某企业最近上线了ERP系统,该系统运行网络环境如图所示。企业信息中心目前拟对该系统相关安全防护体系进行全面安全性测试,以提供全面安全测评报告。
问题1:企业ERP系统上线后,企业主要业务日常运作都高度依赖该系统正常运行,因此ERP系统稳定性与可靠性对企业至关重要。故障恢复与容灾备份措施是提高系统稳定性与可靠性重要因素。对于故障恢复与容灾备份措施,参与测试王工认为应从故障恢复、数据备份和容灾备份等三个方面进行测试。请用300字以内文字,对这三方面测试内容进行简要说明。
问题2:数据库服务器中目前主要存储ERP系统业务数据,后续还需要存储企业网站相关数据,当前ERP系统用户认证方式包含口令认证方式,相应用户权限和口令也存储在数据库二维表中。针对上述实际情况,参与测试李工认为在对数据库权限进行测试时,除数据库账号保护及权限设置相关常规测试外,还必须对敏感数据加密保护及对数据库访问方式进行相应测试。请用200字以内文字,对敏感数据加密保护和数据库访问方式两个方面测试内容进行简要说明。
问题3:为对抗来自外网或内网主动攻击,系统通常会采用多种安全防护策略,请给出四种常见安全防护策略并进行简要解释。结合一种在图中明确标识出安全防护策略机制,说明针对该机制安全测试应包含哪些基本测试点。
问题1:对于故障恢复与容灾备份措施,应从以下三个方面进行测试:
①故障恢复:测试整个ERP系统是否存在单点故障;任何一台设备失效时,能否按照预定义规则实现快速切换;是否采用磁盘镜像技术,实现主机系统到磁盘系统高速连接。
②数据备份:ERP系统关键业务是否具备必要双机热备或磁盘镜像等热备份机制;对于整个ERP业务,是否提供外部存储器备份和恢复机制,保证系统能够根据备份策略恢复到指定时间状态。
③容灾备份:ERP系统是否建立异地容灾备份中心,当主中心发生灾难性事件时,可由备份中心接管所有业务;备份中心是否有足够带宽确保与主中心数据同步,是否有足够处理能力来接管主中心业务,能否确保快速可靠地与主中心应用切换。
敏感数据加密保护和数据库访问方式测试内容为:
①敏感数据加密保护:由于ERP系统用户权限和口令存储在数据库中,因此需要测试相应敏感数据是否采用加密算法进行加密保护。
②数据库访问方式测试:是否为不同应用系统或业务设置不同专门用户用于数据库访问,应杜绝在代码中使用超级用户及默认密码对数据库进行访问。
问题2:安全防护策略是软件系统对抗攻击主要手段,常见安全防护策略有以下四种:
①安全日志:安全曰志用于记录非法用户登录名称、操作时间及内容等信息,以便发现问题并提出解决措施;安全日志仅记录相关信息,不对非法行为做出主动反应,属于被动防护策略;
②入侵检测系统:入侵检测系统是一种主动网络安全防护措施,从系统内部或各种网络资源中主动采集信息,从中分析可能网络入侵或攻击,通常入侵检测系统还应对入侵行为做出紧急响应;
③漏洞扫描:漏洞扫描是对软件系统及网络系统进行与安全相关检测,以找出安全隐患和可被黑客利用漏洞;
④隔离防护:隔离防护是将系统中安全部分与非安全部分进行隔离措施,主要技术手段有防火墙和隔离网闸等,其中防火墙主要用于内网和外网逻辑隔离,而网闸则主要用于实现内网和外网物理隔离。
问题3:图中明确标识出安全防护策略机制为防火墙和入侵检测系统。(可选择防火墙或入侵检测系统中任一机制描述相应安全测试测试点)
针对防火墙测试点:
(1)是否支持交换和路由两种工作模式;
(2)是否支持对FTP、HTTP、SMTP等服务类型访问控制;
(3)是否考虑防火墙冗余设计;
(4)是否支持对日志统计分析功能,日志是否可存储在本地或网络数据库中;
(5)对防火墙或受保护内网非法攻击,是否提供多种告警方式和多种级别告警。
针对入侵检测系统测试点:
①能否在检测到入侵事件时,自动执行切断服务、记录入侵过程、报警等动作;
②是否支持攻击特征信息集中式发布和攻击取证信息分布式上载;
③能否提供多种方式对监视引擎和检测特征进行定期更新;
