免费智能真题库 > 历年试卷 > 软件设计师 > 2016年下半年 软件设计师 上午试卷 综合知识
  第9题      
  知识点:   网络安全   安全需求   系统安全
  关键词:   安全需求   网络设计   系统安全   安全   网络   需求        章/节:   网络与信息安全知识       

 
在网络设计和实施过程中要采取多种安全措施,其中(9)是针对系统安全需求的措施。
 
 
  A.  设备防雷击
 
  B.  入侵检测
 
  C.  漏洞发现与补丁管理
 
  D.  流量控制
 
 
 

 
  第11题    2022年下半年  
   14%
使用漏洞扫描系统对信息系统和服务器进行定期扫描可以()。
  第8题    2018年上半年  
   28%
网络管理员通过命令行方式对路由器进行管理,要确保ID,口令和会话话内存的保密性,应采取的访问方式是(8)。
  第8题    2015年下半年  
   33%
防火墙不具备(8)功能。
   知识点讲解    
   · 网络安全    · 安全需求    · 系统安全
 
       网络安全
               网络安全概述
               计算机网络安全是指计算机、网络系统的硬件、软件以及系统中的数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄露,确保系统能连续和可靠地运行,使网络服务不中断。广义地说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。
               (1)网络安全涉及的主要内容包括运行系统安全、信息系统安全、信息传播安全和信息内容安全。
               (2)信息系统对安全的基本需求有保密性、完整性、可用性、可控性和可核查性。
               (3)网络安全威胁类别有物理威胁、网络攻击、身份鉴别、编码威胁和系统漏洞。
               网络的信息安全
                      信息的存储安全
                      信息的存储安全包括以下内容。
                      (1)用户的标识与验证:限制访问系统的人员。
                      (2)用户存取权限限制:限制进入系统的用户所能做的操作。
                      (3)系统安全监控:建立一套安全监控系统,全面监控系统的活动。
                      (4)病毒防治:网络服务器必须加装网络病毒自动检测系统。
                      由于计算机病毒具有隐蔽性、传染性、潜伏性、触发性和破坏性等特点,所以需要建立计算机病毒防治管理制度。
                      ①经常从软件供应商网站下载、安装安全补丁程序和升级杀毒软件。
                      ②定期检查敏感文件。对系统的一些敏感文件定期进行检查,保证及时发现已感染的病毒和黑客程序。
                      ③使用高强度的口令。尽量选择难以猜测的口令,对不同的账号选用不同的口令。
                      ④经常备份重要数据,要做到每天坚持备份。
                      ⑤选择、安装经过公安部认证的防病毒软件,定期对整个硬盘进行病毒检测、清除工作。
                      ⑥可以在计算机和因特网之间安装使用防火墙,提高系统的安全性。
                      ⑦当计算机不使用时,不要接入因特网,一定要断掉连接。
                      ⑧重要的计算机系统和网络一定要严格与因特网物理隔离。
                      ⑨不要打开陌生人发来的电子邮件,无论它们有多么诱人的标题或者附件。同时也要小心处理来自熟人的邮件附件。
                      ⑩正确配置系统和使用病毒防治产品。正确配置系统,充分利用系统提供的安全机制,提高系统防范病毒的能力,减少病毒侵害事件。了解所选用防病毒产品的技术特点,正确配置以保护自身系统的安全。
                      (5)数据的加密:防止非法窃取或调用。
                      (6)计算机网络安全:通过采用安全防火墙系统、安全代理服务器、安全加密网关等实现网络信息安全的最外一层防线。
                      信息的传输安全
                      信息的传输加密是面向线路的加密措施,有以下3种。
                      (1)链路加密。只对两个节点之间的通信信道线路上所传输的信息进行加密保护。
                      (2)节点加密。加、解密都在节点中进行,即每个节点里装有加、解密的保护装置,用于完成一个密钥向另一个密钥的转换。
                      (3)端一端加密。为系统网络提供从信息源到目的地传送的数据的加密保护,可以是从主机到主机、终端到终端、终端到主机或到处理进程,或从数据的处理进程到处理进程,而不管数据在传送过程中经过了多少中间节点,数据均不会被解密。
               防火墙技术
               防火墙(Firewall)是建立在内外网络边界上的过滤封锁机制,它认为内部网络是安全和可信赖的,而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的数据包进出被保护的内部网络,通过边界控制强化内部网络的安全策略。
                      防火墙的分类
                      通常可对防火墙进行以下分类。
                      (1)包过滤型防火墙。工作在网络层,对数据包的源IP及目的IP具有识别和控制作用,对于传输层,它只能识别数据包是TCP还是UDP及所用的端口信息。优点是:对每条传入和传出网络的包实行低水平控制;每个IP包的字段都被检查;可以识别和丢弃带欺骗性源IP地址的包;是两个网络之间访问的唯一通道;通常被包含在路由器数据包中,不必用额外的系统来处理这个特征。缺点是:不能防范黑客攻击;不支持应用层协议;访问控制粒度太粗糙。
                      (2)应用代理网关防火墙。彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。优点是:可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。缺点是:难以配置,处理速度慢。
                      (3)状态检测技术防火墙。结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了10倍。
                      典型防火墙的体系结构
                      一个防火墙系统通常是由过滤路由器和代理服务器组成的。典型防火墙的体系结构包括包过滤路由器、双宿主主机、被屏蔽主机网关、被屏蔽子网等。
                      (1)包过滤路由器。又称屏蔽路由器,它是最简单也是最常用的防火墙。它一般作用在网络层,对进出内部网络的所有信息进行分析,并按照一定的安全策略对进出内部网络的信息进行限制。包过滤的核心就是安全策略即包过滤算法的设计。优点在于速度快,实现方便;缺点是安全性差,兼容性差,没有或只有较少的日志记录能力。
                      (2)双宿主主机。它是围绕着至少具有两个网络接口的双宿主主机构成的,每一个接口都连接在物理和逻辑上分离的不同的网段,代理服务器软件在双宿主主机上运行。优点是:堡垒主机运行的系统软件可用于维护系统日志、硬件复制日志、远程日志等,有利于网络管理员的日后检查。缺点是:由于内部网和外部网之间只有一道屏障,双宿主主机首先禁止网络层的路由功能,两个网络之间的通信通过应用代理层来完成,如果一旦黑客侵入堡垒主机并使其具有路由功能,防火墙会变得无用,需要具有强大的身份认证系统,尽量减少防火墙上用户的账户数目,以免堡垒主机被攻破。
                      (3)被屏蔽主机网关。由过滤路由器和应用网关组成。过滤路由器的作用是进行包过滤;应用网关的作用是代理服务,即在内部网络和外部网络之间建立两道安全屏障。优点是安全等级较高,缺点是配置工作复杂。
                      (4)被屏蔽子网。由两个包过滤路由器和一个应用网关组成。优点是:入侵者必须突破3个不同的设备才能侵袭内部网络;由于外部路由器只能向Internet通告DMZ网络的存在,Internet上的系统不需要有路由器与内部网络相对;内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet等。
 
