-网络保护1.1问题-描述贵组织用来限制对数据库、文件服务器和桌面/开发者终端节点的公共访问权限的网络保护控制措施。•您的回复应描述您的组织用来限制对数据库、文件服务器和桌面/开发人员端点的公共访问的网络保护控制。1.数据库限制措施:生产数据库只对内网服务器开放,敏感数据脱敏后才可用于测试。只有管理员才有对数据库的管理权限。测试和开发人员只有对测试数据的操作权限,无对正式线的数据库操作权限,开发与生产环境完全隔离。2.文件服务器管控措施:可分为普通文件,敏感文件。1)普通文件根据部门权限,分发相应的读写管理权限。敏感文件只针对特定人员开放读写权限,其他无权限;2)所有文件部门与部门的文件隔离,小组内也划分相应的到个人或管理者,只有相应部门内的管理者可以分配相应的人员权限。3.桌面/开发人员端点的公共访问措施:1)使用https通讯;2)封装接口访问;3)授权访问+权限控制-资产管理2.3.问题-描述贵组织目前实施的机制,用于监控亚马逊信息并防止从员工个人设备(例如USB闪存驱动器、手机)访问亚马逊信息,以及在发生此类事件时如何向您发出提醒。•您的回复应描述您的组织如何阻止员工个人设备访问亚马逊信息。•您的回复应说明您是否启用了在将PII数据下载到设备时发出警报/警报的解决方案/工具。•如果您不这样做,您的回复应描述您的组织为监控和防止亚马逊信息从员工个人设备(例如USB闪存驱动器、手机)访问而采取的机制,以及在发生此类事件时如何向您发出警报.1).禁止使用非公司电脑2).禁用usb,蓝牙等串行接口3).禁用远程控制工具4).路由和防火墙封禁3389,/21/22等常用上传和远程管理端口5)禁止使用ftp工具6)封锁当前流行云平台网址,禁止使用云工具7)所有获取pll数据的亚马逊接口都重新封装一次,封装程序中防治监控程序,包含ip、使用人、平台、使用次数等信息,然后保留相应的操作日志,超过使用限制,将由短信或者邮件发送至相应的管理员或者维护人员手中!!-安全编码实践2.5问题-采取了哪些措施来防止凭证泄露?•您的回复应说明凭据是否在您的应用程序代码中硬编码。•您的回复还应说明凭据是否以加密方式存储,如果是,使用何种加密算法用于此目的。没有使用硬编码,凭证保存在数据库中,使用了AES+RSA加密,RSA密钥另外保存,只有管理员可知。-漏洞管理2.7问题-您如何追踪通过漏洞扫描和渗透测试确定的调查结果的修复进度?•您的回复应总结贵公司检测和修复漏洞的计划。•您的回复还应提供一个时间表或时间估计,说明修复漏洞扫描和渗透测试中发现的结果需要多长时间。1)系统漏洞通过定期更新系统补丁方式修补系统漏洞。2)安装相关的杀毒软件和防木马程序。3)项目的漏洞由相关测试人员提交问题,开发人员处理相应的漏洞。4)根据使用人员反馈相应漏洞,及时完善项目。5)修复漏洞或修复bug的时间一般为1-3天左右