2021年11月網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師考試網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)案例分析下午真題_第1頁
2021年11月網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師考試網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)案例分析下午真題_第2頁
2021年11月網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師考試網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)案例分析下午真題_第3頁
2021年11月網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師考試網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)案例分析下午真題_第4頁
2021年11月網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師考試網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)案例分析下午真題_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

2021年11月網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師考試網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)案例分析下午真題(總分:11.00,做題時(shí)間:180分鐘)一、問答題(總題數(shù):11,分?jǐn)?shù):11.00)1.某園區(qū)組網(wǎng)圖如圖1-1所示,該網(wǎng)絡(luò)中接入交換機(jī)利用QinQ技術(shù)實(shí)現(xiàn)二層隔離,根據(jù)不同位置用戶信息打外層VLAN標(biāo)記,可以有效避免廣播風(fēng)暴,實(shí)現(xiàn)用戶到網(wǎng)關(guān)流量得統(tǒng)一管理。同時(shí)在網(wǎng)絡(luò)中部署集群交換機(jī)系統(tǒng)CSS及Eth-trunk,提高網(wǎng)絡(luò)得可靠性。請(qǐng)簡要分析該網(wǎng)絡(luò)接入層的組網(wǎng)特點(diǎn)(優(yōu)點(diǎn)及缺點(diǎn)各回答2點(diǎn))。

(分?jǐn)?shù):1.00)__________________________________________________________________________________________

正確答案:(優(yōu)點(diǎn):QinQ使得各部門可以任意規(guī)劃自己的VLAN、有效避免廣播風(fēng)暴、更容易實(shí)現(xiàn)統(tǒng)一管理、能夠提供豐富的業(yè)務(wù)特性和更加靈活的組網(wǎng)能力。缺點(diǎn):接入層交換機(jī)的可靠性不足、成本上升。)解析:本題的接入層交換機(jī)使用了QinQ技術(shù),這個(gè)技術(shù)通過對(duì)數(shù)據(jù)幀封裝兩次Vlan標(biāo)記以實(shí)現(xiàn)數(shù)據(jù)幀的傳輸管理,由于采用了兩次標(biāo)記,可以支持的vlan高達(dá)4094×4094個(gè),因此有足夠的vlan數(shù)量冗余,方便各個(gè)部門規(guī)劃自己的Vlan。用這種技術(shù)還可以有效地避免廣播風(fēng)暴,實(shí)現(xiàn)統(tǒng)一管理。在網(wǎng)絡(luò)規(guī)劃中可以使用不同的VlanID對(duì)應(yīng)不同的業(yè)務(wù),因此可以提供豐富的業(yè)務(wù)特性和靈活強(qiáng)大的組網(wǎng)能力。但是由于接入層交換機(jī)存在的可靠性不足有問題會(huì)一直存在,所以會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的可靠性降低。由于要求接入層交換機(jī)支持QinQ技術(shù),因此成本會(huì)增加。2.某園區(qū)組網(wǎng)圖如圖1-1所示,該網(wǎng)絡(luò)中接入交換機(jī)利用QinQ技術(shù)實(shí)現(xiàn)二層隔離,根據(jù)不同位置用戶信息打外層VLAN標(biāo)記,可以有效避免廣播風(fēng)暴,實(shí)現(xiàn)用戶到網(wǎng)關(guān)流量得統(tǒng)一管理。同時(shí)在網(wǎng)絡(luò)中部署集群交換機(jī)系統(tǒng)CSS及Eth-trunk,提高網(wǎng)絡(luò)得可靠性。當(dāng)該園區(qū)網(wǎng)用戶接入點(diǎn)增加,用戶覆蓋范圍擴(kuò)大,同時(shí)要求提高網(wǎng)絡(luò)可靠性時(shí),某網(wǎng)絡(luò)工程師擬采用環(huán)網(wǎng)接入+虛擬網(wǎng)關(guān)的組網(wǎng)方式(1)如何調(diào)整交換機(jī)的連接方式組建環(huán)網(wǎng)?(2)在接入環(huán)網(wǎng)中如何避免出現(xiàn)網(wǎng)絡(luò)廣播風(fēng)暴?(3)簡要回答如何設(shè)置虛擬網(wǎng)關(guān)。

