秒針國家統計局專案：我的一些感想和8點安全措施

  若干年前，在秒針工作的時候，秒針接了國家統計局的一個專案。

  我沒有親自參與，但瞭解這個專案的一些情況，這個專案的文件，我也有一些，比較重要且簡單的一個文件是，本文想分享的一些常用的安全措施。

  這個專案，使我認識到，我所認識到的世界，只是真實世界的很小一部分情況。世界太複雜，我永遠只可能知道一部分情況。

  我們每個人瞭解到的資訊和已有的認識，永遠都是有侷限性的，你不可能知道所有的資訊和事實。存在一些人比你更加優秀，可能是因為他們掌握了更多的有價值的資訊。

  在這個弱肉強食的世界裡，根本不存在什麼公平，都是強者說了算。

  少一些抱怨，多一些改變，才是正解~

這個專案出錢方應該是“國家統計局”，專案承接方是“某國企”，具體幹活的是“秒針”。

據說，這個專案總價至少300萬，秒針拿到的可能只有100萬。如果只論這個專案建設的話，工期2個月，20個人參與，還經常加班，秒針是賺不到任何錢的。

我分析，秒針之所以接收這個專案，是想和有更多資源的國企等利益集團，建立商業合作吧~

這個世界，無私的感情總是少數，更多的還是商業、生意和交易罷了~

------------------------------------------------------------------------

安全級別主要在應用層處理，主要有身份鑑別、訪問控制、安全審計、軟體容錯、資源控制、通訊保密。
下面就每種處理做說明：
1身份鑑別：
在註冊時，需要使用者提供使用者名稱、密碼以及驗證碼作為身份的標識，這樣可以防止惡意程式註冊。
在登入時，採用加密密碼的方式進行資料驗證。訪問資料頁面時會以使用者ID作為身份標識，獲取使用者資料。

2訪問控制：
由於有一些操作需要做許可權控制，比如下載工作區資料、分享資料等。當使用者使用這些功能時，首先驗證使用者的登入狀態。

3安全審計：
每個請求url都會寫入日誌檔案，可日後做行為分析。

4軟體容錯：
網站採用雙伺服器方式服務，使用Nginx反向代理，當有一臺伺服器當機時，Nginx會把所有流量轉向正常服務的伺服器。

5資源控制：
監控軟體監測網站的執行狀態，如果有伺服器異常，進行報警。

6通訊保密：
暫時只對使用者密碼進行加密，如果使用者選擇了儲存密碼，會在cookie裡面存入一個隨機的數值，在下次訪問會與資料庫做比對。


7.資料庫雙機房備份：
為了防止意外情況造成資料丟失，需要採用資料庫遠端備份。

8.SQL隱碼攻擊，跨站攻擊：
網站在執行SQL之前會處理傳入的引數，這樣就避免了SQL隱碼攻擊的風險。前端頁面也進行了對特殊字元的編碼，避免了前端注入風險。

------------------------

本文比較簡單，內容比較有意義，也不敏感，因此我分享了出來。

今後，還會分享更多有價值不敏感的內容。