【计算机类职业资格】高级网络规划设计师下午试题(Ⅰ)-11及答案解析.doc

1、高级网络规划设计师下午试题()-11 及答案解析(总分：125.02，做题时间：90 分钟)一、试题一(总题数：1，分数：25.00)说明Y企业是一家汽车制造公司，随着业务发展，需要将该企业在某城市内的 9家销售公司进行网络互联。目前，该企业所传输的信息量比较少，但要求通信数据传输可靠，网络建设的成本又不能太高。为此，网络部的张总工程师召集部门有关技术骨干讨论企业网络建设问题。在讨论过程中，提出了如下 4种解决方案。(1) 铺设光缆。(2) 采用微波技术。(3) 租用电路专线。(4) 采用 ADSL接入 Internet，并采用 VPN实现销售公司间的网络互联。张总工程师经过仔细考虑，根据企业

2、现状，最终选择了第 4种方案。（分数：25.00）(1).请用 200字以内的文字简要叙述 4种方案的优缺点，并用 300字以内的文字简要说明张总工程师选择第 4种方案的理由。（分数：6.25）_(2).为了提高该公司业务数据的安全性，降低系统风险，张总工程师决定建设一个网络数据备份系统。在网络工程规划与设计过程中，在数据备份与恢复方面应考虑解决哪些主要问题?请用 300字以内的文字简要说明。（分数：6.25）_(3).该公司对其所管辖的所有车队安装 GPS(全球卫星定位系统)相关设备，要求总公司能够查询车辆当前所在的位置并能够将车辆的信息显示在总公司新购建的地理信息系统(GIS)上，并可随时

3、根据需要调度车辆。将 GPS的定位数据传回总公司信息中心，可以采用 GSM(全球移动通信)短信传输和 GPRS(通用无线分组业务)网络传输两种方式。结合公司工程建设的相关需求，说明张总工程师应采用哪种技术。请用 150字以内的文字简要分析采用该技术的理由。（分数：6.25）_(4).请用 150字以内的文字从安全保证角度简要叙述实现 VPN的几种关键技术。（分数：6.25）_二、试题二(总题数：1，分数：25.00)说明某城市计划建设电子政务系统，由于经费、政务应用成熟度、使用人员观念等多方面的原因，计划采用分阶段实施的策略来建设电子政务，最先建设急需和重要的部分。在安全建设方面，先投入一部分

4、资金保障关键部门和关键信息的安全，之后在总结经验教训的基础上分 2年逐步完善系统。因此，初步考虑使用防火墙、入侵检测、病毒扫描、日志审计、PKI 技术和服务等保障电子政务的安全。在一次关于安全的方案讨论会上，张工认为由于政务网对安全性的要求比较高，因此要建设防火墙、入侵检测、病毒扫描、安全扫描、日志审计、网页防篡改、私自拨号检测系统，这样就可以全面保护电子政务系统的安全。李工则认为张工的方案不够全面，还应该在张工提出的方案的基础上，使用 PKI技术，进行认证、机密性、完整性和抗抵赖性保护，使用 FCSAN/IPSAN提供数据安全和快速数据访问。（分数：25.00）(1).请用 300字以内的文

5、字，从网络安全方面，特别针对张工所列举的建设防火墙、入侵检测、安全扫描、日志审计系统进行分析，评论这些措施能够解决的问题和不能解决的问题。（分数：6.25）_(2).请用 250字以内的文字，主要从认证、机密性、完整性和抗抵赖性方面，论述李工的建议在安全上有哪些优点。（分数：6.25）_(3).对于复杂系统的设计与建设，在不同阶段都有很多非常重要的问题需要注意，既有技术因素阻力，又有非技术因素阻力。请结合工程的实际情况，用 200字以内的文字，简要说明使用 PKI还存在哪些重要的非技术因素方面的阻力。（分数：6.25）_(4).请用 300字以内的文字，论述李工所提建议中的 FCSAN和 IP

6、SAN的差别。（分数：6.25）_三、试题三(总题数：1，分数：25.00)说明A公司准备建立一个合同管理和查询系统。该系统由 1台服务器和 100台客户机构成，服务器和客户机之间通过局域网进行通信，服务器通过专线连接到两个交易网关 A和 B。系统构成如图 5-14所示。服务器是对称多处理器系统，操作系统使用虚拟存储。操作系统需要 60MB的主存(假设与 CPU的数量无关)。系统需要处理 4种类型的操作：从交易网关接收数据，完成应用 1到应用 3的操作。服务器直接从交易网关接收数据(该操作被称为接收任务)。应用 l至应用 3需要客户机与服务器协作完成，其中由服务器执行的部分被分别称为应用任务

