若干年前,在秒针工作的时候,秒针接了国家统计局的一个项目。
我没有亲自参与,但了解这个项目的一些情况,这个项目的文档,我也有一些,比较重要且简单的一个文档是,本文想分享的一些常用的安全措施。
这个项目,使我认识到,我所认识到的世界,只是真实世界的很小一部分情况。世界太复杂,我永远只可能知道一部分情况。
我们每个人了解到的信息和已有的认识,永远都是有局限性的,你不可能知道所有的信息和事实。存在一些人比你更加优秀,可能是因为他们掌握了更多的有价值的信息。
在这个弱肉强食的世界里,根本不存在什么公平,都是强者说了算。
少一些抱怨,多一些改变,才是正解~
这个项目出钱方应该是“国家统计局”,项目承接方是“某国企”,具体干活的是“秒针”。
据说,这个项目总价至少300万,秒针拿到的可能只有100万。如果只论这个项目建设的话,工期2个月,20个人参与,还经常加班,秒针是赚不到任何钱的。
我分析,秒针之所以接收这个项目,是想和有更多资源的国企等利益集团,建立商业合作吧~
这个世界,无私的感情总是少数,更多的还是商业、生意和交易罢了~
------------------------------------------------------------------------
安全级别主要在应用层处理,主要有身份鉴别、访问控制、安全审计、软件容错、资源控制、通讯保密。
下面就每种处理做说明:
1身份鉴别:
在注册时,需要用户提供用户名、密码以及验证码作为身份的标识,这样可以防止恶意程序注册。
在登录时,采用加密密码的方式进行数据验证。访问数据页面时会以用户ID作为身份标识,获取用户数据。
2访问控制:
由于有一些操作需要做权限控制,比如下载工作区数据、分享数据等。当用户使用这些功能时,首先验证用户的登录状态。
3安全审计:
每个请求url都会写入日志文件,可日后做行为分析。
4软件容错:
网站采用双服务器方式服务,使用Nginx反向代理,当有一台服务器宕机时,Nginx会把所有流量转向正常服务的服务器。
5资源控制:
监控软件监测网站的运行状态,如果有服务器异常,进行报警。
6通讯保密:
暂时只对用户密码进行加密,如果用户选择了保存密码,会在cookie里面存入一个随机的数值,在下次访问会与数据库做比对。
7.数据库双机房备份:
为了防止意外情况造成数据丢失,需要采用数据库远程备份。
8.SQL注入,跨站攻击:
网站在执行SQL之前会处理传入的参数,这样就避免了SQL注入的风险。前端页面也进行了对特殊字符的编码,避免了前端注入风险。
------------------------
本文比较简单,内容比较有意义,也不敏感,因此我分享了出来。
今后,还会分享更多有价值不敏感的内容。