安全生產(chǎn)監(jiān)督管理總局 ——國家安全生產(chǎn)信息系統(tǒng)安全保障體系 國家安全生產(chǎn)監(jiān)督管理總局(以下簡稱國家安監(jiān)總局)是國務院下設的安全生產(chǎn)綜合監(jiān)督管理的重要機構，對資源專網(wǎng)建設的主要項目——國家安全生產(chǎn)信息系統(tǒng)，在“十一五”期間作為重點項目予以實施。國家安監(jiān)總局選擇網(wǎng)御神州作為其信息安全整體解決方案的提供商，并以本次解決方案的成功實施于第九屆中國信息安全大會榮獲“2008年度中國信息安全政府行業(yè)優(yōu)秀解決方案獎”。 本次國家安全生產(chǎn)信息系統(tǒng)建設(“金安”工程一期項目)包含了網(wǎng)絡基礎設施建設、應用系統(tǒng)建設和安全保障體系建設三大方面的內容。基于對需求的深入分析和研究，網(wǎng)御神州專家組認為國家安全生產(chǎn)信息系統(tǒng)的安全體系建設應當從整體安全的角度出發(fā)，縱向貫穿安全管理、安全技術、服務支持三大體系，形成國家安全生產(chǎn)信息系統(tǒng)安全保障體系，如圖13一1所示。

該體系架構通過安全管理平臺將安全技術和管理相融合，并與網(wǎng)絡管理平臺相互聯(lián)動，通過統(tǒng)一管理界面對網(wǎng)絡安全系統(tǒng)的風險進行可視化管理，同時依托安全服務業(yè)務確保該體系的持續(xù)改進。 一方面，安全管理體系的設計包括安全組織體系的建設和安全策略體系的建設。安全組織作為安全工作的管理和實施體系，主要負責網(wǎng)絡安全策略、制度、規(guī)劃的制訂和實施，確定網(wǎng)絡中各種安全管理崗位和相應的安全職責，并負責選用合適的人員來完成相應崗位的安全管理工作，監(jiān)督各種網(wǎng)絡安全工作的開展，協(xié)調各種不同部門在安全實施中的分工和合作，保證安全目標的實現(xiàn)。信息安全策略體系為信息安全提供管理指導和支持。信息安全策略指的是從網(wǎng)絡信息資產(chǎn)安全管理的角度出發(fā)，為了保護信息資產(chǎn)，消除或降低風險而制訂的各種綱領、制度、規(guī)范和操作流程的總和。網(wǎng)絡安全策略是一個層次化的概念，包含上到指導方針、下到實施細則的一系列指導性文檔體系。 另一方面，安全技術體系包括監(jiān)控體系和支撐性基礎設施兩個方面的內容。安全監(jiān)控平臺包括網(wǎng)絡管理平臺和安全管理平臺兩大平臺，其中網(wǎng)絡管理平臺的管理對象主要包括網(wǎng)絡交換機、路由器以及服務器等；安全管理平臺的管理對象主要是網(wǎng)絡安全系統(tǒng)或設備，如防火墻、入侵檢測、終端安全管理、病毒防護系統(tǒng)、漏洞掃描系統(tǒng)等，其中網(wǎng)絡安全審計作為安全管理平臺的一個功能(或作為管理對象)。安全管理平臺可以收集來自于網(wǎng)絡管理平臺的設備狀態(tài)等信息，然后通過統(tǒng)一的管理界面進行統(tǒng)一的展示。支撐性基礎設施的建設采取的技術安全措施主要有：訪問控制、內容過濾、身份鑒別、授權管理、審計追蹤、數(shù)據(jù)加密、入侵分析、安全加固等。 最后，安全體系建設的根本目標是為了保障支持信息應用的業(yè)務系統(tǒng)的持續(xù)可靠運行，服務支持體系的建設對系統(tǒng)穩(wěn)健運行起到了重要的支持作用。 從整體來看，網(wǎng)御神州信息安全整體解決方案基于業(yè)內領先的信息安全防御技術，實現(xiàn)了安全保障與行業(yè)特點的深度融合，安全管理、安全技術、服務支持三劍合璧，相互聯(lián)動，相得益彰，有效地增強了國家安監(jiān)總局信息網(wǎng)絡主動防御及持續(xù)服務的能力，為其系統(tǒng)信息安全提供了有效保障。 案例思考： 利用所學的信息安全知識，對本案例的安全解決方案進行分析和評價。

你是TestKing.com的一位安全管理人。網(wǎng)絡由一個獨立的名叫testking.com的活動目錄域組成。所有的域控制器運行WindowsServer2003，并且都在同一個活動目錄站點里。你想在在所有的域控制器上實施一個新的審核策略。你也想委派在域控制器上的審核和安全登錄的管理給一個名叫Auditors的組的成員們。你創(chuàng)建一個名叫TestKing.inf的新的安全模板，TestKing.inf安全模板包含最新的審核策略的設置和用戶的委派審核和安全登錄的管理的正確設置。在一個名字為TestKing5的域控制器上，你輸入TestKing.inf安全模板到SecurityConfigurationandAnalysis然后使用ConfigureComputerNow指令。最后你用ConfigureComputerNow指令來校驗被用于TestKing5的新設置。第二天Auditors組的一個成員報告說：新的審核策略設置和用戶的正確設置在兩臺域控制器上并沒有起作用。你需要確保新的審核策略設置和用戶的正確設置在所有的域控制器上都能起到作用。你應該怎么做？（）

