2013年下半年《网络规划设计师（论文）》真题

试卷预览

1 问答题 1分

随着网络技术的飞速发展和普及，无线网络也逐步发展起来，近年来，无线网络已经成为网络扩展的一种重要方式，人们对无线网络依赖的程度也越来越高。无线网络具有安装简便、可移动性、开放性、高灵活性等特点，这些都为人们带来了极大的方便。但也是正是因为这些特点，决定了无线网络面临许多安全问题，这些安全问题迫使技术人员开发了相应的安全防范技术和方法。

请围绕“无线网络中的安全问题及防范技术”论题，从以下四个方面进行论述。

1．简要论述无线网络面临的安全问题。

2．详细论述针对无线网络主要安全问题的防范技术。

3．详细论述你参与设计和实施的无线网络项目中采用的安全防范方案。

4．分析和评估你所采用的安全防范的效果以及进一步改进的措施。

查看答案 开始考试

正确答案：

本题解析：

随着无线技术运用的日益广泛，无线网络的安全问题越来越受到人们的关注。通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问，而数据加密则保证发射的数据只能被所期望的用户所接收和理解。

对于有线网络来说，访问控制往往以物理端口接入方式进行监控，它的数据输出通过电缆传输到特定的目的地，一般情况下，只有在物理链路遭到破坏的情况下，数据才有可能被泄漏，而无线网络的数据传输则是利用微波在空气中进行辐射传播，因此只要在Access Point (AP)覆盖的范围内，所有的无线终端都可以接收到无线信号，AP无法将无线信号定向到一个特定的接收设备，因此无线的安全保密问题就显得尤为突出。

1、无线安全基本技术

访问控制：利用ESSID、MAC限制，防止非法无线设备入侵。

为了提高无线网络的安全性，在IEEE802.11b协议中包含了一些基本的安全措施，包括：无线网络设备的服务区域认证ID (ESSID)、MAC地址访问控制以及WEP加密等技术。IEEE802.11b利用设置无线终端访问的 ESSID来限制非法接入。在每一个AP内都会设置一个服务区域认证ID ，每当无线终端设备要连上AP时，AP会检查其ESSID是否与自己的ID一致，只有当AP和无线终端的ESSID相匹配时，AP才接受无线终端的访问并提供网络服务，如果不符就拒绝给予服务。利用ESSID，可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题。

另一种限制访问的方法就是限制接入终端的MAC地址以确保只有经过注册的设备才可以接入无线网络。由于每一块无线网卡拥有唯一的MAC地址，在AP内部可以建立一张“MAC地址控制表”（Access Control），只有在表中列出的MAC才是合法可以连接的无线网卡，否则将会被拒绝连接MAC地址控制可以有效地防止未经过授权的用户侵入无线网络。

每一块无线网卡拥有唯一的MAC地址，由厂方出厂前设定，无法更改。AP内部可以建立一张“MAC地址控制表”，只有在表中列出的MAC才是合法可以连接的无线网卡，否则会被拒绝连接。　

使用ESSID和MAC地址限制来控制访问权限的方法相当于在无线网络的入口增加了一把锁，提高了无线网络使用的安全性。在搭建小型无线局域网时，使用该方法最为简单、快捷，网络管理员只需要通过简单的配置就可以完成访问权限的设置，十分经济有效。

2、数据加密：基于WEP的安全解决方案

无线网络安全的另一重要方面数据加密可以通过 WEP(Wired Equivalent Privacy)协议来进行。WEP是IEEE802.11b协议中最基本的无线安全加密措施。WEP是所有经过 WiFiTM认证的无线局域网络产品所支持的一项标准功能，由国际电子与电气工程师协会（IEEE）制定，其主要用途是：

提供接入控制，防止未授权用户访问网络；

WEP加密算法对数据进行加密，防止数据被攻击者窃听；　

防止数据被攻击者中途恶意纂改或伪造。

WEP加密采用静态的保密密钥，各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个Challenge Packet给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存取网络的资源。

