1、软件水平考试(高级)网络规划设计师下午(案例分析)试题-试卷1及答案解析(总分:34.00,做题时间:90 分钟)一、试题一(总题数:1,分数:10.00)阅读下列技术说明,根据要求回答问题 1问题 5。 说明 某学校在原校园网的基础上进行网络升级改造,网络拓扑结构如图 4-12所示。其中网管中心位于办公楼第 6层,采用动态 IP地址及静态 IP地址结合的方式进行 IP地址的管理和分配。 (分数:10.00)(1).网络逻辑结构设计是体现网络规划与设计核心思想的关键阶段。通常,网络逻辑结构设计工作主要包括哪些方面的内容?(分数:2.00)_(2).从表 4-14中为图 4-12中的(1)(5)
2、处选择合适的设备,将设备名称写在答题卡的相应位置上(每一设备限选一次)。 (分数:2.00)_(3).为图 4-12中(6)(9)处选择介质,填写在答题卡的相应位置上。 备选介质(每种介质限选一次): 6类 UTP 超 5类 UTP 双千兆光纤链路 千兆光纤(分数:2.00)_(4).该学校网络系统在安全设计上采用分层控制方案,将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层。对各层的安全采取不同的技术措施,请将表 4-15中(10)(14)处空缺信息填写完整。 (10)(14)空缺处供选择的答案: A基于主机的入侵检测系统 BRAID
3、 技术 C网络地址转换(NAT)技术 D虚拟专用网(VPN)技术 E用户权限控制 FIP 地址和 MAC地址绑定 (分数:2.00)_(5).当该校园网中存在多条路径时,路由协议使用度量值来决定使用哪条路径。在网络规划设计过程中,对路由度量值主要有哪些方面的考虑?(分数:2.00)_二、试题二(总题数:1,分数:8.00)阅读以下关于电子政务系统安全体系结构的技术说明,根据要求回答问题 1问题 4。说明 某城市计划建设电子政务系统,由于经费、政务应用成熟度、使用人员观念等多方面的原因,计划采用分阶段实施的策略来建设电子政务,最先建设急需和重要的部分。在安全建设方面,先投入一部分资金保障关键部门
4、和关键信息的安全,之后在总结经验教训的基础上分 2年逐步完善系统。因此,初步考虑使用防火墙、入侵检测、病毒扫描、日志审计、PKI 技术和服务等保障电子政务的安全。 在一次关于安全的方案讨论会上,张工认为由于政务网对安全性的要求比较高,因此要建设防火墙、入侵检测、病毒扫描、安全扫描、日志审计、网页防篡改、私自拨号检测系统,这样就可以全面保护电子政务系统的安全。李工则认为张工的方案不够全面,还应该在张工提出的方案的基础上,使用 PKI技术,进行认证、机密性、完整性和抗抵赖性保护,使用 FCSAN/IPSAN提供数据安全和快速数据访问。(分数:8.00)(1).请用 300字以内的文字,从网络安全方
5、面,特别针对张工所列举的建设防火墙、入侵检测、安全扫描、日志审计系统进行分析,评论这些措施能够解决的问题和不能解决的问题。(分数:2.00)_(2).请用 250字以内的文字,主要从认证、机密性、完整性和抗抵赖性方面,论述李工的建议在安全上有哪些优点。(分数:2.00)_(3).对于复杂系统的设计与建设,在不同阶段都有很多非常重要的问题需要注意,既有技术因素阻力,又有非技术因素阻力。请结合工程的实际情况,用 200字以内的文字,简要说明使用 PKI还存在哪些重要的非技术因素方面的阻力。(分数:2.00)_(4).请用 300字以内的文字,论述李工所提建议中的 FCSAN和 IPSAN的差别。(
