免费智能真题库 > 历年试卷 > 系统架构设计师 > 2011年下半年 系统架构设计师 上午试卷 综合知识
  第64题      
  知识点:   安全威胁   SNMP   网络管理
  关键词:   PV   安全   网络管理   网络        章/节:   安全性与可靠性技术       

 
网络管理中要防止各种安全威胁。在SNMPV3中,无法预防的安全威胁是(64)。
 
 
  A.  篡改管理信息:通过改变传输中的SNMP报文实施未经授权的管理操作
 
  B.  通信分析:第三者分析管理实体之间的通信规律,从而获取管理信息
 
  C.  假冒合法用户:未经授权的用户冒充授权用户,企图实施管理操作
 
  D.  消息泄露:SNMP引擎之间交换的信息被第三者偷听
 
 
 

 
  第60题    2021年下半年  
   32%
某Web网站向CA申请了数字证书。用户登录过程中可通过验证(59),确认该数字证书的有效性,以(60)。
  第65题    2011年下半年  
   50%
下面安全协议中,用来实现安全电子邮件的协议是(65)。
  第64题    2012年下半年  
   36%
下图所示PKI系统结构中,负责生成和签署数字证书的是(64),负责验证用户身份的是(65)。
   知识点讲解    
   · 安全威胁    · SNMP    · 网络管理
 
       安全威胁
        评估安全威胁的方法主要有以下4种:
        (1)查阅。查阅一些以网络安全为主题的信息资源,包括书籍、技术论文、报刊文章、新闻组以及邮件列表等。
        (2)实验。获知入侵者进入系统的困难性的一种方法是进行自我攻击。
        (3)调查。安全调查所获得的统计数据可以提供给管理者一些有用信息以便做出决断。
        (4)测量。对潜在的威胁进行测量,通常使用陷阱。
        通常使用一些陷阱可以有效地对威胁做出真实的评估而没有将个人和组织暴露的危险,使用陷阱主要有3个方面的好处:
        (1)陷阱提供了真实世界的信息。通过适当的设计,入侵者会完全意识不到陷阱的存在。
        (2)精心设计的陷阱能够安全地提供一些测量手段。
        (3)陷阱能够用于延缓将来的攻击。
        一个陷阱主要有3个组成部分,分别是诱饵、触发机关以及圈套。一个好的陷阱应该具备以下特征:
        (1)良好的隐蔽性。网络陷阱对于入侵者来说,必须是不可见的。陷阱对外暴露的部分只有诱饵,只需要确保诱饵的特性不会暴露陷阱的存在。例如,可以使用SCSI分析器、网络协议分析器和日志信息。
        (2)有吸引力的诱饵。诱饵的选择必须与环境相适应,例如,可以把冠以敏感信息的文件或文件夹作为诱饵。
        (3)准确的触发机关。一个好的陷阱应该捕获入侵者而不应该捕获无辜者,触发机关的设置应该使失误率降到最低。设计时必须考虑由于失误所引起的信用问题,这是非常重要的。
        (4)强有力的圈套。一个有效的陷阱必须具有足够的能力抵抗入侵者,这一点是设计好的陷阱最为困难的事情。好的陷阱通常具有保留证据的能力。
 
       SNMP
        1)SNMP概述
        SNMP的前身是简单网关监控协议(SGMP),用来对通信线路进行管理。随后对其改进并加入了符合Internet定义的SMI和MIB体系结构,改进后的协议就是著名的SNMP。SNMP的目标是管理Internet上众多厂家生产的软硬件平台,因此SNMP受Internet标准网络管理框架的影响很大。SNMP的体系结构如下图所示。
        
        SNMP的体系结构
        SNMP的体系结构围绕以下4个概念和目标进行设计。
        ◆使管理代理的软件成本尽可能低。
        ◆最大限度地保持远程管理的功能,以便充分利用Internet上的网络资源。
        ◆体系结构必须有扩充的余地。
        ◆保持SNMP的独立性,不依赖于具体的计算机、网关和网络传输协议。
        在SNMP的改进版本SNMPv2中,又加入了保证SNMP体系本身安全性的目标。
        另外,SNMP中提供了以下4类管理操作。
        ◆get操作:用来提取特定的网络管理信息。
        ◆get-next操作:通过遍历操作来提供强大的管理信息的提取能力。
        ◆set操作:用来对管理信息进行控制(修改、设置)。
        ◆trap操作:用来报告重要的事件。
        各种操作的执行如下图所示。
        
