自从互联网变成基础设施,而这个基础设施和国际的边界在平时生活中几乎无感,所以对于基础设施的安全也越发的重要。国家对这方面也越来越重视,每年特定时间都会开展HWXD。这对业务人员的安全意识和安全操作规范的要求也越来越高。作为业务人员,如何更高效的配合HW?本文给出懒人自查清单。

邮件链接安全:

  1. 这个链接我可否在手机或微信等其他更安全的环境中再点击?
  2. 这个链接我可以通过“先右键复制链接然后在浏览器地址栏中粘贴”的方式,二次确认该链接的合法性吗?
  3. 这个链接我非点击不可吗?

办公安全:

  1. 我是否使用了WiFi大师或360 WiFi之类的WiFi共享类软件?
  2. 我在进出公司门口闸机时是否确保只有本人通过了?
  3. 我是否运行了未被授权的软件?可否用其他已被授权的软件代替?
  4. 如果临时或由于其他原因不得不使用未被授权的软件或互联网上下载的软件,我是否将其置入沙箱环境之后再打开了?

使用习惯:

  1. 在网盘类、邮箱中、聊天工具中临时分享或同步的文件,用后是否马上删除了?
  2. 陌生的U盘是否隔绝了办公电脑?是否只在沙箱中打开了?
  3. 在像外部或公司其他部门提供的材料中,是否有敏感信息?可否脱敏之后在发送?
  4. 遇到不好拿捏的情况,我是否请示了我的直属领导后再对外发送?

网盘类:

  1. 我的网盘账号是:
  2. 我的网盘中有无敏感文件,是否可以删除或通过其他方式保存?
  3. 我的网盘软件安装在哪些电脑中有使用,是否关闭了自动登录和保存密码等功能
  4. 如果遗忘相关账号,可以通过手机号等方式找回密码,并处理相关文件

代码托管平台:(Github/Gitee等)

  1. 我的源码分享平台账号是:(公司搜集,可以定期扫描提示安全风险,方便主动告警和自查)
  2. 我的源码分享平台项目有哪些:(公司搜集,可以定期扫描提示安全风险,方便主动告警和自查)
  3. 哪些源码分享平台上的项目是已废弃可以关闭或删除的?(如连续1个月star新增数少于100或无fork无push)
  4. 我在源码分享平台上提交issue或wiki里有无发布敏感信息?(发布信息切勿带个性化信息,包括能标示或反推出的个人信息、照片要手动打码【软件打码有时可以逆向还原,建议通过涂鸦等方式覆盖】)

社交平台类:

  1. 我的公众号/百家号/头条号/知乎/脉脉/微博/个人博客/行家/Linkedin等的账号是:
  2. 我有无在这些平台发布敏感信息?
  3. 我有无在这些平台发布和公司相关的信息?
  4. 可否将相关信息进行脱敏化处理或删除,而不仅仅是设置是否可见?
  5. 我在Google或其他搜索引擎上搜索自己的名字、ID、英文名、代号等个性化标签 + 公司名或公司代号等相关信息时,可否将搜索结果逐个排查,确保没有敏感信息?