6、分数:2.00)_三、试题三(总题数:1,分数:8.00)阅读以下关于业务持续和灾难恢复的叙述,根据要求回答问题 1问题 3。说明 随着信息系统的深入应用,它在政府或企业中发挥着越来越重要的作用。由此也产生了一些问题:一旦由于故障甚至灾难导致信息系统局部或全部瘫痪,就会对相关的政府或企业造成重大的损失,因此需要业务持续和灾难恢复规划。 业务持续和灾难恢复规划涉及一些特定的或相关的规划,当正常的信息处理业务突然中断时,用来减轻甚至避免其所带来的影响。它们用来保证维持组织运作的关键系统的可用性。 某大型网上书店通过Internet为用户提供网上图书查询及订购等多种服务。由于每天的业务量非常多,因此
7、对业务有持续性要求,并且需要具备灾难恢复功能。在对原有系统的改进方案中提供: (1)对于一些关键应用系统,采用双机冗余热备的方式进行保护。 (2)由于资金问题,公司并不打算建设自己专有的用于备份数据的备份中心(假设这里的备份中心仅用于备份数据),而是决定租用其他公司提供的商业备份中心,每隔一段时间,把公司的业务数据备份到备份中心。(分数:8.00)(1).请用 200字以内的文字,说明双机冗余热备方式主要解决的是系统运行中的哪些问题,以及在选择双机冗余热备产品时通常需要考虑哪些问题。(分数:2.00)_(2).对于关键业务系统,在发生水灾、火灾、地震、爆炸等自然灾害或恐怖事件时,必须保证系统不
8、会因之而瘫痪,称为系统的容灾能力。请用 300字以内的文字简要叙述系统容灾能力和系统备份与恢复之间的差别。(分数:2.00)_(3).请用 300字以内的文字,从技术方面说明备份中心的作用,以及在租用商业备份中心时的注意事项。(分数:2.00)_(4).请用 300字以内的文字,分析公司向备份中心备份数据的时间间隔的选取、公司日常业务系统的运行性能,以及在灾难发生时数据损失情况三者之间的关系。(分数:2.00)_四、试题五(总题数:1,分数:8.00)阅读下列技术说明,根据要求回答问题 1问题 4。说明 某企业计划建设一个企业数据中心,该数据中心支持 A、B、C、D、E 5 项业务,各业务完全
9、独立运行,各项业务运行的操作系统均不相同。在单台某型服务器上,除了为系统开销预留 30%的 CPU占用率之外,各业务在繁忙时段(白天)及非繁忙时段(夜间)的CPU占用率如表 3-14所示。 (分数:8.00)(1).在数据中心中应用虚拟化技术会带来哪些收益?请用 300字以内的文字简要描述,至少给出 3项。(分数:2.00)_(2).李工的方案需要配置几台服务器?应如何设计?(分数:2.00)_(3).为了进一步节省电力,按照李工的方案,非繁忙时段最少只需几台服务器工作即可满足业务负载要求?应如何设计?(分数:2.00)_(4).为保证该企业数据中心在发生各种信息安全事件时,能够从容处理并解决
10、安全事件,要求制订相关的应急预案。请用 250字以内的文字简要描述该应急预案应包括哪些主要内容?(分数:2.00)_软件水平考试(高级)网络规划设计师下午(案例分析)试题-试卷1答案解析(总分:34.00,做题时间:90 分钟)一、试题一(总题数:1,分数:10.00)阅读下列技术说明,根据要求回答问题 1问题 5。 说明 某学校在原校园网的基础上进行网络升级改造,网络拓扑结构如图 4-12所示。其中网管中心位于办公楼第 6层,采用动态 IP地址及静态 IP地址结合的方式进行 IP地址的管理和分配。 (分数:10.00)(1).网络逻辑结构设计是体现网络规划与设计核心思想的关键阶段。通常,网络
11、逻辑结构设计工作主要包括哪些方面的内容?(分数:2.00)_正确答案:(正确答案:网络结构的设计。主要包括局域网结构中数据链路层设备互连方式,广域网结构中网络层设备互连方式等。 物理层技术选择。主要包括缆线类型、网卡的选用。 局域网技术选择与应用。主要考虑 STP、VLAN、WLAN、链路聚合技术、冗余网关协议、线路冗余和负载均衡、服务器冗余与负载均衡等因素。 广域网技术选择与应用。主要考虑城域网远程接入技术(如 ISDN、ADSL 等)、广域网互联技术(如 DDN、SDH、VPN 等)、广域网性能优化等因素。 地址设计和命名模型。主要明确的内容有是否需要公网 IP地址、私有 IP地址和公网