利用128位WEP加密，使得数据在无线发射之前进行复杂的编码处理，在接受之后通过反向处理获取原数据。这种加密方式确保数据如果泄漏，也不会暴露数据的原值。　

由于WEP密钥必须通过人工手动设置，因此建议在无线覆盖范围不是很大，终端用户数量不是很多，且对安全要求不是很高的应用环境下使用该技术是最经济且方便的。

3、新一代无线安全技术——IEEE802.11i

在某些场合，如大型企业、银行、证券行业，其现有的网络结构比较复杂且对网络的安全性要求很高，仅使用基本的安全措施并不能完全达到其安全需求。为了进一步加强无线网络的安全性， IEEE802.11工作组目前正在开发作为新的安全标准的“IEEE802.11i”，并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i标准草案中主要包含加密技术：TKIP (Temporal Key Integrity Protocol) 和 AES（Advanced Encryption Standard），以及认证协议：IEEE802.1x。

在 IEEE 802.11i 标准最终确定前，WPA（WiFiTM Protected Access）技术将成为代替WEP的无线安全标准协议，为IEEE 802.11 无线局域网提供更强大的安全性能。WPA是IEEE802.11i的一个子集，其核心就是IEEE802.1x和TKIP。

TKIP：新一代的加密技术TKIP与WEP一样基于RC4加密算法，且对现有的WEP进行了改进，在现有的WEP加密引擎中追加了“密钥细分（每发一个包重新生成一个新的密钥）”、“消息完整性检查（MIC）”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法，极大地提高了加密安全强度。TKIP与当前WiFiTM 产品向后兼容，而且可以通过软件进行升级，AboveCable无线产品完全支持WiFiTM标准，只需要简单的软件升级就可以实现对TKIP的支持。

AES：IEEE 802.11i中还定义了一种基于“高级加密标准”AES的全新加密算法，以实施更强大的加密和信息完整性检查。AES是一种对称的块加密技术，提供比WEP/TKIP中RC4算法更高的加密性能，它将在IEEE 802.11i最终确认后，成为取代WEP的新一代的加密技术，为无线网络带来更强大的安全防护。

端口访问控制技术（IEEE802.1x）和可扩展认证协议（EAP）：IEEE802.1x是一种基于端口的网络接入控制技术，在网络设备的物理接入级对接入设备进行认证和控制。IEEE802.1x可以提供一个可靠的用户认证和密钥分发的框架，可以控制用户只有在认证通过以后才能连接网络。IEEE802.1x本身并不提供实际的认证机制，需要和上层认证协议（EAP）配合来实现用户认证和密钥分发。EAP允许无线终端可以支持不同的认证类型，能与后台不同的认证服务器进行通讯，如远程接入拨入用户服务（RADIUS）。

IEEE802.1x认证过程如下：

1） 无线终端向AP发出请求，试图与AP进行通讯；

2） AP将加密的数据发送给验证服务器进行用户身份认证；

3） 验证服务器确认用户身份后，AP允许该用户接入；

4） 建立网络连接后授权用户通过AP访问网络资源；

2 问答题 1分

云计算是一种网络计算模式，在这种模式下可以随时随地、方便快捷地按需使用互联网上的计算资源。自从2006年Google等公司提出了云计算的构想以来，这种计算模式得到了学术界和工业界的广泛关注，近年来出现了众多研究成果和云计算平台，许多云计算服务已经出现在各种终端应用上。政府和企业都把云计算作为战略竞争的关键技术，在财力和物力上进行了大量的投入。