7、1、应用任务 2和应用任务 3(如表 5-9所示)。对于接收任务，即便是在峰值时间，也必须在 10s内完成，否则数据会丢失。（分数：25.00）(1).要保证在峰值时间应用任务的处理速度仍可接受，服务器所需的最小主存是多少?(单位：MB)（分数：6.25）_(2).在峰值时间，使用单独的 CPU无法保证在规定的时间内完成各种应用。为了解决这个问题，需要增加CPU的数量。计算在这种情况下，服务器上安装的 CPU的最小数量。(注：假设处理速度与 CPU的数量成正比。)（分数：6.25）_(3).如果在服务器和客户机之间采用 TCP/IP协议通信，则在峰值时间，局域网上传输的数据的最小流量是多少?（

8、分数：6.25）_(4).在该系统中是否适合采用 UDP作为服务器与客户机的通信协议?用 150字以内的文字说明原因(可针对不同应用进行讨论)。（分数：6.25）_四、试题四(总题数：1，分数：25.00)说明系统性能调优的关键是首先做好性能故障定位，面对系统中运行在不同平台上的多个服务器、多种应用、大量工作站，以及局域网、广域网和其他类型的网络体系结构，故障点交错，故障定位测试非常复杂。以下是工作流平台系统的性能测试案例描述及结果数据。 测试案例描述：模拟多用户登录工作流平台系统，分别针对工作流 A、B、C 连续创建 20个实例，在单机和集群运行环境下分别对系统进行负载压力性能测试。在单机环

9、境下测试用机与一台应用服务器连在同一台交换机上，压力直接加在一台应用服务器上。在集群环境下测试用机与服务器集群连接在同一台交换机上，压力由负载均衡模块分摊到两台应用服务器上。在单机和集群运行环境中应用服务器和一台数据库服务器连接。 结果数据：在单机运行环境下和在集群运行环境下客户端交易并发执行测试数据分别如表 5-10和表5-11所示。在单机运行环境下，应用服务器资源占用情况如表 5-12所示，数据库服务器资源占用情况如表 5-13所示。在集群运行环境下，两台应用服务器资源占用情况如表 5-14所示，数据库服务器资源占用情况如表 5-15所示。（分数：25.00）(1).在单机运行环境和集群运

10、行环境下，系统能够提供的客户端并发性能服务等级哪种更好?为什么?（分数：6.25）_(2).系统应用服务器和数据库服务器资源使用情况如何?是否有瓶颈存在?单机运行环境和集群运行环境相比，哪种环境下资源占用率更高?为什么?随着系统并发负载的加大，试预测哪种环境下资源占用率递增更快。（分数：6.25）_(3).集群对系统性能有哪些贡献?有哪些弊端?该系统是否应该采用此集群部署策略?（分数：6.25）_(4).假设该工作流平台系统去年全年处理“税票录入”交易约 100万笔，考虑到 3年后交易量递增到每年 200万笔。假设每年交易量集中在 8个月，每个月 20个工作日，每个工作日 8小时，试采用 80

11、/20原理估算系统服务器高峰期“税票录入”的交易吞吐量(tans/s)。（分数：6.25）_五、试题五(总题数：1，分数：25.00)说明某企业应用 L2TPv2协议部署企业的虚拟专用网(VPN)，以方便企业的 VIP用户及出差员工通过公共Internet安全地访问企业内部 LAN资源，其网络拓扑结构如图 5-15所示。该 VPN网络结构中，远程客户将访问具有 IPSec功能的安全远程访问服务器(SRAS)。该节点既是 NAS服务的 PPP终端，又是进入企业专用网的安全网关节点。（分数：25.02）(1).在 Internet上捕获并分析如图 5-15所示的网络中两个内部网络经由 Intern

12、et通信的 L2TPv2数据帧，请从以下 4个选项中选择正确的答案填写到图 5-16的(1)(4)空缺处的相应位置。*（分数：4.17）_(2).在如图 5-15所示的拓扑结构中，LAC(L2TP Access Concentrator)和 LNS(L2TP Network Server)的功能分别在哪些设备上实现?（分数：4.17）_(3).在图 5-15的企业网中，在 VPN接入过程中 L2TPv2、IPSec 各起什么作用?（分数：4.17）_(4).假设在 LAC路由器上运行 show vpdn命令，路由器软件系统输出的配置信息如图 5-17所示。结合图 5-15所示的网络拓扑结构，请

