视频一区二区三区自拍_千金肉奴隷1985未删减版在线观看_国产成人黄色视频在线播放_少女免费播放片高清在线观看_国产精品v欧美精品v

最佳安全實踐

最新更新時間:2021.3.9

1. 商戶平臺安全使用

對于商戶平臺的安全使用,我們從 申請入駐、收到開戶郵件、登錄商戶平臺、商戶平臺日常使用 四個方面來展開。

1.1. 申請入駐

     a、申請入駐微信支付不會收取任何費用,謹防上當(dāng)受騙。

     b、提交申請資料后,需注意申請資料的保管,防止泄露或丟失。

1.2. 收到開戶郵件

     a、開戶郵件內(nèi)容中包含了賬戶、初始登錄密碼等敏感信息,需妥善保管,防止泄露。

1.3. 登錄商戶平臺

     a、首次登錄請修改登錄密碼,密碼復(fù)雜度建議大于8位字符,并且同時含有大、小寫、數(shù)字、特殊符號。

     b、仔細檢查域名是否為 http://www.tg885.com ,防止誤登錄釣魚網(wǎng)站導(dǎo)致密碼等信息的泄露。

1.4. 商戶平臺日常使用

     a、登錄權(quán)限保護

  1. ◆ 定期(至多6個月)修改登錄密碼。
  2. ◆ 保護好注冊管理員的手機設(shè)備,因為資金等敏感操作需要驗證這個短信驗證碼。
  3. ◆ 合理的劃分操作員及其權(quán)限,實施最小化權(quán)限原則。
  4. ◆ 離職或工作調(diào)動后員工操作權(quán)限的清理和定期回收。
  5. ◆ 為每一個員工建立員工賬號,而不是多個人混用同一個賬戶。

     b、瀏覽器選擇

  1. ◆ 使用較新的主流瀏覽器并檢查開啟瀏覽器和系統(tǒng)的自動更新機制。

     c、功能使用

  1. ◆ 企業(yè)營銷功能需要設(shè)置防刷級別、限領(lǐng)次數(shù)等安全功能,如果是調(diào)用API,建議設(shè)置訪問IP白名單等。

2. 系統(tǒng)開發(fā)注意事項

對于需要自行或外包開發(fā)信息系統(tǒng)的商戶來說,有一些安全的注意事項,我們從 需求、設(shè)計、編碼、測試、部署&運維 五個方面來展開。

2.1. 需求

     a、商戶自建營銷活動需設(shè)計防刷機制。

2.2. 設(shè)計

     a、數(shù)據(jù)采集

  1. ◆ 法律禁止企業(yè)記錄和存儲的數(shù)據(jù)(如磁道信息、信用卡CVV碼等)不能收集。
  2. ◆ 客戶端敏感數(shù)據(jù)必須先進行加密處理。

     b、數(shù)據(jù)傳輸

  1. ◆ 使用HTTPS確保網(wǎng)絡(luò)傳輸安全性。
  2. ◆ 禁用SSL等不安全協(xié)議和算法,建議使用TLS1.2。
  3. ◆ 不要輕易的嘗試設(shè)計和實現(xiàn)自己的加密傳輸算法,幾乎都會存在問題。

     c、數(shù)據(jù)保存

  1. ◆ 敏感信息禁止出現(xiàn)在日志中,如確實需要,需進行脫敏處理。
  2. ◆ 緩存和DB中的敏感數(shù)據(jù)需進行加密或者虛化(Hash)。
  3. ◆ 密碼等關(guān)鍵認證必須采用加鹽Hash方式保存。

     d、數(shù)據(jù)訪問

  1. ◆ 外部請求數(shù)據(jù)訪問必須進行鑒權(quán)操作。
  2. ◆ 對于內(nèi)部的數(shù)據(jù)訪問要嚴(yán)加控制,降低用戶信息泄露風(fēng)險。

     e、審計日志

  1. ◆ 記錄的操作日志要包括5W信息(Who、When、Why、How、What)。

     f、資金處理

  1. ◆ 建立對賬機制,每天對系統(tǒng)收支數(shù)據(jù)與微信支付數(shù)據(jù)進行對賬,避免資金出現(xiàn)問題。
  2. ◆ DB或者KV需要設(shè)計數(shù)據(jù)防篡改機制。

2.3. 編碼

     a、防止參數(shù)處理不當(dāng)導(dǎo)致的常見漏洞

     b、防止邏輯處理不當(dāng)導(dǎo)致的漏洞

  1. ◆ 支付成功回調(diào)通知必須驗證微信支付簽名,避免被惡意攻擊。
  2. ◆ 在后臺進行商戶價格的判斷邏輯,避免客戶端篡改價格導(dǎo)致商戶損失。
  3. ◆ 避免在App或者網(wǎng)站頁面里面出現(xiàn)商戶APIkey或API證書等信息,防止泄露。

     c、APP開發(fā)安全注意事項

  1. ◆ IOS應(yīng)用安全開發(fā)參考 Apple NextPrevious Security Development Checklists
  2. ◆ andriod應(yīng)用安全開發(fā)參考 Andriod Security Tips

2.4. 測試

     a、對輸入輸出參數(shù)進行專項安全測試。

     b、通過眾測或自建、第三方的安全掃描機制對系統(tǒng)進行安全掃描并對問題進行修復(fù)。

2.5. 部署&運維

     a、確保系統(tǒng)所使用商業(yè)和開源組件的版本是最新穩(wěn)定版。

     b、參考此份checklist進行安全配置 系統(tǒng)漏洞檢測及修復(fù)

     c、考慮系統(tǒng)和數(shù)據(jù)服務(wù)容災(zāi),至少有主備機制,建議多機房多地部署。

     d、建議采用各大云系統(tǒng),并且啟用相關(guān)的云安全防控機制。

     e、如有條件,建議自建或者購買一些安全監(jiān)控服務(wù)或設(shè)備。

     f、設(shè)定關(guān)鍵指標(biāo)項,進行實時數(shù)據(jù)上報和監(jiān)控

     g、有專門的人員來跟進安全事件的處置。

     h、關(guān)注信息系統(tǒng)所使用框架及組件的安全信息情況。

     i、按時打補丁,定期檢查系統(tǒng)升級。

     j、服務(wù)端口開啟最小化原則。

     k、服務(wù)器登錄操作可審計。

     m、內(nèi)部管理運營系統(tǒng)必須認證登錄做操作日志記錄以供審計。

     n、建立業(yè)務(wù)下線機制,不再使用的業(yè)務(wù)做下線操作減少被攻擊面。



技術(shù)咨詢

文檔反饋