一、[材料型]问答题
试题一(共25分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某高校两个校区相距30公里,通过互联网相连。两校区网络相互独立,并采用两套认证系统,管理维护较繁琐。
现需要对校园网进行升级改造,将老校区网络作为一个子网通过线路A接入到新校区,与新校区有机融合到一起,实现统一的运营和管理。升级改造后校园网拓扑如图1-1所示。网络升级项目还包括对老校区网络两台核心交换机更新,设备订货配件如表1-1所示。
表1-1设备订货配件
1、【问题1】(6分)
图1-1中,线路A可以用裸光纤或光纤专线。请简要说明这两种配置的特点和利弊。
参考答案:
特点:裸光纤是运营商提供给企业和政府部分使用的,不提供数据处理等服务,整条光纤干线也不经过任何数据处理设备,两端由用户自行配置。计费方式按照距离计费。
专线针对任何用户都可以可开通,按照宽带计费,安全性好,QoS 可以得到保证。
解析:
在图1-1中,线路A可以选择裸光纤或光纤专线进行配置。裸光纤的特点是运营商直接提供给企业和政府使用,不提供数据处理等服务,并且整条光纤干线不会经过任何数据处理设备,两端由用户自行配置。计费方式通常是按照距离进行计费,这种配置方式的优势在于传输速度快、稳定性高,但由于需要经过用户自行配置,可能对技术实施有一定的要求。而光纤专线则是一种针对任何用户都可开通的配置方式,计费方式按照宽带进行计费,其安全性好,QoS(服务质量)可以得到保证,适用于需要高速、稳定、安全网络连接的应用场景。然而,相对于裸光纤,光纤专线的成本可能会稍高一些。
2、【问题2】(10分)
(1) 本案例中老校区核心交换机升级要考虑哪些因素?
(2)校园网拓扑图1-1规划了设备冗余,其实现技术分别有哪些?
参考答案:
(1)
1.可靠性 2.可扩展性 3.网络带宽 4.网络管理和监控 5.网络安全 6.用户接入和认证
(2)
使用两套设备,互为备份,可以使用MSTP+VRRP、堆叠、双机热备。
解析:
(1)对于老校区核心交换机的升级,需要考虑多个因素以确保网络的稳定运行和满足需求。首先,可靠性是最重要的因素,因为核心交换机是校园网络的核心,必须保证它的稳定运行。其次,随着技术的发展和需求的增长,需要考虑网络的可扩展性,以便能够应对未来的增长。此外,还需要考虑网络带宽、网络管理和监控、网络安全,以及用户接入和认证等因素。
(2)为了实现设备冗余以提高网络的可靠性和稳定性,可以采用多种技术。其中一种常见的方法是使用两套设备并互为备份。当主设备出现故障时,备份设备可以立即接管,保证网络的正常运行。此外,还可以采用MSTP+VRRP技术、堆叠技术和双机热备技术来实现设备冗余。这些技术都可以提高网络的可靠性和稳定性,确保网络在设备故障时仍能正常运行。
3、【问题3】(6分)
请根据表1-1设备订货备件回答问题。
(1) 在配件编号 2、3中配置的光纤模块 SFP+、SFP的速率分别是多少?
(2)在配件编号 4、5中配置A、B两块主控单元的目的是什么?
参考答案:
(1) 光纤模块 SFP+、SFP的速率分别是万兆和千兆。
(2)主控单元主要负责系统的控制和管理工作,配置双主控单元,热备份工作方式,提高系统的可靠性。
主控单元提供以下功能:
· 管理和维护功能(提供的管理接口来实现设备管理和维护等功能);
· 整个系统单板间的带外通信(集成了LAN Switch模块,为各单板提供板间的带外通信,完成CMU、SFU、LPU单板间的控制、维护和交换消息);
· 路由计算(所有路由协议报文的处理都由转发引擎送到主控板进行处理。负责路由报文的广播、过滤及从策略服务器下载路由策略等);
· 数据配置功能(系统配置数据、启动文件、升级软件、系统运行日志信息等均放在主控板上);
· 保存数据(主控板上提供嵌入式eUSB介质,作为存储设备用来保存数据文件)。
解析:
(1) 根据表1-1设备订货备件的信息,可以得知配件编号2、3中配置的光纤模块SFP+和SFP的速率分别为万兆和千兆。
(2) 配件编号4、5中配置A、B两块主控单元的目的是为了提高系统的可靠性。主控单元是设备中的核心部件,负责系统的控制和管理工作。通过配置双主控单元,并采用热备份工作方式,可以确保系统的高可用性。主控单元提供了多种功能,包括管理和维护功能、板间带外通信、路由计算、数据配置和保存数据等。这些功能对于设备的正常运行和性能至关重要,因此配置双主控单元是为了确保这些功能在设备中的稳定性和可靠性。
4、【问题4】(3分)
开级后的校园网实现统一运营和管理后,在技术层面上具备哪些功能?