13、将(5)(9)空缺处填写完整，完成在 LAC上对 L2TPv2协议的相关配置。*Router_LAC(config)#vpdn enableRouter_LAC(config)# (5) (创建相应 vpdn组，并进入该组的配置模式)(6) (接受对端发起 L2TP通道连接请求，并根据 virtualtemplate 1创建 virtual-access接口)Router_LAC(config-vpdnl)# (7) (启用 L2TP通道验证功能)Router_LAC(config-vpdnl)#12tp tunnel password! abcd1234!(8) Router_LAC(con

14、fig)# (9) (创建并进入相应的 L2TP虚接口模板)(其他配置略)（分数：4.17）_(5).L2TPv2在控制连接建立过程中，在 tunne1的两个端点之间进行 CHAP安全认证。如果要对 PPPoE用户进行重认证，则必须在哪个位置进行设置?通常使用哪条配置命令完成该设置?（分数：4.17）_(6).对图 5-15的网络首次进行 L2TPv2协议配置后，发现 tunne1可以建立起来，而 session却始终建立不起来。此时应着重从哪些方面检查相关的网络配置?（分数：4.17）_高级网络规划设计师下午试题()-11 答案解析(总分：125.02，做题时间：90 分钟)一、试题一(总题

15、数：1，分数：25.00)说明Y企业是一家汽车制造公司，随着业务发展，需要将该企业在某城市内的 9家销售公司进行网络互联。目前，该企业所传输的信息量比较少，但要求通信数据传输可靠，网络建设的成本又不能太高。为此，网络部的张总工程师召集部门有关技术骨干讨论企业网络建设问题。在讨论过程中，提出了如下 4种解决方案。(1) 铺设光缆。(2) 采用微波技术。(3) 租用电路专线。(4) 采用 ADSL接入 Internet，并采用 VPN实现销售公司间的网络互联。张总工程师经过仔细考虑，根据企业现状，最终选择了第 4种方案。（分数：25.00）(1).请用 200字以内的文字简要叙述 4种方案的优缺点

16、，并用 300字以内的文字简要说明张总工程师选择第 4种方案的理由。（分数：6.25）_正确答案：(1各种方案的优缺点如下。铺设光缆：传输速度快，专用性突出；重复投资，工程施工难度大，审批难度大采用微波技术：施工简单；成本高，不够稳定租用电路专线：专用性突出，传输速度有保证；费用高ADSL 接入：成本较低且便于安装，较适用于小型企业，适用地域广；带宽受限。使用 VPN可提高数据传输的安全性2采用第 4种方案的理由：采用 ADSL可实现点对多点，同时成本又比较低，较适用于中小型企业；采用VPN可提供数据传输的安全性)解析：解析 这是一道要求读者根据实际应用环境进行各种网络互联方案比较的综合分析题

17、。本试题中各方案的优缺点如表 5-16所示。(2).为了提高该公司业务数据的安全性，降低系统风险，张总工程师决定建设一个网络数据备份系统。在网络工程规划与设计过程中，在数据备份与恢复方面应考虑解决哪些主要问题?请用 300字以内的文字简要说明。（分数：6.25）_正确答案：(应提供本地数据备份与恢复功能，完全数据备份应每天执行一次重要数据应定期从运行的系统中备份到本地存储介质中应制订合理的备份策略(如存储介质的分类、标记，数据备份频率等)建立定期对数据备份策略的实施情况进行检查的制度采用异地备份方式，数据可通过网络系统定时自动备份到异地的磁盘阵列当某些因素引起数据不完整、不连续、不可靠、丧失业

18、务的连续性或者数据库需要重建时就应该进行业务数据的恢复当进行数据恢复时，数据库管理员应填写数据恢复申请表，制订数据恢复计划请主管批准，而后按恢复计划执行恢复操作业务数据恢复之前应仔细做好相关检查对数据恢复工具进行严格控制，尽可能地防止误操作应制订数据恢复预案，并由相关部门备案)解析：解析 这是一道要求读者掌握网络数据备份系统方案设计要点的基本常识题。本题的解答思路如下。网络数据备份系统的目的在于最大限度地降低系统风险，保护网络的数据资源，在系统发生灾难后，能提供一种简捷、有效的手段来恢复整个网络(不仅仅包含数据，而且包含系统参数、环境参数等)。网络数据备份系统与普通数据备份系统的不同之处在于它

