1.数据管理
##权限划分。在编码前明确数据分类分级,借助《数据安全法》、DSMM模型及不同行业的“个人信息保护规范”开展数据定级、数据加密要求、数据流转流程、数据权限划分等,及时开展数据管控平台选型、数据加解密组件。
2.测试管理
##管理测试过程账号、源码,禁止在生产系统留存。
系统安全需求与设计1.身份认证/权限控制
##通过token或uid等身份字段,绑定用户登录凭据,限制不同页面/api的访问权限,防止通过简单的用户名爆破/手机号爆破/用户序号爆破实现垂直越权或水平越权;
##通过设置随机参数,加入timestamp等时间参数计算,防止
request请求等被轻易伪造(防重放)。
2.前端js参数加密
##敏感信息通信过程中,可参考