(分?jǐn)?shù):1.00)__________________________________________________________________________________________

正確答案:((1)調(diào)整樹形結(jié)構(gòu)為環(huán)形、星型的混合結(jié)構(gòu);(2)采用STP或MSTP進(jìn)行防環(huán)處理;(3)配置核心交換機(jī)為VRRP(因?yàn)閳D中所示核心具有三層轉(zhuǎn)發(fā)能力))解析:目前的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為星型結(jié)構(gòu),如果要采用環(huán)網(wǎng)接入,則必須將網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)調(diào)整為環(huán)形和新型的混合結(jié)構(gòu),才可以方便的實(shí)現(xiàn)環(huán)網(wǎng)接入和通過其他的可靠性技術(shù)如VRRP實(shí)現(xiàn)虛擬網(wǎng)關(guān),增強(qiáng)整個(gè)系統(tǒng)的可靠性。由于網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整為環(huán)形,網(wǎng)絡(luò)中會(huì)出現(xiàn)環(huán)路,在2層網(wǎng)絡(luò)中為了避免廣播風(fēng)暴,必須采用生成樹協(xié)議以防止出現(xiàn)環(huán)路引起的廣播風(fēng)暴。要設(shè)置虛擬網(wǎng)關(guān)的組網(wǎng)方式必須在支持VRRP協(xié)議的設(shè)備上,啟用虛擬網(wǎng)關(guān)。本題中可以在核心交換機(jī)上設(shè)置VRRP組,設(shè)置合理的虛擬網(wǎng)關(guān)。3.某園區(qū)組網(wǎng)圖如圖1-1所示,該網(wǎng)絡(luò)中接入交換機(jī)利用QinQ技術(shù)實(shí)現(xiàn)二層隔離,根據(jù)不同位置用戶信息打外層VLAN標(biāo)記,可以有效避免廣播風(fēng)暴,實(shí)現(xiàn)用戶到網(wǎng)關(guān)流量得統(tǒng)一管理。同時(shí)在網(wǎng)絡(luò)中部署集群交換機(jī)系統(tǒng)CSS及Eth-trunk,提高網(wǎng)絡(luò)得可靠性。該網(wǎng)絡(luò)通過核心層進(jìn)行認(rèn)證計(jì)費(fèi),可采用的認(rèn)證方式有哪些?

(分?jǐn)?shù):1.00)__________________________________________________________________________________________

正確答案:(可采用的認(rèn)證方式有802.1X,MAC認(rèn)證,Portal認(rèn)證。)解析:網(wǎng)絡(luò)通過核心層進(jìn)行認(rèn)證和計(jì)費(fèi),通常采用的方式可以有PPPOE,802.1X,MAC認(rèn)證,WEBPortal認(rèn)證等方式,通常PPPOE和802.1X在客戶端安裝相應(yīng)的認(rèn)證程序,并在使用網(wǎng)絡(luò)時(shí)輸入用戶名和密碼進(jìn)行驗(yàn)證。而webportal方式不需要安裝專用客戶端,用戶在需要上網(wǎng)時(shí),系統(tǒng)會(huì)自動(dòng)將連接請(qǐng)求轉(zhuǎn)換到portal頁面,在網(wǎng)頁端實(shí)現(xiàn)用戶認(rèn)證之后才可以上網(wǎng)。4.某園區(qū)組網(wǎng)圖如圖1-1所示,該網(wǎng)絡(luò)中接入交換機(jī)利用QinQ技術(shù)實(shí)現(xiàn)二層隔離,根據(jù)不同位置用戶信息打外層VLAN標(biāo)記,可以有效避免廣播風(fēng)暴,實(shí)現(xiàn)用戶到網(wǎng)關(guān)流量得統(tǒng)一管理。同時(shí)在網(wǎng)絡(luò)中部署集群交換機(jī)系統(tǒng)CSS及Eth-trunk,提高網(wǎng)絡(luò)得可靠性。(1)該網(wǎng)絡(luò)中,出口路由器的主要作用有哪些?(2)應(yīng)添加什么設(shè)備加強(qiáng)內(nèi)外網(wǎng)絡(luò)邊界安全防范?放置在什么位置?