参考答案:(1)采用统一认证,用户统一管理
(2)网络设备的统一管理维护
(3)提供统一的互联网出口
(4)信息资源的共享
(5)信息安全保障
解析:
升级改造后的校园网实现统一运营和管理后,在技术层面上具备的功能包括:(1)采用统一认证,用户统一管理;(2)网络设备的统一管理维护;(3)提供统一的互联网出口;(4)信息资源的共享;(5)信息安全保障。这些功能使得校园网管理更为便捷,提高了网络使用的效率和安全性。
试题二(共25分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某单位计划对园区网进行升级改造,为响应国家政策,要求相关业务支持 IPv6 访问。园区网出口包括:1Gbps电信IPv4、300Mbps移动 IPv4、500Mbps电信 IPv6。作为该单位网络管理员,结合单位需求进行了相关网络设计,拓扑如图2-1所示。
5、【问题1】(3分)
IPv6采用 (1) 位地址长度,在为终端分配IPv6地址时,动态分配方式包括 (2) 。
参考答案:(1)128 (2)无状态和 有状态分配
解析:
IPv6与IPv4最大的区别在于其地址长度不同,IPv6的地址长度为128位。IPv6的动态分配方式主要有两种:无状态分配和有状态分配。无状态分配是根据路由通告报文的prefix前缀信息自动配置IPv6地址;而有状态分配则是通过DHCPv6方式获得IPv6地址。
6、【问题2】(8分)
为保证园区内用户正常稳定访问互联网,同时充分考虑出口链路的冗余,请简要描述出口链路的配置要点。
参考答案:(1)负载均衡 (2)策略路由 (3)冗余网关 VRRP
解析:
为了保证园区内用户正常稳定访问互联网,同时考虑出口链路的冗余,出口链路的配置要点包括负载均衡、策略路由和网关冗余备份技术。负载均衡可以确保网络流量被均衡地分配到各个出口链路上,从而提高网络的整体性能和稳定性。策略路由可以根据网络流量、目的地IP等因素动态选择出口链路,以确保最佳的网络访问效果。而网关冗余备份技术(如VRRP)则可以在主网关出现故障时自动将流量切换到备份网关,从而保证网络的连续性和稳定性。在设置冗余网关时,需要设置优先级和备份网关,确保备份网关能够接管工作,从而保证网络的正常运行。
7、【问题3】(6分)
网络规划中要考虑常见网络攻击的防护,请简要描述二层网络中可能面临的攻击(至少三种)。
参考答案:(1) arp攻击 (2)MAC地址泛洪攻击 (3)生成树的BPDU攻击 (4) 广播风暴攻击
解析:
在二层网络中,常见的攻击包括ARP攻击、MAC地址泛洪攻击、生成树的BPDU攻击和广播风暴攻击。ARP攻击是通过欺骗网关ARP缓存的方式实现中间人攻击;MAC地址泛洪攻击是利用二层交换机的地址学习机制,通过大量非法MAC地址造成网络阻塞或瘫痪;生成树的BPDU攻击是通过伪造BPDU报文,影响生成树协议的正常运行,导致网络不稳定;广播风暴攻击是通过大量广播报文占据网络资源,导致网络拥塞。因此,网络规划中需要考虑这些常见网络攻击的防护策略。
8、【问题4】(8分)
按照规划采用双栈方式,实现单位web服务的IPV6升级改造。互联网用户可通过IPV6网络访问web服务的http/https业务。web服务域名为www.abc.gov.cn,分配的IPV6地址为:240C:C28F::1/32,请简要描述此次web服务升级改造的配置项目及涉及的内容。
参考答案:(1)配置同时支持IPv4和IPv6 域名解析
(2) 主机设置双栈协议地址
(3)配置SSL协议
解析:
按照规划采用双栈方式实现单位web服务的IPV6升级改造,涉及到的配置项目主要有三个方面。首先,需要配置域名解析系统,让域名www.abc.gov.cn能够同时支持IPv4和IPv6的访问。其次,需要在Web服务器和出口网络设备(如路由器或负载均衡器)上配置IPV6地址,并开启IPV4和IPV6双栈协议,确保网络设备能够处理IPV6协议栈。最后,由于要提供https业务,还需要配置SSL协议,并更新Web服务软件以确保支持IPV6访问。
试题三(共25分)
案例一
某单位网站受到攻击,首页被非法篡改。经安全专业机构调查,该网站有一个两年前被人非法上传的后门程序,本次攻击就是因为其他攻击者发现该后门程序并利用其实施非法篡改。
