信息通信网络运行管理员中级简答题汇编

1.如果一个组织（或企业）的系统安全管理或网络管理人员，接到人事部门通知被解职，应该按照一般的安全策略执行那些安全措施？一个员工离开单位，他的网络应用账户应及时被禁用，他的计算机接入应立即禁止。如果配有便携笔记本式计算机或其它相关硬件设备，应及时进行收回。同时，在员工离职时，他们的身份验证工具如：身份卡、硬件令牌、智能卡等都同时收回。无论离职员工何时是否离开，一旦得知该员工即将离职，应对其所能够接触到的信息资源（尤其是敏感信息）进行备份处理。因为，一般情形下，员工的离职是一个充满情绪化的时期，尽管大多数人不会做出什么过分之举，但是保证安全总比出了问题再补救要有效。总之，无论是雇佣策略还是雇佣终止策略，都有需要考虑当地的政治和法律因素。在制定策略时，应避免出现如性别和种族歧视等违反法律或一般道德规范的条款。2.简述什么是数据库（DB）?什么是数据库系统（DBS）?数据库是数据管理的新方法和技术，它是一个按数据结构来存储和管理数据的计算机软件系统。数据库系统它是专门用于管理数据库的计算机系统软件。数据库管理系统能够为数据库提供数据的定义、建立、维护、查询和统计等操作功能，并完成对数据完整性、安全性进行控制的功能。3.IP地址由哪几部分组成？为什么要划分子网？子网掩码的作用是什么？IP地址由32位组成，分为两个部分：网络标识Netid和主机标识Hostid。采用点分十进制方式表示。常用的IP地址有A、B、C三类，D类为组播地址，E类保留。由于因特网上的每台主机都需要分配一个唯一的IP地址，过多的地址将使路由器的路由表变得很大，进而影响了路由器在进行路由选择时的工作效率。因此可以将一个大的网络划分为几个较小的网络，每个小的网络称为子网（Subnet）。当一个IP分组到达路由器时，路由器应该能够判断出该IP地址所处的网络地址。子网掩码用来区分IP地址中哪一部分是网络标识，哪一部分是网络标识。4.试比较集线器、网桥、交换机的区别和联系。三者均是用于局域网扩展和互联的设备，但工作的层次和实现的功能不同。集线器工作在物理层，实质上是多端口中继器，可将多个站点连接成共享式局域网，但任何时刻只有1个站点能通过公共信道发送数据；网桥工作在数据链路层，可以在采用不同链路层协议、不同传输介质和不同数据传输速率的局域网之间接收、过滤、存储转发数据帧；交换机也工作在数据链路层，是交换式局域网的核心设备，允许端口之间建立多个并发的连接，实现多个结点之间数据的并发传输，相当于多端口网桥。5.试论述OSI参考模型和TCP/IP模型的异同和特点。相同点：两个协议都分层；OSI参考模型的网络层与TCP/IP互联网层的功能几乎相同；以传输层为界，其上层都依赖传输层提供端到端的与网络环境无关的传输服务。br不同点：TCP/IP没有对网络接口层进行细分；OSI先有分层模型，后有协议规范；OSI对服务和协议做了明确的区别，而TCP/IP没有充分明确区分服务和协议。6.请阐述DDOS之虚假源地址攻击的特点和整治策略。特点：1.攻击隐蔽性:由于攻击报文中没有包含攻击者的真实地址,黑客可以有效的躲避追查。2.攻击便宜性:黑客只需利用少数甚至单台服务器,就可以伪造出数以百万计的攻击IP地址,达到大规模DDoS攻击的效果。由于攻击IP的数量巨大且为随机构造,导致针对攻击源IP的防护手段失去效果。3.攻击流量巨大:黑客利用少数放置在IDC机房的肉鸡服务器,利用IDC高带宽资源,发动大流量的DDoS攻击。4.攻击可控性:发起DDoS攻击的服务器大多是黑客自己的服务器或者租用IDC机房服务器,完全受黑客控制,黑客可以随时根据被攻击目标的防护手段变换攻击方式以及攻击流量。整治策略：根本是使虚假源地址流量在源头无法发出。目前主要采用的防范策略包括URPF(UnicastReversePathForwarding,单播逆向路径转发)和ACL(AccessControlList,访问控制列表)。7.IE右键被修改如何处理？