19、不仅备份系统中的数据，还备份网络中安装的应用程序、数据库系统、用户设置、系统参数等信息，以便迅速恢复整个网络。对一个大型校园网工程进行网络备份系统设计时，从宏观的角度应考虑解决以下几方面的问题：选择相应的备份系统(或磁盘、光盘、磁带等存储介质)、制订相应的备份策略、建立相应的备份制度、确立备份执行者(或备份执行人)等。具体而言，在数据备份与恢复方面有如下考虑因素。应提供本地数据备份与恢复功能，完全数据备份应每天执行一次。重要数据应定期从运行的系统中备份到本地的光盘、海量磁盘、磁带或磁带库等介质中。应制订合理的备份策略。包括介质的分类、标记、查找方法；介质的使用、维护、保养、销毁；数据备份频率、

20、保存时间等。定期对数据备份策略的实施情况进行检查。采用异地备份方式，数据可通过网络系统定时自动备份到异地的磁盘阵列。当某些因素引起数据不完整、不连续、不可靠、丧失业务的连续性或者数据库需要重建时就应该进行业务数据的恢复。当进行数据恢复时，数据库管理员应填写数据恢复申请表，制订数据恢复计划请主管批准。而后按恢复计划执行恢复操作。业务数据恢复前的检查，即严格审查数据是否已经丧失连续生产的可能；严格审查数据库是否需要重建；严格检查备份介质、备份数据是否有效。对数据恢复工具进行严格控制，尽可能地防止误操作。并且数据的恢复工具应有详细的操作说明、操作步骤及注意事项说明。应制订数据恢复预案，并由相关部门备

21、案。在审查一个网络数据备份系统的实际效果时，需要重点考查两个主要问题：一旦系统遭到破坏，需要用多长时间恢复系统；怎样备份才可能在恢复系统时使得数据损失最少。(3).该公司对其所管辖的所有车队安装 GPS(全球卫星定位系统)相关设备，要求总公司能够查询车辆当前所在的位置并能够将车辆的信息显示在总公司新购建的地理信息系统(GIS)上，并可随时根据需要调度车辆。将 GPS的定位数据传回总公司信息中心，可以采用 GSM(全球移动通信)短信传输和 GPRS(通用无线分组业务)网络传输两种方式。结合公司工程建设的相关需求，说明张总工程师应采用哪种技术。请用 150字以内的文字简要分析采用该技术的理由。（分

22、数：6.25）_正确答案：(GSM 短信适合传输少量数据；数据可靠性好；系统简单，易于实现和维护GPRS传输数据传输价格较低，适合于传输大量数据由于各地 GPRS网络的建设情况不一致，数据传输可靠性没有 GSM短信好；而且 GPRS 数据量不大，因此采用 GSM短信传输较好)解析：解析 这是一道要求读者比较 GSM短信和 GPRS技术特点并根据实际应用需求进行技术选型的分析题。GSM短信系统是一种电路交换系统，适合传输少量的数据，数据可靠性好，系统简单易于实现和维护。GPRS是通用分组无线业务(General Packet Radio Service)的英文简称，它是在现有的 GSM系统上发展

23、出来的一种新数据分组承载业务。它适合于传输大量的数据，传输数据的价格比较低。GSM系统与 GPRS系统最根本的区别是：GSM 是一种电路交换系统，而 GPRS是一种分组交换系统。综合考虑目前的实际情况，由于各地 GPRS网络建设情况不一致，数据传输可靠性没有 GSM短信好，并且本案例中 GPRS所传输的数据量比较少，因此建议采用 GSM短信传输方式。(4).请用 150字以内的文字从安全保证角度简要叙述实现 VPN的几种关键技术。（分数：6.25）_正确答案：(隧道技术：是 VPN的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道，让数据包通过这条通道传输加解密技术：是数据通信中一项

