【正确答案】改造后的拓扑结构如下：
[*]
说明如下：
(1)带VPN功能的防火墙和分支机构通过IPSEC VPN进行安全的远程连接，可保护数据的机密性、完整性和不可否认性。
(2)采用IPS，串接于主干线路上，对数据流进行主动、实时的逐字节检查，并且可对攻击性流量进行自动拦截。
(3)在行政办公网络交换机上安装IDS，针对于异常流量进行检测，并可实现和防火墙连动。
(4)在汇聚交换机部署审计系统，针对所有进出流量进行审计，便于事后跟踪取证。

【答案解析】这是一道网络安全方面的问题。涉及网络安全拓扑、IDS/IPS、VPN及安全审计等方面的知识。 根据题干要求： (1)新增外部应用网点和分部办事处，通过安全设备来进行远程接入，要求能提供主动、实时的防护，对网络中的数据流进行逐字节的检查，对攻击性的流量进行自动拦截。 可使用防火墙、路由器或专用的VPN设备和分支机构通过IPSEC VPN进行安全的远程连接，可保护数据的机密性、完整性和不可否认性。要求提供主动、实时的防护，并且对数据流进行逐字节检查，可采用IPS(入侵检测系统)，串接于主干线路上，对数据流进行主动、实时的逐字节检查，并且可对攻击性流量进行自动拦截。 (2)由于互联网的引入，需要相应的安全措施来保障部队院校行政办公的安全。 在行政办公网络交换上安装IDS(入侵防御系统)，针对异常流量进行检测，并可实现和防火墙连动。 (3)需要提供安全审计功能，来识别、存储安全相关行为。 在汇聚交换机或核心交换机上部署审计系统，针对所有进出流量进行审计，便于事后跟踪取证。 改造后的拓扑结构见参考答案。

【正确答案】(1)部署方式不同。IDS以并联的方式部署，在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是：服务器区域的交换机上、Internet接入路由器之后的第一台交换机上、重点保护网段的局域网交换机上。 IPS部署以串接的方式部署于主干线路上。在办公网中，至少需要在以下区域部署IPS，即办公网与外部网络的连接部位(入口/出口)、重要服务器集群前端、办公网内部接入层。 (2)工作目标不同。入侵检测系统IDS的核心价值在于通过对全网信息的收集、分析，了解信息系统的安全状况，进而指导信息系统安全建设目标及安全策略的确立和调整，而入侵防御系统IPS的核心价值在于对数据的深度分析及安全策略的实施——对黑客行为的阻击