④内置网络能否使用状态监控工具或网络监听工具。
软件系统安全性是信息安全一个重要组成部分,针对程序和数据安全性测试与评估是软件安全性测试重要内容,本题考查软件安全性测试相关知识。
1.本问题考查故障恢复与容灾备份措施测试内容。
针对故障恢复与容灾备份措施安全性测试一般包括故障恢复、数据备份与容灾备份三个测试点,其包含基本测试内容为:
①故障恢复:整个系统是否存在单点故障;对于关键应用系统,当任何一台设备失效时,能否按照预定义规则实现快速切换;是否采用磁盘镜像技术,实现主机系统到磁盘系统高速连接;
②数据备份:对于关键业务,是否具备必要双机热备或磁盘镜像等热备份机制;对于所有业务,是否提供外部存储器备份和恢复机制,保证系统能够根据备份策略恢复到指定时间状态;
③容灾备份:是否建立异地容灾备份中心,当主中心发生灾难性事件时,可由备份中心接管所有业务;备份中心是否有足够带宽确保与主中心数据同步,是否有足够处理能力来接管主中心业务,能否确保快速可靠地与主中心应用切换。
2.本问题考查考生对数据库权限测试内容理解。
根据本题说明,ERP系统用户权限和口令信息存储在数据库中,因此需要测试相应敏感数据是否采用加密算法进行加密保护:而数据库中还需要存储ERP系统之外其他系统业务数据,因此应为不同应用系统或业务设置不同专门用户用于数据库访问,且应杜绝在代码中使用超级用户及默认密码对数据库进行访问。
3.本问题考查基本安全防护策略相关知识。
安全防护策略是软件系统对抗来自外网或内网主动攻击主要手段,常见安全防护策略包括安全日志、入侵检测、隔离防护与漏洞扫描等,本题首先要求考生对常见安全防护策略有基本理解,了解其基本原理与主要措施。
图中明确标识出安全防护策略机制为防火墙和入侵检测系统,考生可自主选择其中一种,描述对其进行安全性测试时需要完成测试点。
( )a method of obtaining early feedback on requirements by providing aworking model of the expected product before actually building it.
【说明】
某公司现有网络拓扑结构如图1-1所示。该网络中使用交换机SW1为三层交换机,SW2和SW3均为二层智能交换机。
【问题4】(4分)
为了对用户上网行为进行监管,需要在SW1与R1之间部署(9)。
(9)备选答案:
A.FW(防火墙) B.IDS(入侵检测系统) C.堡垒机 D.上网行为管理
随着公司各部门成员增加,某些时候部分员工获取到IP地址和真实DHCP分出来IP不一致,为了避免这种情况可以在交换机上开启(10)功能。
(10)备选答案:
A.dhcp snooping B. broadcast-suppression C. loopback-detect
阅读下列说明,回答问题1至问题5,将解答填入答题纸对应栏内。 【说明】 攻克要塞教育中心在部署计算机网络时采用了一款硬件防火墙,该防火墙带有三个以太网络接口,其网络拓扑如图3-1所示。
【问题1】(8分)
防火墙包过滤规则默认策略为拒绝,表3-1给出防火墙包过滤规则配置。若要求内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23Web服务器,为表中(1)~(4)空缺处选择正确答案,填写在答题纸相应位置。(1)备选答案:A.允许 B.拒绝(2)备选答案:A.192.168.1.0/24 B.211.156.169.6/30 C.202.117.118.23/24(3)备选答案:A.TCP B.UDP C.ICMP(4)备选答案:A.E3E2 B.E1E3 C.E1E2
【问题2】(6分)
