没有万无一失，只有见招拆招

安全是从操作系统开始到开发人员，管理人员个人素养全方位的命题

操作系统：关注业界新闻，及时打补丁。正确配置，权限最小化，强密码定期更换
数据库/web server：及时打补丁。正确配置，权限最小化，强密码定期更换
应用逻辑：科学的hash，收拢的鉴权服务，最小知识原则，XSS和各种协议劫持的防止，频率限制，恶意行为和异常流量监测
传输协议：https、证书等
开发人员：不要把密码存在文件里，更不要上传到github（别笑），不要记住密码，不要统一密码，不要把密码写在邮件里，不要把密码写在笔记服务里
开发人员/管理人员：个人信息安全，不要被乱点文件，不要乱装软件。社工知识，不要相信同事在邮件和IM上和你说让你传一些敏感信息给他，或者他传东西让你点开（不用windows是个更好的选择）。如果和360没有合作关系就不要装360。

还有如果公司用WIFI，不要广播SSID。不要用带着办公VPN、邮箱、IM等任何工作有关的账户的电脑连接其他免费WIFI，星巴克WIFI等WIFI热点

好累，简直列不完，就先告一段落吧