2018年下半年软件水平考试(高级)网络规划设计师下午(案例分析)真题试卷
试题三
阅读下列说明,回答问题,将解答填入答题纸的对应栏内。
【说明】
图3-1为某公司拟建数据中心的简要拓扑图,该数据中心安全规划设计要求符合信息安全等级保护(三级)相关要求。
1.a.在信息安全规划和设计时,一般通过划分安全域实现业务的正常运行和安全的有效保障,结合该公司实际情况,数据中心应该合理地划分为________________、________________、________________三个安全域。
b.为了实现不同区域的边界防范和隔离,在图3-1的设备①处应部署________________设备,通过基于HTTP/HTTPS的安全策略进行网站等Web应用防护,对攻击进行检测和阻断;在设备②处应部署________________设备,通过有效的访问控制策略,对数据库区域进行安全防护;在设备③处应部署________________设备,定期对数据中心内服务器等关键设备进行扫描,及时发现安全漏洞和威胁,可供修复和完善。
应用业务安全域
数据库安全域
安全运维管理安全域 (注:前三项不分先后顺序)
Web防火墙/Web应用防火墙
防火墙
漏洞扫描/漏洞扫描系统
解析:本题考查安全规划、信息安全管理的相关知识及应用。
此类题目要求考生熟悉常用安全防护设备的作用和部署方式,具备常见网络攻击的识别和防范能力,掌握信息安全管理的相关内容,要求考生具有信息系统安全规划、信息安全管理、防范网络攻击的实际经验。
1.从图3-1中可知,该公司已经在网络拓扑设计中,按照业务类型和安全级别分为安全运维管理、应用业务、数据库三个区域,因此在安全域划分时,划分为安全运维管理安全域、应用业务安全域、数据库安全域较为合理。
2.一般在业务服务器前(即设备①处)串接部署Web防火墙(WAF),通过基于HTTP/HTTPS的安全策略进行网站等Web应用防护,对SOL注入、跨站脚本等攻击进行检测和阻断。在设备②处部署防火墙,对区域边界进行隔离,通过有效的访问控制策略,对数据库区域进行安全防护。在设备③处应部署漏洞扫描设备,定期对数据中心内服务器等关键设备进行扫描,及时发现安全漏洞和威胁,可供修复和完善。
2.信息安全管理一般从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面进行安全管理规划和建设。其中应急预案制定和演练、安全事件处理属于________________方面:人员录用、安全教育和培训属于________________方面;制定信息安全方针与策略和日常操作规程属于________________方面;设立信息安全工作领导小组,明确安全管理职能部门的职责和分工属于________________方面。
系统运维管理
人员安全管理
安全管理制度
安全管理机构
解析:安全管理制度方面包括:制定信息安全工作的总体方针和安全策略,建立各类安全管理制度,对管理人员或操作人员执行的日常管理操作建立操作规程,并对制度修订评审,形成全面的信息安全管理制度体系。
安全管理机构方面包括:成立指导和管理信息安全工作的委员会或领导小组,设立信息安全管理工作的职能部门,明确各安全管理岗位职责,以及相关的授权审批、沟通合作、审核检查等内容。
人员安全管理方面包括:规范人员录用和离岗,签署保密协议和岗位安全协议,定期进行安全意识教育、岗位技能培训和相关安全技术培训,并进行安全技能及安全认知的考核等人月安全管理内容。
系统建设管理方面包括:明确信息系统的边界和安全保护等级,采取相应的安全措施,并依据风险分析的结果补充和调整安全措施,产品采购和软件开发需符合国家相关规定等内容。
系统运维管理方面包括:定期对机房供配电、空调、温湿度控制等设施进行维护管理,编制资产清单,对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测,做好数据备份,明确安全事件处理流程,编制应急预案并定期演练等内容。
因此,应急预案制定和演练、安全事件处理属于系统运维管理方面;人员录用、安全教育和培训属于人员安全管理方面;制定信息安全方针与策略和日常操作规程属于安全管理制度方面;设立信息安全工作领导小组,明确安全管理职能部门的职责和分工属于安全管理机构方面。
3.随着DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的技术门槛越来越低,使其成为网络安全中最常见、最难防御的攻击之一,其主要目的是让攻击目标无法提供正常服务。请列举常用的DDoS攻击防范方法。
1.修改系统和软件配置进行防范。
2.购置抗DDoS防火墙等专用设备进行DDoS攻击流量清洗。
3.购买第三方服务进行DDoS攻击流量清洗。
解析:DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是对传统DoS攻击的发展,攻击者首先侵入并控制一些计算机,然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。主要企图是借助于网络系统或网络协议的缺陷和配置漏洞进行网络攻击,使网络拥塞、系统资源耗尽或者系统应用死锁,妨碍目标主机和网络系统对正常用户服务请求的及时响应,造成服务的性能受损甚至导致服务中断。
常用防范措施包括但不限于:
1.修改系统和软件配置,设置系统的最大连接数、TCP连接最大时长等配置,拒绝非法连接,修复系统和软件漏洞。
2.购置抗DDoS防火墙等专用设备,通过对数据包的特征识别、端口监视、流量信息监控等手段,阻断非法链接或者引流至沙箱,进行DDoS攻击流量清洗。
3.购买第三方服务进行DDoS攻击流量清洗,目前,国内部分电信运营商、安全厂家、云服务商均提供DDoS攻击流量清洗服务,一般都是按照清洗流量多少进行收费。
由于DDoS攻击隐蔽性强、攻击成本低廉等特性,使得完全消除DDoS攻击较难,只能尽可能减小DDoS攻击带来的影响。
4.随着计算机相关技术的快速发展,简要说明未来十年网络安全的主要应用方向。
1.大数据安全:大数据的广泛应用在个性化服务和辅助决策等方面带来便捷的同时,也会带来新的安全问题,如用户隐私被侵犯、信息泄露等。
2.移动智能终端安全:移动智能终端的快速增长和普及,与人们的日常生活已紧密关联,而安全风险也随之而来。
3.互联网舆情监管:互联网用户的快速增长使得舆情监管日益凸显,网络舆情越来越多地反映人们的价值观,同时也影响着人们的价值观取向。
4.物联网安全:网络和物理世界的融合即“物联网”的兴起和发展,会导致更加严重的网络安全问题。
5.云安全:云计算的兴起和快速发展,带来了新的安全问题,风险更加集中,且具有不确定性。
(注:意思相同或相近即可。)
解析:需要关注大数据安全、移动智能终端安全、互联网舆情监管、物联网安全、云安全等主要应用。
试题二
阅读下列说明,回答问题,将解答填入答题纸的对应栏内。
【说明】
图2-1为某台服务器的RAID(Redundant Array ofIndependent Disk,独立冗余磁盘阵列)示意图,一般进行RAID配置时会根据业务需求设置相应的RAID条带深度和大小,本服务器由4块磁盘组成,其中P表示校验段、D表示数据段,每个数据块为4KB,每个条带在一个磁盘上的数据段包括4个数据块。
本文档预览:3600字符,共10100字符,源文件无水印,下载后包含无答案版和有答案版,查看完整word版点下载
