|
9#
楼主 |
发表于 2008-4-7 19:53:50
|
只看该作者
原帖由 handongmei 于 2008-4-7 18:10 发表
在这谢谢你对我杀毒软件方面的解答,再想问个问题网络通信协议都有哪些?除了TCP/IP外, 保障网络安全的方法都有哪些,除了数据加密及计算机硬件和计算机设置方面以及杀毒软件外的方法哦,这个我不太懂!
你问通讯协议都有哪些,我也不知道怎么答,这里面包含的东西很多,我了解的很少。
但可以这样告诉你一个更加实在的答案:
先不要理会除了TCP/IP还有哪些(你看像我也不很清楚,一样干得很好)!
通讯协议这个东东是这样的:一些人发明了能把多个系统连接起来的线路,成了网络的基础,但是发现光是这样用起来并不很爽,于是又设计了一些奇妙的规则,演变成了各种通讯协议。
那么实际的线路可能有不同,但是其中应用的各种设计思想是共通的,举几个例子:
TCP依靠【接收确认】和【重传】来保障可靠性,部分基于UDP的私有协议或应用层协议也会这么设计;
逻辑通道思想,用在TCP和UDP上,大家都叫它“端口”,而也有许多应用层协议,也进行了应用层内的端口封装;
TCP的发送接收窗口机制,也被一些协议所模仿;
这就像软件开发技巧一样,某个高人创造了一种实现思路,很好很通用,那么很多人都会借鉴到自己的代码中去;更何况两个不同的通讯协议想要解决的问题的差别,其实远没有两个软件的需求差别大;
我想告诉你的是,目前你尚且没有进入某个特定的领域,那么只需要学习TCP/IP就可以了,在这个过程中你得到的收获能够使你在以后接触一个全新的协议时很快速地理解它。但是要有耐心,TCP/IP作为一个框架,容纳的内容很多,读完TCP/IP详解一两遍,可能觉得已经理解了,其实只是建立了个概念而已,真正的细节需要你在一个实际的网络中(最好是你的工作中)去慢慢地理解(每次都有新惊喜哦)。对于暂时不需要懂的,可以先放一放(我目前对于各种路由协议就都还不是很了解,需要时再查就OK了)。
网络安全涉及的层面很多,从我的经验可以分为:【网络】、【业务】、【应用】、【主机】、【管理】 这几个方面;
你说的数据加密可以认为是【网络】层面;硬件和设置及杀毒软件(还有打补丁,组策略等等)是【主机】层面;防火墙(独立的,不是天网那类)是【网络】层面和【业务】层面的配合;
其中对于软件测试人员,最需要关注的是业务层面:
【业务】指的有两方面:一个是业务本身所对外提供的服务的安全性;二是业务被熟悉【流程】者有意设计进行针对性攻破的角度;
【应用】指的是作为一个独立部署的软件,从消息接口角度进行异常情况的攻破,但通常不会过于考虑此类异常,而是尽量用防火墙或者主机访问控制来规避;
当然,由于我经历过的项目都是通讯业务类,所以看法可能不能完全适合所有的软件产品形态,因为大部分通讯业务类的应用及部件都是不对最终用户暴露的,因此可以采取“从严”的部署策略和安全策略去设计其组网,从设计的源头上放弃考虑过多的安全因素(当然节约人力投入成本是根因,如果人力够那安全性当然是要做足100分)。
希望以上的东西能够帮到你。你说你没有测试的工作经验,也别太急,看点基础的书,像TCP/IP详解 卷1,以及GOOGLE一些防火墙的文章,是一个比较好的入门手段。 |
|