打开注册表编辑器，找到[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt，删除相关的广告条文。8.WEB应用防火墙的功能有哪些？Web应用防火墙的具有以下四大个方面的功能:审计设备:用来截获所有HTTP数据或者仅仅满足某些规则的会话。访问控制设备:用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。架构/网络设计工具:当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。WEB应用加固工具:这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且能够保护WEB应用编程错误导致的安全隐患。9.IDS的部署方式是什么？共享模式和交换模式:从HUB上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息。隐蔽模式:在其他模式的基础上将探测器的探测口IP地址去除,使得IDS在对外界不可见的情况下正常工作。Tap模式:以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息,使得与防火墙联动或发送Reset包更加容易。In-line模式:直接将IDS串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击。混合模式:通过监听所有连接到防火墙的网段,全面了解网络状况。10.试例举四项网络中目前常见的安全威胁，并说明。(1)非授权访问没有预先经过同意，就使用网络或计算机资源被看作非授权访问。(2)信息泄漏或丢失敏感数据在有意或无意中被泄漏出去或丢失。(3)破坏数据完整性以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。(4)拒绝服务攻击不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进人计算机网络系统或不能得到相应的服务。(5)利用网络传播病毒，通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。11.收到木马邮件如何处理？1．一“查”主要是在收看邮件时，如果存在附件，先将附件保存到本地，然后用杀毒软件查杀2．二“看”主要是看邮件标题，以及寄件人地址，如果邮件有附件，需要先查看附件属性，附件文件是否隐藏了文件后缀。如果邮件客户端程序提供文本查看方式，建议采用文本方式查看。3．三“堵”就是在发现已经感染病毒的情况下，要及时堵漏，采取相应的补救措施，如果发现系统感染了木马程序，建议恢复系统或者重装系统。4．使用双向加密软件查看和收发邮件，例如使用pgp加密软件来进行邮件的收发，通过个人签名证书等可信任方式来保证邮件的安全，防止假冒、篡改电子邮件。5．如果在收看邮件时不小心感染了邮件木马程序，应当立即断网，查杀病毒，做好数据备份。如果条件允许尽量重新恢复系统，并报告网管人员，再次进行系统安全检查等，确保本地网络安全。12.如何利用ftpserver的安全加固？1．禁止匿名访问，anonymous_enable=NO2．允许本地用户登录，因为需要使用ftp用户来对我们网站进行管理，local_enable=YES3．只允许系统中的ftp用户或者某些指定的用户访问ftp，因为系统中账户众多，不可能让谁都访问打开用户文件列表功能，userlist_enable=YES4．禁止某些用户登录ftp,pam_service_name=vsftpd5．隐藏文件真实的所有用户和组信息，防止黑客拿下ftp后查看更多系统用户信息,hide_ids=YES6．取消ls-R命令，节省资源，因为使用该命令，在文件列表很多的时候将浪费大量系统资源，ls_recures_enable=NO7．上传文件的默认权限，设置为022，local_umask=0228．