24、较成熟的技术，VPN 可直接利用现有技术；密钥管理技术：其主要任务是保证在公用数据网上安全地传递密钥而不被窃取；身份认证技术；最常用的是使用者名称与密码或卡片式认证等方式)解析：解析 这是一道要求读者掌握 VPN安全关键技术的基本常识题。本题所涉及的知识点如下。虚拟专用网(VPN)指的是依靠 Internet服务提供商(ISP)和其他网络服务提供商(NSP)，在公用网络中建立专用的数据通信网络的技术。其中，“虚拟”是指用户不再需要拥有实际的长途数据线路，而是使用公共Internet的数据线路。“专用网络”是指用户可以为自己制订一个最符合自己需要的网络。目前 VPN技术主要采用隧道技术(Tunn

25、eling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)等技术来保证内部数据在 Internet上的安全传输。隧道技术是 VPN的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道(隧道)，让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第 2、3、4 层隧道协议。第 2层隧道协议是先把各种网络协议封装到 PPP帧中，再把整个数据包装入隧道协议中。第 2层隧道协议有 L2F、PPTP、 L2TP 等。第 3层隧道协议是把各种网络协议直接装入隧道协议中，形成的数

26、据包依靠第 3层协议进行传输。IPSec协议是第 3层隧道协议的典型代表，SSL 协议是第 4层隧道协议的典型代表。加解密技术是数据通信中一项较成熟的技术，VPN 可直接利用现有的对称密码和非对称密码的加解密技术。通过公共 Internet传递的数据进行加密，以确保网络其他未授权的用户无法读取该信息。密钥管理技术的主要任务是保证在公用数据网上安全传递密钥而不被窃取。使用者与设备身份认证技术通常使用用户名和密码认证、卡片式认证或 USB加密狗认证等方式来保证数据的安全传输。二、试题二(总题数：1，分数：25.00)说明某城市计划建设电子政务系统，由于经费、政务应用成熟度、使用人员观念等多方面的原

27、因，计划采用分阶段实施的策略来建设电子政务，最先建设急需和重要的部分。在安全建设方面，先投入一部分资金保障关键部门和关键信息的安全，之后在总结经验教训的基础上分 2年逐步完善系统。因此，初步考虑使用防火墙、入侵检测、病毒扫描、日志审计、PKI 技术和服务等保障电子政务的安全。在一次关于安全的方案讨论会上，张工认为由于政务网对安全性的要求比较高，因此要建设防火墙、入侵检测、病毒扫描、安全扫描、日志审计、网页防篡改、私自拨号检测系统，这样就可以全面保护电子政务系统的安全。李工则认为张工的方案不够全面，还应该在张工提出的方案的基础上，使用 PKI技术，进行认证、机密性、完整性和抗抵赖性保护，使用 F

28、CSAN/IPSAN提供数据安全和快速数据访问。（分数：25.00）(1).请用 300字以内的文字，从网络安全方面，特别针对张工所列举的建设防火墙、入侵检测、安全扫描、日志审计系统进行分析，评论这些措施能够解决的问题和不能解决的问题。（分数：6.25）_正确答案：(防火墙能够防止外网未经授权访问内网，能够防止外网对内网的攻击，也能防止内网未经授权访问外网，仅使用防火墙不能有效地防止内网的攻击入侵检测系统能够实时应对来自内网已知的攻击，对来知的攻击检测能力较弱，且存在误报率高的缺点安全扫描能够及时发现安全漏洞，但依赖于相关数据库的实时更新，且不能采取主动防护措施日志审计能够在事件发生时或事件发

29、生后发现安全问题，有助于追查责任，定位故障，恢复系统，但无法在事前发现可能的攻击)解析：解析 这是一道要求读者掌握防火墙、入侵检测、安全扫描、日志审计系统等常见的网络安全防护技术的应用场合，以及其限制与约束的分析理解题。保证电子政务的安全运行是电子政务构建与运作过程中的首要问题和核心问题。在本试题中只是列举出了这些技术手段的名称，并没有详细地展开说明，因此对答案的构思需要读者能够根据平时的学习和掌握的知识来总结。对于本题的解答需要读者掌握的知识点如表 5-17所示。(2).请用 250字以内的文字，主要从认证、机密性、完整性和抗抵赖性方面，论述李工的建议在安全上有哪些优点。（分数：6.25）_