        SNMP的4种操作
        2)SNMP管理控制框架与实现
        (1)SNMP管理控制框架。
        SNMP定义了管理进程(Manager)和管理代理(Agent)之间的关系,这个关系被称为共同体(Community)。描述共同体的语义是非常复杂的,但其句法却很简单。位于网络管理工作站(运行管理进程)和各网络元素上,利用SNMP相互通信,并对网络进行管理的软件统称为SNMP应用实体。若干个应用实体和SNMP组合起来形成一个共同体,不同的共同体之间用名字来区分。共同体的名字必须符合Internet的层次结构命名规则,由非保留字符串组成。此外,一个SNMP应用实体可以加入多个共同体。
        SNMP的应用实体对Internet管理信息库中的管理对象进行操作。一个SNMP应用实体可操作的管理对象子集称为SNMP MIB授权范围。SNMP应用实体对授权范围内管理对象的访问还有进一步的访问控制限制,比如只读、读/写等;SNMP体系结构中要求每个共同体都规定其授权范围及其对每个对象的访问方式。记录这些定义的文件被称为共同体定义文件。
        SNMP的报文总是源自每个应用实体,报文中包括该应用实体所在的共同体的名字。这种报文在SNMP中称为有身份标识的报文,共同体名字是在管理进程和管理代理之间交换管理信息报文时使用的。管理信息报文中包括以下两部分内容。
        ◆共同体名:加上发送方的一些标识信息(附加信息),用以验证发送方确实是共同体中的成员。共同体实际上就是用来实现管理应用实体之间身份鉴别的机制。
        ◆数据:这是两个管理应用实体之间真正需要交换的信息。
        第三版本前的SNMP只是实现了简单的身份鉴别,接收方仅凭共同体名来判定收发双方是否在同一个共同体中,而前面提到的附加信息尚未应用。接收方在验明发送报文的管理代理或管理进程的身份后要对其访问权限进行检查。访问权限检查涉及以下因素。
        ◆一个共同体内各成员可以对哪些对象进行读、写等管理操作,这些可读写对象称为该共同体的授权对象(在授权范围内)。
        ◆共同体成员对授权范围内每个对象定义了访问模式:只读或可读写。
        ◆规定授权范围内每个管理对象(类)可进行的操作(包括get、get-next、set和trap)。
        ◆管理信息库(MIB)限制对每个对象的访问方式(如MIB中可以规定哪些对象只能读而不能写等)。
        管理代理通过上述预先定义的访问模式和权限,来决定共同体中其他成员要求的管理对象访问(操作)是否允许。共同体概念同样适用于转换代理(Proxy Agent),只不过转换代理中包含的对象主要是其他设备的内容。
        (2)SNMP的实现方式。
        为了提供遍历管理信息库的手段,SNMP在其MIB中采用了树状命名方法对每个管理对象的实例进行命名。每个对象实例的名字都由对象类名字加上一个后缀构成,对象类的名字是不会相互重复的,因而不同对象类的对象实例之间也很少有重名的危险。
        在共同体的定义中一般要规定该共同体授权的管理对象的范围,相应地也就规定了哪些对象实例是该共同体的"管辖范围"。据此,共同体的定义可以想象为一个多叉树,以字典序提供了遍历所有管理对象实例的手段。有了这个手段,SNMP就可以使用get-next操作符,顺序地从一个对象找到下一个对象。get-next(object-instance)操作返回的结果是一个对象实例的标识符及其相关信息,该对象实例在上面的多叉树中紧排在指定标识符object-instance对象的后面。这种手段的优点在于:即使不知道管理对象实例的具体名字,管理系统也能逐个地找到它,并提取到它的有关信息。遍历所有管理对象的过程可以从第一个对象实例开始(这个实例一定要给出),然后逐次使用get-next,直到返回一个差错(表示不存在的管理对象实例)结束(完成遍历)。
        由于信息是以表格形式(一种数据结构)存放的,在SNMP的管理概念中,把所有表格都视为子树,其中一张表格(及其名字)是相应子树的根节点,每个列是根下面的子节点,一列中的每个行则是该列节点下面的子节点,并且是子树的叶节点,如下图所示。
        
