [客户电脑]
- 未经客户允许,禁止使用广播式无线传输功能(Airdrop、蓝牙传输等)[客户电脑]
- 未经客户允许,禁止打印文件 [客户电脑]
3. 软件/应用安全
- 使用公司/客户允许的软件、应用、服务
- 未在公司/客户允许列表内的软件、应用、服务需从官网、App Store等正规途径下载,并需要有安全保障,有官方进行维护
- 未经公司/客户允许,禁止使用需上传信息的云工具
- 禁止使用p2p应用
4. 信息安全
- 人走锁屏
- 十分钟自动锁屏
- 硬盘加密、软件自动更新等开启
- 强密码
- 敏感资料及时删除
- 公司/客户的资料禁止外泄
1. 已在外部公开的资料可以分享
2. 公司的资料分享给客户时一定要加水印、脱敏、加版权说明等信息 - 不要和其他成员分享账号密码(尤其是已离职人员)
1. 如果有已离职人员知道的密码、开机权限等,要off boarding时就要对密码、权限等进行更改 - 发送Secrets时使用专用的Secrets分享应用(要是公司/客户允许的)
- 账号登录要有MFA
- 禁止使用第三方的存储管理服务,使用公司/客户允许的存储管理服务
- 工作期间,禁止使用公司/客户之外的VPN
- 工作期间,禁止使用个人邮箱及账号
1. 在客户电脑,禁止出现一切个人邮箱及账号
2. 在公司电脑,需将个人邮箱账号与客户邮箱账号区分开来 - 包含公司/客户敏感信息的邮件禁止发送至外部邮箱,不包含敏感信息的邮件可以发(在客户电脑上尽量少发)
- 防止钓鱼邮件,不确认、有疑惑的附件、链接不要点,确认无风险后再点
- 不管是在公司范围还是客户范围,分享屏幕时注意不要泄露敏感信息
5. 开发安全
- 实现Story时需注意需求中是否有隐藏的安全AC
- 不要随意改动Pipeline,已确保不会对产品发布链造成破坏
- 开发中常见的应用安全问题
- 禁止明文存储Secrets,包括Password、Token、ACCESS_KEY、Key Vault等
- 禁止将Secrets打印到日志中
- 禁止将客户代码提交到个人Github
- 数据库等不要使用默认用户和密码
- 禁止直接在master做更改
- 代码需要团队成员Review后才能合并
- 最小权限原则
1. 基础设施、网络、代码、应用、服务等
2. 我们没有的权限若确实需要可以申请,如非必要尽量不要要太大的权限,避免惹火上身 - 不要向客户索要一些生产数据(用户数据、PII等)
6. 工作习惯安全
- 不清楚的东西可以询问团队成员,在没有确认前不要擅作主张
- 发生安全事故(包括开发事故、工作事故、设备事故等),及时上报项目管理人员,或其它团队成员
- 不要用公司/客户的电脑上一些乱七八糟的网站
7. 职业安全
- 在一些文章、言论等公开地点禁止泄露客户信息(包括名字)
- 不要以公司名义发表一些公开言论