12、IP 地址如何翻译、VLSM 的设计、CIDR 的设计、DNS 的命名设计等。 路由选择协议。主要的考虑因素有动态路由的协议类型、度量、权值排序等;静态路由选择协议;内部与外部路由选择协议:分类与无分类路由选择协议等。 网络管理。主要包含行政管理(如机构的设置、岗位职责和管理制度的制定等)和技术管理(如 NMS、TMS、RMS 和 AMS的选用)。 网络安全。主要的工作内容有机房及物理线路安全、网络安全(如安全域划分、路由交换设备安全策略等)、系统安全(如身份认证、桌面安全管理、系统监控与审计等)、应用安全(如数据库安全、Web 服务安全等)、数据容灾与恢复、安全运维服务体系(如应急预案的制定
13、等)、安全管理体系(如建立安全组织机构等)。 编写逻辑网络设计文档。主要的组成元素有主管人员评价、逻辑网络设计讨论、新的逻辑设计图表、总成本估测、审批部分、修改注释部分等)解析:解析:网络逻辑结构设计的工作任务是基于用户需求中描述的网络行为、性能等要求,根据网络用户的分类、分布形成特定的网络结构。该网络结构大致描述了设备的互联及分布,但是不对具体的物理位置和运行环境进行确定。网络逻辑结构设计过程主要由以下 4个步骤组成:确定逻辑设计目标;网络服务评价;技术选项评价:进行技术决策。 网络逻辑结构设计工作主要包括的内容如下。 网络结构的设计。主要包括局域网结构和广域网结构两个设计部分的内容。其中,
14、局域网结构主要关注数据链路层的设备互连方式,广域网结构主要关注网络层的设备互连方式。 物理层技术选择。主要选择内容包括缆线类型、网卡的选用等。 局域网技术选择与应用。主要考虑生成树协议(STP)、扩展 STP、虚拟局域网(VLAN)、无线局域网(WLAN)、链路聚合技术、冗余网关协议(如 VRRP、HSRP、GLBP 等)、线路冗余和负载均衡、服务器冗余与负载均衡等因素。 广域网技术选择与应用。主要考虑城域网远程接入技术(如 PSTN、ISDN、ADSL 等)、广域网互联技术(如 DDN、SDH、VPN 等)、广域网性能优化等因素。 地址设计和命名模型。在地址设计工作中,主要明确的内容有:是否
15、需要公有地址和私有地址;只需要访问专用网络的主机分布;需要访问公网的主机分布;私有地址和公有地址如何翻译;私有地址和公有地址的边界;VLSM的设计、CIDR 的设计等。网络中的命名工作主要涉及 NetBIOS名字和域名两个方面。 路由选择协议。主要的考虑因素有:动态路由的协议类型;路由选择协议的度量;路由选择协议的顺序(如权值排序等):静态路由选择协议;内部与外部路由选择协议;分类与无分类路由选择协议;层次化与非层次化路由选择协议等。 网络管理。主要包含行政管理和技术管理。行政管理方面主要包含机构的设置、各类相关人员的岗位职责、行政管理制度的制定等。技术管理方面又依据管理技术的层次性划分为 T
16、MS(传输管理系统)、 NMS(网络管理系统)、RMS(资源管理系统)和 AMS(应用管理系统)等。 网络安全。主要的工作内容有:机房及物理线路安全;网络安全(如安全域划分、边界安全策略、路由交换设备安全策略、防火墙安全配置等):系统安全(如身份认证、账尸管理、桌面安全管理、系统监控与审计、病毒防护、访问控制等);应用安全(如数据库安全、电子邮件服务安全、Web 服务安全等)、数据容灾与恢复;安全运维服务体系(如应急预案的制定、系统监控与管理服务等);安全管理体系(如建立安全组织机构、安全管理规章制度的制定等)。 编写逻辑网络设计文档。主要的组成元素有主管人员评价;逻辑网络设计讨论;新的逻辑设