【答案解析】(1)入侵检测系统(IDS)。IDS是英文“Intraasion Detection Systems”的缩写。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能地发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 我们做一个比喻——假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，它也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。 IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源，尽可能靠近受保护资源。 这些位置通常包括：服务器区域的交换机上、Internet接入路由器之后的第一台交换机上、重点保护网段的局域网交换机上。 (2)入侵防御系统(IPS)。IPS是英文“Intrusion Prevention System”的缩写。目前，随着网络入侵事件的不断增加和黑客攻击技术水平的不断提高，使得传统的防火墙或入侵检测技术已经无法满足现代网络安全的需要，而入侵防护技术的产生正是适应了这种要求。 防火墙是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符合安全策略的数据包。入侵检测技术通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量，但仍然允许某些流量通过，因此，防火墙对于很多入侵攻击仍然无计可施。 IPS是一种主动的、积极的入侵防范及阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。IPS的检测功能类似于IDS，但IPS检测到攻击后会采取行动阻止攻击，可以说IPS是建立在IDS发展的基础上的新生网络安全产品。 IPS倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包都能在IPS设备中被清除掉。 IPS可实现实时检查和阻止入侵的原理是：IPS拥有数目众多的过滤器，它们能够防止各种攻击。当新的攻击手段被发现之后，入侵防护系统就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。如果有攻击者利用第二层(介质访问控制)至第七层(应用)的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对第三层或第四层进行检查，不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查，因而，也就无法发现攻击活动，而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。 针对不同的攻击行为，IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确性。 过滤器引擎集合了流水和大规模并行处理硬件，能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统，不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义，因为传统的软件解决方案必须串行进行过滤检查，会导致系统性能大打折扣。 IPS可分为基于主机的入侵防护、基于网络的入侵防护和基于应用入侵防护。 (1)基于主机的入侵防护。基于主机的入侵防护是一种软件，它位于一台服务器上，并能够阻止网络攻击，保护操作系统和应用。Okena和Entercept Security Technologies的产品在保护服务器，尤其是针对红色代码及Nimda攻击非常有效。基于主机的入侵防护是快速修复服务器安全漏洞的好办法，但是由于在企业内部很多不同的平台上管理安全软件的管理费用非常昂贵，基于主机的入侵防护系统将很难和基于网络的入侵防护一样得到广泛的采用。 基于主机的入侵防护技术可以采用基于事先确定的规则或者可学习的行为分析策略来阻挡恶意服务器或PC行为。基于主机的入侵防护可以阻止攻击者进行缓存溢出攻击、修改注册表，改写动态链接库(Dynamic Link Library, DLL)或者采用其他方法获得操作系统的控制权。 基于主机的入侵防护可以作为截取应用和底层操作系统之间通信的软件“过滤器”，或者作为一个核心更改，比商业操作系统所采用的安全控制更加严格。 (2)基于网络的入侵防护。基于网络的入侵防护系统的优势包括减少了持续监控的重要性、攻击不会造成尖声警报及局面混乱。网络管理员知道红色代码攻击已经成为互联网中的家常便饭。因此，记录这样的攻击并对其做出反应的时间只是浪费。一旦被确认，仅仅是受到影响的任务应该被停止。因此，这样做不但节省了宝贵的资源，还达到了更好的保护效果。 防火墙和网关反病毒系统是第一代基于网络的入侵防护系统的代表。但是防火墙基本上都运行在网络协议层，反病毒系统绝大部分用于进行简单的、应急性的(也就是说不是实时的)、基于签名的防护和阻挡。 一个真正的基于网络的入侵防护系统必须具备以下几点。 ·作为一个在线的网络设备，并能够以线速运行。 ·进行包标准化、汇编和检查。 ·对于数据包采用基于集中方法的规则，包括(起码)协议异常分析，签名分析和行为分析。 ·阻挡恶意的行为，而不是简单重置连接。 为了达到上面的要求，基于网络的入侵防护必须完成对于所有的通信进行深度包检测，并通常会采用特殊目的的硬件来达到千兆级的吞吐量。在服务器上使用软件的方法对于小型企业来说是有效的，基于硬件的方法对于大型企业来说会更合适。但是对于以千兆速度运行的复杂网络，需要特殊应用集成电路和专用网络安全处理器来进行深度包检测，并支持线速阻挡。 (3)基于应用入侵防护。应用入侵防护(Application Intrusion Prevention，AIP)把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。AIP被设计成一种高性能的设备，配置在应用数据的网络链路上，以确保用户遵守设定好的安全策略，保护服务器的安全。NIPS工作在网络上，直接对数据包进行检测和阻断，与具体的主机/服务器操作系统平台无关。 IPS技术特征包括嵌入式运行、深入分析和控制、入侵特征库和高效处理能力。 (1)嵌入式运行：只有以嵌入模式运行的IPS设备才能够实现实时的安全防护，实时阻拦所有可疑的数据包，并对该数据流的剩余部分进行拦截。 (2)深入分析和控制：IPS必须具有深入分析能力，以确定哪些恶意流量已经被拦截，根据攻击类型、策略等来确定哪些流量应该被拦截。 (3)入侵特征库：高质量的入侵特征库是IPS高效运行的必要条件，IPS还应该定期升级入侵特征库，并快速应用到所有传感器。 (4)高效处理能力：IPS必须具有高效处理数据包的能力，对整个网络性能的影响保持在最低水平。 网络入侵防护的特点和优势如下。 (1)在线检查：这种产品被放置到数据流通路上，而不是从switch或者其他设备那里获取数据流。在线系统可以分析并确认包和任务，检查出哪些通信是恶意的，并阻挡相关的数据包流。这对于产品的防护能力非常重要。 (2)陈述签名：为了有效处理千兆级的通信量，必须要采用某些稳定的检查方法。对于特定数据包的通信陈述，包括对于所分析数据包的认识能力。这提供了更大的吞吐量及更短的反应时间，这也是企业应用所需要的。 (3)组合运算法则：没有任何一个运算法则能够单独地在把最多的入侵尝试阻挡在外的同时，并把错误降低到最低的程度。入侵防护系统必须使用多种运算法则的组合。 签名分析是最强大的方法，但是它必须同协议/包异常检测配合使用。 协议/包异常检测关注的是在被认为是有敌意的、恶意的、不寻常的协议或包中的签名，这些协议或包可能是拒绝服务攻击的工具，它可能发送大量的包到目标服务器。使用互联网聊天传递通道来同进行控制的黑客进行通信，该黑客可以指示传递工具开始攻击特定站点。通过采用大量的通信来攻击站点，使该站点瘫痪，不能对合法的连接做出响应。 基于行为的技术没有那么精确，但是却能提供有价值的功能。这种技术包含了对已知通信模式的基准分析，然后建立起报警极限，当异常通信模式变化产生的时候就能够发出警告，如大的数据流量可能意味着拒绝服务攻击。(大流量也可能意味着正常的网络通信。因此，通知可以保持或改变所需要的基础架构改变来满足合法的通信需求。) (4)阻挡恶意通信：一旦一个恶意的行为被确认了之后，就对它进行阻挡，以此来保护目标服务器或设备。日志和警报是这些设备的功能。 IPS面临的挑战主要有3点：一是单点故障，二是性能瓶颈，三是误报和漏报。 设计要求IPS必须以嵌入模式工作在网络中，而这就可能造成瓶颈问题或单点故障。如果IDS出现故障，最坏的情况也就是造成某些攻击无法被检测到，而嵌入式的IPS设备出现问题，就会严重影响网络的正常运转。如果IPS出现故障而关闭，用户就会面对一个由IPS造成的拒绝服务问题，所有客户都将无法访问企业网络提供的应用。 即使IPS设备不出现故障，它仍然是一个潜在的网络瓶颈，不仅会增加滞后时间，而且会降低网络的效率，IPS必须与数千兆或者更大容量的网络流量保持同步，尤其是当加载了数量庞大的检测特征库时，设计不够完善的IPS嵌入设备无法支持这种响应速度。绝大多数高端IPS产品供应商都通过使用自定义硬件(FPGA、网络处理器和ASIC芯片)来提高IPS的运行效率。 误报率和漏报率也需要IPS认真面对。在繁忙的网络当中，如果以每秒需要处理10条警报信息来计算，IPS每小时至少需要处理36000条警报，一天就是864000条。一旦生成了警报，最基本的要求就是IPS能够对警报进行有效处理。如果入侵特征编写得不是十分完善，那么“误报””就有了可乘之机，导致合法流量也有可能被意外拦截。对于实时在线的IPS来说，一旦拦截了“攻击性”数据包，就会对来自可疑攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分，其结果可想而知，这个客户整个会话就会被关闭，而且此后该客户所有重新连接到企业网络的合法访问都会被“尽职尽责”的IPS拦截。 IPS厂商采用各种方式加以解决。一是综合采用多种检测技术，二是采用专用硬件加速系统来提高IPS的运行效率。尽管如此，为了避免IPS重蹈IDS覆辙，厂商对IPS的态度还是十分谨慎的。如NAI提供的基于网络的入侵防护设备提供多种接入模式，其中包括旁路接入方式，在这种模式下运行的IPS实际上就是一台纯粹的IDS设备，NAI希望提供可选择的接入方式来帮助用户实现从旁路监听向实时阻止攻击的自然过渡。 IPS的不足并不会成为阻止人们使用IPS的理由，因为安全功能的融合是大势所趋，入侵防护顺应了这一潮流。对于用户而言，在厂商提供技术支持的条件下，有选择地采用IPS仍不失为一种应对攻击的理想选择。 进行了以上分析以后，我们可以得出结论，办公网中，至少需要在以下区域部署IPS，即办公网与外部网络的连接部位(入口/出口)；重要服务器集群前端；办公网内部接入层。至于其他区域，可以根据实际情况与重要程度酌情部署。 入侵检测系统IDS的核心价值在于通过对全网信息的收集、分析，了解信息系统的安全状况，进而指导信息系统安全建设目标及安全策略的确立和调整，而入侵防御系统IPS的核心价值在于对数据的深度分析及安全策略的实施——对黑客行为的阻击；入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据及内部终端之间传输的数据，入侵防御系统则必须部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。