内部网络经由防火墙采用NAT方式与外部网络通信,表3-2中(5)~(7)空缺处选择正确答案,填写在答题纸相应位置。(5) 备选答案:A.192.168.1.0/24 B.anyC.202.117.118.23/24(6)备选答案: A.E1 B.E2 C.E3(7)备选答案: A.192.168.1.1 B.210.156.169.6C.211.156.169.6
【问题3】(2分)
图3-1中 (8)适合设置为DMZ区。(8)备选答案:A.区域A B.区域B C.区域C【问题4】(4分)防火墙上配置信息如图3-2所示。要求启动HTTP代理服务,通过HTTP缓存提高浏览速度,代理服务端口为3128,要使主机PC1使用HTTP代理服务,其中“地址”栏中内容应填写为 (9) ,“端口”栏中内容应填写为 (10) 。
【问题5】(4分)
NAT和HTTP代理分别工作在 (11) 和 (12) 。(11)备选答案:A.网络层 B.应用层 C.服务层(12)备选答案:A.网络层 B.应用层 C.服务层
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应解答栏内。
【说明】
某企业采用PIX防火墙保护公司网络安全,网络结构如图4-1所示。
【问题1】(4分)
防火墙一般把网络区域划分为内部区域(trust区域)、外部区域(untrust区域)以及(1),其中在这个网络区域内可以放置一些公开服务器,下列(2)服务器不适合放在该区域。
空(2)备选答案:
A.Web
B.FTP
C.邮件
D.办公自动化(OA)
【问题2】(2分)
衡量防火墙性能主要参数有并发连接数、用户数限制、吞吐量等,其中最重要参数是(3),它反映出防火墙对多个连接访问控制能力和连接状态跟踪能力,这个参数大小直接影响到防火墙所能支持最大信息点数。
空(3)备选答案:
A.并发连接数
B.用户数限制
C.吞吐量
D.安全过滤带宽
【问题3】(4分)
设置防火墙接口名称,并指定安全级别,安全级别取值范围为0~100,数字越大安全级别越高。要求设置:ethemet0命名为外部接口outside,安全级别是0;ethernet1命名为内部接口inside,安全级别是100;ethernet2命名为中间接口dmz,安全级别为50。
请完成下面命令。
…
PLX#config terminal
PLX (config)#nameif ethemet0 (4) security0
PLX (config)#nameif ethernet1 inside (5)
PLX (config)#nameif ethemet2 (6) (7)
…
【问题4】(5分)
编写表4-1中规则,设置防火墙安全规则,允许外网主机133.20.10.10访问内网数据库服务器10.66.1.101,同时允许内网和外网访问DMZ区WWW服务器10.65.1.101。
阅读以下说明,回答问题一,并将解答填入答题纸对应解答栏中。 某公司用ASP 实现了用户满意度调查网页,系统几个主要文件及作用如表1所示, 网页效果如图1 所示。
用户调查数据库表info表结构如表2所示:
问题1:完成下列代码填空
备选答案:A.用户满意度调查 B. rs C. username
D. </frameset> E. dbpathF.Conn G.exec H. top.html I.info J. login.asp K.searchtext L. rs.EOF M. MoveNext N.wt1 O. rowcount
阅读下列有关网络防火墙说明,回答问题1至问题4,将答案填入答题纸对应解答栏内。
【说明】
某公司网络有200台主机、一台WebServer和一台MailServer。为了保障网络安全,安装了一款防火墙,其网络结构如图4-1所示,防火墙上配置NAT转换规则如表4-1所示。
防火墙配置遵循最小特权原则(即仅允许需要数据包通过,禁止其他数据包通过),请根据题意回答以下问题。
【问题1】(6分,每空1分)
