某部队院校早期的一卡通建设方案主要为保障校内师生的图书、食宿、医疗等服务,系统包

考试题库2022-08-02  39

问题 某部队院校早期的一卡通建设方案主要为保障校内师生的图书、食宿、医疗等服务,系统包括了一卡通专网建设、一卡通平台建设、一卡通数据中心以及校园门禁与校园网视频监控等内容。行政办公、家属区、食堂、学生宿舍、开水房等营业网点通过汇聚交换机接入核心交换机,服务器及存储设备直接连接核心交换机,网络拓扑结构如图3-1所示。图3-1 部队院校网络拓扑图由于部队的医疗服务具有较高的知名度,经研究决定,扩大一卡通营业范围以方便社会人群的就医,具体安全要求如下:1.新增外部应用网点和分部办事处,通过安全设备来进行远程接入,要求能提供主动、实时的防护,对网络中的数据流进行逐字节的检查,对攻击性的流量进行自动拦截。2.由于互联网的引入,需要相应的安全措施来保障部队院校行政办公的安全。3.需要提供安全审计功能,来识别、存储安全相关行为。【问题1】(8分)依据一卡通业务扩大的需求及安全要求,设计解决方案,画出修改后的网络拓扑结构,并标注采用的硬件设备及相关安全技术。【问题2】(6分)传统的防火墙存在只能对网络层和传输层进行检查,无法阻止内部人员的攻击等缺点。IDS和IPS技术却能在应用层对数据流进行分析,并在网络遭受攻击之前进行报警和响应,针对部署的方式和实现的原理对IDS和IPS进行比较。【问题3】(6分)随着加密、隧道、认证等技术的发展,在Internet上的位于不同地方的两个或多个企业内部网之间建立一条安全的通讯线路,就可以为企业各部门提供安全的网络互联服务。针对该单位网络情况,请给出至少两种新增外部应用网点与公司核心交换机远程接入方案。【问题4】(5分)安全审计能够检测和制止对安全系统的入侵、发现计算机的滥用情况、为系统管理员提供系统运行的日志,从而能发现系统入侵行为和潜在的漏洞和对已经发生的系统攻击行为提供有效的追纠证据。请叙述安全审计的工作流程。

选项

答案

解析 【问题1】(8分)   改造后的拓扑:注:(1)外部网络要求外部网点和分部办事处能提供主动、实时的防护,对网络中的数据流进行安全检查,对攻击性的数据流进行自动拦截,合适的技术为IDS、防火墙。(2)行政办公部门需要保证安全,需采用网闸进行连接。(3)安全审计需要接在核心交换机上,进行审计分析。【问题2】(6分)1、部署方式不同IDS以并联的方式部署,在交换式网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是:服务器区域的交换机上、Internet接入路由器之后的第一台交换机上、重点保护网段的局域网交换机上。IPS部署以串接的方式部署于主干线路上,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。2、工作目标不同入侵检测系统IDS的核心价值在于通过对全网信息的收集、分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统IPS的核心价值在于对数据的深度分析及安全策略的实施—对黑客行为的阻击【问题3】(6分)(1)可采用IPSEC VPN、L2TP VPN、MPLS VPN等方式实现远程接入。(2)端到端的加密技术,通过相关的加密算法,保障传输数据的安全性。【问题4】(5分)安全审计工作流程是:收集来自内核和核外的事件,根据相应的审计条件判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阈值时,则向审计入员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阈值,则将引起该事件的用户逐出系统并记录其内容。
转载请注明原文地址:https://tihaiku.com/congyezige/2399567.html

最新回复(0)