一、 計算機(jī)網(wǎng)絡(luò)核心要點
計算機(jī)網(wǎng)絡(luò)是軟件設(shè)計師考試的重要基礎(chǔ),常考內(nèi)容集中于以下層面:
1. 網(wǎng)絡(luò)體系結(jié)構(gòu)與協(xié)議
OSI/RM七層模型與TCP/IP四層模型:重點掌握各層功能、典型協(xié)議與設(shè)備(如物理層-中繼器、數(shù)據(jù)鏈路層-交換機(jī)、網(wǎng)絡(luò)層-路由器、傳輸層-可靠與不可靠傳輸)。
TCP與UDP協(xié)議:TCP的三次握手/四次揮手、滑動窗口、流量控制、擁塞控制;UDP的無連接、高效特性及適用場景(如音視頻流、DNS查詢)。
IP地址與子網(wǎng)劃分:IPv4地址分類(A、B、C類)、子網(wǎng)掩碼計算、CIDR無類別編址、網(wǎng)絡(luò)地址/廣播地址計算。
路由協(xié)議:靜態(tài)路由與動態(tài)路由(RIP、OSPF)的基本概念。
* 應(yīng)用層協(xié)議:HTTP/HTTPS、FTP、SMTP/POP3、DNS的工作原理與端口號。
2. 網(wǎng)絡(luò)設(shè)備與拓?fù)?/strong>
交換機(jī)(數(shù)據(jù)鏈路層)、路由器(網(wǎng)絡(luò)層)的核心功能區(qū)別。
常見網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(星型、總線型、環(huán)型、網(wǎng)狀)的優(yōu)缺點。
二、 網(wǎng)絡(luò)安全核心要點
網(wǎng)絡(luò)安全是軟件設(shè)計中必須融入的考量因素,考試重點如下:
1. 安全目標(biāo)(CIA三元組)
機(jī)密性:防止信息泄露給未授權(quán)實體。
完整性:防止信息被未授權(quán)篡改。
* 可用性:確保授權(quán)用戶能及時訪問信息和資源。
2. 常見攻擊與防護(hù)技術(shù)
主動攻擊:如拒絕服務(wù)(DoS/DDoS)、中間人攻擊(MITM)、重放攻擊、SQL注入、跨站腳本(XSS)。
被動攻擊:如網(wǎng)絡(luò)竊聽、流量分析。
防護(hù)技術(shù):
加密技術(shù):對稱加密(AES、DES)與非對稱加密(RSA)的原理與用途;數(shù)字簽名與數(shù)字證書流程。
- 防火墻:包過濾、狀態(tài)檢測、應(yīng)用代理網(wǎng)關(guān)。
- 入侵檢測系統(tǒng)(IDS):基于特征與基于異常的檢測。
- 虛擬專用網(wǎng)(VPN):IPSec、SSL VPN。
3. 安全協(xié)議
網(wǎng)絡(luò)層:IPSec(AH、ESP協(xié)議)。
傳輸層:SSL/TLS(用于HTTPS)。
* 應(yīng)用層:PGP(電子郵件安全)、S-HTTP。
三、 信息安全軟件開發(fā)實踐要點
作為軟件設(shè)計師,需將安全理念融入軟件開發(fā)生命周期(SDLC)。
1. 安全設(shè)計原則
最小權(quán)限原則:用戶和進(jìn)程只擁有完成其任務(wù)所必需的最小權(quán)限。
縱深防御:在多個層次部署安全措施。
失效安全:系統(tǒng)故障時應(yīng)處于安全狀態(tài)。
權(quán)限分離:關(guān)鍵操作需多重條件或權(quán)限。
* 不信任原則:對所有外部輸入進(jìn)行驗證和過濾。
2. 開發(fā)安全編碼實踐
輸入驗證與輸出編碼:對所有用戶輸入進(jìn)行嚴(yán)格的長度、類型、范圍、格式檢查;在輸出到不同上下文(HTML、SQL、OS命令)時進(jìn)行編碼,防止注入攻擊。
身份認(rèn)證與會話管理:使用強(qiáng)密碼策略、多因素認(rèn)證;安全的會話令牌生成、傳輸與失效機(jī)制(防會話固定、劫持)。
安全的數(shù)據(jù)處理:敏感數(shù)據(jù)(密碼、密鑰)在存儲時需加鹽哈希或加密;通信中使用TLS;避免內(nèi)存中敏感信息殘留。
訪問控制:在服務(wù)端實施基于角色/屬性的訪問控制(RBAC/ABAC),前端驗證非安全屏障。
錯誤與日志處理:向用戶返回通用的錯誤信息,避免泄露系統(tǒng)細(xì)節(jié);記錄安全相關(guān)日志以供審計,注意日志中不記錄敏感數(shù)據(jù)。
依賴組件安全:定期更新第三方庫/框架,關(guān)注其安全公告。
3. 安全測試與維護(hù)
滲透測試與漏洞掃描:定期進(jìn)行,模擬攻擊以發(fā)現(xiàn)漏洞。
代碼審計:人工或使用自動化工具(SAST)檢查代碼安全問題。
* 安全更新與應(yīng)急響應(yīng):建立補(bǔ)丁管理流程和安全事件響應(yīng)計劃。
四、 考試綜合提示
- 理論與場景結(jié)合:考試常以具體場景(如企業(yè)網(wǎng)絡(luò)架構(gòu)、Web應(yīng)用功能)考查對網(wǎng)絡(luò)配置、協(xié)議選擇、安全威脅識別及防護(hù)方案制定的能力。
- 關(guān)注新技術(shù):了解IPv6特性、云計算(IaaS/PaaS/SaaS)安全責(zé)任共擔(dān)模型、物聯(lián)網(wǎng)安全挑戰(zhàn)等前沿知識。
- 計算題準(zhǔn)備:熟練掌握子網(wǎng)劃分、可靠傳輸效率等計算。
****:軟件設(shè)計師需構(gòu)建從底層網(wǎng)絡(luò)通信到上層應(yīng)用安全的整體知識體系,并將“安全左移”思想貫穿于需求分析、設(shè)計、編碼、測試、部署、運(yùn)維的全過程,方能開發(fā)出健壯、可信的軟件系統(tǒng)。