網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師

1、網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師 - 其他網(wǎng)絡(luò)安全知識(shí)（ 總分： 9.00 ，做題時(shí)間： 90 分鐘 ）一、 單項(xiàng)選擇題 （ 總題數(shù)： 9，分?jǐn)?shù)： 9.00）PKI CA 認(rèn)證中心的功能不包括 。對業(yè)務(wù)受理點(diǎn)LRA的全面管理向申請者頒發(fā)或拒絕頒發(fā)數(shù)字證書產(chǎn)生和發(fā)布證書廢止列表 （CRE），驗(yàn)證證書狀態(tài)接收并驗(yàn)證最終用戶數(shù)字證書的申請（分?jǐn)?shù)： 1.00 ）VB.C.D.解析： 解析 PKI CA 認(rèn)證中心的主要功能是發(fā)放和管理數(shù)字證書，其中包括接收并驗(yàn)證終端用戶數(shù)字證 書的申請、向申請者頒發(fā)或拒絕頒發(fā)數(shù)字證書、產(chǎn)生和發(fā)布證書廢止列表（CRE）及驗(yàn)證證書狀態(tài)。通常CA認(rèn)證中心采用“統(tǒng)一建設(shè)，分級(jí)管理”的原則分為多層

2、結(jié)構(gòu)，即建立統(tǒng)一的注冊中心（RA）系統(tǒng)。各地市及各行業(yè)可以根據(jù)具體情況申請?jiān)O(shè)置不同層次的下級(jí)RA中心或本地注冊中心（LRA）。RA系統(tǒng)負(fù)責(zé)用戶證書審核，并為LRA系統(tǒng)在各分支機(jī)構(gòu)的分布建設(shè)提供策略支撐。終端用戶可通過LRA業(yè)務(wù)受理點(diǎn)完成證書業(yè)務(wù)的辦理。用戶從CA安全認(rèn)證中心申請自己的證書，并將該證書裝入瀏覽器的主要目的是 。防止第三方偷看傳輸?shù)男畔 驗(yàn)證Web服務(wù)器的真實(shí)性C.保護(hù)自己的計(jì)算機(jī)免受病毒的危害D 防止他人假冒自己（分?jǐn)?shù)： 1.00 ）A.B.C.V解析：解析用戶可以從CA安全認(rèn)證中心申請自己的證書，并把證書裝入瀏覽器，利用它在因特網(wǎng)上表 明自己的身份。某Web網(wǎng)站向CA申請了數(shù)

3、字證書。當(dāng)用戶登錄該網(wǎng)站時(shí)，通過驗(yàn)證 來確認(rèn)該數(shù)字證書的有效性,從而驗(yàn)證該網(wǎng)站的真?zhèn)?。CA的簽名B .網(wǎng)站的簽名 C .會(huì)話密鑰 D . DES密碼（分?jǐn)?shù)： 1.00 ）VB.C.D.解析： 解析 數(shù)字證書能夠驗(yàn)證一個(gè)實(shí)體身份， 而這是在保證數(shù)字證書本身有效性的前提下才能夠?qū)崿F(xiàn)的。 驗(yàn)證數(shù)字證書的有效性是通過驗(yàn)證證書頒發(fā)機(jī)構(gòu)（CA）的簽名實(shí)現(xiàn)的。某Web網(wǎng)站向CA申請了數(shù)字證書。當(dāng)用戶登錄該網(wǎng)站時(shí)，通過驗(yàn)證 CA對其的簽名來確認(rèn)該數(shù)字證書的有效性，從而驗(yàn)證該網(wǎng)站的真?zhèn)巍＝?，某大中型企業(yè)決定“量身”開發(fā)一套適合本企業(yè)應(yīng)用業(yè)務(wù)特點(diǎn)及網(wǎng)絡(luò)運(yùn)行規(guī)律的網(wǎng)絡(luò)安全審計(jì)系 統(tǒng)，希望該系統(tǒng)能夠有選擇地記錄任何

4、通過網(wǎng)絡(luò)對應(yīng)用系統(tǒng)進(jìn)行的操作并對其進(jìn)行實(shí)時(shí)與事后分析和處理； 具備入侵實(shí)時(shí)阻斷功能，同時(shí)不對應(yīng)用系統(tǒng)本身的正常運(yùn)行產(chǎn)生任何影響，能夠?qū)徲?jì)數(shù)據(jù)進(jìn)行安全的保 存；保證記錄不被非法刪除和篡改。該企業(yè)的安全審計(jì)系統(tǒng)最適合采用 。（1）A 基于網(wǎng)絡(luò)旁路監(jiān)控的審計(jì) B 基于應(yīng)用系統(tǒng)獨(dú)立程序的審計(jì)C.基于網(wǎng)絡(luò)安全入侵檢測的預(yù)警系統(tǒng)D 基于應(yīng)用系統(tǒng)代理的審計(jì)（分?jǐn)?shù)： 1.00 ）VB.C.D.解析： 解析 基于網(wǎng)絡(luò)旁路監(jiān)控的審計(jì)系統(tǒng)主要由若干個(gè)網(wǎng)絡(luò)探測器、安全控制中心和審計(jì)日志庫等組成。它能夠有選擇地記錄任何通過網(wǎng)絡(luò)對應(yīng)用系統(tǒng)進(jìn)行的操作并對其進(jìn)行實(shí)時(shí)與事后分析和處理（ 如聲音報(bào)警、阻斷、篩選可疑操作及對審計(jì)