A.在每個域控制器上，使用ConfigureComputerNow指令來應用TestKing.inf安全模板

B.在TestKing5上，在你使用ConfigureComputerNow指令之后，再運行repadmin.exe/replicate/force指令

C.在TestKing5上，在你使用ConfigureComputerNow指令之后，再運行gpudate.exe/force指令

D.在每個域控制器上，輸入TestKing.inf安全模板到本地計算機policy

E.在TestKing5上，輸入TestKing.inf安全模板到DefaultDomainControllersGPO

回答下列有關網(wǎng)絡安全、數(shù)據(jù)存儲與安全技術的問題，將解答填入答題紙的對應欄。

【問題1】（3分） 安全網(wǎng)絡的特性包括可用性、可控性、保密性、完整性、不可否認性、可審查性。 ①“網(wǎng)絡信息不被泄露給非授權的用戶、實體或供其利用”指的是哪個特性？ ②完整性特征的含義是什么？ ③防火墻技術是實現(xiàn)不可否認性的技術手段嗎？ 【問題2】（2分） ①什么是訪問控制？ ②訪問控制的自主訪問控制模型和強制訪問控制模型中，用戶有權對自身所創(chuàng)建的文件、數(shù)據(jù)表等訪問對象進行訪問，并可將其訪問權授予其他用戶或收回其訪問權限的是哪種模型？ 【問題3】（2分） ①入侵檢測用于檢測計算機網(wǎng)絡中違反安全策略的行為。能夠將未知入侵方法檢測出來的是哪種入侵檢測技術？ ②計算機病毒包含四大功能模塊，除了感染模塊、觸發(fā)模塊、破壞模塊（表現(xiàn)模塊）外，另一個模塊是什么？ 【問題4】（3分） ①公鑰密碼技術在本質上解決了什么問題？ ②現(xiàn)代密碼理論的一個根本性原則—Kerckhoffs原則是什么？ ③公鑰密碼體質有兩個密鑰：公鑰和私鑰。一般應用中，可用來加密數(shù)據(jù)的是哪種密鑰？ 【問題5】（3分） 什么是硬盤接口？當前主要應用于中、高端服務器和高檔工作站中的硬盤接口是哪種接口？光纖通道是否支持熱插拔性？ 【問題6】（7分） 數(shù)據(jù)備份是為保護數(shù)據(jù)而進行的將數(shù)據(jù)從應用主機的存儲設備復制到其他存儲介質的過程。哪種備份策略在避免其他兩種備份策略缺陷的同時又具有了它們的優(yōu)點？ 在數(shù)據(jù)存儲模式中，哪種存儲模式適合塊數(shù)據(jù)存儲？ RAID中主要用到的三個關鍵技術是什么？ 分析下圖，請問它是哪個RAID級別的邏輯結構圖？

你是TestKing.com的一位安全管理人。網(wǎng)絡由一個獨立的名叫testking.com的活動目錄森林組成。testking.com包括WindowsServer2003計算機和WindowsXPProfessional客戶計算機。除了TestKing5外，所有的計算機都是域的成員。網(wǎng)絡包含一個CA。網(wǎng)絡上的所有計算機都信任CA。TestKing.com的書面安全策略聲明：從域中的所有計算機到TestKing5的網(wǎng)絡通信都必須被加密。TestKing5嚴禁被添加到域。你設置一個GPO來分配名為Client（RespondOnly）的預先確定的IPSec策略。你將這個GPO連接到域。你設置TestKing5使用名為SecureServer（RequireSecurity）.的預先確定的IPSec策略。當你測試這些設置時，你不能從域中的計算機上連接到TestKing5。當需要實施這些書面安全策略時，你應該做什么？（）

A.在域中的所有計算機上禁用對IPSec過濾的缺省解除

B.禁用在域中的Client（RespondOnly）IPSec策略中的默認響應規(guī)則

C.設置TestKing5讓它使用名為SecureServer（RequireSecurity）.的預先確定的IPSec策略

D.設置TestKing4上的本地計算機策略的安全選項來數(shù)位地標記通信

E.設置TestKing5上的已經(jīng)分配的IPSec策略。并且在域中使用基于證書的認證

●試題五

請回答以下關于網(wǎng)絡安全的使用和操作的問題1～5，把答案填到答題紙的對應欄內。

［問題1］

什么是網(wǎng)絡安全?

［問題2］

網(wǎng)絡安全技術分為幾類?

［問題3］

導致安全問題的原因有哪些?

［問題4］

網(wǎng)絡安全要實現(xiàn)的目標有哪些?

［問題5］

常用的網(wǎng)絡安全策略有哪些?