17、计图表;总成本估测;审批部分;修改注释部分等。(2).从表 4-14中为图 4-12中的(1)(5)处选择合适的设备,将设备名称写在答题卡的相应位置上(每一设备限选一次)。 (分数:2.00)_正确答案:(正确答案:(1) Router1 (2) Switch1 (3) Switch2 (4) Switch3 (5) Switch3)解析:解析:这是一道要求读者掌握网络方案设计中设备部署的拓扑结构设计题。基于表 4-14中每一网络设备限选一次的条件,本题的解答思路如下。 由表 4-14中关于路由器设备的性能描述“固定的广域网接口+可选广域网接口,固定的局域网接口”可知,图 4-12中(1)空缺
18、处的网络设备应选择路由器(Router1)。通过 Router1的广域网接口连接到 Internet网,Router1 的 100/1000Base-T/TX局域网接口连接至防火墙的外网接口(即 WAN接口)。 从交换容量、转发性能、可支持接口类型、电源冗余模块等方面对比表 4-14中交换机设备 Switch1、 Switch2、Switch3 可知,设备 Switch1的性能最好,可能是一台三层交换机设备,设备 Switch2的性能次之。 仔细阅读图 4-12的拓扑结构可知, (2)空缺处的网络设备位于校园网核心层,它是校园网内部的核心设备。它至少需要提供一个百兆/千兆电口用于连接至防火墙的
19、内网接口(即 LAN接口),若干个快速以太网电口或光口用于连接至位于办公楼的各楼层交换机和与(2)空缺处网络设备相连接的服务器组。而表 4-14中关于交换机设备 Switch1的性能描述“可支持接口类型:100/1000Base-T、GE、10GE”信息可满足以上网络连接要求,因此由以上分析可知,(2)空缺处的网络设备应选择设备名称为 Switch1的交换机设备。 由图 4-12的拓扑结构可知,该校园网的拓扑结构是一个典型的核心层、汇聚层、接入层的网络拓扑。分别位于图书馆楼及实训楼的(4)、(5)空缺处的网络设备上连至核心层的三层交换机,即(2)空缺处的网络设备,下连至各楼层交换机。考虑到综合
20、布线系统中各大楼建筑物之间通常采用光纤作为传输介质,结合表 4-14中关于交换机设备 Switch3的性能描述“可支持接口类型:FE、GE,24 千兆光口”信息可知,(4)、(5)空缺处的网络设备应选择设备名称为 Switch3的交换机设备。 结合工程经验可知,在如图 4-12所示的拓扑结构中,(3)空缺处的网络设备至少需要提供一个百兆/千兆电口用于连接至防火墙的 DMZ接口,若干个快速以太网电口或光口用于连接与其相连接的服务器组、用户管理器和网络管理计算机。而表 4-14中关于交换机设备 Switch2的性能描述“可支持接口类型: GE,20 百/千兆自适应电口”信息可满足以上网络连接的要求
21、,因此(3)空缺处的网络设备应选择设备名称为 Switch2的交换机设备。(3).为图 4-12中(6)(9)处选择介质,填写在答题卡的相应位置上。 备选介质(每种介质限选一次): 6类 UTP 超 5类 UTP 双千兆光纤链路 千兆光纤(分数:2.00)_正确答案:(正确答案:(6) 双千兆光纤链路 (7) 千兆光纤 (8) 千兆双绞线 (9) 百兆双绞线)解析:解析:这是一道要求读者掌握网络方案设计中传输介质选择的分析设计题。基于每种传输介质限选一次的条件,本题的解答思路如下。 由 IEEE802.3ad工作组制定的链路聚合(Port Trunking)技术,支持IEEE802.3协议,是
