信息通信网络运行管理员中级简答题汇编.docx

1、信息通信网络运行管理员中级简答题汇编-标准化文件发布号：（9556-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII信息通信网络运行管理员中级简答题汇编1.如果一个组织（或企业）的系统安全管理或网络管理人员，接到人事部门通知被解职，应该按照一般的安全策略执行那些安全措施？一个员工离开单位，他的网络应用账户应及时被禁用，他的计算机接入应立即禁止。如果配有便携笔记本式计算机或其它相关硬件设备，应及时进行收回。同时，在员工离职时，他们的身份验证工具如：身份卡、硬件令牌、智能卡等都同时收回。无论离职员工何时是否离开，一旦得知该员工即将离职，应对其所能够接触到的信息资源（尤其是敏感信息）

2、进行备份处理。因为，一般情形下，员工的离职是一个充满情绪化的时期，尽管大多数人不会做出什么过分之举，但是保证安全总比出了问题再补救要有效。总之，无论是雇佣策略还是雇佣终止策略，都有需要考虑当地的政治和法律因素。在制定策略时，应避免出现如性别和种族歧视等违反法律或一般道德规范的条款。2.简述什么是数据库（DB）什么是数据库系统（DBS）数据库是数据管理的新方法和技术，它是一个按数据结构来存储和管理数据的计算机软件系统。数据库系统它是专门用于管理数据库的计算机系统软件。数据库管理系统能够为数据库提供数据的定义、建立、维护、查询和统计等操作功能，并完成对数据完整性、安全性进行控制的功能。3.IP地址

3、由哪几部分组成为什么要划分子网子网掩码的作用是什么IP地址由32位组成，分为两个部分：网络标识Netid和主机标识Hostid。采用点分十进制方式表示。常用的IP地址有A、B、C三类，D类为组播地址，E类保留。由于因特网上的每台主机都需要分配一个唯一的IP地址，过多的地址将使路由器的路由表变得很大，进而影响了路由器在进行路由选择时的工作效率。因此可以将一个大的网络划分为几个较小的网络，每个小的网络称为子网（Subnet）。当一个IP分组到达路由器时，路由器应该能够判断出该IP地址所处的网络地址。子网掩码用来区分IP地址中哪一部分是网络标识，哪一部分是网络标识。4.试比较集线器、网桥、交换机的区

4、别和联系。三者均是用于局域网扩展和互联的设备，但工作的层次和实现的功能不同。集线器工作在物理层，实质上是多端口中继器，可将多个站点连接成共享式局域网，但任何时刻只有1个站点能通过公共信道发送数据；网桥工作在数据链路层，可以在采用不同链路层协议、不同传输介质和不同数据传输速率的局域网之间接收、过滤、存储转发数据帧；交换机也工作在数据链路层，是交换式局域网的核心设备，允许端口之间建立多个并发的连接，实现多个结点之间数据的并发传输，相当于多端口网桥。5.试论述OSI参考模型和TCP/IP模型的异同和特点。相同点：两个协议都分层；OSI参考模型的网络层与TCP/IP互联网层的功能几乎相同；以传输层为界

5、，其上层都依赖传输层提供端到端的与网络环境无关的传输服务。不同点：TCP/IP没有对网络接口层进行细分；OSI先有分层模型，后有协议规范；OSI对服务和协议做了明确的区别，而TCP/IP没有充分明确区分服务和协议。6.请阐述DDOS之虚假源地址攻击的特点和整治策略。特点：1. 攻击隐蔽性:由于攻击报文中没有包含攻击者的真实地址,黑客可以有效的躲避追查。2. 攻击便宜性:黑客只需利用少数甚至单台服务器,就可以伪造出数以百万计的攻击IP地址,达到大规模DDoS攻击的效果。由于攻击IP的数量巨大且为随机构造,导致针对攻击源IP的防护手段失去效果。3. 攻击流量巨大:黑客利用少数放置在IDC机房的肉鸡

6、服务器,利用IDC高带宽资源,发动大流量的DDoS攻击。4.攻击可控性:发起DDoS攻击的服务器大多是黑客自己的服务器或者租用IDC机房服务器,完全受黑客控制,黑客可以随时根据被攻击目标的防护手段变换攻击方式以及攻击流量。整治策略：根本是使虚假源地址流量在源头无法发出。目前主要采用的防范策略包括URPF(Unicast Reverse Path Forwarding,单播逆向路径转发)和ACL(Access Control List,访问控制列表)。7.IE右键被修改如何处理？8.打开注册表编辑器，找到HKEY_CURRENT_USERSoftwareMicrosoftInternet Exp