请围绕“云计算的体系架构和关键技术”论题，从以下三个方面进行论述。

1.通过应用实例解释云计算的基本概念。

2.就下面的分层模型简要描述云计算的体系架构，各个层次包含的主要构件和需要解决的主要问题。

3．选择云计算的关键技术进行深入论述，例如数据存储技术、虚拟化技术、任务调度技术、编程模型等（或者你熟悉的其他技术）。

查看答案 开始考试

正确答案：

本题解析：

1、云计算基本概念

狭义云计算指IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需资源；广义云计算指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关，也可是其他服务。云计算的核心思想，是将大量用网络连接的计算资源统一管理和调度，构成一个计算资源池向用户按需服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的，并且可以随时获取，按需使用，随时扩展，按使用付费。

云计算的产业三级分层：云软件、云平台、云设备。云计算是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机和网络技术发展融合的产物。

云计算常与网格计算、效用计算、自主计算相混淆。事实上，许多云计算部署依赖于计算机集群，也吸收了自主计算和效用计算的特点。通过使计算分布在大量的分布式计算机上，而非本地计算机或远程服务器中，企业数据中心的运行将与互联网更相似。这使得企业能够将资源切换到需要的应用上，根据需求访问计算机和存储系统。好比是从古老的单台发电机模式转向了电厂集中供电的模式。它意味着计算能力也可以作为一种商品进行流通，就像煤气、水电一样，取用方便，费用低廉。最大的不同在于，它是通过互联网进行传输的。

2、云计算的体系架构

云计算的体系结构由5部分组成，分别为应用层，平台层，资源层，用户访问层和管理层，云计算的本质是通过网络提供服务，所以其体系结构以服务为核心。如下图：

（1）资源层

资源池层是指基础架构屋面的云计算服务，这些服务可以提供虚拟化的资源，从而隐藏物理资源的复杂性。物理资源指的是物理设备，如服务器等。服务器服务指的是操作系统的环境，如linux集群等。网络服务指的是提供的网络处理能力，如防火墙，VLAN，负载等。存储服务为用户提供存储能力。

（2）平台层

平台层为用户提供对资源层服务的封装，使用户可以构建自己的应用。数据库服务提供可扩展的数据库处理的能力。中间件服务为用户提供可扩展的消息中间件或事务处理中间件等服务。

（3）应用层

应用层提供软件服务。企业应用是指面向企业的用户，如财务管理，客户关系管理，商业智能等。个人应用指面向个人用户的服务，如电子邮件，文本处理，个人信息存储等。

（4）用户访问层

用户访问层是方便用户使用云计算服务所需的各种支撑服务，针对每个层次的云计算服务都需要提供相应的访问接口。服务目录是一个服务列表，用户可以从中选择需要使用的云计算服务。订阅管理是提供给用户的管理功能，用户可以查阅自己订阅的服务，或者终止订阅的服务。服务访问是针对每种层次的云计算服务提供的访问接口，针对资源层的访问可能是远程桌面或者xwindows，针对应用层的访问，提供的接口可能是web。

（5）管理层

管理层是提供对所有层次云计算服务的管理功能。安全管理提供对服务的授权控制，用户认证，审计，一致性检查等功能。服务组合提供对自己有云计算服务进行组合的功能，使得新的服务可以基于已有服务创建时间。服务目录管理服务提供服务目录和服务本身的管理功能，管理员可以增加新的服务，或者从服务目录中除去服务。服务使用计量对用户的使用情况进行统计，并以此为依据对用户进行计费。服务质量管理提供对服务的性能，可靠性，可扩展性进行管理。部署管理提供对服务实例的自动化部署和配置，当用户通过订阅管理增加新的服务订阅后，部署管理模块自动为用户准备服务实例。服务监控提供对服务的健康状态的记录。

3、云的几项关键技术：

（1）虚拟化技术，包括vmware等虚拟技术。

（2）并行编程模型，MapReduce模式的思想，即Map（映射）和Reduce（化简）就是将业务逻辑复杂的处理调度给处理能力比较高的计算机，将处理能力小的处理给小型的计算机。

（3）海量数据分布存储，包括google的GFS和hadoop。

（4）海量数据管理技术，例如bigtable。