秒针国家统计局项目：我的一些感想和8点安全措施

  若干年前，在秒针工作的时候，秒针接了国家统计局的一个项目。

  我没有亲自参与，但了解这个项目的一些情况，这个项目的文档，我也有一些，比较重要且简单的一个文档是，本文想分享的一些常用的安全措施。

  这个项目，使我认识到，我所认识到的世界，只是真实世界的很小一部分情况。世界太复杂，我永远只可能知道一部分情况。

  我们每个人了解到的信息和已有的认识，永远都是有局限性的，你不可能知道所有的信息和事实。存在一些人比你更加优秀，可能是因为他们掌握了更多的有价值的信息。

  在这个弱肉强食的世界里，根本不存在什么公平，都是强者说了算。

  少一些抱怨，多一些改变，才是正解~

这个项目出钱方应该是“国家统计局”，项目承接方是“某国企”，具体干活的是“秒针”。

据说，这个项目总价至少300万，秒针拿到的可能只有100万。如果只论这个项目建设的话，工期2个月，20个人参与，还经常加班，秒针是赚不到任何钱的。

我分析，秒针之所以接收这个项目，是想和有更多资源的国企等利益集团，建立商业合作吧~

这个世界，无私的感情总是少数，更多的还是商业、生意和交易罢了~

------------------------------------------------------------------------

安全级别主要在应用层处理，主要有身份鉴别、访问控制、安全审计、软件容错、资源控制、通讯保密。
下面就每种处理做说明：
1身份鉴别：
在注册时，需要用户提供用户名、密码以及验证码作为身份的标识，这样可以防止恶意程序注册。
在登录时，采用加密密码的方式进行数据验证。访问数据页面时会以用户ID作为身份标识，获取用户数据。

2访问控制：
由于有一些操作需要做权限控制，比如下载工作区数据、分享数据等。当用户使用这些功能时，首先验证用户的登录状态。

3安全审计：
每个请求url都会写入日志文件，可日后做行为分析。

4软件容错：
网站采用双服务器方式服务，使用Nginx反向代理，当有一台服务器宕机时，Nginx会把所有流量转向正常服务的服务器。

5资源控制：
监控软件监测网站的运行状态，如果有服务器异常，进行报警。

6通讯保密：
暂时只对用户密码进行加密，如果用户选择了保存密码，会在cookie里面存入一个随机的数值，在下次访问会与数据库做比对。


7.数据库双机房备份：
为了防止意外情况造成数据丢失，需要采用数据库远程备份。

8.SQL注入，跨站攻击：
网站在执行SQL之前会处理传入的参数，这样就避免了SQL注入的风险。前端页面也进行了对特殊字符的编码，避免了前端注入风险。

------------------------

本文比较简单，内容比较有意义，也不敏感，因此我分享了出来。

今后，还会分享更多有价值不敏感的内容。