5、數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘等） ；具備入侵實(shí)時(shí)阻斷功能，同時(shí)不對應(yīng)用系統(tǒng)本身的正常運(yùn)行產(chǎn)生任何影響，不需要占用數(shù)據(jù)庫主機(jī)上的CPU內(nèi)存和硬盤等資源；能夠記錄完整的信息，包括操作者的IP地址、時(shí)間、MAC地址及完整的數(shù)據(jù)操作（如數(shù)據(jù)庫的完整SQL語句）等；能夠?qū)徲?jì)數(shù)據(jù)進(jìn)行 安全的保存，保證記錄不被非法刪除和篡改。對于基于應(yīng)用系統(tǒng)代理的審計(jì)系統(tǒng)，需要先根據(jù)不同應(yīng)用，設(shè)計(jì)開發(fā)不同的應(yīng)用代理程序，并在相應(yīng)應(yīng)用 系統(tǒng)內(nèi)運(yùn)行。應(yīng)用系統(tǒng)產(chǎn)生的審計(jì)數(shù)據(jù)先由應(yīng)用代理程序接收，再由其傳送給主機(jī)操作系統(tǒng)審核。此類審 計(jì)系統(tǒng)的實(shí)時(shí)性好，且審計(jì)粒度由用戶控制，可以減少不必要的審核數(shù)據(jù)。其缺點(diǎn)在于與應(yīng)用系統(tǒng)編程相 關(guān)，通用性不好

6、?；趹?yīng)用系統(tǒng)獨(dú)立程序的審計(jì)系統(tǒng)是在應(yīng)用系統(tǒng)內(nèi)部嵌入一個(gè)與應(yīng)用服務(wù)同步運(yùn)行專用的審計(jì)服務(wù)應(yīng)用進(jìn) 程，用于全程跟蹤應(yīng)用服務(wù)進(jìn)程的運(yùn)行。此類審計(jì)系統(tǒng)與應(yīng)用系統(tǒng)密切相關(guān)，每個(gè)應(yīng)用系統(tǒng)都需要開發(fā)相 應(yīng)的獨(dú)立程序，通用性、實(shí)時(shí)性不好，且價(jià)格較高。但其審計(jì)粒度可因需求而設(shè)置，且用戶工作界面與應(yīng) 用系統(tǒng)相同?；诰W(wǎng)絡(luò)安全入侵檢測的預(yù)警系統(tǒng)基本功能是：負(fù)責(zé)監(jiān)視網(wǎng)絡(luò)上的通信數(shù)據(jù)流和網(wǎng)絡(luò)服務(wù)器系統(tǒng)中的審核 信息，捕捉可疑的網(wǎng)絡(luò)和服務(wù)器系統(tǒng)活動(dòng)， 發(fā)現(xiàn)其中存在的安全問題； 當(dāng)網(wǎng)絡(luò)和主機(jī)被非法使用或破壞時(shí)， 進(jìn)行實(shí)時(shí)響應(yīng)和報(bào)警；產(chǎn)生通告信息和日志，以便管理人員調(diào)整和更新已有的安全管理策略或進(jìn)行跟蹤追 查等事后處理措施

7、。安全審計(jì)系統(tǒng)是保障計(jì)算機(jī)系統(tǒng)安全的重要手段之一，其作用不包括 。檢測和制止對系統(tǒng)的入侵發(fā)現(xiàn)計(jì)算機(jī)的濫用情況保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄提供系統(tǒng)運(yùn)行的日志，從而發(fā)現(xiàn)系統(tǒng)入侵行為和潛在的漏洞（分?jǐn)?shù)： 1.00 ）A.B.VD.解析： 解析 保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄是網(wǎng)絡(luò)隔離技術(shù)的前提條件之一。以下關(guān)于計(jì)算機(jī)機(jī)房安全保護(hù)方案的設(shè)計(jì)，說法錯(cuò)誤的是 。某機(jī)房在設(shè)計(jì)供電系統(tǒng)時(shí)將計(jì)算機(jī)供電系統(tǒng)與機(jī)房照明設(shè)備供電系統(tǒng)分開 某機(jī)房通過各種手段保障計(jì)算機(jī)系統(tǒng)的供電，使得該機(jī)房的設(shè)備長期處于7X24小時(shí)連續(xù)運(yùn)轉(zhuǎn)狀態(tài)采用焊接的方式設(shè)置安全防護(hù)地和屏蔽地某公司在設(shè)計(jì)計(jì)算機(jī)機(jī)房防盜系統(tǒng)時(shí)，在機(jī)房布置了封閉裝置，當(dāng)潛入者

