免费智能真题库 > 历年试卷 > 网络工程师 > 2016年下半年 网络工程师 上午试卷 综合知识
  第68题      
  知识点:   安全需求   安全运行与维护   系统安全
  关键词:   安全需求   网络设计   系统安全   安全   网络   需求        章/节:   网络技术       

 
在网络设计和实施过程中要采取多种安全措施,下面的选项中属于系统安全需求措施的是(68)。
 
 
  A.  设备防雷击
 
  B.  入侵检测
 
  C.  漏洞发现与补丁管理
 
  D.  流量控制
 
 
 

 
  第69题    2016年下半年  
   35%
在网络的分层设计模型中,对核心层工作规程的建议是(69)。
  第19题    2011年上半年  
   23%
通过CATV电缆访问因特网,在用户端必须安装的设备是(19)。
  第70题    2015年下半年  
   20%
在层次化局域网模型中,以下关于核心层的叙述,正确的是(70)。
   知识点讲解    
   · 安全需求    · 安全运行与维护    · 系统安全
 
       安全需求
        1)安全需求概述
        网络安全性包括对物理产品的布局和对过程的操作,合理的物理产品布局与安全设置可以保护网络和系统的完整性、可行性及可靠性。现代的网络安全性是把基本的网络安全性概念运用在分布式网络环境中。网络安全性的目的是对资源的保护,目前还没有彻底的解决方法。
        安全设计包括安全服务和实施两方面。原则上讲,每一个网络系统都具有独立和通用的安全协议,而基于安全服务的安全信息则是存放在管理信息库(MIB)中的,只有授权人员或系统才可访问、修改或删除这些机密信息。通过对网络易损点的识别,可使这些易损点得到保护和监控,要确保安全,应采取一种分层管理策略。
        安全性策略的3个属性定义为保密性、完整性和可信性。信息损失通常由以下原因引起:更改、破坏和泄露。对网络安全构成威胁的形式有很多,而且它们经常导致网络失常和重要信息的毁坏。
        采取何种安全措施需要视用户需要而定,不同单位或一个单位的不同部门要求的安全等级往往是有差异的,并不是安全等级越高越好,较高的安全等级意味着额外的系统开销和高昂的费用。
        2)安全性标准
        网络系统是否达到一定的安全性主要依照相关的安全性标准来判断,最早的信息系统安全性标准由美国国防部颁布的黄皮书(TC-SEC-NCSC,可信计算机系统)规定。该手册将IT系统划分为A(A1)、B(B1、B2、B3)、C(C1、C2)、D(D1)4类,共7个安全等级。
        (1)D类安全等级。D类安全等级只包括D1一个级别,D1的安全等级最低,它只为文件和用户提供安全保护。D1系统最常见的形式是本地操作系统,或者是一个完全没有保护的网络。
        (2)C类安全等级。C类安全等级能够提供审慎的保护,并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。
        (3)B类安全等级。B类安全等级可划分为Bl、B2和B3三类。B类系统具有强制性保护功能,这就意味着如果用户没有与安全等级相连,系统就不会让用户存取对象。
        (4)A类安全等级。A类系统的安全级别最高。目前,A类安全等级只包含A1一个安全类别。A1类与B3类相似,对系统的结构和策略不作特别要求。A1系统的显著特征是:系统的设计者必须按照一个正式的设计规范来分析系统。对系统进行分析后,设计者必须运用核对技术来确保系统符合设计规范。A1系统必须满足下列要求:系统管理员必须从开发者那里接收一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行;系统管理员进行的每一步安装操作都必须有正式文档。
        欧洲等价的分类手册是ITSEC(信息技术安全评估标准)。与美国的黄皮书类似,ITSEC标准目录将IT系统划分为7个安全等级(E0~E6),这些等级与黄皮书中的各个等级大致对应。
 
