一、[材料型]问答题
试题一(25分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某园区组网图如图1-1所示。该网络中接入交换机利用QinQ技术实现二层隔离,根据不同位置用户信息打外层VLAN标记,可以有效避免广播风暴,实现用户到网关流量的统一管理。同时,在网络中部署集群交换机系统CSS及 Eth-trunk,提高网络的可靠性。
1、【问题1】(8分)
请简要分析该网络接入层的组网特点(优点及缺点各回答2点)。
参考答案:
优点:QinQ使得各部门可以任意规划自己的VLAN、有效避免广播风暴、更容易实现统一管理、能够提供丰富的业务特性和更加灵活的组网能力。
缺点:接入层交换机的可靠性不足、成本上升。
解析:
该网络接入层使用了QinQ技术,通过对数据帧进行双重VLAN标记,实现了二层的隔离。这种技术使得各个部门可以自由地规划自己的VLAN,为网络提供了丰富的业务特性和更灵活的组网能力。同时,QinQ技术还能有效地避免广播风暴,便于用户到网关流量的统一管理。然而,接入层交换机的可靠性问题仍然存在,可能会降低整个网络的可靠性。另外,由于使用了QinQ技术,成本也会有所上升。
2、【问题2】(6分)
当该园区网用户接入点增加,用户覆盖范围扩大,同时要求提高网络可靠性时,某网络工程师拟采用环网接入+虚拟网关的组网方式
(1)如何调整交换机的连接方式组建环网?
(2)在接入环网中如何避免出现网络广播风暴?
(3)简要回答如何设置虚拟网关。
参考答案:
调整树形结构为环形、星型的混合结构;
采用STP或MSTP进行防环处理;
配置核心交换机为VRRP(因为图中所示核心具有三层转发能力);
解析:
(1)为了组建环网,需要将现有的星型结构进行调整。可以将其部分或全部调整为环形结构,形成环形和星型的混合结构,以便实现环网接入。
(2)在环网中,由于存在环路,可能会出现网络广播风暴。为了避免这个问题,可以使用生成树协议(STP)或多生成树协议(MSTP)进行防环处理,从而避免广播风暴的发生。
(3)要设置虚拟网关,需要在网络中选用支持VRRP协议的设备,并在该设备上启用虚拟网关功能。在本题中,可以在核心交换机上设置VRRP组,通过配置合理的虚拟网关,实现用户到网关流量的统一管理,从而提高网络的可靠性。
3、【问题3】(6分)
该网络通过核心层进行认证计费,可采用的认证方式有哪些?
参考答案:可采用的认证方式有802.1X,MAC认证,Portal认证。
解析:
根据参照解析,网络通过核心层进行认证和计费,通常可以采用的方式有PPPOE、802.1X、MAC认证、WEB Portal认证等。其中,802.1X、MAC认证和Portal认证都是常见的认证方式。802.1X是一种基于端口的认证方式,需要在客户端安装相应的认证程序并输入用户名和密码进行验证;MAC认证则是通过允许或拒绝基于MAC地址的访问来控制网络访问;而Portal认证则是一种Web化的认证方式,用户访问网络时会被引导到一个认证页面,完成认证后才能访问网络。因此,该网络可以通过采用这些认证方式来进行认证和计费。
4、【问题4】(5分)
(1)该网络中,出口路由器的主要作用有哪些?
(2)应添加什么设备加强内外网络边界安全防范?放置在什么位置?
参考答案:(1)路由选择、NAT、ACL等
(2)增加防火墙,放在路由器与核心之间。
解析:
(1)在该网络中,出口路由器的主要作用包括路由选择、NAT和ACL。路由选择是指路由器根据网络拓扑和路由表选择最佳路径,将数据包转发到目标地址。NAT(网络地址转换)是出口路由器的一个重要功能,用于将私有地址转换为公共地址,以便内网用户能够访问互联网。ACL(访问控制列表)则用于实施网络访问控制策略,限制网络流量和访问权限,增强网络安全。
(2)为了加强内外网络边界的安全防范,应该添加防火墙设备。防火墙能够监控和过滤网络流量,阻止未经授权的网络访问,从而保护网络的安全。在该网络中,防火墙应放置在出口路由器与核心交换机之间,以监控和保护内外网络之间的通信。
试题二(25分)
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内
【说明】
图2-1为某数据中心分布式存储系统网络架构拓扑图,每个分布式节点均配置1块双端口10GE光口网卡和1块1GE电口网卡,SW3是存储系统管理网络的接入交换机,交换机SW1和SW2连接各分布式节点和SW3交换机,用户通过交换机SW4接入访问分布式存储系统。
5、【问题1】(10分)
图2-1中,通过(1)技术将交换机SW1和SW2连接起来,从逻辑上组合成一台交换机,提高网络稳定性和交换机背板带宽;分布式节点上的2个10GE口采用(2)技术,可以实行存储节点和交换机之间的链路冗余和流量负载;交换机SW1与分布式节点连接介质应采用(3),SW3应选用端口速率至少为(4)bps的交换机,SW4应选用端口速率至少为(5)bps的交换机。
参考答案:(1)堆叠
(2)链路聚合
(3)多模光纤
(4)1G
(5)10G
解析:
从题干中我们可以了解到,关于图2-1网络架构的相关技术问题。
(1)为了将交换机SW1和SW2从逻辑上组合成一台交换机,提高网络稳定性和交换机背板带宽,需要通过堆叠技术来实现。
(2)在分布式节点上,2个10GE口采用链路聚合技术,可以实现存储节点和交换机之间的链路冗余和流量负载。
(3)交换机SW1与分布式节点连接,由于题目中提到每个分布式节点均配置1块双端口10GE光口网卡,所以交换机SW1与分布式节点连接介质应采用多模光纤。
(4)SW3是存储系统管理网络的接入交换机,连接存储节点和管理网络,因此其端口速率至少需达到存储节点管理接口的速率,即1Gbps。
(5)SW4是用户接入的交换机,一端连接用户,另一端连接SW1和SW2,为了保证用户能够以较快的速度接入到分布式存储节点,其端口速率至少应达到10Gbps。
6、【问题2】(9分)
分布式存储系统采用什么技术实现数据冗余?