【正确答案】可采用IPSEC VPN、L2TP VPN、MPLS VPN等方式实现远程接入。

【答案解析】根据VPN所使用的隧道协议类型，VPN隧道可以分为多种类型，主要包括MPLS VPN、GRE隧道、IPSec隧道和L2TP。分别如下： (1)MPLS VPN。在MPLS网络中，边缘路由器对报文打上MPLS标签，网络内部路由器根据标签对报文进行转发。标签报文所经过的路径称为标签交换路径(Label SwitchedPath，LSP)。RFC2547中使用的隧道类型为LSP。如果核心网只提供纯IP功能，而网络边缘的PE路由器具备MPLS功能，可以通过GRE或IPSec替代LSP，在核心网提供三层或二层VPN解决方案。 (2)GRE隧道。GRE隧道使用GRE协议封装原始数据报文，基于公共IP网络实现数据的透明传输。GRE隧道不能配置二层信息，但可以配置IP地址。利用为隧道指定的实际物理接口完成转发。 (3)IPSec隧道。IPSec是IETF制订的一个框架协议，用于保证在Internet上传送数据的安全保密性。IPSec提供传输模式和隧道模式两种操作模式，隧道模式的封装过程为： ①首先为需要通信的两个私有网络地址定义一个IP流，流的建立可以使用IP层以上某个协议的端口； ②定义IPSec隧道的源和目的地址信息，这个源和目的地址是公网信息； ③配置默认路由，下一跳指向IPSec隧道源地址所在链路的对端地址。 ④在进行VPN通信时，所有去往对端VPN的报文在出接口进行IPSec封装，到对端解封装，然后再进行转发。 (4)L2TP。L2TPv2支持PPP方式的二层封装，通过UDP承载。L2TPv2应用于VPDN，只要实现L2TP就可以完成VPDN的功能。L2TP隧道支持拥塞控制和隧道端点验证。 各种类型隧道也可以混合使用，如建立GRE隧道时使用IPSec安全机制可以提高数据的安全性；在L2TP隧道两端建立IPSec安全机制可以保证VPDN的安全性。

【正确答案】安全审计工作流程是：收集来自内核和核外的事件，根据相应的审计条件判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阈值时，则向审计人员发送报警信息并记录其内容。如果事件在一定时间内连续发生，满足逐出系统阈值，则将引起该事件的用户逐出系统并记录其内容。

【答案解析】安全审计工作流程是：收集来自内核和核外的事件，根据相应的审计条件判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阈值时，则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生，满足逐出系统阈值，则将引起该事件的用户逐出系统并记录其内容。 安全审计过程如下： (1)记录和收集有关的审计信息，产生审计数据记录。 (2)对数据记录进行安全违反分析，以检查安全违反与安全入侵原因。 (3)对其分析产生相应的分析报表。 (4)评估系统安全，并提出改进意见。