试题三
阅读下列说明,回答问题 ,将解答填入答题纸的对应栏内。
【说明】
图3-1为某公司拟建数据中心的简要拓扑图,该数据中心安全规划设计要求符合信息安全等级保护(三级)相关要求。
1.在信息安全规划和设计时,一般通过划分安全域实现业务的正常运行和安全的有 效保障,结合该公司实际情况,数据中心应该合理地划分为 (1) 、 (2)、 (3) 三个安 全域。
2.为了实现不同区域的边界防范和隔离,在图 3-1 的设备①处应部署 (4) 设备, 通过基于 HTTP/HTTPS 的安全策略进行网站等 Web 应用防护,对攻击进行检测和阻 断;在设备②处应部署(5)设备, 通过有效的访问控制策略,对数据库区域进行安 全防护;在设备③处应部署(6)设备,定期对数据中心内服务器等关键设备 进行扫 描,及时发现安全漏洞和威胁,可供修复和完善。
(1)运维管理安全域
(2)应用业务安全域
(3)数据、存储安全域
(4)WAF
(5)数据库防火墙
(6)漏洞扫描设备
信息安全管理一般从安全管理制度、安全管理机构、人员安全管理、系统建设管 理、系统运维管理等方面进行安全管理规划和建设。 其中应急预案制定和演练、安全事件处理属于 (7) 方面; 人员录用、安全教育和培训属于 (8) 方面; 制定信息安 全方针与策略和日常操作规程属于 (9) 方面; 设立信息安全工作领导小组,明确安 全管理职能部门的职责和 分工属于 (10) 方 面。
(7)系统运维管理
(8)人员安全管理
(9)安全管理制度
(10)安全管理机构
随着 DDoS (Distributed Denial of Service,分布式拒绝服务)攻击的技术门槛越来越 低,使其成为网络安全中最常见、最难 防御的攻击之一,其主要目的是让攻击目标无法提 供正常服务。请列举常用的 DDoS 攻击防范方法。
DDoS 攻击防御方法
1. 过滤不必要的服务和端口:可以使用 Inexpress、Express、Forwarding 等工具来过滤不 必要的服务和端口,即在路由器上过滤假 IP。比如 Cisco 公司的 CEF(Cisco Express Forwarding)可以针对封包 Source IP 和 Routing Table 做比较,并加以过滤。只开放服务 端口成为目前很多服务器的流行做法,例如 WWW 服务器那么只开放 80 而将其他所有端口关 闭或在防火墙上做阻止策略。
2. 异常流量的清洗过滤:通过 DDOS 硬件防火墙对异常流量的清洗过滤,通过数据包的规则 过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是 否正常,进一步将异常流量禁止过滤。单台负载每秒可防御 800-927 万个 syn 攻击包。
3. 分布式集群防御:这是目前网络安全界防御大规模 DDOS 攻击的最有效办法。分布式集群 防御的特点是在每个节点服务器配置多个 IP 地址(负载均衡),并且每个节点能承受不低于 10G 的 DDOS 攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另 一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安 全防护角度去影响企业的安全执行决策。
4. 高防智能 DNS:高智能 DNS 解析系统与 DDOS 防御系统的完美结合,为 企业提供对抗新兴安全威胁的超级检测功能。它颠覆了传统一个域名对应一个镜像的做法, 智能根据用户的上网路线将 DNS 解析请求解析到用户所属网络的服务器。同时智能 DNS 解析 系统还有宕机检测功能,随时可将瘫痪的服务器 IP 智能更换成正常服务器 IP,为企业的网 络保持一个永不宕机的服务状态。
DDoS 攻击的网络流量清洗:当发生 DDOS 攻击时,网络监控系统会侦测到网络流量的异常变化并发出报警。在系统自动检测或人工判断之后,可以识别出被攻击的虚拟机公网 IP 地址。这时,可调用系统的防 DDOS 攻击功能接口,启动对相关被攻击 IP 的流量清洗。流量清洗设备会立即接管对该 IP 地址的 所有数据包,并将攻击数据包清洗掉,仅将正常的数据包转发给随后的网络设备。这样,就 能保证整个网络正常的流量通行,而将 DDOS 流量拒之门外。采用云 DDoS 清洗方式,可以为 企业用户带来诸多好处。其表现在不仅可以提升综合防护能力,用户能够按需付费,可弹性 扩展,而且还能够基于大数据来分析预测攻击,同时能够免费升级。对于企业用户来说,则 可实现零运维、零改造。
随着计算机相关技术的快速发展,简要说明未来十年网络安全的主要应用方向。
(1)云安全、大数据安全
(2)物联网安全
(3)区块链安全
(4)人工智能安全
(5)国家关键基础设施安全
(6)生物识别技术及应用安全
(7)关键技术本土化、安全自主可控(芯片、操作系统、国产设备、 国产密码等等)