在刚刚结束的Oracle技术嘉年华大会上,"SQL审核"这个概念被屡次提及,成为一个重要的核心关键词。云和恩墨的技术专家罗海雄和去哪儿网的技术专家王竹峰分别做了相关的主题分享。
SQL审核的提出,是基于数据库的性能优化实践和屡见不鲜的“抢险救灾”,经过总结大家发现,80%的数据库性能问题来自SQL,而事后的SQL优化和救火已经不能满足今天业务快速发展和高可用连续性的需求。
SQL审核是指,将数据库线上系统的SQL优化和问题诊断,推进到产品开发测试阶段(上线前),通过前期的SQL审核管控,将80%的SQL问题消灭在萌生阶段;而对于线上运行系统,可以通过同样的SQL审核过程,发现和解决潜在的性能问题,做到提前预防,防患于未然。
常见的设备管理方式有SNMP、RMON、Web、TELNET以及通过CONSOLE、AUX接口管理,有些高端设备还具备100BASE-TX的带外管理端口。
我在网上查到大概SNMP、RMON、Web、TELNET这些管理方式属于带内管理,通过CONSOLE、AUX接口管理和通过某些高端设备具有的100BASE-TX的带外管理端口进行管理的方式属于带外管理。
那么所谓带内、带外是不是指跟占用生产网络带宽、接口的管理方式称之为带内管理,与此相反,不占生产网络带宽、接口的管理方式称之为带外管理?
带外网管是指通过专门的网管通道实现对网络的管理,将网管数据与业务数据分开,为网管数据建立独立通道。在这个通道中,只传输管理数据、统计信息、计费信息等,网管数据与业务数据分离,可以提高网管的效率与可靠性,也有利于提高网管数据的安全性。
从电影《太空旅客 Passengers (2016)》来切入智能运维的话题。
1、智能运维:可视化、可预测、快速定位、自动修复
2、自动化运维平台:统一管理平台、SQL审核管理、数据库自动巡检、脚本统一管理、作业统一管理
3、环境监控:资产管理、CMDB、维保管理
4、symantec:安全类产品
5、数据缩减
在软件项目管理中,第一个遇到的问题就是如何预估项目大小和工作量。目前国内大部分软件公司是凭经验来估算的。这里介绍一种更为科学的项目估算方法:功能点分析法(Function Point Analysis)
功能点分析法中认为整个项目的规模由三部份构成:信息处理规模,技术复杂度,环境因素。
IFPUG功能点估算方法使用指南
雪松科技开放日是一场面对甲方CIO,雪松协同乙方合作伙伴展现信息化建设理念和效果的一场非常有创新的技术大会。
会议给自己最大的触发有三点:
1、价值出发
做任何事情都要思考是否有价值,每天你需要回顾当天做的事情有没有价值;
人的精力都是有限的,成功的人都是聚焦于有价值的事情,在同样精力的情况下,因为他们只处理有价值的事情,所以他们显得效率很高,更容易出成绩。
2、思维高度
就像徐bin(斌)的比喻,你站在2楼看出去都是垃圾,你站在10楼看出去都是高楼大厦,但你站在100楼看出去,就是一片美景。
所以,必须学会把自己的思维高度提升,也就是平时自己所想的,跳出问题看问题,不要拘泥于问题的本身所在,提交自己的格局和见识。
3、集中灵动
在信息化建设当中,存在是用一体的解决方案,还是整合的方案。雪松今天提出了集中灵动的方法。并且做了一个很好的比喻,就是珍珠项链和夜明珠的比较。一个珍珠项链是由各个珠子串起来的,如果哪个有问题,换掉就是了,实现了集中灵动的效果;而夜明珠一旦出现问题,替换的成果就非常高了。
永远不相信用户的输入。需要对用户的输入进行处理,只允许输入合法的值,其它值一概过滤掉。
SQL
注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。
SQL 注入可以参见:https://en.wikipedia.org/wiki/SQL_injection
SQL 注入漏洞存在的原因,就是拼接 SQL
参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL
注入漏洞。
我们看到:select id,no from user where id=2;
如果该语句是通过sql字符串拼接得到的,比如: String sql = "select id,no
from user where id=" + id;
其中的 id 是一个用户输入的参数,那么,如果用户输入的是 2,
那么上面看到查到了一条数据,如果用户输入的是 2 or 1=1
进行sql注入攻击,
那么看到,上面的语句(select id,no from user where id=2 or
1=1;)将user表中的所有记录都查出来了。
这就是典型的sql注入。
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。
XSS攻击类似于SQL注入攻击,攻击之前,我们先找到一个存在XSS漏洞的网站,XSS漏洞分为两种,一种是DOM
Based XSS漏洞,另一种是Stored
XSS漏洞。理论上,所有可输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞,漏洞的危害取决于攻击代码的威力,攻击代码也不局限于script。
严格来说是听书心得,是在得到上听的梁宁说的产品思维的课程。
如果你处理或使用过大量数据,一定有听到过“数据治理”这个词。你会思考数据治理是什么?数据治理是否适合你?如何实施。简单来说,数据治理就是处理数据的策略——如何存储、访问、验证、保护和使用数据。数据治理也还包括谁来看,使用,共享你的数据。
这些问题日益重要,越来越多的企业依赖采集和储存、分析数据,并实现他们的商业目标。数据变成了企业的盈利工具、业务媒介和商业机密。数据泄露会导致法律纠纷,还会令消费者对公司的核心业务失去信心。
如果抱着侥幸的心理,让各个业务部门自己管理数据,那么你会缺乏有效的数据管理,甚至各部门会自己做自己的。你无法想象各个部门按随心所欲地自己生产、储存、销售产品。数据使用不当就像库存使用不当一样,会给企业造成沉重的损失。因此必须制定一项测量用以保证所需数据的有效和安全,可用性,这就是我们要谈的“数据治理”。
对于中小企业来说,ITIL也许永远只是一个渴望而不可及的梦。在实施ITIL条件不成熟的情况下,ISO/IEC
20000也许是个很好的代替品。 众所周知,ITIL是IT服务管理的最佳实践。
ISO/IEC
20000是IT服务管理要求或者说是IT服务管理实践的要点。
IT的营运,直接说就是IT服务管理。如果企业内的业务部门是甲方,IT部门就是乙方。既然IT部门一天到晚都在提供服务,自然需要服务管理。ISO在2005年12月,针对IT服务管理的品质,提出了一个国际标准,就是大家耳熟能详的ISO/IEC
20000。
ITIL与ISO20000之间的框架,还是有些差距的。整体来说,ITIL是10个管理流程,ISO20000/BS15000则是13个管理流程,其中新增的业务关系管理(Business
Management)与供货商管理(Supplier
Management),对于ITIL来说,这些已经同时包含在服务等级管理(Service Level
Management)之中;另外,ISO20000新增的服务报告(Service
Reporting),事实上也涵盖在ITIL的每个管理流程当中。
举一个例子,ITIL和ISO/IEC
20000就好比两种不同的父母管教孩子。一种父母是什么都要管的,管的很细,你穿什么衣服,用什么牙刷刷牙都要手把手的告诉你,比较关注过程。还有一种父母可能更多的关注孩子最终的结果,比如孩子的性格是不是活泼,是不是外向,而对过程不是很关注。前者就像是ITIL,后者就像ISO/IEC
20000。ISO/IEC
20000其中有一些关键点和控制点,而ITIL则是关注流程,会告诉你流程的大致走法。