(分?jǐn)?shù):1.00)__________________________________________________________________________________________

正確答案:((1)路由選擇、NAT、ACL等(2)增加防火墻,放在路由器與核心之間。)解析:在本網(wǎng)絡(luò)中,出口路由器主要用于將內(nèi)網(wǎng)等流量通過合適的方式轉(zhuǎn)發(fā)到運(yùn)營商,因此路由器所起的主要作用是進(jìn)行路由選擇。同時(shí)內(nèi)網(wǎng)的用戶通常會(huì)使用私有地址,為了能讓私有地址用戶使用因特網(wǎng)還需要進(jìn)行地址轉(zhuǎn)換。另外,在網(wǎng)絡(luò)中往往需要根據(jù)業(yè)務(wù)需求進(jìn)行適當(dāng)?shù)木W(wǎng)絡(luò)訪問控制,也可以在路由器上使用ACL對(duì)用戶的訪問行為進(jìn)行具體的控制。根據(jù)題目要求,要加強(qiáng)內(nèi)外網(wǎng)絡(luò)邊界的安全防范,需要配置防火墻,防火墻主要用于內(nèi)外網(wǎng)絡(luò)的邊界,用于防御外網(wǎng)可能帶來的安全威脅。在本題中,路由器直接用于連接因特網(wǎng),因此防火墻最佳的部署位置是路由器和核心交換機(jī)之間。5.圖2-1為某數(shù)據(jù)中心分布式存儲(chǔ)系統(tǒng)網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D,每個(gè)分布式節(jié)點(diǎn)均配置1塊雙端口10GE光口網(wǎng)卡和1塊1GE電口網(wǎng)卡,SW3是存儲(chǔ)系統(tǒng)管理網(wǎng)絡(luò)的接入交換機(jī),交換機(jī)SW1和SW2連接各分布式節(jié)點(diǎn)和SW3交換機(jī),用戶通過交換機(jī)SW4接入訪問分布式存儲(chǔ)系統(tǒng)。圖2-1中,通過(1)技術(shù)將交換機(jī)SW1和SW2連接起來,從邏輯上組合成一臺(tái)交換機(jī),提高網(wǎng)絡(luò)穩(wěn)定性和交換機(jī)背板帶寬;分布式節(jié)點(diǎn)上的2個(gè)10GE口采用(2)技術(shù),可以實(shí)行存儲(chǔ)節(jié)點(diǎn)和交換機(jī)之間的鏈路冗余和流量負(fù)載;交換機(jī)SW1與分布式節(jié)點(diǎn)連接介質(zhì)應(yīng)采用(3),SW3應(yīng)選用端口速率至少為(4)bps的交換機(jī),SW4應(yīng)選用端口速率至少為(5)bps的交換機(jī)。

(分?jǐn)?shù):1.00)__________________________________________________________________________________________