7、lorerMenuExt，删除相关的广告条文。9.WEB应用防火墙的功能有哪些？10.Web应用防火墙的具有以下四大个方面的功能:审计设备:用来截获所有HTTP数据或者仅仅满足某些规则的会话。访问控制设备:用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。架构/网络设计工具:当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。WEB应用加固工具:这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且能够保护WEB应用编程错误导致的安全隐患。11.IDS的部署方式是什么？12.共享模式和交换模式:从HUB上的任意一个接口,或者在交换机上做端口

8、镜像的端口上收集信息。隐蔽模式:在其他模式的基础上将探测器的探测口IP地址去除,使得IDS在对外界不可见的情况下正常工作。Tap模式:以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息,使得与防火墙联动或发送Reset包更加容易。In-line模式:直接将IDS串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击。混合模式:通过监听所有连接到防火墙的网段,全面了解网络状况。13.试例举四项网络中目前常见的安全威胁，并说明。(1)非授权访问没有预先经过同意，就使用网络或计算机资源被看作非授权访问。(2)信息泄漏或丢失敏

9、感数据在有意或无意中被泄漏出去或丢失。(3)破坏数据完整性以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。(4)拒绝服务攻击不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进人计算机网络系统或不能得到相应的服务。(5)利用网络传播病毒，通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。14.收到木马邮件如何处理？1一“查”主要是在收看邮件时，如果存在附件，先将附件保存到本地，然后用杀毒软件查杀2二“看”主要是

10、看邮件标题，以及寄件人地址，如果邮件有附件，需要先查看附件属性，附件文件是否隐藏了文件后缀。如果邮件客户端程序提供文本查看方式，建议采用文本方式查看。3三“堵”就是在发现已经感染病毒的情况下，要及时堵漏，采取相应的补救措施，如果发现系统感染了木马程序，建议恢复系统或者重装系统。4使用双向加密软件查看和收发邮件，例如使用pgp加密软件来进行邮件的收发，通过个人签名证书等可信任方式来保证邮件的安全，防止假冒、篡改电子邮件。5如果在收看邮件时不小心感染了邮件木马程序，应当立即断网，查杀病毒，做好数据备份。如果条件允许尽量重新恢复系统，并报告网管人员，再次进行系统安全检查等，确保本地网络安全。15.如

11、何利用ftp server的安全加固？16.1禁止匿名访问，anonymous_enable=NO2允许本地用户登录，因为需要使用ftp用户来对我们网站进行管理，local_enable=YES3只允许系统中的ftp用户或者某些指定的用户访问ftp，因为系统中账户众多，不可能让谁都访问打开用户文件列表功能，userlist_enable=YES4禁止某些用户登录ftp, pam_service_name=vsftpd5隐藏文件真实的所有用户和组信息，防止黑客拿下ftp后查看更多系统用户信息, hide_ids=YES6取消ls -R命令，节省资源，因为使用该命令，在文件列表很多的时候将浪费大量

12、系统资源，ls_recures_enable=NO7上传文件的默认权限，设置为022，local_umask=0228ftp的banner信息，为了防止攻击者获取更多服务器的信息，设置该项，ftpd_banner=banner string9打开日志功能 xferlog_enable=YES10如果打开虚拟用户功能等，那么建议关闭本地用户登录 local_enable=NO17.请阐述一个完整的XSS Worm的攻击流程。1攻击者发现目标网站存在XSS漏洞，并且可以编写XSS蠕虫。2利用一个宿主（如博客空间）作为传播源头进行XSS攻击。3当其他用户访问被感染的攻击时，xss蠕虫执行以下操作4判

13、断用户是否登录，如果已登录就执行下一步，如果没有登录则执行其他操作5继续判断该用户是否被感染，如果没有就将其感染，如果已感染则跳过。18.请阐述跨站点脚本攻击步骤。1、恶意攻击者通过E-mail或HTTP将某银行的网址链接发给用户，该链接中附加了恶意脚本。2、用户访问发来的链接，进入银行网站，同时嵌在链接中的脚本被用户的浏览器执行。3、用户在银行网站的所有操作，包含用户的cookie和session信息都被脚本收集到，并在用户好不知情下发送给攻击者。4、恶意攻击者使用偷来的session信息伪装成该用户5、进入银行网站进行非法活动。19.请阐述数据库安全风险，SQL注入形成的原因。SQL是访问

