随着信息化的发展,信息资源与服务平台也在不断的更新换代。目前,互联网普及全面,云计算、大数据声名鹊起,信息资源与服务平台的建设效果参差不齐,大部分平台还停留在上一代。
一、信息资源与服务平台特征分析1.功能性 适合性:有用户文档且其中说明的软件主要功能点全部实现。 准确性:软件定位准确,响应数据准确,资源位置准确,图片、视频加载准确,资源下载准确。互操作性:软件可以将后台用户发布信息及时展示、便于用户实时查看最新消息,能够将相关统计数据信息导出到excel,便于管理员后期使用。安全保密性:软件通过验证用户名和密码等方式来防止非法使用,并提供用户账号控制,IP限制等安全措施。
2.可靠性 成熟性:软件运行稳定,在长时间的运行过程中不会出现响应突然中断,或者暂停运行,以及自动停止运行的情况。容错性:软件对用户的错误操作或者错误数据能够有效的解决并返馈给用户,用户的非正常操作不会对软件本身造成影响,软件内部异常有日志输出。易恢复性:在软件失效情况下,可以通过重新启动软件的方式进行正常恢复。
3.易用性 易理解性:软件界面、提示、消息、结果易于识别和理解。可点击部分会出现点击标识,可跳转部分点击即可跳转,特殊输入格式有详细说明,界面无重叠,无乱码。易学习性:提供用户文档,对软件的功能及操作有详细的说明,复杂部分有演示。易操作性:软件操作流程符合用户习惯,提供了选择项等辅助输入措施,对删除重要数据的操作具有提示且要求确认。
4.维护性 易分析性:软件出错时会产生相应的提示信息,用户可以根据所得到的信息来分析实际的失效原因。易测试性:软件不需要其他附加测试设施就可进行测试。5.可移植性 适应性:软件可以适应规定的软件和硬件环境。共存性:软件运行环境与其他软件不会发生冲突,两者或多者可以独立完整的稳定的运行。
二、安全性分析 安全性问题是软件系统核心问题,此系统将从以下六点分析软件的安全性。 1、认证 认证采用传统的账号密码认证是不够的,为提升系统灵敏性认证加入手机验证码,邮箱验证码, 2、权限隔离 管理权限拥有最高权限,可以对平台所有内容进行读写操作;角色权限,对所有角色进行增删改查;审核权限,对用户及用户行为进行管理,对资源及资源部分类容有审核修改权限;用户权限,对用户本身行为,进行修改。平台本身利用安全框架实现权限隔离,确定信息资源的最低权限,权限低于最低权限无法继续操作。
3、反爬虫 使用基于IP的反爬虫机制,后台使用拦截,针对每一个请求,分析其IP,对于单位时间内请求次数过多,刷新次数频繁,将IP加入黑名单,对IP进行封禁。也可以在请求cookie里面设置一个key在没有携带的情况下要求请求行为首先要实现登录才可以继续访问。
4、防止XSS攻击 防止XSS攻击(跨站脚本攻击),需要对输入进行过滤,对输出进行编码。输入过滤是将输入信息以及URL参数进行过滤,对与每一个输入在客户端以及服务端都需要进行验证,使用字符白名单或字符黑名单过滤非法字符。对输出进行编码,是对输出到页面的内容通过HTML等编码工具,对其进行编码和转义。
5、防止SQL注入 后台时用持久层框架,直接使用可以很好的防止SQL注入,在一些特别之处设置字符过滤,从而防止SQL注入。
6、不可逆加密 不可逆加密是通过Hash算法使数据加密之后无法解密回原数据,相比于传统的加密/解密方法,不可逆加密更安全,目前可以使用MD5、SHA系列等算法,在用户填写如密码之类的重要信息时,使用SHA-×+随机盐[1](Salt)+密钥对其进行Hash处理,得到Hash值,将Hash值存放在数据库,之后需要用到的视乎用相同的方法得到一个Hash值,比较两者是否相同即可。