       安全运行与维护
        网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。广义来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。
        网络安全体系设计的重点在于根据安全设计的基本原则,制定出网络各层次的安全策略和措施,然后确定出应选用什么样的网络安全系统产品。
               网络安全设计原则
               尽管没有绝对安全的网络,但是,如果在网络方案设计之初就遵从一些合理的原则,相应网络系统的安全和保密就更加有保障。从工程技术角度出发,在设计网络方案时,应该遵守以下原则。
               (1)网络信息系统安全与保密的"木桶原则"。
               "木桶的最大容积取决于最短的一块木板"。强调对信息均衡、全面地进行安全保护。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的是"最易渗透原则",即在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测(包括模拟攻击),是设计网络安全系统的必要前提条件。
               (2)网络安全系统的整体性原则。
               强调安全防护、监测和应急恢复。要求在网络发生被攻击的情况下,必须尽可能快地恢复网络信息中心的服务,减少损失。所以网络安全系统应该包括3种机制:安全防护机制、安全监测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取的相应防护措施,避免非法攻击的进行;安全监测机制是监测系统的运行情况,及时发现和制止对系统进行的各种攻击;安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少攻击的破坏程度。
               (3)网络安全系统的有效性与实用性原则。
               网络安全应以不能影响系统的正常运行和合法用户的操作活动为前提。网络中的信息安全和信息利用是一对矛盾:一方面,为健全和弥补系统缺陷的漏洞,会采取多种技术手段和管理措施;另一方面,势必给系统的运行和用户的使用造成负担和麻烦,"越安全就意味着使用越不方便"。尤其在网络环境下,实时性要求很高的业务不能允许安全连接和安全处理造成的时延和数据扩张。如何在确保安全性的基础上,把安全处理的运算量减小或分摊,减少用户的记忆、存储工作和安全服务器的存储量、计算量,是一个亟待解决的问题。
               (4)网络安全系统的"等级性"原则。
               良好的网络安全系统必然是分为不同级别的,包括对信息保密程度分级(绝密、机密、秘密、普密),对用户操作权限分级(面向个人及面向群组),对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面的、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
               (5)设计为本原则。
               强调安全与保密系统的设计应与网络设计相结合。由于安全与保密问题是一个相当复杂的问题,因此必须搞好设计才能保证安全性。
               (6)自主和可控性原则。
               网络安全与保密问题关系着一个国家的主权和安全,所以网络安全产品不能依赖国外进口产品。
               (7)安全有价原则。
               网络系统的设计是受经费限制的。因此在考虑安全问题解决方案时必须考虑性能价格的平衡,而且不同的网络系统所要求的安全侧重点各不相同,如国家政府首脑机关、国防部门计算机网络系统安全侧重于存取控制强度,金融部门侧重于身份认证、审计、网络容错等功能,交通、民航侧重于网络容错等。因此必须有的放矢,具体问题具体分析,把有限的经费用在关键领域。
               网络信息安全设计与实施步骤
               网络信息安全设计与实施步骤如下。
               (1)确定面临的各种攻击和风险。网络安全系统的设计和实现必须根据具体的系统和环境,考察、分析、评估、检测(包括模拟攻击)和确定系统存在的安全漏洞和安全威胁。
               (2)明确安全策略。安全策略是网络安全系统设计的目标和原则,是对应用系统完整的安全解决方案。安全策略要综合以下几方面优化确定。
               ①系统整体安全性,由应用环境和用户需求决定,包括各个安全机制的子系统的安全目标和性能指标。
               ②对原系统的运行造成的负荷和影响(如网络通信时延、数据扩展等)。
               ③便于网络管理人员进行控制、管理和配置。
               ④可扩展的编程接口,便于更新和升级。
               ⑤用户界面的友好性和使用方便性。
               ⑥投资总额和工程时间等。
               (3)建立安全模型。模型的建立可以使复杂的问题简化,更好地解决和安全策略有关的问题。安全模型包括网络安全系统的各个子系统。网络安全系统的设计和实现可以分为安全体制、网络安全连接和网络安全传输3部分。
               ①安全体制,包括安全算法库、安全信息库和用户接口界面。
               a.安全算法库,包括私钥算法库、公钥算法库、Hash函数库、密钥生成程序、随机数生成程序等安全处理算法。
               b.安全信息库,包括用户口令和密钥、安全管理参数及权限、系统当前运行状态等安全信息。
               c.用户接口界面,包括安全服务操作界面和安全信息管理界面等。
               ②网络安全连接,包括安全协议和网络通信接口模块。
               a.安全协议,包括安全连接协议、身份验证协议、密钥分配协议等。
               b.网络通信接口模块。网络通信模块根据安全协议实现安全连接。一般用两种方式实现:安全服务和安全体制在应用层实现,经过安全处理后的加密信息送到网络层和数据链路层,进行透明的网络传输和交换,这种方式的优点是实现简单,不需要对现有系统做任何修改,用户投资数额较小;对现有的网络通信协议进行修改,在应用层和网络层之间加一个安全子层,实现安全处理和操作的自动性和透明性。
               ③网络安全传输,包括网络安全管理系统、网络安全支撑系统和网络安全传输系统。
               a.网络安全管理系统。安全管理系统安装于用户终端或网络节点上,是由若干可执行程序所组成的软件包,提供窗口化、交互化的"安全管理器"界面,由用户或网管人员配置、控制和管理数据信息的安全传输,兼容现有通信网络管理标准,实现安全功能。
               b.网络安全支撑系统。整个网络安全系统的可信方是由网络安全管理人员维护和管理的安全设备和安全信息的总和,包括密钥管理分配中心,负责身份密钥、公开钥和秘密钥等密钥的生成、分发、管理和销毁;认证鉴别中心负责对数字签名等信息进行鉴别和裁决。网络安全支撑系统的物理和逻辑安全都是至关重要的,必须受到最严密和全面的保护。同时,也要防止管理人员内部的非法攻击和误操作,在必要的应用环境,可以引入秘密分享机制来解决这个问题。
               c.网络安全传输系统,包括防火墙、安全控制、流量控制、路由选择和审计报警等。
               (4)选择并实现安全服务。物理层的安全:物理层信息安全,主要防止物理通路的损坏、物理通路的窃听和对物理通路的攻击(干扰等)。
               链路层的安全:链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN(局域网)、加密通信(远程网)等手段。
               网络层的安全:网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。
               操作系统的安全:操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。
               应用平台的安全:应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂,通常采用多种技术来增强应用平台的安全性。
               应用系统的安全:应用系统完成网络系统的最终目的——为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通信内容安全、通信双方的认证和审计等手段。
               (5)安全产品的选型测试。安全产品的选型测试工作严格按照企业信息与网络系统安全产品的功能规范要求,利用综合的技术手段,对参测产品在功能、性能与可用性等方面进行测试,为企业测试出符合功能规范的安全产品。测试工作原则上应该由中立组织进行;测试方法必须科学、准确、公正,必须有一定的技术手段;测试标准应该是国际标准、国家标准与企业信息和网络系统安全产品功能规范的综合;测试范围是产品的功能、性能与可用性。
 
       系统安全
        华为EulerOS通过了公安部信息安全技术操作系统安全技术要求四级认证。EulerOS能够提供可配置的加固策略、内核级OS安全能力等各种安全技术以防止入侵,保障客户的系统安全。
   题号导航      2016年下半年 网络工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第68题    在手机中做本题