22、一种用来在两台核心交换机之间扩大通信吞吐量、提高可靠性的技术。该技术可使交换机之间连接最多 4条负载均衡的冗余连接。当某一台核心层交换机出现故障或核心层交换机与接入层/汇聚层交换机的某一条互连线路出现故障时,系统会将通信业务快速自动切换到另一台正常工作的核心层交换机上。在图 4-12所示的拓扑结构中,(2)空缺处的核心层交换机与原校园网的连接介质建议采用双千兆光纤链路,即(6)空缺处应填入“双千兆光纤链路”。 结合问题 1的要点解析可知,在图 4-12拓扑结构中(3)空缺处的 Switch2交换机设备可支持千兆以太网(GE)接口类型,且有 20个百/千兆自适应电口。综合考虑到与 Switch2
23、交换机相连接的服务器组要求较高的通信性能,因此(8)空缺处的传输介质可选择“千兆双绞线”(如 6类非屏蔽双绞线等)。 同理,由于(3)空缺处的 Switch2交换机设备有 20个百/千兆自适应电口,而位于区域 A中的网络管理计算机与(3)空缺处的交换机设备距离通常不会超过 100m,因此(9)空缺处的传输介质可选择“百兆双绞线”(例如超 5类非屏蔽双绞线等)。 结合工程经验可知,在进行层次化网络方案设计时,应综合考虑到未来的网络应用牵涉到数据、音频、视频传输,为保证传输带宽和质量,通常垂直干线子系统采用多模光纤把各配线间连接到主配线间。在图 4-12所示的拓扑结构中,(2)空缺处的核心层交换机
24、与各楼层交换机的连接介质建议采用千兆光纤,即 (7)空缺处的传输介质可选择“千兆光纤”。(4).该学校网络系统在安全设计上采用分层控制方案,将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层。对各层的安全采取不同的技术措施,请将表 4-15中(10)(14)处空缺信息填写完整。 (10)(14)空缺处供选择的答案: A基于主机的入侵检测系统 BRAID 技术 C网络地址转换(NAT)技术 D虚拟专用网(VPN)技术 E用户权限控制 FIP 地址和 MAC地址绑定 (分数:2.00)_正确答案:(正确答案:(10)E 和 F,或用户权限控制
25、、IP 地址和 MAC地址绑定 (11) D 或虚拟专用网(VPN)技术 (12) C 或网络地址转换(NAT)技术 (13) B 或 RAID技术 (14) A 或基于主机的入侵检测系统)解析:解析:在网络安全方面,可以采用多种技术从不同角度来保证该政府机构整个网络的安全。如只采用单纯的防护技术,可能导致对系统的某个或某些方面采取了安全措施,而对其他方面有所忽视的盲目性。因此在该政府机构的网络安全设计上适合采用分层控制方案,将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层,对各层的安全采取不同的技术措施,如表 4-16所示。(5).当
26、该校园网中存在多条路径时,路由协议使用度量值来决定使用哪条路径。在网络规划设计过程中,对路由度量值主要有哪些方面的考虑?(分数:2.00)_正确答案:(正确答案:对度量值的限制设定。例如,设定基于跳数路由协议的有效路径度量值必须小于 16。 多个路由协议共存时的度量值转换,例如,需要考虑延迟、带宽、可靠性等因素)解析:解析:当网络中存在多条路径时,路由协议使用度量值来决定使用哪条路径。不同的路由选择协议的度量值是不同的,传统路由选择协议以路由器的跳数作为度量值,新一代路由选择协议还将参考延迟、带宽、可靠性及其他因素。 对路由度量值主要存在着两个方面的考虑。一是对度量值的限制设定。例如,设定基于
