首页
外语
计算机
考研
公务员
职业资格
财经
工程
司法
医学
专升本
自考
实用职业技能
登录
计算机
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。 [说明] 图3—1是某互联网服务企业网络拓扑,该企业主要对外提供网站消息发布、在线销售管理服务,Web网站和在线销售管理服务系统采用JavaEE开发,中间件使用Weblogic,采用访问控制、
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。 [说明] 图3—1是某互联网服务企业网络拓扑,该企业主要对外提供网站消息发布、在线销售管理服务,Web网站和在线销售管理服务系统采用JavaEE开发,中间件使用Weblogic,采用访问控制、
admin
2017-11-28
62
问题
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
[说明]
图3—1是某互联网服务企业网络拓扑,该企业主要对外提供网站消息发布、在线销售管理服务,Web网站和在线销售管理服务系统采用JavaEE开发,中间件使用Weblogic,采用访问控制、NAT地址转换、异常流量检测、非法访问阻断等网络安全措施。
[问题4]
该企业网络管理员收到某知名漏洞平台转发在线销售管理服务系统的漏洞报告,报告内容包括:
1.利用Java反序列化漏洞,可以上传jsp文件到服务器。
2.可以获取到数据库链接信息。
3.可以链接数据库,查看系统表和用户表,获取到系统管理员登录账号和密码信息,其中登录密码为明文存储。
4.使用系统管理员帐号登录销售管理服务系统后,可以操作系统的所有功能模块。
针对上述存在的多处安全漏洞,提出相应的改进措施。
选项
答案
1.升级该漏洞的补丁 2.数据库链接信息加密保存 3.销售服务系统链接数据库的用户取消查询系统表的权限 4.用户密码信息加密保存 5.系统管理员权限过大,优化用户权限 6.过滤Wleblogic T3协议
解析
本题考查是否具有网络安全管理和解决问题的实际经验,熟悉常用网络安全设备的部署、功能等相关知识。此类题目要求考生对题目给出的网络拓扑结构和漏洞报告进行分析,按照要求回答相关问题。
[问题1]
防火墙一般作为网络边界防护设备,部署在网络的总出口处,本例中应部署在安全设备1的位置;入侵检测系统一般作为旁路部署,进行网络行为检测分析,本例中应部署在安全设备2的位置;入侵防御系统一般部署在业务服务器区域或者重要业务系统的网络出口处,主要进行应用层的安全防护,实时阻断网络攻击,本例中应部署在安全设备3的位置。
[问题2]
根据安全设备的主要功能和防范能力,结合问题2中给出的防范措施,防火墙主要可部署的有访问控制、NAT(网络地址转换)、DDoS攻击检测和阻止;IDS主要可部署的有包检测分析;IPS主要可部署的有异常流量阻断、Web应用防护。剩余的其他防范措施中,上文行为审计一般部署在上网行为管理系统上,数据库审计一般部署在安全审计系统上,服务器负载均衡一般部署在负载均衡系统上,漏洞扫描一般部署在漏洞扫描系统上。本题中,只列出防火墙、IDS、IPS的主要功能,并不是该类设备的全部功能,考生需要注意。
[问题3]
入侵防御系统一般串接在网络中,通过匹配特征库,对入侵活动和攻击性网络流量进行拦截,容易造成单点故障,会影响网络性能,特征库也需要及时更新,同时也存在一定的漏报率和误报率。
[问题4]
1.“利用Java反序列化漏洞,可以上传jsp文件到服务器。”针对该漏洞,应更新java类包,修补漏洞。另外,本例中中间件采用weblogic,而weblogic是通过T3协议来传输序列化的类,并且T3协议和Web协议共用同一个端口,利用Java反序列化漏洞,通过T3协议,很容易实现文件的上传,可以借助负载均衡等设备,只转发http协议,过滤T3协议,实现漏洞的封堵。
2.“可以获取到数据库链接信息。”针对该漏洞,应该加密数据库链接信息,存储在隐蔽位置最好,也可以将数据库链接交由weblogic管理,因为weblogic对数据库链接信息实行加密存储。
3.“可以链接数据库,查看系统表和用户表,获取到系统管理员登录账号和密码信息,其中登录密码为明文存储。”针对该漏洞,应该调整数据库用户权限,取消业务用户访问数据库系统表的权限,同时,数据库中,登录账号、密码等敏感信息要加密存储。
4.“使用系统管理员帐号登录销售管理服务系统后,可以操作系统的所有功能模块。”该漏洞中,系统管理员的权限过大,应该将系统中的管理权限和业务权限分离,优化系统权限管理。
转载请注明原文地址:https://kaotiyun.com/show/d1QZ777K
本试题收录于:
网络规划设计师下午案例分析考试题库软考高级分类
0
网络规划设计师下午案例分析考试
软考高级
相关试题推荐
输入一个整数和一棵二元树。从树的根结点开始往下访问一直到叶结点所经过的所有结点形成一条路径。打印出和与输入整数相等的所有路径。例如输入整数22和如下二元树则打印出两条路径:10,12和10,5,7。二元树结点的数据结构定义为:struct
datagrid.datasouse可以连接什么数据源
设置本地连接添加“Microsoft网络的文件和打印机共享”。
如果WindowsXP不能够识别网络适配器如何安装网络适配器。
设置TCP/IP属性的首选DNS服务器地址202.112.80.106。
设置TCP/IP属性的备用DNS服务器地址202.112.88.31。
在远程服务器中名为“2.10”的文件夹下建立一个新目录,名为fit。
从当前界面开始,到“电话和调制解调器的选项”中,将系统中的标准56000bps调制解调器删除。
在即时通讯工具MSN中,从当前界面开始,把自己的邮箱注册为“Passport”,已知邮箱地址为:ccty@163.com,密码设置为116116,密码提示问题为:你最喜欢的历史人物?毛泽东,注册检查框内的字符按照图片上给的输入,字符输入区分大小写,其余选项
随机试题
A、B两个乡镇分布于山谷两侧,山谷间有一条宽为2km的河道(如下图所示)。当地政府决定在两个乡镇间修建一条跨河公路促进旅游发展。由于架桥费用高昂,所以要求跨河公路中的桥梁路段长度最短。那么根据图中数据,从A镇前往B镇的最短距离为()。
背景资料:S企业是一个制造汽车的中型国有企业,营销人员多是没经过甄选、测评上岗的,人员素质参差不齐。为了适应激烈市场竞争的需要,提高营销队伍的工作绩效和销售业绩,将适合的人放在适合的岗位,对不适合岗位的人员进行培训和开发,S企业决定找专业咨询公司通过素质
关于CT后处理图像放大技术的论述,正确的是
引起呼吸深快的原因应除了
目前国内的个人外汇期权产品为( ),即只有产品期满才可执行,如果汇率出现对您有利的价格,但是产品还未到期,您不能选择执行期权。
下列各句中,没有语病的一项为()。
原始社会的氏族习惯之所以不能称为“法”,原因在于哪些方面?( )
随机存取存储器(RAM)的最大特点是()。
A、 B、 C、 A
Whatarethesepeopleplanningtodo?
最新回复
(
0
)