        管理信息库中的对象标识
        因此,按照前面的子树遍历思路,对表格的遍历是先访问第一列的所有元素,再访问第二列的所有元素……直到最后一个元素。若试图得到最后一个元素的"下一个"元素,则返回差错标记。
        SNMP中的各种管理信息大多以表格形式存在,一个表格对应一个对象类,每个元素对应于该类的一个对象实例。那么,管理信息表对象中单个元素(对象实例)的操作可以用前面提到的get-next方法,也可以用get/set等操作。下面主要介绍表格内一行信息的整体操作。
        ◆增加一行:通过SNMP只用一次set操作就可在一个表格中增加一行。操作中的每个变量都对应于待增加行中的一个列元素,包括对象实例的标识符。
        ◆删除一行:删除一行也可以通过SNMP调用set操作,将该行中的任意一个元素(对象实例)设置成"非法"即可。
        至于删除一行时,表中的一行元素是否真的在表中消失,则与每个设备(管理代理)的具体实现有关,因此管理进程必须能通过各数据字段的内容来判断数据的合法性。
        3)SNMP协议
        SNMP是一个异步的请求/响应协议,即SNMP的请求和响应之间没有必定的时间顺序关系,换句话说,SNMP是一个面向无连接的协议。这样,SNMP实体不需要在发出请求后立即等待响应的到来,因此SNMP响应也可能丢失或出现错误。SNMP中设计了四种基本协议的交互过程。
        第一种情况是管理进程从管理代理处提取管理信息。管理进程通过SNMP和传输网络发送get-request给管理代理,请求中包括管理对象的标识符等参数;管理代理收到请求后返回相应内容的get-response,响应中包括待提取的管理信息。
        第二种情况是管理进程在管理代理的可见范围内遍历一部分管理对象实例。管理进程通过SNMP和传输网络发送get-next-request给管理代理,管理代理收到后完成遍历的一次操作,用get-response将遍历结果返回给管理进程。
        第三种情况是管理进程在管理代理中存储信息,即对管理代理的管理信息库(MIB)进行写操作(包括设置工作参数)。管理进程发送一个set-request给管理代理,由管理代理完成set操作,然后用set-response返回操作结果。
        第四种情况则是管理代理主动向管理进程报告事件。管理代理通过SNMP和传输网络将trap发送给管理进程,这个操作没有响应。
        注意:上面的各个请求都是管理进程发给管理代理的,响应则都是由管理代理发给管理进程的。只有trap是无响应的,由管理代理单向发给管理进程。另外,请求、响应和trap的传输处理都要受"共同体"定义的限制,包括访问权限。
        SNMP协议是一个对称协议,没有主从关系。SNMP上的管理进程和管理代理都可以得到SNMP完全相同的服务。下面对SNMP协议的部分特点和关键内容进行介绍。
        (1)管理信息报文。
        在大多数SNMP操作中都使用一个相同的报文数据结构。对于前面提到的身份鉴别方法,报文中包含三种数据(信息)传递给专门的"身份鉴别实体":共同体名称、有关数据和发送方SNMP实体的传输层地址。
        身份鉴别实体负责验证发送方是否是合法的对等实体,并返回两种可能的结果:一种结果是返回本次报文中的SNMP协议数据类型和发送方SNMP实体的权限标识符;另一种结果是返回例外。其中第一种结果表明发送方SNMP实体确实是本共同体的成员之一,接收方SNMP实体接下来对它进行处理。第二种结果("例外")表明发送方SNMP实体并非本共同体成员,不能接受此报文,并且接收方SNMP实体还可能根据配置产生一个"身份非法"的trap事件。
        (2)协议数据单元及其管理操作。
        SNMP协议实体之间的协议数据单元(PDU)只有两种不同的结构和格式,一个PDU格式在大部分操作中使用,而另一个则只在trap操作中作为trap的协议数据单元。
        PDU一般包含多个代表特殊意义的字段:request-id是一个整数值,用来区分不同的PDU;error-status反映管理操作是成功还是失败;error-index表明操作中哪个变量错误;variable-bindings是一系列变量的清单,序列中每一项包含一个变量名及其变量值。
        在SNMP中,接收方完成身份鉴别并得到共同体定义信息之后,SNMP实体根据PDU内容执行以下几种操作:get操作,根据变量名取出指定的对象实例;get-next操作,该操作与get操作不同,不是取变量名指定的对象实例,而是取出变量名指定的对象实例的按字典排序的下一个对象实例;set操作,对指定对象实体的值用请求中的新值替换;get-response对get/set报文做出响应并返回操作结果,收到该响应报文的操作请求方首先根据报文中的request-id在记录中查找有无这个序号的请求,如果没有则丢弃该响应,否则接收该响应,管理进程要进行响应处理。
        (3)trap操作。
        trap是一种捕捉事件并报告的操作,实际上几乎所有网络管理系统和管理协议都具有这种机制。trap在OSI网络管理国际标准中称为"事件和通报",一般都简称为事件报告。
        为了减少管理信息的业务流量,管理代理负责对管理对象的trap进行检查,管理检查可以设置检查条件,这样,管理进程就可以在一定程度上控制trap报告过程。引入trap报告的最大好处是许多重要事件的发生得以及时让管理进程知道。因为一般只有比较关键的trap事件才确实需要报告,再加上每个trap事件都很简短,因此由于trap而引入的不确定管理信息业务量是较少的,但却能大大改善网络管理的时效性。
        由于事件多种多样,各种事件的发生环境也不一样,trap操作的复杂性比前面讲的几种操作都大,SNMP的trap操作PDU中的字段类型也较多。这些trap操作PDU中的字段包括:enterprise,记录发送trap事件的管理代理的标识符;agent-addr,管理代理的网络节点地址;generic-trap,描述该trap操作报告是哪一种异常事件;specific-trap,给出各管理代理自行定义的trap事件代码;time-stam,表示trap事件发生的时刻;variable-bindings,给出一组变量,这些变量及其值给出了与trap事件有关的详细信息。
        当管理代理检测到一个例外或异常事件发生时,管理代理首先要判断需要将该事件报告给哪个或哪些管理进程。对每个管理进程,管理代理要选择相应的共同体号,由SNMP协议实体按照前面的字段格式构造trap报告的PDU,再将其发送出去。
        (4)SNMP PDU的传输。
        SNMP的设计是独立于具体的传输网络的,也就是说,它既可以在TCP/IP的支持下操作,也可以在OSI的传输层协议支持下完成操作,甚至可以在以太网的直接支持下实现操作。其中对OSI传输层的服务没有要求,既可以是有连接的服务,也可以是无连接的服务。为了实现上述目标,Internet组织定义了若干映射标准,规定了如何将SNMP协议数据单元PDU映射到下层的无连接传输请求上去。
        在所有各种映射定义中,有一点是相同的,即所有SNMP报文数据是通过一个"顺序化"过程在网络上传输的,这个顺序化过程可以将任意结构的数据编码成一个有序的字符串进行传送。对方收到这些字符串后则按照完全相同的语法将它们解码成原来的数据结构。
        (5)MIB中为SNMP定义的管理对象。
        在Internet的第二版管理信息库(MIB-Ⅱ)中,为SNMP应用实体定义了若干管理对象,其中包括SNMP的各种服务原语、各种收发协议数据单元、各种参数指示或统计变量等,凡SNMP中可操作的数据结构或变量都包括在内,下面将详细介绍。
 