27、跳数路由协议的有效路径度量值必须小于 16,这些度量值的设定直接决定了网络的连通性和效率。二是多个路由协议共存时的度量值转换。路由器上可能会运行多个协议,不同的路由协议对路径的度量值不同,设计人员需要建立起不同度量值之间的映射关系,完成相应的路由重分布设计,让多个路由选择协议之间相互补充。二、试题二(总题数:1,分数:8.00)阅读以下关于电子政务系统安全体系结构的技术说明,根据要求回答问题 1问题 4。说明 某城市计划建设电子政务系统,由于经费、政务应用成熟度、使用人员观念等多方面的原因,计划采用分阶段实施的策略来建设电子政务,最先建设急需和重要的部分。在安全建设方面,先投入一部分资金保障关
28、键部门和关键信息的安全,之后在总结经验教训的基础上分 2年逐步完善系统。因此,初步考虑使用防火墙、入侵检测、病毒扫描、日志审计、PKI 技术和服务等保障电子政务的安全。 在一次关于安全的方案讨论会上,张工认为由于政务网对安全性的要求比较高,因此要建设防火墙、入侵检测、病毒扫描、安全扫描、日志审计、网页防篡改、私自拨号检测系统,这样就可以全面保护电子政务系统的安全。李工则认为张工的方案不够全面,还应该在张工提出的方案的基础上,使用 PKI技术,进行认证、机密性、完整性和抗抵赖性保护,使用 FCSAN/IPSAN提供数据安全和快速数据访问。(分数:8.00)(1).请用 300字以内的文字,从网络
29、安全方面,特别针对张工所列举的建设防火墙、入侵检测、安全扫描、日志审计系统进行分析,评论这些措施能够解决的问题和不能解决的问题。(分数:2.00)_正确答案:(正确答案:防火墙能够防止外网未经授权访问内网,能够防止外网对内网的攻击,也能防止内网未经授权访问外网,仅使用防火墙不能有效地防止内网的攻击 入侵检测系统能够实时应对来自内网已知的攻击,对来知的攻击检测能力较弱,且存在误报率高的缺点 安全扫描能够及时发现安全漏洞,但依赖于相关数据库的实时更新,且不能采取主动防护措施 日志审计能够在事件发生时或事件发生后发现安全问题,有助于追查责任,定位故障,恢复系统,但无法在事前发现可能的攻击)解析:解析
30、:这是一道要求读者掌握防火墙、入侵检测、安全扫描、日志审计系统等常见的网络安全防护技术的应用场合,以及其限制与约束的分析理解题。 保证电子政务的安全运行是电子政务构建与运作过程中的首要问题和核心问题。在本试题中只是列举出了这些技术手段的名称,并没有详细地展开说明,因此对答案的构思需要读者能够根据平时的学习和掌握的知识来总结。对于本题的解答需要读者掌握的知识点如表 5-17所示。(2).请用 250字以内的文字,主要从认证、机密性、完整性和抗抵赖性方面,论述李工的建议在安全上有哪些优点。(分数:2.00)_正确答案:(正确答案:张工方案不能解决政务网中的认证、机密性、完整性和抗抵赖性问题 身份认
31、证能够实现通信或数据访问中对对方身份的认可,便于访问控制,授权管理 机密性防止信息在传输、存储过程中被泄漏 完整性防止对数据进行未授权的创建、修改或破坏,避免通信双方数据一致性受到损坏 抗抵赖性有助于责任追查)解析:解析:这是一道要求读者掌握 PKI技术在认证、机密性、完整性、抗抵赖性方面的优点的综合分析题。本题解答过程中所涉及的知识点如下。 在本试题中提到“李工认为张工的方案不够全面,还应该在张工提出的方案基础上,使用 PKI技术,进行认证、机密性、完整性和抗抵赖性保护”,明确地说明了公钥基础设施(Public Key Infrastructure, PKI)技术主要的适用性,同时也说明防火