8、觸動(dòng)裝置時(shí)，機(jī)房可以從內(nèi)部自動(dòng)封閉，使盜賊無法逃脫（分?jǐn)?shù)： 1.00 ）A.B.C.D. V解析： 解析 依據(jù)電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范 GB 50174-2008 第 6.3.4 條款規(guī)定：“面積大于 100m2 的主機(jī)房，安全出口應(yīng)不少于兩個(gè)，且應(yīng)分散布置。面積不大于100m2 的主機(jī)房，可設(shè)置一個(gè)安全出口，并可通過其他相臨房間的門進(jìn)行疏散。門應(yīng)向疏散方向開啟，且應(yīng)自動(dòng)關(guān)閉，并保證在任何情況下都能從機(jī) 房內(nèi)開啟。走廊、樓梯間應(yīng)暢通，并應(yīng)有明顯的疏散指示標(biāo)志?！睋?jù)此，選項(xiàng)D的設(shè)計(jì)方案有誤。系統(tǒng)運(yùn)行安全的關(guān)鍵是管理，下列關(guān)于日常安全管理的做法，不正確的是 。系統(tǒng)開發(fā)人員和系統(tǒng)操作人員應(yīng)職責(zé)分離信

9、息化部門領(lǐng)導(dǎo)安全管理組織，半年進(jìn)行一次安全檢查用戶權(quán)限設(shè)定應(yīng)遵循“最小特權(quán)”原則在數(shù)據(jù)轉(zhuǎn)儲(chǔ)、維護(hù)時(shí)要有專職安全人員進(jìn)行監(jiān)督（分?jǐn)?shù)： 1.00 ）A.VC.D.解析： 解析 通常，系統(tǒng)運(yùn)行的安全管理組織由管理、系統(tǒng)分析、軟件、硬件、保衛(wèi)、審計(jì)、人事和通信 等有關(guān)人員組成。該組織機(jī)構(gòu)由單位主要領(lǐng)導(dǎo)人直接領(lǐng)導(dǎo)，不能隸屬于計(jì)算機(jī)運(yùn)行或應(yīng)用部門。據(jù)此，選 項(xiàng)B的說法有誤。信息安全的級(jí)別劃分有不同的維度，以下級(jí)別劃分正確的是 。系統(tǒng)運(yùn)行安全和保密有 5個(gè)層次，包括設(shè)備級(jí)安全、系統(tǒng)級(jí)安全、資源訪問安全、功能性安全和數(shù)據(jù)安 全 根據(jù)系統(tǒng)處理數(shù)據(jù)的重要性，系統(tǒng)可靠性分為A級(jí)和B級(jí)機(jī)房分為4個(gè)級(jí)別：A級(jí)、B級(jí)、C

10、級(jí)、D級(jí)根據(jù)系統(tǒng)處理數(shù)據(jù)，劃分系統(tǒng)保密等級(jí)為絕密、機(jī)密和秘密（分?jǐn)?shù)： 1.00 ）A.B.C.V解析： 解析 通常，系統(tǒng)運(yùn)行安全和保密有 4 個(gè)層次，按粒度從粗到細(xì)的排序是：系統(tǒng)級(jí)安全、資源訪問 安全、功能性安全和數(shù)據(jù)域安全。據(jù)此，選項(xiàng)A的說法有誤。根據(jù)電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范 （GB 50174-2008） 第 3 節(jié)“機(jī)房分級(jí)與性能要求”的 3.1.1 款條文規(guī)定 如下：“電子信息系統(tǒng)機(jī)房應(yīng)劃分為A、B、C三級(jí)”。據(jù)此，選項(xiàng) C的說法有誤。系統(tǒng)安全等級(jí)可分為保密等級(jí)和可靠性等級(jí)兩種。保密等級(jí)應(yīng)按有關(guān)規(guī)定劃分為絕密、機(jī)密和秘密；可靠性等級(jí)可分為A、B、C三級(jí)，對可靠性要求最高的為 A級(jí)，最低為C級(jí)。據(jù)此，選項(xiàng)B的說法有誤，選項(xiàng) D 的說法正確。安全管理制度主要包括管理制度、