正確答案:((1)堆疊(2)鏈路聚合(3)多模光纖(4)1G(5)10G)解析:從題干中我們可以看出,交換機(jī)SW1和SW2作為分布式存儲(chǔ)節(jié)點(diǎn)的主要連接設(shè)備,要將這兩臺(tái)設(shè)備從邏輯上組合成一臺(tái)交換機(jī),并且要利用交換機(jī)的背板帶寬,所能采用的方式只有堆疊。盡管兩臺(tái)交換機(jī)也可以通過級(jí)聯(lián)的形式連接起來,但是這種連接方式下兩臺(tái)設(shè)備并不能提高穩(wěn)定性和充分利用交換機(jī)背板帶寬。分布式節(jié)點(diǎn)上的2個(gè)10GE口分別連接到交換機(jī)SW1和SW2,而這兩臺(tái)交換機(jī)通過堆疊變成了一臺(tái)邏輯交換機(jī),因此這2個(gè)端口要實(shí)現(xiàn)交換機(jī)之間的鏈路冗余和流量負(fù)載,最適合的方式就只能使用鏈路聚合。因?yàn)镾W3是分布式存儲(chǔ)節(jié)點(diǎn)的管理接口,而存儲(chǔ)設(shè)備的管理接口是千兆,因此這個(gè)交換機(jī)應(yīng)該選用端口速率至少為1千兆bps。因?yàn)镾W4是用戶接入的交換機(jī),一端連接用戶,另外一端連接SW1和SW2,這2個(gè)交換機(jī)使用的是萬兆鏈路,為了讓交換機(jī)下面的用戶能夠以較快的速度接入到分布式存儲(chǔ)節(jié)點(diǎn),最好是讓該交換機(jī)端口速率達(dá)到1萬兆。6.圖2-1為某數(shù)據(jù)中心分布式存儲(chǔ)系統(tǒng)網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D,每個(gè)分布式節(jié)點(diǎn)均配置1塊雙端口10GE光口網(wǎng)卡和1塊1GE電口網(wǎng)卡,SW3是存儲(chǔ)系統(tǒng)管理網(wǎng)絡(luò)的接入交換機(jī),交換機(jī)SW1和SW2連接各分布式節(jié)點(diǎn)和SW3交換機(jī),用戶通過交換機(jī)SW4接入訪問分布式存儲(chǔ)系統(tǒng)。分布式存儲(chǔ)系統(tǒng)采用什么技術(shù)實(shí)現(xiàn)數(shù)據(jù)冗余?分布式系統(tǒng)既要性能高,又要在考慮成本的情況下采用了廉價(jià)大容量磁盤,請(qǐng)說明如何配置磁盤較為合理?并說明配置的每種類型磁盤的用途。常見的分布式存儲(chǔ)架構(gòu)有無中心節(jié)點(diǎn)架構(gòu)和有中心節(jié)點(diǎn)架構(gòu),HDFS(HadoopDistributionFileSystem)分布式文件系統(tǒng)屬于(6)架構(gòu),該文件系統(tǒng)由一個(gè)(7)節(jié)點(diǎn)和若干個(gè)DataNode組成。

(分?jǐn)?shù):1.00)__________________________________________________________________________________________

正確答案:(1、副本策略、糾刪碼2、配置SSD+HDD混合式存儲(chǔ),由一級(jí)RAM、二級(jí)SSD、三級(jí)大容量磁盤的磁盤結(jié)構(gòu)。RAM用于緩存數(shù)據(jù),RAM將需要寫入磁盤的數(shù)據(jù)先快速存入SSD,由于不用尋到,所以速度很快,SSD承擔(dān)二級(jí)緩存的作用,磁盤驅(qū)動(dòng)器再從SSD中數(shù)據(jù)寫入磁盤。有效避免數(shù)據(jù)直接寫入時(shí)I/O過程中廉價(jià)磁盤的尋道延時(shí)。3、(6)有中心節(jié)點(diǎn)(7)NameNode)解析:副本策略和糾刪碼是存儲(chǔ)領(lǐng)域常見的兩種數(shù)據(jù)冗余技術(shù)。相比于副本策略,糾刪碼具有更高的磁盤利用率。糾刪碼是一種編碼技術(shù),它可以將n份原始數(shù)據(jù),增加m份數(shù)據(jù),并能通過n+m份中的任意n份數(shù)據(jù),還原為原始數(shù)據(jù)。即如果有任意小于等于m份的數(shù)據(jù)失效,仍然能通過剩下的數(shù)據(jù)還原出來。多副本策略即將數(shù)據(jù)存儲(chǔ)多個(gè)副本,如HDFS系統(tǒng)中,一般是三副本,當(dāng)某個(gè)副本丟失時(shí),可以通過其他副本復(fù)制回來。存儲(chǔ)系統(tǒng)中為了滿足存儲(chǔ)的速度和存儲(chǔ)容量的高性價(jià)比,通常采用的方式是配置小容量的高速存儲(chǔ)和大容量的持久化存儲(chǔ)設(shè)備。小容量高速存儲(chǔ)設(shè)備用于做緩存,這種設(shè)備速度快,但是價(jià)格昂貴,不適合做大量的數(shù)據(jù)存儲(chǔ)。通常為了追求大容量存儲(chǔ)的高性價(jià)比,可以采用速度相對(duì)較低,但是存儲(chǔ)容量大,價(jià)格比較低的硬盤。因此合適的方式是配置SSD+HDD混合式存儲(chǔ)。其中SSD用于做緩存,HDD要有做持久化存儲(chǔ)。HDFS分布式文件系統(tǒng)屬于一種有中心節(jié)點(diǎn)的架構(gòu),也就是常用的master/slave架構(gòu).以glusterfs為代表的屬于無中心架構(gòu)。HDFS文件系統(tǒng)由一個(gè)NameNode節(jié)點(diǎn)和若干個(gè)DataNode組成。7.圖2-1為某數(shù)據(jù)中心分布式存儲(chǔ)系統(tǒng)網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D,每個(gè)分布式節(jié)點(diǎn)均配置1塊雙端口10GE光口網(wǎng)卡和1塊1GE電口網(wǎng)卡,SW3是存儲(chǔ)系統(tǒng)管理網(wǎng)絡(luò)的接入交換機(jī),交換機(jī)SW1和SW2連接各分布式節(jié)點(diǎn)和SW3交換機(jī),用戶通過交換機(jī)SW4接入訪問分布式存儲(chǔ)系統(tǒng)。隨著數(shù)據(jù)中心規(guī)模的不斷擴(kuò)大和能耗不斷提升,建設(shè)綠色數(shù)據(jù)中心是構(gòu)建新一代信息基礎(chǔ)設(shè)施的重要任務(wù),請(qǐng)簡要說明在數(shù)據(jù)中心設(shè)計(jì)時(shí)可以采取哪些措施可以降低數(shù)據(jù)中心用電耗?(至少回答3點(diǎn)措施)