32、墙、入侵检测、病毒扫描、安全扫描、日志审计、网页防篡改、私自拨号检测系统都不能全面解决政务网中的认证、机密性、完整性和抗抵赖性问题。 PKI 技术是利用公钥理论和技术建立的提供信息安全服务的基础设施,是国际公认的互联网电子商务的安全认证机制。它利用现代密码学中的公钥密码技术在开放的 Internet网络环境中提供数据加密及数字签名服务的统一的技术框架。利用 PKI可以方便地建立和维护一个可信的网络计算环境,从而使得人们能够在这个无法直接相互面对的环境中确认彼此的身份和所交换的信息。 典型实用的 PKI系统主要由认证机构(CA)、注册机构(RA)、证书库、密钥备份及恢复、PKI 客户端等组成。其
33、中,证书颁发机构(CA)作为 PKI核心的认证中心,由 CA签发的证书是网上用户的电子身份标识;注册机构(RA)则是用户与认证中心的接口,其主要功能是核实证书申请者的身份,它所获证书的申请者身份的准确性是 CA颁发证书的基础;证书库用来存放经 CA签发的证书和证书注销列表 (CRL),为用户和网络应用提供证书及验证证书状态;密钥备份及恢复是密钥管理的主要内容,避免用户由于某些原因将解密数据的密钥丢失,从而使已被加密的密文无法解开的现象,当用户证书生成时,加密密钥即被 CA备份存储,当需要恢复时,用户只需向 CA提出申请,CA 就会为用户自动进行恢复;PKI 客户端的主要功能是使各种网络应用能够
34、以透明、安全、一致、可信的方式与 PKI交互,从而使用户能够方便地使用加密、数字签名等安全服务。 PKI 技术体系作为支持认证、完整性、机密性和抗抵赖性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障。其中,PKI 通过数据证书进行身份认证。证书是一个可信的第三方证明,通过它可以使通信双方安全地进行互相认证,而不用担心对方是假冒的。可见,PKI 的身份认证可实现通信或数据访问中对对方身份的认可,便于访问控制,授权管理。 PKI 技术体系可以在认证的基础上协商一把会话密钥,并用它加密通信数据。因此在电子政务的网络中,密钥恢复是密钥管理的一个重要方面
35、。PKI 能够通过良好的密钥恢复能力,提供可信的、可管理的密钥恢复机制,从而保证网上活动的健康有序发展。可见,PKI 的机密性可用于防止信息在传输、存储过程中被泄漏。 完整性与抗抵赖性是 PKI提供的最基本的服务。一般来说,完整性也可以通过双方协商一个秘密来解决,但当一方有意抵赖时,这种完整性就无法接受第三方的仲裁。而 PKI提供的完整性是可以通过第三方仲裁的,并且这种可以由第三方进行仲裁的完整性是通信双方都不可否认的。“不可否认”可通过 PKI数字签名机制来完成。可见,完整性用于防止对数据进行未授权的创建、修改或破坏,避免通信双方的数据不一致;抗抵赖性有助于事件责任的追查。(3).对于复杂系
36、统的设计与建设,在不同阶段都有很多非常重要的问题需要注意,既有技术因素阻力,又有非技术因素阻力。请结合工程的实际情况,用 200字以内的文字,简要说明使用 PKI还存在哪些重要的非技术因素方面的阻力。(分数:2.00)_正确答案:(正确答案:对所有系统的有关设计、开发、使用、维护、管理等人员进行必要的安全教育,使大家认识到信息安全的重要性 在系统的设计、建设、运行阶段都要投入大量的资金,需充分咨询相关领域的专家 在系统的设计、建设、运行阶段,需要对不同的设计、开发、使用、管理、维护等人员进行针对性的培训 相关法律与法规制度的建立、执行与监督)解析:解析:本问题要求读者能够对实施 PKI时会遇到
37、的非技术方面的阻力有清晰的认识,并简要进行描述。本题解答过程中所涉及的知识点如下。 对所有系统的有关设计、开发、使用、维护、管理等人员进行必要的安全教育,使大家认识到信息安全的重要性。 由于在系统的设计、建设、运行阶段都要投入大量的资金,因此需要充分咨询相关领域的专家。 在系统的设计、建设、运行阶段,需要对不同的设计、开发、使用、管理、维护等人员进行针对性的培训。 相关法律与法规制度的建立、执行与监督。(4).请用 300字以内的文字,论述李工所提建议中的 FCSAN和 IPSAN的差别。(分数:2.00)_正确答案:(正确答案:FCSAN 使用专用光纤通道设备,IPSAN 使用通用的 IP网