你是TestKing.com的一位安全管理人。網(wǎng)絡由一個獨立的名叫testking.com活動目錄域組成。所有的服務器要么運行WindowsServer2003，要么運行Windows2000Server。而所有的客戶計算機運行WindowsXPProfessional。TestKing的書面安全策略聲明：當一個未被授權的用戶企圖猜測用戶的密碼時用戶的帳戶必須被鎖定。當前的帳戶策略使得當一個用戶在5分鐘之內兩次輸入無效的密碼之后將不能再進入了（被關在外面）。直到這個帳戶被管理員重新設置了，否則這個用戶將會保持“被關在外面”的狀態(tài)。用戶頻繁地調用幫助桌面，來使得他們的帳戶不被鎖。與帳戶被鎖的桌面調用（Calls）占到了幫助桌面調用的25%。你需要降低與帳戶被鎖有關的幫助桌面調用的總數(shù)量，你應該怎么做？（）

A.修改DefaultDomainControllersPolicy組Policyobject（GPO），增加每個服務的tickets的最大有效時間

B.修改DefaultDomainControllersPolicy組Policyobject（GPO），設置被鎖帳戶極限為10

C.修改DefaultDomainControllersPolicy組Policyobject（GPO），使用戶登錄限制的執(zhí)行失效

D.修改DefaultDomainControllersPolicy組Policyobject（GPO），增加密碼的最長生命時間

A、移動運營商的不斷演進將會逐漸減少所面臨的安全問題

B、解決移動運營商的網(wǎng)絡安全問題必須采用全面關注的策略

C、NFV引入的虛擬化相關技術不會增加相關的安全問題

D、隨著5G的到來，原有4G網(wǎng)絡的安全問題將會自動消失

某公司總部和分支機構的網(wǎng)絡配置如圖5—10所示。在路由器R1和R2上配置IPSec安全策略，實現(xiàn)分支機構和總部的安全通信。

圖中(a)、(b)、(c)、(d)為不同類型IPSee數(shù)據(jù)包的示意圖，其中(1)和(2)工作在隧道模式；(3)和(4)支持報文加密。

試題五（25 分）

閱讀以下說明，在答題紙上回答問題 1 至問題 6。

某學校在原校園網(wǎng)的基礎上進行網(wǎng)絡改造，網(wǎng)絡方案如圖 5-1 所示。其中網(wǎng)管中心位于辦公樓第三層，采用動態(tài)及靜態(tài)結合的方式進行 IP 地址的管理和分配。

【問題 1】 （4 分）

設備選型是網(wǎng)絡方案規(guī)劃設計的一個重要方面，請用 200 字以內文字簡要敘述設備選型的基本原則。

【問題 2】 （5 分）

從表 5-1 中為圖 5-1 中（1）－（5）處選擇合適設備，將設備名稱寫在答題紙的相應位置（每一設備限選一次） 。

【問題 3】 （4 分）

為圖 5-1 中（6）－（9）處選擇介質，填寫在答題紙的相應位置。 備選介質（每種介質限選一次） ：

千兆雙絞線 百兆雙絞線 雙千兆光纖鏈路 千兆光纖

【問題 4】 （5 分）

請用 200 字以內文字簡要敘述針對不同用戶分別進行動態(tài)和靜態(tài) IP 地址配置的優(yōu)點，并說明圖中的服務器以及用戶采用哪種方式進行 IP地址配置。

【問題 5】 （3 分）

通常有惡意用戶采用地址假冒方式進行盜用 IP 地址，可以采用什么策略來防止靜態(tài) IP地址的盜用？

【問題 6】 （4 分）

（1）圖 5-1 中區(qū)域 A是什么區(qū)？（請從以下選項中）

A. 服務區(qū) B. DMZ 區(qū) C. 堡壘主機 D. 安全區(qū)

（2）學校網(wǎng)絡中的設備或系統(tǒng)有存儲學校機密數(shù)據(jù)的服務器、郵件服務器、存儲資源代碼的 PC 機、應用網(wǎng)關、存儲私人信息的 PC機、電子商務系統(tǒng)等，這些設備哪些應放在區(qū)域 A 中，哪些應放在內網(wǎng)中？請簡要說明。

你是TestKing.com的一位安全管理人。網(wǎng)絡由一個獨立的名叫testking.com的活動目錄域組成。所有的服務器運行WindowsServer2003。estKing發(fā)布一個客戶安全Web站點。這個安全Web站點的主機是TestKing5計算機。想要訪問該Web站點的客戶都被anenterprisecertificationauthority（CA）發(fā)行了證書。該企業(yè)CA被設置以儲存活動目錄中的用戶證書。estKing的書面安全策略包括對TestKing5的以下幾點要求：（1）只有持有TestKing.com發(fā)行的有效證書的用戶才允許訪問這個安全Web站點。（2）這個安全Web站點的用戶訪問必須利用最少的管理努力被維持。（3）安全管理員必須能夠在每個用戶的基礎上審核訪問。你需要設置TestKing5來為用戶提供對這個安全Web站點的訪問。你應該怎么做？（）

A.設置TestKing5以為所有的通信要求SSL

B.設置TestKing5使用點到點的證書映射

C.設置TestKing5使用多對一的證書映射

D.設置TestKing5使用Windows目錄服務映射