阅读下列说明,回答问题1至问题5,将解答填入答题纸的对应栏内。 【说明】 图3-1是某制造企业网络拓扑,该网络包括制造生产、研发设计、管理及财务、服务器群和销售部等五个部分。该企业通过对路由器的配置、划分VLAN、使用NAT技术以及配置QoS与AC

admin2016-05-11  28

问题 阅读下列说明,回答问题1至问题5,将解答填入答题纸的对应栏内。
【说明】
    图3-1是某制造企业网络拓扑,该网络包括制造生产、研发设计、管理及财务、服务器群和销售部等五个部分。该企业通过对路由器的配置、划分VLAN、使用NAT技术以及配置QoS与ACL等实现对企业网络的安全防护与管理。
    随着信息技术与企业信息化应用的深入融合,一方面提升了企业的管理效率,同时企业在经营中面临的网络安全风险也在不断增加。为了防范网络攻击、保护企业重要信息数据,企业重新制定了网络安全规划,提出了改善现有网络环境的几项要求:
    1.优化网络拓扑,改善网络影响企业安全运行的薄弱环节;
    2.分析企业网络,防范来自外部攻击,制定相应的安全措施;
    3.重视企业内部控制管理,制定技术方案,降低企业重要数据信息的泄露风险;
    4.在保证IT投资合理的范围,解决远程用户安全访问企业网络的问题;
    5.制定和落实对服务器群安全管理的企业内部标准。

【问题1】
    请分析说明该企业现有的网络安全措施是如何规划与部署的,应从哪些角度实现对网络的安全管理。
【问题2】
    请分析说明该企业的网络拓扑是否存在安全隐患,原有网络设备是否可以有效防御外来攻击。
【问题3】
    入侵检测系统(IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。请简要说明该企业部署IDS的必要性以及如何在该企业网络中部署IDS。
【问题4】
    销售部用户接入企业网采用VPN的方式,数据通过安全的加密隧道在公共网络中传播,具有节省成本、安全性高、可以实现全面控制和管理等特点。简要说明VPN采用了哪些安全技术以及主要的VPN隧道协议有哪些。
【问题5】
    请结合自己做过的案例,说明在进行企业内部服务器群的安全规划时需要考虑哪些因素。

选项

答案【问题1】 1.接入交换机上进行访问控制; 2.VLAN技术通过用户隔离,实现对敏感信息的访问进行限制; 3.在边界路由器上配置NAT,屏蔽内网地址信息,降低外部的攻击; 4.边界路由器上配置ACL访问控制列表,可以实现策略控制,进行访问权限控制。 【问题2】 1.制造生产部子网络应该直接接入核心交换机,该网络中当研发部子网络的交换设备故障时将会直接对制造生产部的一线产生影响; 2。在内部网和外部网之间、专用网与公共网之间没有专门的防护设备,不能防御外来攻击; 3.服务器群应设置在防火墙的DMZ区; 4.应当配备IPS设备、流量监控、上网行为管理和网络病毒防护设备; 5.采用网闸物理隔离财务部门和有关涉密部门。 【问题3】 必要性:1.防止内部人员攻击; 2.和防火墙互为补充; 3.攻击发生后的取证。 部署:采用旁路方式接入核心交换机 【问题4】 VPN采用的安全隧道技术包括:加解密技术、密钥管理技术、身份认证技术。 VPN协议有:PPTP、L2PT、IPSec。 【问题5】 1.首先划分信息安全级别 2.依据安全级别,考虑以下内容: (1)DMZ区安全防护 (2)机房的物理安全 (3)主机的系统安全 (4)数据备份机制 (5)安全管理制度

解析 本题考查局域网络安全的相关知识,包括NAT、VLAN、GAP(网闸)、ACL、VPN等的综合运用以及网络安全拓扑的规划、管理等内容。
【问题1】
    该企业现有的网络需要进行多级的安全部署。首先在接入层交换机上进行访问控制;采用VLAN技术通过用户隔离,实现对敏感信息的访问进行限制;在边界路由器上配置NAT,屏蔽内网地址信息,降低外部的攻击;边界路由器上配置ACL访问控制列表,可以实现策略控制,进行访问权限控制。
【问题2】
    该企业现有的网络存在诸多安全隐患:
    1.制造生产部子网络应该直接接入核心交换机,该网络中当研发部子网络的交换设备故障时将会直接对制造生产部的一线产生影响;
    2.在内部网和外部网之间、专用网与公共网之间没有专门的防护设备,不能防御外来攻击;
    3.服务器群应设置在防火墙的DMZ区;
    4.应当配备IPS设备、流量监控、上网行为管理和网络病毒防护设备;
5.采用网闸物理隔离财务部门和有关涉密部门。GAP全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
【问题3】
    入侵检测系统(IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。通常IDS采用旁路方式接入核心交换机,可以和防火墙互为补充,防止内部人员攻击,攻击发生后的取证等。
【问题4】
    VPN(虚拟专用网络)是指在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现,VPN具有成本低,易于使用的特点。主要采用的协议有:在互联网上建立IP虚拟专用网隧道的协议PPTP;建立在点对点协议PPP的基础上,把各种网络协议(IP、IPX等)封装到PPP帧中,再把整个数据帧装入隧道协议L2TP;对IP协议分组进行加密和认证的协议IPSec。
【问题5】
    任何企业在做安全规划时,首先依据需求划分信息安全级别,然后依据安全级别,考虑DMZ区安全防护,机房的物理安全,主机的系统安全,数据备份机制,安全管理制度等等。
转载请注明原文地址:https://kaotiyun.com/show/r1QZ777K
0

最新回复(0)