(分?jǐn)?shù):1.00)__________________________________________________________________________________________

正確答案:(優(yōu)化冷卻系統(tǒng)(水冷代替風(fēng)冷)、利用外部冷源、采用虛擬化等技術(shù)減少物理主機(jī)、采用低能耗CPU等硬件產(chǎn)品、重組數(shù)據(jù)中心、減少不必要設(shè)備的應(yīng)用、健全用電制度和強(qiáng)化用電管理。)解析:充分利用自然冷源,風(fēng)、水、空氣等自然冷源對(duì)于數(shù)據(jù)中心來說,這些既環(huán)保;又省錢。因此可以充分利用外部冷源。優(yōu)化冷卻系統(tǒng)。利用冷卻效率更好的水冷代替風(fēng)冷,可以靜一步降低PUE。采用虛擬化,靈活調(diào)整系統(tǒng)所需計(jì)算資源,降低物理主機(jī)的的能源消耗,提高PUE。采用新型低能耗硬件產(chǎn)品,降低硬件能耗。強(qiáng)化機(jī)房用電管理和用電制度,合理利用能源。8.案例一安全測評(píng)工程師小張對(duì)某單位的信息系統(tǒng)進(jìn)行安全滲透測試時(shí),首先獲取A系統(tǒng)部署的WebServer版本信息然后利用A系統(tǒng)的軟件中間件漏洞,發(fā)現(xiàn)可以遠(yuǎn)程在A系統(tǒng)服務(wù)器上執(zhí)行命令。小張控制A服務(wù)器后,嘗試并成功修改網(wǎng)頁。通過向服務(wù)器區(qū)域橫向掃描,發(fā)現(xiàn)B和C服務(wù)器的root密碼均為123456,利用該密碼成功登錄到服務(wù)器并獲取root權(quán)限。案例二網(wǎng)絡(luò)管理員小王在巡查時(shí)發(fā)現(xiàn)網(wǎng)站訪問日志中有多條非正常記錄。其中,日志1訪問記錄為:/param=1'andupdatexml(1,concat(0x7e(SELECTMD5(1234),0x7e),1)日志2訪問記錄為/js/url.substring(0,indexN2)}/alert(url);url+=小王立即采取措施,加強(qiáng)Web安全防范。案例三某信息系統(tǒng)在2018年上線時(shí),在公安機(jī)關(guān)備案為等級(jí)保護(hù)第三級(jí),單位主管認(rèn)為系統(tǒng)已經(jīng)定級(jí),此后無須再做等保安全評(píng)測。信息安全管理機(jī)構(gòu)是行使單位信息安全管理職能的重要機(jī)構(gòu),各個(gè)單位應(yīng)設(shè)立(1)領(lǐng)導(dǎo)小組,作為本單位信息安全工作的最高領(lǐng)導(dǎo)決策機(jī)構(gòu)。設(shè)立信息安全管理崗位并明確職責(zé),至少應(yīng)包含安全主管和“三員”崗位,其中“三員”崗位中:(2)崗位職責(zé)包括信息系統(tǒng)安全監(jiān)督和網(wǎng)絡(luò)安全管理,溝通、協(xié)調(diào)和組織處信息安全事件等;系統(tǒng)管理員崗位職責(zé)包括網(wǎng)絡(luò)安全設(shè)備和服務(wù)器的配置、部署、運(yùn)行維護(hù)和日常管理等工作;(3)崗位職責(zé)包括對(duì)安全、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫等管理人員的操作行為進(jìn)行審計(jì),監(jiān)督信息安全制度執(zhí)行情況。

