若干年前,在秒针工作的时候,秒针接了国家统计局的一个项目。
我没有亲自参与,但了解这个项目的一些情况,这个项目的文档,我也有一些,比较重要且简单的一个文档是,本文想分享的一些常用的安全措施。
这个项目,使我认识到,我所认识到的世界,只是真实世界的很小一部分情况。世界太复杂,我永远只可能知道一部分情况。
我们每个人了解到的信息和已有的认识,永远都是有局限性的,你不可能知道所有的信息和事实。存在一些人比你更加优秀,可能是因为他们掌握了更多的有价值的信息。
在这个弱肉强食的世界里,根本不存在什么公平,都是强者说了算。
少一些抱怨,多一些改变,才是正解~
这个项目出钱方应该是“国家统计局”,项目承接方是“某国企”,具体干活的是“秒针”。
据说,这个项目总价至少300万,秒针拿到的可能只有100万。如果只论这个项目建设的话,工期2个月,20个人参与,还经常加班,秒针是赚不到任何钱的。
我分析,秒针之所以接收这个项目,是想和有更多资源的国企等利益集团,建立商业合作吧~
这个世界,无私的感情总是少数,更多的还是商业、生意和交易罢了~
————————————————————————
安全级别主要在应用层处理,主要有身份鉴别、访问控制、安全审计、软件容错、资源控制、通讯保密。下面就每种处理做说明:1身份鉴别:在注册时,需要用户提供用户名、密码以及验证码作为身份的标识,这样可以防止恶意程序注册。在登录时,采用加密密码的方式进行数据验证。访问数据页面时会以用户ID作为身份标识,获取用户数据。2访问控制:由于有一些操作需要做权限控制,比如下载工作区数据、分享数据等。当用户使用这些功能时,首先验证用户的登录状态。3安全审计:每个请求url都会写入日志文件,可日后做行为分析。4软件容错:网站采用双服务器方式服务,使用Nginx反向代理,当有一台服务器宕机时,Nginx会把所有流量转向正常服务的服务器。5资源控制:监控软件监测网站的运行状态,如果有服务器异常,进行报警。6通讯保密:暂时只对用户密码进行加密,如果用户选择了保存密码,会在cookie里面存入一个随机的数值,在下次访问会与数据库做比对。7.数据库双机房备份:为了防止意外情况造成数据丢失,需要采用数据库远程备份。8.SQL注入,跨站攻击:网站在执行SQL之前会处理传入的参数,,这样就避免了SQL注入的风险。前端页面也进行了对特殊字符的编码,避免了前端注入风险。
————————
本文比较简单,内容比较有意义,也不敏感,因此我分享了出来。
今后,还会分享更多有价值不敏感的内容。
版权声明:本文为博主原创文章,未经博主允许不得转载。
诚实是人生绝妙的法宝。虽然对人诚实,
