安全审查常见要求

一、是否有密码复杂度策略、是否有密码有效期

1）密码长度至少8位；

2）要求用户密码必须包含大小写字母、数字、特殊字符

3）避免常见密码 123456，qwerty, password; 

4) 强制用户定期修改密码；

5）限制尝试登录次数；

6）双因素身份证验证，要求用户使用两个或两个以上身份因素验证，如密码、手机验证码或指纹、邮件验证码、人脸识别；

二、是否有登录失败处理功能？是否有登录连接超时自动退出功能

1） 控制尝试登录次数3次，超过3次锁定帐户30~60分钟；

2）基于 Token 的身份验证机制，后端在用户登录成功后生成一个 Token，并返回给前端。前端将 Token 存储在本地（通常使用 LocalStorage 或者 Cookie）。前端可以在每个请求的请求头中携带 Token，后端根据 Token 验证用户身份和刷新会话时间。如果用户在一定时间内没有发送请求，后端会话自动失效，用户需要重新登录。（注：这种方式要求帐户登录是独占的，另外一台电脑用同一个帐户登录时，前面登录的用户token将会失效）

三、应用系统日志备份策略是什么？如 怎么进行备份的？备份到哪里？备份周期？

四、应用系统是否定期漏扫？如有请提供漏扫报告，并说明漏扫周期

 几款开源免费的web漏洞扫描工具

4.1 OWASP ZAP

OWASP ZAP 是一款功能强大的 Web 漏洞扫描工具，可以帮助用户发现和修复 Web 应用程序中的漏洞。它支持多种平台，包括 Windows。ZAP 提供了易于使用的界面，并支持自定义脚本和插件，以扩展其功能。

下载地址：     https://www.zaproxy.org/download/

4.2   Arachni

Arachni 是一款全面的 Web 应用程序安全测试框架，具有自动化测试的能力。它提供了易于使用的 Web 界面，并支持自定义脚本和插件。Arachni 可以运行在 Windows 系统上，以及其他多种平台上。

下载地址：https://github.com/Arachni/arachni/releases/tag/v1.6.1.3

五、重要数据备份策略是什么？如  怎么进行备份的？备份到哪里？备份周期？

     定期备份，多样性备份（云存储备份、本地备份）

      备份周期（每天或每周...，依据数据重要性而定）

六、是否进行异地备份？如  怎么进行备份的？备份到哪里？备份周期？

备份到异地区域的机房，或者手动备份至线下。

七、应用系统是否收集基础个人信息和个人敏感信息？如姓名、身份证、手机号等