(分?jǐn)?shù):1.00)__________________________________________________________________________________________

正確答案:((1)信息安全(2)安全保密員(3)安全審計(jì)員)解析:本題實(shí)際考查的是一個(gè)基礎(chǔ)概念題,就是根據(jù)題干中間所給出的相關(guān)解釋確定對(duì)應(yīng)的概念。根據(jù)國家對(duì)信息安全有關(guān)規(guī)定,要求各單位必須成立信息安全管理機(jī)構(gòu),成立信息安全領(lǐng)導(dǎo)小組,作為本單位信息安全工作的最高領(lǐng)導(dǎo)和決策機(jī)構(gòu)。設(shè)立信息安全相關(guān)管理崗位,主要包括安全主管和安全保密員、系統(tǒng)管理員和安全審計(jì)員等。其中,安全保密員崗位職責(zé)包括信息系統(tǒng)安全監(jiān)督和網(wǎng)絡(luò)安全管理,溝通、協(xié)調(diào)和組織處信息安全事件。系統(tǒng)管理員崗位職責(zé)包括網(wǎng)絡(luò)安全設(shè)備和服務(wù)器的配置、部署、運(yùn)行維護(hù)和日常管理等工作。安全審計(jì)員崗位職責(zé)包括對(duì)安全、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫等管理人員的操作行為進(jìn)行審計(jì)。9.案例一安全測評(píng)工程師小張對(duì)某單位的信息系統(tǒng)進(jìn)行安全滲透測試時(shí),首先獲取A系統(tǒng)部署的WebServer版本信息然后利用A系統(tǒng)的軟件中間件漏洞,發(fā)現(xiàn)可以遠(yuǎn)程在A系統(tǒng)服務(wù)器上執(zhí)行命令。小張控制A服務(wù)器后,嘗試并成功修改網(wǎng)頁。通過向服務(wù)器區(qū)域橫向掃描,發(fā)現(xiàn)B和C服務(wù)器的root密碼均為123456,利用該密碼成功登錄到服務(wù)器并獲取root權(quán)限。案例二網(wǎng)絡(luò)管理員小王在巡查時(shí)發(fā)現(xiàn)網(wǎng)站訪問日志中有多條非正常記錄。其中,日志1訪問記錄為:/param=1'andupdatexml(1,concat(0x7e(SELECTMD5(1234),0x7e),1)日志2訪問記錄為/js/url.substring(0,indexN2)}/alert(url);url+=小王立即采取措施,加強(qiáng)Web安全防范。案例三某信息系統(tǒng)在2018年上線時(shí),在公安機(jī)關(guān)備案為等級(jí)保護(hù)第三級(jí),單位主管認(rèn)為系統(tǒng)已經(jīng)定級(jí),此后無須再做等保安全評(píng)測。1.請(qǐng)分析案例一信息系統(tǒng)存在的安全隱患和問題(至少回答5點(diǎn));2.針對(duì)案例一存在的安全隱患和問題,提出相應(yīng)的整改措施(至少回答4點(diǎn))

(分?jǐn)?shù):1.00)__________________________________________________________________________________________