防火墙设置缺省安全策略如表4-2所示,该策略含义为:内网主机可以访问WebServer、MailServer和Internet,Intemet主机无法访问内网主机和WebServer、MailServer。
如果要给Internet主机开放WebServerWeb服务以及MaiIServer邮件服务,请补充完成表4-3策略。(注:表4-3策略在表4-2之前生效)
【问题2】(3分,每空1分)
如果要禁止内网用户访问Internet上202.10.20.30FTP服务,请补充完成表4-4策略。
(注:表4-4策略在表4-2之前生效)
问题3】(4分,每空1分)
如果要禁止除PC1以外所有内网用户访问Internet上219.16.17.18Web服务,请补充
完成表4-5策略。(注:表4-5策略在表4-2之前生效)
【问题4】(2分,每空1分)
如果要允许Intemet用户通过Ping程序对WebServer连通性进行测试,请补充完成表4-6策略。(注:表4-6策略在表4-2之前生效)
攻克要塞一个分支机构被分配了一个C类地址192.168.36.0/24,该分支机构现在需要分配IP地址有财务、人力资源、销售、审计、计划、服务六个部门,每个部门一个子网,每个部门机器数量不超过25台。请回答以下问题。
【问题1(6分)
为给这六个部门分配IP地址,请问子网掩码是多少,每个子网有多少个地址,可以分配地址有多少?
【问题2】(3分)
给六个部门分配完地址后,还有多少剩余地址,假设地址是从192.168.36.0开始分配,请列出剩余地址段?
【问题3】(3分)
请问地址192.168.36.111网络地址是多少,该网络广播地址是多少?
【问题4】(3分)
该分支机构采用VLAN实现网段划分,请问常规做法是采用什么网络设备实现VLAN划分和互通?
试题一(23分)阅读下列说明,回答问题1至问题4,将解答填入答题纸对应栏内。 【说明】 DHCP是动态主机配置协议,这个协议用于向计算机自动提供IP地址、子网掩码和路由信息。如果由网络管理员分配局域网上客户机IP地址,则会费时费力且容易出错。因此采用DHCP自动分配地址,这时局域网上客户机会向DHCP服务器请求一个IP地址,然后DHCP服务器为每个请求客户机分配一个地址,直到分配完该范围内所有IP地址为止,已经分配IP地址必须定时地延长租用期。这确保了当客户机设备在正常地释放IP地址之前,如果该客户机突然从网络断开,被分配地址就可以归还给服务器。DHCP配置文件中option(选项)如表1-1所示。
【问题1】(5分)
请根据表1-1中选项,把(1)~(5)填写完整。【问题2】(6分)在Linux系统中有如下3个语句,请分别说出它们所执行任务名称。(1)/etc/rc.d/init.d/dhcpd start。(2)/etc/rc.d/init.d/dhcpd stop。(3)/etc/rc.d/init.d/dhcpd restart。【问题3】(8分)Dhcp客户端发出第一个数据包目标MAC地址是(6),目标IP地址是(7),源MAC地址是(8),源IP地址是(9).【问题4】(4分)简述DHCP协议分配IP地址主要过程?
试题二(13分)
阅读下列说明,回答问题1至问题5,将解答填入答题纸对应栏内。 【说明】 某一网络地址块192.168.75.0中有5台主机A、B、C、D和E,它们IP地址及子网掩码如表4-1所示。
【问题1】(5分)
5台主机A、B、C、D、E分属几个网段?哪些主机位于同一网段?【问题2】(2分)主机D网络地址为多少?【问题3】(2分)若要加入第六台主机F,使它能与主机A属于同一网段,其IP地址范围是多少?【问题4】(2分)若在网络中另加入一台主机,其IP地址设为192.168.75.164,它广播地址是多少?哪些主机能够收到?【问题5】(2分)若在该网络地址块中采用VLAN技术划分子网,何种设备能实现VLAN之间数据转发?
