问题
问答题
阅读下列技术说明,根据要求回答问题1~问题5。
[说明]
某学校在原校园网的基础上进行网络升级改造,网络拓扑结构如图4-12所示。其中网管中心位于办公楼第6层,采用动态IP地址及静态IP地址结合的方式进行IP地址的管理和分配。
该学校网络系统在安全设计上采用分层控制方案,将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层。对各层的安全采取不同的技术措施,请将表4-15中(10)~(14)处空缺信息填写完整。
(10)~(14)空缺处供选择的答案:
| A.基于主机的入侵检测系统 | B.RAID技术 |
| C.网络地址转换(NAT)技术 | D.虚拟专用网(VPN)技术 |
| E.用户权限控制 F.IP地址和MAC地址绑定 |
答案
参考答案:
解析:(10)E和F,或用户权限控制、IP地址和MAC地址绑定
(11) D或虚拟专用网(VPN)技术
(12) C或网络地址转换(NAT)技术
(13) B或RAID技术
(14) A或基于主机的入侵检测系统
[要点解析]
在网络安全方面,可以采用多种技术从不同角度来保证该政府机构整个网络的安全。如只采用单纯的防护技术,可能导致对系统的某个或某些方面采取了安全措施,而对其他方面有所忽视的盲目性。因此在该政府机构的网络安全设计上适合采用分层控制方案,将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层,对各层的安全采取不同的技术措施,如表4-16所示。
表4-16 某校园机构网络分层安全控制方案
| 层次 | 安全技术 | 简述 |
| 外部网络传输控制层 | 虚拟专网 (VPN)技术 | 对于从专线连接的外部网络用户,采用VPN技术对架设于公众网络上的私有网络使用信道协议及相关的安全程序进行保密,还可采用点对点协议、加密后送出资料及加密收发两端网络位置等措施使虚拟专网更加可靠 |
| 身份认证技术 | 用于实现通信或数据访问中对对方身份的认可,便于访问控制,授权管理;对于拨号入网的用户进行严格控制,在拨号线路上加装保密机,使无保密机的用户无法拨通;通过用户名和口令认真检查用户身份;利用回拨技术再次确认和限制非法用户的入侵 | |
| 加密技术 | 用于防止信息在传输、存储过程中被泄漏;目前广泛使用的有对称算法和非对称算法两类加密算法,这两种加密算法结合使用,加上数字签名、数字时间戳、数字水印及数字证书等技术可以使通信安全得到保证 | |
| 物理隔离 | 通过物理隔离的方式,在不同网络之间进行转换时,保证计算机的数据在网络之间不被重用 | |
| 内外网间访问控制层 | 防火墙 | 建立在内外网边界上的过滤封锁机制,能够防止外网未经授权地访问内网,能够防止外网对内网的攻击,也能防止内网未经授权地访问外网,提供网络使用状况和流量的审计,隐藏内部IP地址及隐藏网络结构的细节 |
| 防病毒网关 | 基于Internet网关的防病毒软件,可以安装到代理服务器上,以防止Internet病毒及Java程序对网络系统的破坏 | |
| 网络地址转换(NAT)技术 | 是用于将一个地址域(如专用Intranet)映射到另一个地址域(如Internet)的标准方法。NAT允许一个机构专用 | |
| 代理服务器 | Intranet中的主机透明地连接到公共域中的主机,无须内部主机拥有注册的公网IP地址;它能隐藏内部网络结构,达到保密作用,同时,它还可解决IP地址不足的问题 | |
| 安全扫描 | 可以根据设置地址、服务、内容等要素来控制用户的访问,能使内部网络和外部网络间不能直接访问,从而保证内部关键信息的安全,起到节约IP地址资源、减少Internet接入成本、提高访问Internet速度等作用 | |
| 入侵检测 | 通过各种安全扫描软件对系统进行检测与分析,能够及时发现安全漏洞并加以修复,生成安全报告 | |
| 日志审计 | 能够实时应对来自内网已知的攻击,识别非法入侵及其他可疑行为,并给予及时的响应及防护,但对未知的攻击检澜能力较弱,且存在误报率高的缺点。如果能将入侵检测系统和防火墙等其他安全系统进行联动,就能够更加有效地防止网络攻击 | |
| 内部网络访问控制层 | IP地址绑定 | 能够在事件发生时或事件发生后发现安全问题,有助于追查责任,定位故障,恢复系统,但无法在事前发现可能的攻击 |
| 用户的身份认证 | 绑定MAC地址与IP地址是防止内部p盗用的一个常用的、简单的、有效的措施,防止非法用户伪装成合法用户在网络上进行一些非法的行为 | |
| 权限控制 | 用户入网访问控制分为3步,即用户名的验证、用户口令的验证、用户账号的验证。用户口令是入网的关键,必须经过加密,用户还可采用一次一密的方法,另外还可以使用智能卡来验证用户身份。同时,还可将用户与所用的计算机联系起来,使用户用固定的计算机上网,以减少用户的流动性,加强管理 | |
| 加密技术 | 这是针对网络非法操作提出的一种安全保护措施。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资料及用户可执行的操作 为存放秘密信息的服务器加装密码机,对网上传输的秘密信息加密,以实现秘密数据的安全传输 | |
| 客户端安全防护 | 首先,应切断病毒传播的途径,降低感染病毒的风险;其次,使用的浏览器必须确保符合安全标准,使客户端的工作站得到安全保证 | |
| 安全检测 | 使用安全检测和扫描软件对网络设备和客户端工作站进行检测和分析,查找安全漏洞并加以修复,使用防病毒软件进行病毒查找和杀毒工作 | |
| 操作系统及应用软件层 | 加密技术 | 对操作系统中某些重要的文件进行加密,防止非法出版的读取及修改 |
| 采用安全性较高的系统 | 目前大部分操作系统等级处于C2级,应尽量使用C2级的安全措施及功能,对操作系统进行安全配置。在极端重要的系统中,应采用B级操作系统 | |
| 病毒的防范 | 在主机上安装防病毒软件,对病毒进行定时或实时的病毒扫描及检测,对防病毒软件进行及时升级以发现和杀除新型的病毒 | |
| 安全扫描 | 通过对主机进行一系列的设置和扫描,对系统的各个环节提供可靠的分析结果,为系统管理员提供可靠性和安全性分析报告,对系统进行及时升级以弥补漏洞及关闭“后门” | |
| 入侵检测 | 安装基于主机的入侵检测系统,可检查操作系统日志和其他系统特征,判断入侵事件,在非法修改主面时自动作出反应,对已入侵的访问和试图入侵的访问进行跟踪记录,并及时通知系统管理员,使管理员可对网络的各种活动进行实时监视 | |
| 数据存储层 | 数据库安全扫描 | 采用安全扫描软件对数据库进行扫描和检测,为数据库管理系统找出存在的漏洞,以便及时升级系统,弥补漏洞 |
| 使用较安全的数据库系统 | 在重要的系统中,在B级操作系统的基础上采用B级数据库系统 | |
| 加密技术 | 采用加密的方法对保密性高的数据进行存储,并通过连接在服务器或终端机上的加密机完成 | |
| 存储介质的安全 | 可以通过磁盘镜像、磁盘双工、RAID技术等数据维护技术,再配合磁盘备份、光盘备份等技术来做到不会因某个硬盘的损坏而导致系统崩溃、数据丢失等灾难发生 |