码迷,mamicode.com
首页 > 其他好文 > 详细

秒针国家统计局项目:我的一些感想和8点安全措施

时间:2015-10-18 17:00:14      阅读:138      评论:0      收藏:0      [点我收藏+]

标签:秒针   安全   国家统计局   

  若干年前,在秒针工作的时候,秒针接了国家统计局的一个项目。


  我没有亲自参与,但了解这个项目的一些情况,这个项目的文档,我也有一些,比较重要且简单的一个文档是,本文想分享的一些常用的安全措施。


  这个项目,使我认识到,我所认识到的世界,只是真实世界的很小一部分情况。世界太复杂,我永远只可能知道一部分情况。


  我们每个人了解到的信息和已有的认识,永远都是有局限性的,你不可能知道所有的信息和事实。存在一些人比你更加优秀,可能是因为他们掌握了更多的有价值的信息。


  在这个弱肉强食的世界里,根本不存在什么公平,都是强者说了算。


  少一些抱怨,多一些改变,才是正解~


这个项目出钱方应该是“国家统计局”,项目承接方是“某国企”,具体干活的是“秒针”。

据说,这个项目总价至少300万,秒针拿到的可能只有100万。如果只论这个项目建设的话,工期2个月,20个人参与,还经常加班,秒针是赚不到任何钱的。


我分析,秒针之所以接收这个项目,是想和有更多资源的国企等利益集团,建立商业合作吧~


这个世界,无私的感情总是少数,更多的还是商业、生意和交易罢了~

------------------------------------------------------------------------

安全级别主要在应用层处理,主要有身份鉴别、访问控制、安全审计、软件容错、资源控制、通讯保密。
下面就每种处理做说明:
1身份鉴别:
在注册时,需要用户提供用户名、密码以及验证码作为身份的标识,这样可以防止恶意程序注册。
在登录时,采用加密密码的方式进行数据验证。访问数据页面时会以用户ID作为身份标识,获取用户数据。

2访问控制:
由于有一些操作需要做权限控制,比如下载工作区数据、分享数据等。当用户使用这些功能时,首先验证用户的登录状态。

3安全审计:
每个请求url都会写入日志文件,可日后做行为分析。

4软件容错:
网站采用双服务器方式服务,使用Nginx反向代理,当有一台服务器宕机时,Nginx会把所有流量转向正常服务的服务器。

5资源控制:
监控软件监测网站的运行状态,如果有服务器异常,进行报警。

6通讯保密:
暂时只对用户密码进行加密,如果用户选择了保存密码,会在cookie里面存入一个随机的数值,在下次访问会与数据库做比对。


7.数据库双机房备份:
为了防止意外情况造成数据丢失,需要采用数据库远程备份。

8.SQL注入,跨站攻击:
网站在执行SQL之前会处理传入的参数,这样就避免了SQL注入的风险。前端页面也进行了对特殊字符的编码,避免了前端注入风险。

------------------------

本文比较简单,内容比较有意义,也不敏感,因此我分享了出来。

今后,还会分享更多有价值不敏感的内容。

版权声明:本文为博主原创文章,未经博主允许不得转载。

秒针国家统计局项目:我的一些感想和8点安全措施

标签:秒针   安全   国家统计局   

原文地址:http://blog.csdn.net/fansunion/article/details/49228143

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!