30、正确答案：(张工方案不能解决政务网中的认证、机密性、完整性和抗抵赖性问题身份认证能够实现通信或数据访问中对对方身份的认可，便于访问控制，授权管理机密性防止信息在传输、存储过程中被泄漏完整性防止对数据进行未授权的创建、修改或破坏，避免通信双方数据一致性受到损坏抗抵赖性有助于责任追查)解析：解析 这是一道要求读者掌握 PKI技术在认证、机密性、完整性、抗抵赖性方面的优点的综合分析题。本题解答过程中所涉及的知识点如下。在本试题中提到“李工认为张工的方案不够全面，还应该在张工提出的方案基础上，使用 PKI技术，进行认证、机密性、完整性和抗抵赖性保护”，明确地说明了公钥基础设施(Public Key I

31、nfrastructure， PKI)技术主要的适用性，同时也说明防火墙、入侵检测、病毒扫描、安全扫描、日志审计、网页防篡改、私自拨号检测系统都不能全面解决政务网中的认证、机密性、完整性和抗抵赖性问题。PKI 技术是利用公钥理论和技术建立的提供信息安全服务的基础设施，是国际公认的互联网电子商务的安全认证机制。它利用现代密码学中的公钥密码技术在开放的 Internet网络环境中提供数据加密及数字签名服务的统一的技术框架。利用 PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们能够在这个无法直接相互面对的环境中确认彼此的身份和所交换的信息。典型实用的 PKI系统主要由认证机构(CA)、

32、注册机构(RA)、证书库、密钥备份及恢复、PKI 客户端等组成。其中，证书颁发机构(CA)作为 PKI核心的认证中心，由 CA签发的证书是网上用户的电子身份标识；注册机构(RA)则是用户与认证中心的接口，其主要功能是核实证书申请者的身份，它所获证书的申请者身份的准确性是 CA颁发证书的基础；证书库用来存放经 CA签发的证书和证书注销列表 (CRL)，为用户和网络应用提供证书及验证证书状态；密钥备份及恢复是密钥管理的主要内容，避免用户由于某些原因将解密数据的密钥丢失，从而使已被加密的密文无法解开的现象，当用户证书生成时，加密密钥即被 CA备份存储，当需要恢复时，用户只需向 CA提出申请，CA 就

33、会为用户自动进行恢复；PKI 客户端的主要功能是使各种网络应用能够以透明、安全、一致、可信的方式与 PKI交互，从而使用户能够方便地使用加密、数字签名等安全服务。PKI 技术体系作为支持认证、完整性、机密性和抗抵赖性的技术基础，从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障。其中，PKI 通过数据证书进行身份认证。证书是一个可信的第三方证明，通过它可以使通信双方安全地进行互相认证，而不用担心对方是假冒的。可见，PKI 的身份认证可实现通信或数据访问中对对方身份的认可，便于访问控制，授权管理。PKI 技术体系可以在认证的基础上协商一把会话密钥，并用它加密通信

34、数据。因此在电子政务的网络中，密钥恢复是密钥管理的一个重要方面。PKI 能够通过良好的密钥恢复能力，提供可信的、可管理的密钥恢复机制，从而保证网上活动的健康有序发展。可见，PKI 的机密性可用于防止信息在传输、存储过程中被泄漏。完整性与抗抵赖性是 PKI提供的最基本的服务。一般来说，完整性也可以通过双方协商一个秘密来解决，但当一方有意抵赖时，这种完整性就无法接受第三方的仲裁。而 PKI提供的完整性是可以通过第三方仲裁的，并且这种可以由第三方进行仲裁的完整性是通信双方都不可否认的。“不可否认”可通过 PKI数字签名机制来完成。可见，完整性用于防止对数据进行未授权的创建、修改或破坏，避免通信双方的

35、数据不一致；抗抵赖性有助于事件责任的追查。(3).对于复杂系统的设计与建设，在不同阶段都有很多非常重要的问题需要注意，既有技术因素阻力，又有非技术因素阻力。请结合工程的实际情况，用 200字以内的文字，简要说明使用 PKI还存在哪些重要的非技术因素方面的阻力。（分数：6.25）_正确答案：(对所有系统的有关设计、开发、使用、维护、管理等人员进行必要的安全教育，使大家认识到信息安全的重要性在系统的设计、建设、运行阶段都要投入大量的资金，需充分咨询相关领域的专家在系统的设计、建设、运行阶段，需要对不同的设计、开发、使用、管理、维护等人员进行针对性的培训相关法律与法规制度的建立、执行与监督)解析：解