       安全需求
        1)安全需求概述
        网络安全性包括对物理产品的布局和对过程的操作,合理的物理产品布局与安全设置可以保护网络和系统的完整性、可行性及可靠性。现代的网络安全性是把基本的网络安全性概念运用在分布式网络环境中。网络安全性的目的是对资源的保护,目前还没有彻底的解决方法。
        安全设计包括安全服务和实施两方面。原则上讲,每一个网络系统都具有独立和通用的安全协议,而基于安全服务的安全信息则是存放在管理信息库(MIB)中的,只有授权人员或系统才可访问、修改或删除这些机密信息。通过对网络易损点的识别,可使这些易损点得到保护和监控,要确保安全,应采取一种分层管理策略。
        安全性策略的3个属性定义为保密性、完整性和可信性。信息损失通常由以下原因引起:更改、破坏和泄露。对网络安全构成威胁的形式有很多,而且它们经常导致网络失常和重要信息的毁坏。
        采取何种安全措施需要视用户需要而定,不同单位或一个单位的不同部门要求的安全等级往往是有差异的,并不是安全等级越高越好,较高的安全等级意味着额外的系统开销和高昂的费用。
        2)安全性标准
        网络系统是否达到一定的安全性主要依照相关的安全性标准来判断,最早的信息系统安全性标准由美国国防部颁布的黄皮书(TC-SEC-NCSC,可信计算机系统)规定。该手册将IT系统划分为A(A1)、B(B1、B2、B3)、C(C1、C2)、D(D1)4类,共7个安全等级。
        (1)D类安全等级。D类安全等级只包括D1一个级别,D1的安全等级最低,它只为文件和用户提供安全保护。D1系统最常见的形式是本地操作系统,或者是一个完全没有保护的网络。
        (2)C类安全等级。C类安全等级能够提供审慎的保护,并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。
        (3)B类安全等级。B类安全等级可划分为Bl、B2和B3三类。B类系统具有强制性保护功能,这就意味着如果用户没有与安全等级相连,系统就不会让用户存取对象。
        (4)A类安全等级。A类系统的安全级别最高。目前,A类安全等级只包含A1一个安全类别。A1类与B3类相似,对系统的结构和策略不作特别要求。A1系统的显著特征是:系统的设计者必须按照一个正式的设计规范来分析系统。对系统进行分析后,设计者必须运用核对技术来确保系统符合设计规范。A1系统必须满足下列要求:系统管理员必须从开发者那里接收一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行;系统管理员进行的每一步安装操作都必须有正式文档。
        欧洲等价的分类手册是ITSEC(信息技术安全评估标准)。与美国的黄皮书类似,ITSEC标准目录将IT系统划分为7个安全等级(E0~E6),这些等级与黄皮书中的各个等级大致对应。
 
       系统安全
        华为EulerOS通过了公安部信息安全技术操作系统安全技术要求四级认证。EulerOS能够提供可配置的加固策略、内核级OS安全能力等各种安全技术以防止入侵,保障客户的系统安全。
   题号导航      2016年下半年 软件设计师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第9题    在手机中做本题