       网络管理
        网络管理主要包含4个方面的工作:
        1.网络设备的管理
        网络系统由特定类型的传输介质和网络适配器(也称网卡)互连在一起,并由网络操作系统监控和管理。网络管理员对网络设备的管理主要是对路由器、交换机及线路的管理。
        2.服务器的管理
        一般来说,在一个网络中需要建立多个服务器方能提供不同的服务需求。一般网络需要的服务器主要有下面几种:Web服务器、E-mail服务器、FTP服务器、DNS服务器、Proxy(代理服务)服务器和数据库服务器等。
        3.资源的管理
        网络中的资源很多,如IP地址资源、域名资源和磁盘资源等,只有管理好这些资源才能够让网络为用户提供更好的服务。
        4.用户的管理
        对用户的管理包括添加或删除用户,授予用户一定的访问权限,分配不限级别的资源给不同的用户,并保证网络的安全。
        OSI网络管理标准中定义了网络管理的5大功能,另外比较流行的还有桌面管理:
        .配置管理:自动发现网络拓扑结构,构造和维护网络系统的配置。
        .故障管理:过滤、归并网络事件,有效地发现、定位网络故障,给出排错建议与排错工具,形成整套的故障发现、告警与处理机制。
        .性能管理:采集、分析网络对象的性能数据,监测网络对象的性能,对网络线路质量进行分析。
        .安全管理:结合使用用户认证、访问控制、数据传输、存储的保密与完整性机制,以保障网络管理系统本身的安全。
        .计费管理:对网际互联设备按IP地址的双向流量统计,产生多种信息统计报告及流量对比,并提供网络计费工具,以便用户根据自定义的要求实施网络计费。
        .桌面管理:包括桌面资产统计;根据桌面安全漏洞下载最新补丁包,进行补丁分发、安装;可自动分发、安装商用程序;可自动对客户端进行操作系统部署,客户端无须手工安装;服务器监控软件的使用频率,统计软件资产利用率;对客户端的故障问题进行远程故障排除;可定制报表开发。
   题号导航      2011年下半年 系统架构设计师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第64题    在手机中做本题