正確答案:(WebServer的版本信息沒有屏蔽;中間件系統(tǒng)沒有定時(shí)升級(jí);沒有部署漏洞掃描設(shè)備;弱口令;沒有禁止root用戶遠(yuǎn)程登錄;沒有部署WAF安全設(shè)備導(dǎo)致網(wǎng)頁被隨意修改。屏蔽WebServer的版本信息;定時(shí)升級(jí)中間件系統(tǒng);部署漏洞掃描、入侵檢測、WAF等安全設(shè)備;使用強(qiáng)口令,并要求定期更新口令;禁止root用戶遠(yuǎn)程登錄。)解析:根據(jù)案例以中間的相關(guān)描述,可以確定系統(tǒng)中主要存在以前安全問題:1.WebServer的版本信息沒有進(jìn)行屏蔽處理,一旦被攻擊者獲得服務(wù)器版本信息,可能會(huì)根據(jù)服務(wù)器版本情況進(jìn)行相應(yīng)攻擊。2.中間件系統(tǒng)沒有及時(shí)升級(jí),導(dǎo)致存在漏洞。3.系統(tǒng)沒有部署相關(guān)的漏洞掃描設(shè)備,系統(tǒng)存在漏洞也不能夠被及時(shí)發(fā)現(xiàn)。4.系統(tǒng)中用戶的口令設(shè)置比較隨意,沒有設(shè)置相應(yīng)的口令規(guī)則,允許弱口令存在。5.系統(tǒng)中也沒有對(duì)root用戶進(jìn)行遠(yuǎn)程登錄控制,導(dǎo)致可以遠(yuǎn)程登錄系統(tǒng)。6.系統(tǒng)在沒有對(duì)web應(yīng)用系統(tǒng)進(jìn)行安全防護(hù),導(dǎo)致網(wǎng)頁可以被修改。根據(jù)以上對(duì)可能存在的安全隱患可以采取對(duì)應(yīng)的解決措施:1.屏蔽WebServer的版本信息;2.及時(shí)升級(jí)中間件系統(tǒng);3.部署漏洞掃描、入侵檢測、WAF等安全設(shè)備;4.使用強(qiáng)口令,并要求定期更新口令;5.禁止root用戶遠(yuǎn)程登錄。10.案例一安全測評(píng)工程師小張對(duì)某單位的信息系統(tǒng)進(jìn)行安全滲透測試時(shí),首先獲取A系統(tǒng)部署的WebServer版本信息然后利用A系統(tǒng)的軟件中間件漏洞,發(fā)現(xiàn)可以遠(yuǎn)程在A系統(tǒng)服務(wù)器上執(zhí)行命令。小張控制A服務(wù)器后,嘗試并成功修改網(wǎng)頁。通過向服務(wù)器區(qū)域橫向掃描,發(fā)現(xiàn)B和C服務(wù)器的root密碼均為123456,利用該密碼成功登錄到服務(wù)器并獲取root權(quán)限。案例二網(wǎng)絡(luò)管理員小王在巡查時(shí)發(fā)現(xiàn)網(wǎng)站訪問日志中有多條非正常記錄。其中,日志1訪問記錄為:/param=1'andupdatexml(1,concat(0x7e(SELECTMD5(1234),0x7e),1)日志2訪問記錄為/js/url.substring(0,indexN2)}/alert(url);url+=小王立即采取措施,加強(qiáng)Web安全防范。案例三某信息系統(tǒng)在2018年上線時(shí),在公安機(jī)關(guān)備案為等級(jí)保護(hù)第三級(jí),單位主管認(rèn)為系統(tǒng)已經(jīng)定級(jí),此后無須再做等保安全評(píng)測。1.案例二中,日志1所示訪問記錄是(4)攻擊,日志2所示訪問記錄是(5)攻擊2.案例二中,小王應(yīng)采取哪些措施加強(qiáng)web安全防范?

(分?jǐn)?shù):1.00)__________________________________________________________________________________________

正確答案:(SQL注入(5)跨站攻擊加強(qiáng)服務(wù)器配置與設(shè)置,部署WAF安全設(shè)備。)解析:從題干日志所展示的信息來看,里面有非常明顯的SQL語句,“SELECTMD5(1234),0x7e),1)”等,而該語句是嵌入在URL中,所以明顯就是一種SQL注入攻擊。從題干中的日志,可以看到其中有“substring(0,i

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論