案例二
网站管理员某天打开本单位门户网站首页后,发现自动弹出所示图,手动关闭后每次刷新首页均会弹出。
9、【问题1】(4分)
安全人员管理是信息系统安全管理的重要组成部分,新员工入职时应与其签署 (1) 明确安全责任,与关键岗位人员应签署 (2) 明确岗位职责和责任;人员离职时,应终止离岗人员的所有 (3) 权限,办理离职手续,并承诺离职后 (4) 的义务。
参考答案:(1) 安全责任书(2) 岗位责任书 (3) 访问 (4)保密
解析:
在安全人员管理中,新员工入职时应签署安全责任书明确其安全责任,与关键岗位人员应签署岗位责任书明确其岗位职责和责任。当人员离职时,应终止其所有访问权限,办理离职手续,并承诺离职后履行保密义务。这是信息系统安全管理的基本要求和措施,有助于确保信息系统的安全性和稳定性。
10、【问题2】(4分)
1. 请分析案例一、信息系统存在的安全隐患和问题(至少回答2点)。
2. 针对案例一存在的安全隐患和问题,提出相应的整改措施(至少回答2点)。
参考答案:
1.(1)没有定期查杀病毒,木马
(2)没有相应的安全防护软件
2. (1)定期查杀病毒和木马程序
(2)安装防护软件或者防火墙
(3)定期进行系统漏洞扫描,加固系统
解析:
对于第一问,根据案例一描述,该单位信息系统存在后门程序,这是明显的一个安全隐患。另外,由于网站受到攻击并成功篡改首页,说明该单位信息系统的安全防护存在明显的问题,可能是缺乏定期的安全检测、风险评估和漏洞修复等措施。
对于第二问,针对案例一存在的安全隐患和问题,首先需要进行全面的安全审计和漏洞扫描,及时发现并修补存在的安全漏洞。其次,应该安装和更新网络安全防护设备,如防火墙、入侵检测系统等,以提高网络安全防护能力。最后,加强员工的安全意识培训,提高整个单位对网络安全的认识和应对能力,确保在发生类似事件时能够迅速响应和处置。
11、【问题3】(7分)
1. 请分析案例二中门户网站存在有什么漏洞?
2. 针对案例二中存在的漏洞,在软件编码方面应如何修复问题?
参考答案:
1. 跨站脚本攻击或者网站首页被篡改,加入了弹窗代码
2. (1)删除首页中的弹窗脚本命令
(2) 禁止使用iframe
(3)对于网页中有上传功能的代码严格审查,避免上传恶意代码 (4)规范安全配置
解析:
对于案例二中的问题,首先,从题目描述中可以知道,网站首页自动弹出弹窗,这很可能是跨站脚本攻击(XSS攻击)的一种表现,或者是网站首页被非法篡改,加入了弹窗代码。针对这种漏洞,修复措施需要从软件编码方面进行。首先,应该删除首页中的弹窗脚本命令,这是最直接的方式。其次,应该禁止使用iframe,因为iframe常被用于执行跨站脚本攻击。再者,对于网页中的上传功能,应该严格审查上传的代码,避免被攻击者上传恶意代码并利用这些代码进行攻击。最后,规范安全配置也是非常重要的,包括设置合理的权限、定期更新和打补丁等。
12、【问题4】(10分)
该数据中心按照等级保护第三级要求,应从哪些方面考虑安全物理环境规划?(至少回答五点)
参考答案:(1)物理位置的选择 (2)物理访问控制 (3)防雷 (4)防盗、 防破坏 (5)防火 (6)防水 (7)防静电
解析:
对于等级保护第三级要求的数据中心,在考虑安全物理环境规划时,需要从以下几个方面进行考虑:
- 物理位置的选择:数据中心的地理位置应选择安全、可靠、远离潜在危险源的区域,避免自然灾害和人为破坏的影响。
- 物理访问控制:实施严格的门禁系统,控制进入数据中心的人员,确保只有授权人员能够访问设施和设备。
- 防雷:采取防雷措施,如安装避雷针、避雷网等,以保护数据中心免受雷击造成的设备损坏和数据损失。
- 防盗、防破坏:数据中心应安装报警系统和监控摄像头,建立安全巡逻制度,以防止盗窃和破坏行为。
- 防火:数据中心应设置消防设施,如火灾自动报警系统、灭火系统等,以应对潜在的火灾风险。
以上五点都是等级保护第三级要求的数据中心在安全物理环境规划方面需要考虑的重要因素。此外,防水和防静电也是需要考虑的方面。因此,该题目的答案应包括提到的七点内容。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
