技術(shù)防護(hù)抵御外部攻擊通過技術(shù)手段防止黑客入侵、惡意攻擊導(dǎo)致的數(shù)據(jù)泄露。
前端安全加固防止XSS攻擊:對(duì)用戶輸入的內(nèi)容如評(píng)論、表單進(jìn)行過濾轉(zhuǎn)義特殊字符,避免惡意腳本注入竊取Cookie或用戶信息。
禁止本地存儲(chǔ)敏感數(shù)據(jù):小程序的本地緩存、如微信小程序僅用于存儲(chǔ)非敏感數(shù)據(jù),如用戶偏好設(shè)置禁止存儲(chǔ)密碼等。
后端安全防護(hù)防止SQL注入:使用參數(shù)化查詢、而非字符串拼接處理數(shù)據(jù)庫(kù)操作,避免黑客通過輸入特殊字符篡改SQL語(yǔ)句。
定期安全測(cè)試:上線前進(jìn)行滲透測(cè)試、漏洞掃描使用AWVS、Nessus工具修復(fù)高危漏洞,如未授權(quán)訪問文件上傳漏洞
上線后定期復(fù)測(cè),及時(shí)響應(yīng)新漏洞等。
依賴組件安全
避免使用盜版或未維護(hù)的開源組件、前端框架、后端庫(kù)、定期更新組件版本,修復(fù)已知安全漏洞、可通過工具如檢測(cè)。
合規(guī)與應(yīng)急降低法律風(fēng)險(xiǎn)快速響應(yīng)問題
遵循平臺(tái)規(guī)則
嚴(yán)格遵守小程序平臺(tái)的安全規(guī)范,微信小程序平臺(tái)運(yùn)營(yíng)規(guī)范例如:
微信小程序禁止收集用戶微信賬號(hào)密碼、聊天記錄
不得通過小程序誘導(dǎo)用戶分享隱私信息。
平臺(tái)審核時(shí)需提交合規(guī)證明,如隱私政策、數(shù)據(jù)安全措施說(shuō)明,避免因違規(guī)被下架。
建立應(yīng)急機(jī)制
制定數(shù)據(jù)泄露應(yīng)急預(yù)案:明確泄露后的響應(yīng)流程,暫停服務(wù)、通知用戶、上報(bào)監(jiān)管部門、責(zé)任人及時(shí)間要求如《個(gè)人信息保護(hù)法》要求泄露后72小時(shí)內(nèi)上報(bào),
定期開展數(shù)據(jù)安全培訓(xùn),提升開發(fā)運(yùn)營(yíng)人員的隱私保護(hù)意識(shí),如避免將測(cè)試數(shù)據(jù)包含真實(shí)用戶信息。