14、MSSQL、ORACLE、MYSQL等数据库的标准语言。大多数Web应用都需要和数据库进行交互。如果开发人员无法确保在从web表单、cookies及输入参数的值传递给数据库来查询之前对其验证,那么通常会引起SQL注入漏洞。攻击者通过向服务器提交恶意的SQL查询语句,应用程序接收后错误的将攻击者的输入作为原始SQL查询语句的一部分执行,导致改变了程序原始的SQL查询逻辑,额外的执行了攻击者构造的SQL查询语句。20.入侵检测系统与防火墙的区别是什么？所在的位置不同防火墙是安装在网关上,将可信任区域和非可信任区域分开,对进出网络的数据包进行检测,实现访问控制。一个网段只需要部署一个防火墙。而NID

15、S是可以装在局域网内的任何机器上,一个网段内可以装上数台NIDS引擎,由一个总控中心来控制。防范的方向不同防火墙主要是实现对外部网络和内部网络通讯的访问控制,防止外部网络对内部网络的可能存在的攻击。网络入侵检测系统在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护,防止内外部的恶意攻击和网络资源滥用。检测的细粒度不同防火墙为了实现快速的网络包转换,故只能对网络包的IP和端口进行一些防黑检测,比如端口扫描。可是对通过IIS漏洞及Nimda病毒之类的网络入侵,防火墙是毫无办法。而网络入侵检测系统则可以拥有更多特征的入侵数据特征库,可以对整个网络包进行检查过滤。

16、21.渗透测试的五个阶段分别是什么？1、侦察:收集目标网络信息的最初阶段;2、扫描:查询活动系统,抓取网络共享、用户、用户组及特定应用程序信息;3、获取访问:实际渗透过程;4、维持访问:系统口令截获及破解,后门程序放置到目标系统中,方便以后使用;5、擦除日志:删除日志文件、系统后门、提权工具等,恢复渗透之前的系统状态。22.渗透测试与黑客入侵的区别是什么？以及阐述渗透测试必要性。渗透测试为模拟黑客攻击测试,但两者也有区别,渗透测试是“面”的测试,黑客攻击是“深度”测试。前者讲究广泛度,后者讲究破坏性。渗透测试必要性:1、发现企业的安全缺陷,协助企业有效的了解目前降低风险的初始任务。2、一份齐全

17、有效的测试报告可以协助IT管理者了解目前的安全现状,增强信息安全的认知度,提高安全意识。3、信息安全是一个整体工程,渗透测试有助于组织中所有成员安全意识加强,有助于内部安全提升。23.什么是渗透测试？渗透测试是受信任的第三方进行的一种评估网络安全的活动,它通过对企业网络进行各种手段的攻击来找出系统存在的漏洞,从而给出网络系统存在安全风险的一种实践活动。通过模拟现实的网络攻击,渗透测试证实恶意攻击者有可能获取或破坏企业的数据资产。24.入侵检测系统主要执行功能是？监视并分析用户和系统的行为； 审计系统配置和漏洞；评估敏感系统和数据的完整性；识别攻击行为、对异常行为进行统计；自动收集与系统相关的补

18、丁；审计、识别、跟踪违反安全法规的行为；阻断攻击，告警。25.什么是恶意代码？请简单说明。定义一：是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。有时也称作流氓软件。定义二：恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。26.简述IPSec两种工作模式？27.传输模式和保护的是传输头； AH和ESP会插在IP头和上层协议（如TCP、UDP)之间，根据具体的配置提供安全保护。主要用于主机主机的VPN应用。隧道模式AH和ESP插在新、旧IP头之间。采用加密和验证机制，为P数据提供数据源验证、数据完整性、数据保密性和

19、抗重放攻击安全服务。主要用于网关网关的VPN应用。28.VPN主要技术有哪些？ 1、隧道技术（Tunneling）2、加解密技术（Encryption&Decryption）3、密钥管理技术（KeyManagement) 4、使用者与设备身份认证技术（Authentication）29.简述RSA和DES加密算法在信息的保密性、完整性和抗拒认方面的概念和特点。RSA便于确认安全性，它使用一对公开密钥和私有密钥，它的保密性取决于大素数的运算难度，与Hash报文摘要结合使用，实现对报文的完整性确认，以及防拒认，适合于对小数据量报文的加密。而DES对通信数据是否已经被泄密的确认较困难，它的保密性取决

