笔趣阁

第1298章 开工上半年的任务是反作弊（第3页）

“游戏联动的接口也调通了，现在天天酷跑跟消消乐的数据都可以实时接入，延迟控制在毫秒级。”

“简单说就是，我们自己做的安全外壳已经能兜住现有的业务量了，目前同时在线峰值跑到八十万没出过丢包。”

“再也不用仰着脖子等别人家的技术支援，半夜出问题自己人就能顶上。”

“我们现在这套安全防护系统的架构分为四层。”

“最外层是流量清洗层，用的是自研的ddos流量清洗算法，能识别并过滤掉七层以下的恶意流量攻击，同时保持正常用户的访问不受影响。”

“我们目前租用了两个机房的服务器做流量清洗节点，互为备份，单个节点最大清洗带宽是1ogbps。”

周小军在旁边插了一句。

“年前那次有人对我们服务器做cc攻击，就是靠着试运行的清洗算法扛下来的，峰值的时候每秒大概有七万多条请求，全被过滤了，正常用户没受到影响。”

陈景点了点头没多问，示意赵圆圆继续。

“第二层是入侵检测层，我们基于snort开源引擎做了二次开，加了自己的规则库。”

“目前规则库里有一千两百多条自定义规则，覆盖了sqL注入，xss跨站脚本，远程命令执行等常见的eb攻击模式。”

“规则库会定期更新，更新周期暂定为一周一次。”

“第三层是应用防火墙，主要针对登录系统的暴力破解，支付接口的参数篡改，还有最近比较多的撞库攻击。”

“我们在认证接口上加了动态令牌验证，每次登录都会校验动态令牌和静态密码的组合，即使数据库泄露了密码散列值，攻击者也无法直接伪造登录态。”

赵圆圆转过来看着陈景，语气稍微沉了一点。

“第四层是我们自己最看重的一层，数据安全层。”

“所有用户的敏感数据，包括手机号，密码，支付记录，全部用sha-256加密散列后再用aes-256加密存储。”

“加密密钥不存数据库，存在单独的硬件加密模块里，每次读取都要经过权限校验，而且有完整的审计日志，谁在什么时间访问了哪条数据，全都能追溯。”

陈景轻轻点头，把这四层架构在心里从头到尾捋了一遍。