一、是否有密碼復(fù)雜度策略、是否有密碼有效期

1）密碼長度至少8位；

2）要求用戶密碼必須包含大小寫字母、數(shù)字、特殊字符

3）避免常見密碼 123456，qwerty, password;?

4) 強制用戶定期修改密碼；

5）限制嘗試登錄次數(shù)；

6）雙因素身份證驗證，要求用戶使用兩個或兩個以上身份因素驗證，如密碼、手機驗證碼或指紋、郵件驗證碼、人臉識別；

二、是否有登錄失敗處理功能？是否有登錄連接超時自動退出功能

1） 控制嘗試登錄次數(shù)3次，超過3次鎖定帳戶30~60分鐘；

2）基于 Token 的身份驗證機制，后端在用戶登錄成功后生成一個 Token，并返回給前端。前端將 Token 存儲在本地（通常使用 LocalStorage 或者 Cookie）。前端可以在每個請求的請求頭中攜帶 Token，后端根據(jù) Token 驗證用戶身份和刷新會話時間。如果用戶在一定時間內(nèi)沒有發(fā)送請求，后端會話自動失效，用戶需要重新登錄。（注：這種方式要求帳戶登錄是獨占的，另外一臺電腦用同一個帳戶登錄時，前面登錄的用戶token將會失效）

三、應(yīng)用系統(tǒng)日志備份策略是什么？如 怎么進行備份的？備份到哪里？備份周期？

3.1 Fluentd

? ? ? ?Fluentd不生產(chǎn)日志，Fluentd只是日志的搬運工。

? ? ? ?后端系統(tǒng)包括告警系統(tǒng)（Nagios）、分析系統(tǒng)（MongoDB、MySQL、Hadoop、ElasticSearch）、存儲系統(tǒng)（Amazon S3)

https://github.com/fluent/fluentd

3.2 ELK 日志框架

四、應(yīng)用系統(tǒng)是否定期漏掃？如有請?zhí)峁┞邎蟾?#xff0c;并說明漏掃周期

?幾款開源免費的web漏洞掃描工具

4.1 OWASP ZAP

OWASP ZAP 是一款功能強大的 Web 漏洞掃描工具，可以幫助用戶發(fā)現(xiàn)和修復(fù) Web 應(yīng)用程序中的漏洞。它支持多種平臺，包括 Windows。ZAP 提供了易于使用的界面，并支持自定義腳本和插件，以擴展其功能。

下載地址：? ? ?https://www.zaproxy.org/download/

4.2? ?Arachni

Arachni 是一款全面的 Web 應(yīng)用程序安全測試框架，具有自動化測試的能力。它提供了易于使用的 Web 界面，并支持自定義腳本和插件。Arachni 可以運行在 Windows 系統(tǒng)上，以及其他多種平臺上。

下載地址：https://github.com/Arachni/arachni/releases/tag/v1.6.1.3

五、重要數(shù)據(jù)備份策略是什么？如 ?怎么進行備份的？備份到哪里？備份周期？

? ? ? 是否進行異地備份？如 ?怎么進行備份的？備份到哪里？備份周期？

? ? ? ?數(shù)據(jù)庫是否有定期進行漏洞掃描？（OpenVAS）

? ? ?定期備份，多樣性備份（云存儲備份、本地備份）?

5.1?使用Navicat實現(xiàn)MySQL自動定時備份

• 修改備份位置，右鍵編輯連接，打開連接屬性
• 修改設(shè)置位置；

? ? ? 當(dāng)你在 Navicat 中設(shè)置了一個計劃任務(wù)（例如定時備份數(shù)據(jù)庫），Navicat 會幫助你生成相應(yīng)的 SQL 腳本，并將其保存在Windows操作系統(tǒng)的計劃任務(wù)中。計劃任務(wù)的執(zhí)行與 Navicat 是否打開或關(guān)閉無關(guān)，它完全依賴于操作系統(tǒng)的計劃任務(wù)服務(wù)。

? 5.2? 要求備份到異地區(qū)域的機房，或者手動備份至線下。

六、應(yīng)用系統(tǒng)是否收集基礎(chǔ)個人信息和個人敏感信息？如姓名、身份證、手機號等

七、服務(wù)器
1、服務(wù)器日志是否有發(fā)送至日志審計
2、服務(wù)器是否有安裝防護軟件
3、服務(wù)器是否有定期進行漏洞掃描
4、服務(wù)器是否有進行備份（提供具體備份策略）
5、服務(wù)器是否有進行異地備份