20、于对称密钥的安全性，通过对报文摘要的加密实现完整性确认，在实现抗拒认方面较困难。30.根据实际应用，以个人防火墙为主，简述防火墙的主要功能及应用特点。防火墙是指设置在不同网络（如可信赖的企业内部局域网和不可信赖的公共网络）之间或网络安全域之间的一系列部件的组合，通过监测、限制、更改进入不同网络或不同安全域的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以防止发生不可预测的、潜在破坏性的入侵，实现网络的安全保护。个人防火墙是一套安装在个人计算机上的软件系统，它能够监视计算机的通信状况，一旦发现有对计算机产生危险的通信就会报警通知管理员或立即中断网络连接，以此实现对个人计算机上重要数据

21、的安全保护。个人防火墙是在企业防火墙的基础上发展起来，个人防火墙采用的技术也与企业防火墙基本相同，但在规则的设置、防火墙的管理等方面进行了简化，使非专业的普通用户能够容易地安装和使用。为了防止安全威胁对个人计算机产生的破坏，个人防火墙产品应提供以下的主要功能。防止 Internet上用户的攻击、阻断木马及其他恶意软件的攻击、为移动计算机提供安全保护、与其他安全产品进行集成。31.请解释什么是VPN。VPN（虚拟专用网）是利用 Internet 等公共网络的基础设施，通过隧道技术，为用户提供一与专用网络具有相同通信功能的安全数据通道，实现不同网络之间以及用户与网络之间的相互连接 。 从 VPN

22、的定义来看， 其中 “虚拟” 是指用户不需要建立自己专用的物理线路， 而是利用 Internet等公共网络资源和设备建立一条逻辑上的专用数据通道，并实现与专用数据通道相同的通信功能；“专用网络”是指这一虚拟出来的网络并不是任何连接在公共网络上的用户都能够使用的，而是只有经过授权的用户才可以使用。同时，该通道内传输的数据经过了加密和认证，从而保证了传输内容的完整性和机密性。32.请解释什么是DNS 缓存中毒。DNS 为了提高查询效率，采用了缓存机制，把用户查询过的最新记录存放在缓存中，并设置生存周期（Time To Live，TTL） 。在记录没有超过 TTL 之前，DNS 缓存中的记录一旦被客

23、户端查询，DNS 服务器（包括各级名字服务器）将把缓存区中的记录直接返回给客户端，而不需要进行逐级查询，提高了查询速率。 DNS 缓存中毒利用了 DNS 缓存机制，在 DNS 服务器的缓存中存入大量错误的数据记录主动供用户查询。由于缓存中大量错误的记录是攻击者伪造的，而伪造者可能会根据不同的意图伪造不同的记录。由于 DNS 服务器之间会进行记录的同步复制，所以在 TTL 内，缓存中毒的 DNS 服务器有可能将错误的记录发送给其他的 DNS 服务器， 导致更多的 DNS 服务器中毒。33.基于数据源所处的位置，入侵检测系统可以分为哪5类？34.基于数据源的分类：按数据源所处的位置，把入侵检测系统

24、分为五类：即基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统及文件完整性检查系统。35.列举五个以上防火墙的主要功能。防火墙的主要功能：过滤进、出网络的数据管理进、出网络的访问行为封堵某些禁止的业务记录通过防火墙的信息和内容对网络攻击检测和告警。36.对安全的攻击可分为哪几种？网络窃听：监听局域网信道，窃取有用的数据分组，分析破解用户名、密码等； IP 欺骗：在通信系统中主动插入和删除信息分组，发送一个来自被信任计算机的伪造信息分组，以使目的计算机信任并接收； 路由攻击：攻击者告诉网上的两个结点，它们之间最近的传输线路就是经过他这台计算机的路径，这就使该台计算机的侦听变得更容易；（AR

25、P病毒） 拒绝服务（DOS）攻击： （1）发送 SYN 信息分组：对网络上一台计算机提出大量的通信请求，使该台计算机崩溃，且难以跟踪攻击源；（2）邮件炸弹：给某人发送过量的电子邮件可使他的系统满载直至崩溃；拒绝服务攻击的对象不同，可以是邮件服务器、路由器或 Web 服务器等。 分布式拒绝服务（DDOS）攻击：这种攻击与传统的拒绝服务攻击一样，只不过进攻源不只一个。 数据驱动攻击：数据驱动攻击是通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击者给出访问目标系统的权限，数据驱动攻击分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。37.防止ARP欺骗的常用

