景优网
全国免费热线: 0731-8855 8546
分享到:微信QQ空间新浪微博腾讯微博人人网
【2012年下】【说明】阅读以下关于一卡通信息化建设平台的叙述,回答问题1至问题4。某...
题目描述

2012年下】【说明】阅读以下关于一卡通信息化建设平台的叙述,回答问题1至问题4。某部队院校早期的一卡通建设方案主要为保障校内师生的图书、食宿、医疗等服务,系统包括了一卡通专网建设、一卡通平台建设、一卡通数据中心以及校园门禁与校园网视频监控等内容。行政办公、家属区、食堂、学生宿舍、开水房等营业网点通过汇聚交换机接入核心交换机,服务器及存储设备直接连接核心交换机,网络拓扑结构如图3-1所示。

1.png

由于部队的医疗服务具有较高的知名度,经研究决定,扩大一卡通营业范围以方便社会人群的就医,具体安全要求如下:1.新增外部应用网点和分部办事处,通过安全设备来进行远程接入,要求能提供主动、实时的防护,对网络中的数据流进行逐字节的检查,对攻击性的流量进行自动拦截。2.由于互联网的引入,需要相应的安全措施来保障部队院校行政办公的安全。3.需要提供安全审计功能,来识别、存储安全相关行为。

【问题1】(8分依据一卡通业务扩大的需求及安全要求,设计解决方案,画出修改后的网络拓扑结构,并标注采用的硬件设备及相关安全技术。

【问题2】(6分)传统的防火墙存在只能对网络层和传输层进行检查,无法阻止内部人员的攻击等缺点。IDS和IPS技术却能在应用层对数据流进行分析,并在网络遭受攻击之前进行报警和响应,针对部署的方式和实现的原理对IDS和IPS进行比较。

【问题3】(6分) 随着加密、隧道、认证等技术的发展,在Internet上的位于不同地方的两个或多个企业内部网之间建立一条安全的通讯线路,就可以为企业各部门提供安全的网络互联服务。针对该单位网络情况,请给出至少两种新增外部应用网点与公司核心交换机远程接入方案。

【问题4】(5分) 安全审计能够检测和制止对安全系统的入侵、发现计算机的滥用情况、为系统管理员提供系统运行的日志,从而能发现系统入侵行为和潜在的漏洞和对已经发生的系统攻击行为提供有效的追纠证据。请叙述安全审计的工作流程。


参考答案与解析

正确答案:【问题1改造后的拓扑: 2.png

(1)外部网点要求外部和分部办事处能提供主动、实时的防护,对网络中的数据流进行逐字节的检查,对攻击性的流量进行自动拦截,合适的技术为IPS.(2)行政办公部门要保障安全,需要采用网闸进行连接。(3)安全审计需接在核心交换机上,进行审计分析。

【问题21、部署方式不同IDS以并联的方式部署,在交换式网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是:服务器区域的交换机上、Internet接入路由器之后的第一台交换机上、重点保护网段的局域网交换机上。IPS部署以串接的方式部署于主干线路上,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。2、工作目标不同入侵检测系统IDS的核心价值在于通过对全网信息的收集、分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统IPS的核心价值在于对数据的深度分析及安全策略的实施对黑客行为的阻击。

【问题31)采用VPN技术,利用公共网络建立私有专用网络,数据通过安全的"加密隧道"在公共网络中传播,连接在internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯链路,就好比架设了一条专线一样。(2)端到端加密技术,通过加密算法,保障传输数据的安全性。

【问题4

安全审计流程如下:

1、记录和搜集有关的审计信息,产生审计数据记录。

2、对数据记录进行安全违反分析,以检查安全违反与安全入侵原因。

3、对其分析产生相应的分析报表。

4、评估系统安全,并提出改进意见。

解析:

这是一道网络安全方面的问题。涉及网络安全拓扑、IDS/IPS、VPN以及安全审计等方面的知识。

【问题1】分析

外部网点要求外部和分部办事处能提供主动、实时的防护,对网络中的数据流进行逐字节的检查,对攻击性的流量进行自动拦截,合适的技术为IPS.

行政办公部门要保障安全,需要采用网闸进行连接。

安全审计需接在核心交换机上,进行审计分析。

改造后的拓扑见参考答案。

【问题2】分析

1、入侵检测系统(IDS)

IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。

我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。

与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求是:IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。

这些位置通常是:

服务器区域的交换机上;

Internet接入路由器之后的第一台交换机上;

重点保护网段的局域网交换机上。

2、入侵防御系统(IPS)

IPS是英文“Intrusion Prevention System”的缩写,中文意思是入侵防御系统。

随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加传统IDS的技术,已经无法应对一些安全威胁。在这种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。

对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。

进行了以上分析以后,我们可以得出结论,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。至于其它区域,可以根据实际情况与重要程度,酌情部署。

入侵检测系统IDS的核心价值在于通过对全网信息的收集、分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统IPS的核心价值在于对数据的深度分析及安全策略的实施—对黑客行为的阻击;入侵检测系统需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据,入侵防御系统则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。

【问题3】分析

Internet上的位于不同地方的两个或多个企业内部网之间建立一条安全的通讯线路,主要的实现技术是采用VPN技术和端到端加密。

【问题4】分析

安全审计工首先收集来自内核和核外的事件,根据相应的审计条件判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阈值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阈值,则将引起该事件的用户逐出系统并记录其内容。

安全审计流程如下:

1、记录和搜集有关的审计信息,产生审计数据记录。

2、对数据记录进行安全违反分析,以检查安全违反与安全入侵原因。

3、对其分析产生相应的分析报表。

4、评估系统安全,并提出改进意见。


相关资料及学习视频
网络VIP学习班 精品视频