36、析 本问题要求读者能够对实施 PKI时会遇到的非技术方面的阻力有清晰的认识，并简要进行描述。本题解答过程中所涉及的知识点如下。对所有系统的有关设计、开发、使用、维护、管理等人员进行必要的安全教育，使大家认识到信息安全的重要性。由于在系统的设计、建设、运行阶段都要投入大量的资金，因此需要充分咨询相关领域的专家。在系统的设计、建设、运行阶段，需要对不同的设计、开发、使用、管理、维护等人员进行针对性的培训。相关法律与法规制度的建立、执行与监督。(4).请用 300字以内的文字，论述李工所提建议中的 FCSAN和 IPSAN的差别。（分数：6.25）_正确答案：(FCSAN 使用专用光纤通道设备，IP

37、SAN 使用通用的 IP网络及设备，因此 FCSAN 与 IPSAN相比传输速度高，但价格比 IPSAN高相对于 IPSAN，FCSAN 可以承接更多的并发访问用户数，且在稳定性、安全性及高性能等方面有较大优势基于 iSCSI标准的 IPSAN提供了 initiator与目标端两方面的身份验证(使用 CHAP、SRP、 Kerberos 和SPKM)，能够阻止未经授权的访问，只允许那些可信赖的节点进行访问，可通过 IPSec协议确保其数据的安全性，且 IP SAN比 FC SAN具有更好的伸展性)解析：解析 存储区域网络(SAN)是一个由存储设备和系统部件构成的网络。所有的通信都在一个与应用网

38、络隔离的单独的网络上完成，可以被用来集中和共享存储资源。实现 SAN的硬件基础设施的是光纤通道，用光纤通道构筑的 SAN由 3部分构成：存储和备份设备(包括磁带库、磁盘阵列和光盘库等)、光纤通道网络连接部件(包括主机总线适配卡(HBA)、驱动程序、光缆(线)、集线器、交换机、光纤通道与 SCSI间的桥接器(Bridge)等)和应用和管理软件(包括备份软件、存储资源管理软件和设备管理软件)。SAN置于 LAN之下，而不涉及 LAN。利用 SAN不仅可以提供大容量的存储数据，而且地域上可以分散，并缓解了大量数据传输对局域网的影响。SAN 的结构允许任何服务器连接到任何存储阵列，不管数据放置在哪里，

39、服务器都可以直接存取所需的数据。相对于传统的存储架构，SAN 不必宕机或中断与服务器的连接即可增加存储，还可以集中管理数据，从而降低总体拥有成本。利用协议技术，SAN 可以有效地传输数据块。通过支持在存储和服务器之间传输海量数据块，SAN 提供了数据备份的有效方式。SAN分为 FCSAN、IPSAN 和 IBSAN等。其中，FCSAN 使用专用光纤通道设备，IPSAN 使用通用的 IP网络及设备，因此 FCSAN与 IPSAN相比传输速度高，但价格比 IPSAN高。从应用上来说，相对于 IPSAN，FCSAN 可以承接更多的并发访问用户数。当并发访问存储的用户数不多时，FCSAN与 IPSAN

40、两者的性能相差无几。但一旦外接用户数呈大规模增长趋势，FCSAN 就显示出其在稳定性、安全性及高性能等方面的优势。在稳定性方面，由于 FCSAN使用高效的光纤通道协议，因此大部分功能都是基于硬件来实现的。例如，后端存储子系统的存储虚拟通过带有高性能处理器的专用 RAID 控制器来实现，中间的数据交换层通过专用的高性能 ASIC来进行基于硬件级的交换处理，在主机端通过带有 ASIC芯片的专用 HBA来进行数据信息的处理。因此在大量减少主机处理开销的同时，也提高了整个 FCSAN的稳定性。在安全性方面，FCSAN 是服务器后端的专用局域网络，安全性比较高。采用 IPSAN可以将 SAN为服务器提供的共享特性及 IP网络的易用性很好地结合在一起，且为用户提供了类似于服务器本地存储的高性能体验。iSCSI 是实现 IPSAN最重要的技术。在 iSCSI出现之前，IP 网络与块模式(主要是光纤通道)是两种完全不兼容的技术。由于 iSCSI是运行在 TCP/IP之上的块模式协议，它将 IP网络与块模式的优势很好地结合起来，使得 IPSAN的成本低于 FCSAN。基于 iSCSI标准的 IPSAN提供了 initiator与目标端两方面的身份验证(使用 CHA