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应解答栏内。【说明】某公司网络拓扑结构如图 3-1 所示。网络规划如表3-1所示。
【问题1】(3分,每空1分)如图3-1所示,防火墙接口GE0/0/0、GE0/0/1和GE0/0/2分属于( 1 )、( 2 )、( 3 )。(1)~(2)备选项:A.trust区域 B.untrust区域 C.DMZ区域 (1)(2)(3) 【问题2】(8分,每空2分)如图3-1所示,ISP1作为公司默认互联网出口。该公司拥有2条出口链路,要保证内网机器能够访问互联网,需要在路由器上配置( 4 ),用户希望服务器网段流量都走ISP2出去,则需要在路由器上配置( 5 ),因为服务器网段IP地址是内网地址,服务器要对Internet提供服务,需要在路由器上配置( 6 ),生产区和办公区访问互联网默认走ISP1出去,需要在路由器上配置( 7 )。(4)~(7)备选项:A.策略路由 B.缺省路由 C. 源NAT D.目NAT (4)(5)(6)(7) 【问题3】(9分,每空1分)生产区和办公区用户流量默认走ISP1出口,服务器区域流量走ISP2出口。请根据描述,将下面配置代码补充完整。R1基本配置略……[R1]interface GigabitEthernet 0/0/1[R1-GigabitEthernet0/0/1]ip address 58.60.36.2 29[R1-GigabitEthernet0/0/1]quit[R1]interface GigabitEthernet 0/0/2[R1-GigabitEthernet0/0/2]ip address ( 8 )[R1-GigabitEthernet0/0/2]quit[R1]interface GigabitEthernet 0/0/0[R1-GigabitEthernet0/0/0]ip address 192.168.200.1 24[R1-GigabitEthernet0/0/0]quit[R1]acl( 9 )[R1-acl-basic-2000]rule permit source 192.168.8.0 (10)[R1-acl-basic-2000]rule permit source 192.168.100.0 0.0.0.255[R1-acl-basic-2000]rule permit source 192.168.200.0 0.0.0.255[R1-acl-basic-2000]quit[R1]acl 2001[R1-acl-basic-2001]rule permit source 192.168.100.0 0.0.0.255[R1-acl-basic-2001]quit[R1]nat address-group 1 58.60.36.3 58.60.36.6[R1]interface GigabitEthernet 0/0/1[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1[R1-GigabitEthernet0/0/1]quit[R1]interface GigabitEthernet 0/0/2[R1-GigabitEthernet0/0/2]nat outbound 2000[R1-GigabitEthernet0/0/2]quit[R1]ip route-static 192.168.8.0 22 ( 11 )[R1]ip route-static 192.168.100.0 24 ( 12 )[R1]ip route-static 0.0.0.0 0 58.60.36.1[R1]ip route-static 0.0.0.0 0 113.250.13.1( 13 )//把ISP2这条链路作为浮动路由,作为应急触发备份路径[R1]traffic classifier (14)[R1-classifier-c1]if-match acl 2001 [R1-classifier-c1]quit[R1]traffic behavior b1[R1-behavior-b1]redirect ip-nexthop 113.250.13.1[R1-behavior-b1]quit[R1]traffic policy p1[R1-trafficpolicy-p1]classifier c1 behavior b1[R1-trafficpolicy-p1]quit[R1]interface ( 15 )[R1-GigabitEthernet0/0/0]traffic-policy p1(16) [R1-GigabitEthernet0/0/0]quit[R1]……(8)-(15) 备选答案A.113.250.13.2 30 B.192.168.200.2 C. GigabitEthernet0/0/0 D. preference 100 E. 192.168.200.3 F. 0.0.3.255 G. 2000 H. c1I. inbound (8)(9)(10)(11)(12)(13)(14)(15)(16)
