公司产品的安全检测，这次领导不知道咋安排的，居然派我一个测试人员过去。没有商务，没有网络工程师，更没有开发人员，如果人家问我数据流的过程，我该怎么回答哦？

　　看来还是多看资料吧，我赶紧把公司需要检测的四个产品资料都弄到电脑里，一有时间就看，会的就不记录了，不会的，使用各种工具，把流程图画出来，然后发给公司的人员，让他们确认。

　　还好，检测提前完成，我躺在宾馆的床上，把出差近一个月来的事情仔细的都想了一遍。各个产品的环境搭建，基本没碰到大问题，碰到的问题，上网找资料基本都解决了，唯一麻烦的一件事情，就是oracle数据库安装在linux操作系统上，通过终端导入数据都乱码了。这个事情闹了半天，最终是因为linux需要修改一个系统配置文件，OK了。

　　忽然想起来，我在平时测试中忽略的一个问题，安全测试。

　　我又找人四处问，朋友们都崩溃了，上网也找了很多的资料，现将一些想法写出来，抛砖引玉吧，希望各位达人多提供给我一些解决方案哦。

　　大家都知道，目前操作系统存在的各种漏洞，使得网络攻击者能够利用这些漏洞，通过TCP/UDP端口对客户端和服务器进行攻击，非法获取各种重要数据，给用户带来了极大的损失，因此，网络安全就成为测试的一个必要步骤。

　　其次，如果网络不安全了，我们的产品又如何保证数据的安全呢？系统之间的通信安全，系统代码的是否暴露等。

　　首先我们来看网络安全的几个特征：

　　网络安全应具有以下五个方面的特征：

　　保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性

　　完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性

　　可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击

　　可控性：对信息的传播及内容具有控制能力

　　可审查性：出现的安全问题时提供依据与手段

　　1 产品安全

　　1.1 通信之间信息的安全

　　这个是我们测试人员需要做的，我们有很多种方法，而且，必须通过各种手段，才能保证信息的安全。

　　1.1.1 信道安全

　　使用网络截包工具（这些工具网上很多，在上海的公安局检测中心，我们用的是一个叫sniffer show的工具，但是上网没找到。不过有sniffer，这个就很够用了）

　　使用sniffer，安装在主机上，以root用户运行，就能很轻松的获取它和其他机器的通讯数据。然后查看数据详情，就可以清晰的看到常用的一些TAG，很容易看明白，哪些是账号，哪些是密码，其他数据又是什么等等。

　　如果数据没有加密，你会很容易的知道用户名，密码，这样就很不安全了。我忽然想起来我玩游戏的账号是怎么丢的了，是不是也是这样呢？

　　这种情况，最容易解决的方案，就是使用https协议，我在上海的时候配过tomcat的https协议，不难，配置好了，CA与RA的两个tomcat之间通讯数据就加密了。我们同样可以使用这种方法解决其他类似的问题。不过服务器之间的https配置特别麻烦，现在还没弄明白。