分布式系统既要性能高,又要在考虑成本的情况下采用了廉价大容量磁盘,请说明如何配置磁盘较为合理?并说明配置的每种类型磁盘的用途。
常见的分布式存储架构有无中心节点架构和有中心节点架构,HDFS(Hadoop Distribution File System)分布式文件系统属于(6)架构,该文件系统由一个(7)节点和若干个 DataNode组成。
参考答案:
1、副本策略、纠删码
2、配置SSD+HDD混合式存储,由一级RAM、二级SSD、三级大容量磁盘的磁盘结构。RAM用于缓存数据,RAM将需要写入磁盘的数据先快速存入SSD,由于不用寻到,所以速度很快,SSD承担二级缓存的作用,磁盘驱动器再从SSD中数据写入磁盘。有效避免数据直接写入时I/O过程中廉价磁盘的寻道延时。
3、(6) 有中心节点 (7)NameNode
解析:
对于问题1,分布式存储系统实现数据冗余通常采用副本策略和纠删码技术。副本策略是简单而常见的数据冗余方式,通过在系统中保存数据的多个副本来确保数据的安全性。纠删码则是一种编码技术,通过增加一定数量的校验数据来提高数据冗余性和可靠性。
对于问题2,为了平衡性能和成本,在分布式系统中通常采用SSD+HDD的混合式存储配置。RAM用于缓存数据,提高读写速度。SSD作为二级缓存,可以快速响应磁盘读写请求,提高整体性能。而HDD则用于持久化存储大量数据,以降低成本。这种配置方式结合了高速存储和大容量存储的优势,既保证了性能又考虑了成本。
对于问题3,HDFS分布式文件系统属于有中心节点架构。其中,NameNode是中心节点,负责管理文件系统的元数据,而DataNode则负责存储实际的数据块。这种架构有利于数据的集中管理和维护。
7、【问题3】(6分)
随着数据中心规模的不断扩大和能耗不断提升,建设绿色数据中心是构建新一代信息基础设施的重要任务,请简要说明在数据中心设计时可以采取哪些措施可以降低数据中心用电耗?(至少回答3点措施)
参考答案:优化冷却系统(水冷代替风冷)、利用外部冷源、采用虚拟化等技术减少物理主机、采用低能耗CPU等硬件产品、重组数据中心、减少不必要设备的应用、健全用电制度和强化用电管理。
解析:
随着数据中心规模的不断扩大和能耗不断提升,降低数据中心用电耗非常重要。在数据中心设计时,可以采取以下措施来降低用电耗:
- 优化冷却系统,采用水冷代替风冷,以提高冷却效率并降低能耗。
- 利用外部冷源,如自然风、水等,既环保又经济,可有效降低冷却系统的能耗。
- 采用虚拟化技术,通过灵活调整系统所需计算资源,减少物理主机的数量,从而降低能耗。
- 选择使用低能耗的硬件产品,从源头上减少能耗。
- 重组数据中心,优化布局,减少不必要设备的应用,避免能源浪费。
- 建立健全的用电制度,强化用电管理,确保能源的合理利用。
以上措施可以有效降低数据中心的用电耗,助力建设绿色数据中心。
试题三(25分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
案例一
安全测评工程师小张对某单位的信息系统进行安全渗透测试时,首先获取A系统部署的WebServer版本信息,然后利用A系统的软件中间件漏洞,发现可以远程在A系统服务器上执行命令。小张控制A服务器后,尝试并成功修改网页。通过向服务器区域横向扫描,发现B和C服务器的root密码均为123456,利用该密码成功登录到服务器并获取root权限。
案例二
网络管理员小王在巡查时,发现网站访问日志中有多条非正常记录。
其中,日志1访问记录为:
www.xx.com/param=1'and updatexml(1, concat(0x7e, (SELECT MD5(1234),0x7e), 1)
日志2访问记录为
www.xx.com/js/url.
