最近出现了一些不正常的操作系统，但到目前为止，只有一个粗略的验证，然而，彻底清除。对于安全日志系统中的一些总结。

1、系统登录必须先登录

该日志必须包含：登录时间、注销时间、登录ip、主机名、MAC住址

但时间是有点困难注销。直接点击浏览器的关闭button。此处设计要注意。

2、用户点击系统的重要页面必须记录日志

一个系统的页面众多，能够的话当然所有记录最好，假设存储有难度。关键的页面必须记录

3、必须保证登录session的正确性

这个包括双方面：一是必须登录了才干查看系统，避免系统的不论什么一个url复制到还有一个浏览器也能打开的状况；

二是用户的识别必须正确，不能A用户点击的页面，错记录为B用户

4、对于每一笔操作，都应该有个来源记录

比方我作了一个改动操作，这个操作能够在A页面做。也能够在B页面做，所以必须记录下这个操作的来源页面是哪里。假设来源系统也不一样，就更要记录

5、对于系统的数据改动。必须严格管控

上面说的这么多日志的记录，假设能够被人任意改动。那记录再多也是白扯。

6、严格控制非页面操作的数据改动

后台数据的改动除了从系统页面操作，必定还有很多渠道。比方直接运行sql、通过soapui调用一些业务操作接口、通过公司内部的调试软件进行调用操作等。

所以数据库最好打开审计功能。记录sql的操作日志。调试的工具不可能禁止使用，但最好严格控制人数，圈定了几个人，基本都不可能瞎来。

7、控制vpn的使用

基本内网才干操作系统。但假设有vpn，就加大查找来源的难度。

2015.3.12

===========

2015.3.13补充：

仅仅记录登录日志还不太够，怎样证明这个登录操作是他本人而不是被盗用呢？

最好另一个确认的操作。比方短信确认。你的帐号password被盗了，不可能手机也被盗对。假设短信成本太高，微信、token其他装置也可以是。