26、方法有哪些？38.设置在本机和网关设置静态的MAC-IP对应表。在交换机上设定静态ARP表。网管人员做好ip-mac和主机名绑定登记。监听ARP数据包， 监听通过交换机或者网关的所有ARP数据包，与预先建立的数据相比较。采用第三层交换方式， 减少局域网对MAC地址、ARP协议的依赖，采用基于IP地址的交换。39.请列举IDS(入侵检测系统)的两种分析入侵行为的方法（检测方法）。异常检测模型（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵；误用检测模型（Misuse Detection)：收集非正常操作的行为特征

27、，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。40.请简述Ipsec VPN 与SSL VPN 的区别。1、IPsec VPN多用于“网网”连接，SSL VPN用于“移动客户网”连接。SSL VPN的移动用户使用标准的浏览器，无需安装客户端程序，即可通过SSL VPN隧道接入内部网络；而IPSec VPN的移动用户需要安装专门的IPSec客户端软件。2、SSL VPN是基于应用层的VPN，而IPsec VPN是基于网络层的VPN。IPsec VPN对所有的IP应用均透明；而SSL VPN保护基于Web的应用更有优势，当然好的产品也支持TCP/UDP的

28、C/S应用，例如文件共享、网络邻居、Ftp、Telnet、Oracle等。3、SSL VPN用户不受上网方式限制，SSL VPN隧道可以穿透Firewall；而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall，而且需要Firewall打开UDP500端口。4、SSL VPN只需要维护中心节点的网关设备，客户端免维护，降低了部署和支持费用。而IPSec VPN需要管理通讯的每个节点，网管专业性较强。5、SSL VPN 更容易提供细粒度访问控制，可以对用户的权限、资源、服务、文件进行更加细致的控制，与第三方认证系统（如：radius、AD等）结合更加便捷。而IPSec VPN主要

29、基于IP五元组对用户进行访问控制。41.列举计算机机房出入控制常见措施。1、机房接待前台须核查弄清业务系统安全区域的来访者的身份，并记录其进入和离开安全区域的日期与时间。2、机房须告知进入安全区的来访者，该区域的安全要求和紧急情况下的行动步骤。3、可采用强制性控制措施，对来访者的访问行为进行授权和验证。4、 要求所有进出机房人员佩带易于辨识的标识。42.请解析客户端HTTP请求方法 GET、POST、HEAD、PUT、DELETE的含义。GET ：向Web服务器请求一个文件POST ：向Web服务器发送数据让Web服务器进行处理PUT ：向Web服务器发送数据并存储在Web服务器内部HEAD

30、：检查一个对象是否存在DELETE ：从Web服务器上删除一个文件43.请简述FTP的两种工作模式。一种方式叫做Standard (也就是 PORT方式，主动方式)，一种是 Passive(也就是PASV，被动方式)。 Standard模式 FTP的客户端发送 PORT 命令到FTP服务器。Passive模式FTP的客户端发送 PASV命令到 FTP Server。Port 模式中FTP 客户端首先和FTP服务器的TCP 21端口建立连接，通过这个通道发送命令，客户端需要接收数据的时候在这个通道上发送PORT命令。 PORT命令包含了客户端用什么端口接收数据。在传送数据的时候，服务器端通过自己

31、的TCP 20端口连接至客户端的指定端口发送数据。 FTP server必须和客户端建立一个新的连接用来传送数据。Passive 模式在建立控制通道的时候和Standard模式类似，但建立连接后发送的不是Port命令，而是Pasv命令。FTP服务器收到Pasv命令后，随机打开一个高端端口（端口号大于1024）并且通知客户端在这个端口上传送数据的请求，客户端连接FTP服务器此端口，然后FTP服务器将通过这个端口进行数据的传送，这个时候FTP server不再需要建立一个新的和客户端之间的连接。44.VPN主要技术有哪些？45.1、隧道技术（Tunneling）2、加解密技术（Encryption&Decryption）3、密钥管理技术（KeyManagement) 4、使用者与设备身份认证技术（Authentication）46.简述IPSec两种工作模式。传输模式AH和ESP保护的是传输头；AH和ESP会插在IP头和上层协议（如TCP、UDP)之间，根据具体的配置提供安全保护，主要用于主机主机的VPN应用。隧道模式AH和ESP插在新、旧IP头之间。采用加密和验证机制，为IP数据提供数据源验证、数据完整性、数据保密性和抗重放攻击安全服务，主要用于网关网关的VPN应用。47.列举几种手机病毒的常用防范措施？1、删除