小王立即采取措施,加强Web安全防范。
案例三
某信息系统在2018年上线时,在公安机关备案为等级保护第三级,单位主管认为系统已经定级,此后无须再做等保安全评测。
8、【问题1】(6分)
信息安全管理机构是行使单位信息安全管理职能的重要机构,各个单位应设立(1)领导小组,作为本单位信息安全工作的最高领导决策机构。设立信息安全管理岗位并明确职责,至少应包含安全主管和“三员”岗位,其中“三员”岗位中:(2)岗位职责包括信息系统安全监督和网络安全管理,沟通、协调和组织处信息安全事件等;系统管理员岗位职责包括网络安全设备和服务器的配置、部署、运行维护和日常管理等工作;(3)岗位职责包括对安全、网络、系统、应用、数据库等管理人员的操作行为进行审计,监督信息安全制度执行情况。
参考答案:
(1)信息安全(2)安全保密员(3)安全审计员
解析:
本题考查信息安全管理机构的相关知识和职责。
(1)根据题干,信息安全管理机构是行使单位信息安全管理职能的重要机构,应设立信息安全领导小组,作为本单位信息安全工作的最高领导决策机构。因此,答案为“信息安全领导小组”。
(2)在“三员”岗位中,安全保密员的岗位职责包括信息系统安全监督和网络安全管理,以及沟通、协调和组织处理信息安全事件。因此,答案为“安全保密员”。
(3)安全审计员的岗位职责是监督和审计安全、网络、系统、应用、数据库等管理人员的操作行为,确保信息安全制度的执行情况。因此,答案为“安全审计员”。
9、【问题2】(9分)
1.请分析案例一信息系统存在的安全隐患和问题(至少回答5点);
2.针对案例一存在的安全隐患和问题,提出相应的整改措施(至少回答4点)
参考答案:
WebServer的版本信息没有屏蔽;中间件系统没有定时升级;没有部署漏洞扫描设备;弱口令;没有禁止root用户远程登录;没有部署WAF安全设备导致网页被随意修改。
屏蔽WebServer的版本信息;定时升级中间件系统;部署漏洞扫描、入侵检测、WAF等安全设备;使用强口令,并要求定期更新口令;禁止root用户远程登录。
解析:
第一问主要基于案例一中的描述,分析了信息系统存在的安全隐患和问题。包括未屏蔽的WebServer版本信息、未升级的中间件系统、缺少漏洞扫描设备、弱口令问题、未禁止root用户远程登录以及未部署WAF安全设备等。这些都是信息系统常见的安全隐患,容易被攻击者利用。
第二问针对上述安全隐患和问题,提出了相应的整改措施。包括屏蔽WebServer版本信息、定时升级中间件系统、部署安全设备、使用强口令、禁止root用户远程登录以及加强Web安全防范等。这些都是针对信息系统安全的有效措施,可以帮助提高系统的安全性。
10、【问题3】(6分)
1.案例二中,日志1所示访问记录是(4)攻击,日志2所示访问记录是(5)攻击
2.案例二中,小王应采取哪些措施加强web安全防范?
参考答案:SQL注入 (5)跨站攻击
加强服务器配置与设置,部署WAF安全设备。
解析:
- 根据案例二中的日志1所示访问记录,其中的SQL语句结构明显是一种SQL注入攻击。SQL注入攻击是通过在Web表单提交的查询中注入恶意SQL代码,从而达到非法获取数据或者破坏数据库的目的。而日志2所示访问记录中的“www.xx.com/js/url”可能是一种跨站攻击(XSS)的尝试,跨站攻击是通过在合法的网站中注入恶意脚本,利用用户的浏览器执行恶意代码。
- 针对Web安全防范,小王应采取的措施包括加强服务器配置与设置,例如关闭不必要的端口和服务、限制访问权限、设置防火墙等。此外,部署WAF(Web应用防火墙)安全设备也是非常重要的措施,WAF可以过滤和阻止SQL注入、跨站攻击等常见的Web应用层攻击。
11、【问题4】(4分)
案例三中,单位主管的做法明显不符合网络安全等级保护制度要求,请问,该信息系统应该至少(6)年进行一次等保安全评测,该信息系统的网络日志至少应保存(7)个月。
参考答案:至少1年一次,网络日志保存6个月。
解析:
根据网络安全等级保护制度的要求,对于等级保护第三级的系统,应该至少每年进行一次等保安全评测。同时,为了保障网络安全和方便后续的审计与调查,网络日志的保存也是非常重要的,通常要求至少保存六个月。因此,该单位主管的做法明显不符合网络安全等级保护制度要求,需要按照规定的频率和时间进行等保安全评测,并妥善保存网络日志。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
