敏感信息清理、供应链安全风险排查

敏感信息清理

操作建议（如果内网被攻破，攻击方会到处去翻查对自己有用的信息）：

1.个人电脑、个人管理的服务器、个人网盘、个人的公网邮箱及办公邮箱，个人GITHUB、个人即时通讯工具上存储的、个人手机上任何敏感信息应在离线备份后彻底清楚；（特别是IT人员）

2.系统及文件服务器上存储的任何敏感信息包括账号信息、网络拓扑信息、代码、系统文档、密码文件、漏洞信息等，应彻底清除；特别对重要系统，应防止删除后被恢复；

3.有必要和有条件时，应对本单位/管理员账号信息泄露历史情况做排查；

4.本项要求应在安全意识宣导中强调，并可要求终端用户、系统用户做承诺；

5.提示：钓鱼+弱口令+邮件及敏感信息翻查是攻击队常用的攻击突破手段！

供应链安全风险排查

操作建议：

1.梳理、审查IT供应商名单；

2.明确并落实供应商安全责任；排查供应商访问权限、能接触的敏感歇息；

3.排查供应商建设、维护的信息系统，确认是否要做漏洞扫描和渗透测试；

4.要求应用系统的供应商对自身的网络和系统安全进行自查，确保源码不会泄露；

5.提示：

a.供应商安全评估一般不属于项目范围，PM应评估风险，判断需求应提前提交商机和预算；如防守单位为小型的、分支机构单位，本项为可选项，做好攻击路径排查和访问控制即可。

b.一般来说，攻击队搞不了总公司，就会搞分公司，搞不了分公司，就会搞供应商。

原文始发于微信公众号（菜鸟小新）：敏感信息清理、供应链安全风险排查