38、络及设备,因此 FCSAN 与IPSAN相比传输速度高,但价格比 IPSAN高 相对于 IPSAN,FCSAN 可以承接更多的并发访问用户数,且在稳定性、安全性及高性能等方面有较大优势 基于 iSCSI标准的 IPSAN提供了 initiator与目标端两方面的身份验证(使用 CHAP、SRP、 Kerberos 和 SPKM),能够阻止未经授权的访问,只允许那些可信赖的节点进行访问,可通过 IPSec协议确保其数据的安全性,且 IP SAN比 FC SAN具有更好的伸展性)解析:解析:存储区域网络(SAN)是一个由存储设备和系统部件构成的网络。所有的通信都在一个与应用网络隔离的单独的网络上完
39、成,可以被用来集中和共享存储资源。实现 SAN的硬件基础设施的是光纤通道,用光纤通道构筑的 SAN由 3部分构成:存储和备份设备(包括磁带库、磁盘阵列和光盘库等)、光纤通道网络连接部件(包括主机总线适配卡(HBA)、驱动程序、光缆(线)、集线器、交换机、光纤通道与 SCSI间的桥接器(Bridge)等)和应用和管理软件(包括备份软件、存储资源管理软件和设备管理软件)。 SAN 置于LAN之下,而不涉及 LAN。利用 SAN不仅可以提供大容量的存储数据,而且地域上可以分散,并缓解了大量数据传输对局域网的影响。SAN 的结构允许任何服务器连接到任何存储阵列,不管数据放置在哪里,服务器都可以直接存取
40、所需的数据。 相对于传统的存储架构,SAN 不必宕机或中断与服务器的连接即可增加存储,还可以集中管理数据,从而降低总体拥有成本。利用协议技术,SAN 可以有效地传输数据块。通过支持在存储和服务器之间传输海量数据块,SAN 提供了数据备份的有效方式。 SAN 分为 FCSAN、IPSAN和 IBSAN等。其中,FCSAN 使用专用光纤通道设备,IPSAN 使用通用的 IP网络及设备,因此 FCSAN与IPSAN相比传输速度高,但价格比 IPSAN高。 从应用上来说,相对于 IPSAN,FCSAN 可以承接更多的并发访问用户数。当并发访问存储的用户数不多时,FCSAN 与 IPSAN两者的性能相差
41、无几。但一旦外接用户数呈大规模增长趋势,FCSAN 就显示出其在稳定性、安全性及高性能等方面的优势。在稳定性方面,由于FCSAN使用高效的光纤通道协议,因此大部分功能都是基于硬件来实现的。例如,后端存储子系统的存储虚拟通过带有高性能处理器的专用 RAID 控制器来实现,中间的数据交换层通过专用的高性能 ASIC来进行基于硬件级的交换处理,在主机端通过带有 ASIC芯片的专用 HBA来进行数据信息的处理。因此在大量减少主机处理开销的同时,也提高了整个 FCSAN的稳定性。在安全性方面,FCSAN 是服务器后端的专用局域网络,安全性比较高。 采用 IPSAN可以将 SAN为服务器提供的共享特性及 IP网络的易用性很好地结合在一起,且为用户提供了类似于服务器本地存储的高性能体验。iSCSI 是实现 IPSAN最重要的技术。在iSCSI出现之前,IP 网络与块模式(主要是光纤通道)是两种完全不兼容的技术。由于 iSCSI是运行在TCP/IP之上的块模式协议,它将 IP网络与块模式的优势很好地结合起来,使得 IPSAN的成本低于FCSAN。 基于 iSCSI标准的 IPSAN提供了 initiator与目标端两方面的身份验证(使用CHAP、SRP、Kerberos 和 SPKM),能够阻止未经授权的访问,只允许那些可信赖的节点进行访问,可通过IPSec协议确保其