ftp的banner信息，为了防止攻击者获取更多服务器的信息，设置该项，ftpd_banner=bannerstring9．打开日志功能xferlog_enable=YES10．如果打开虚拟用户功能等，那么建议关闭本地用户登录local_enable=NO13.请阐述一个完整的XSSWorm的攻击流程。1．攻击者发现目标网站存在XSS漏洞，并且可以编写XSS蠕虫。2．利用一个宿主（如博客空间）作为传播源头进行XSS攻击。3．当其他用户访问被感染的攻击时，xss蠕虫执行以下操作4．判断用户是否登录，如果已登录就执行下一步，如果没有登录则执行其他操作5．继续判断该用户是否被感染，如果没有就将其感染，如果已感染则跳过。14.请阐述跨站点脚本攻击步骤。1、恶意攻击者通过E-mail或HTTP将某银行的网址链接发给用户，该链接中附加了恶意脚本。2、用户访问发来的链接，进入银行网站，同时嵌在链接中的脚本被用户的浏览器执行。3、用户在银行网站的所有操作，包含用户的cookie和session信息都被脚本收集到，并在用户好不知情下发送给攻击者。4、恶意攻击者使用偷来的session信息伪装成该用户5、进入银行网站进行非法活动。15.请阐述数据库安全风险，SQL注入形成的原因。SQL是访问MSSQL、ORACLE、MYSQL等数据库的标准语言。大多数Web应用都需要和数据库进行交互。如果开发人员无法确保在从web表单、cookies及输入参数的值传递给数据库来查询之前对其验证,那么通常会引起SQL注入漏洞。攻击者通过向服务器提交恶意的SQL查询语句,应用程序接收后错误的将攻击者的输入作为原始SQL查询语句的一部分执行,导致改变了程序原始的SQL查询逻辑,额外的执行了攻击者构造的SQL查询语句。16.入侵检测系统与防火墙的区别是什么？所在的位置不同防火墙是安装在网关上,将可信任区域和非可信任区域分开,对进出网络的数据包进行检测,实现访问控制。一个网段只需要部署一个防火墙。而NIDS是可以装在局域网内的任何机器上,一个网段内可以装上数台NIDS引擎,由一个总控中心来控制。防范的方向不同防火墙主要是实现对外部网络和内部网络通讯的访问控制,防止外部网络对内部网络的可能存在的攻击。网络入侵检测系统在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护,防止内外部的恶意攻击和网络资源滥用。检测的细粒度不同防火墙为了实现快速的网络包转换,故只能对网络包的IP和端口进行一些防黑检测,比如端口扫描。可是对通过IIS漏洞及Nimda病毒之类的网络入侵,防火墙是毫无办法。而网络入侵检测系统则可以拥有更多特征的入侵数据特征库,可以对整个网络包进行检查过滤。17.渗透测试的五个阶段分别是什么？1、侦察:收集目标网络信息的最初阶段;2、扫描:查询活动系统,抓取网络共享、用户、用户组及特定应用程序信息;3、获取访问:实际渗透过程;4、维持访问:系统口令截获及破解,后门程序放置到目标系统中,方便以后使用;5、擦除日志:删除日志文件、系统后门、提权工具等,恢复渗透之前的系统状态。18.渗透测试与黑客入侵的区别是什么？以及阐述渗透测试必要性。渗透测试为模拟黑客攻击测试,但两者也有区别,渗透测试是“面”的测试,黑客攻击是“深度”测试。前者讲究广泛度,后者讲究破坏性。渗透测试必要性:1、发现企业的安全缺陷,协助企业有效的了解目前降低风险的初始任务。2、一份齐全有效的测试报告可以协助IT管理者了解目前的安全现状,增强信息安全的认知度,提高安全意识。3、信息安全是一个整体工程,渗透测试有助于组织中所有成员安全意识加强,有助于内部安全提升。19.什么是渗透测试？渗透测试是受信任的第三方进行的一种评估网络安全的活动,它通过对企业网络进行各种手段的攻击来找出系统存在的漏洞,从而给出网络系统存在安全风险的一种实践活动。通过模拟现实的网络攻击,渗透测试证实恶意攻击者有可能获取或破坏企业的数据资产。20.入侵检测系统主要执行功能是？监视并分析用户和系统的行为；审计系统配置和漏洞；评估敏感系统和数据的完整性；识别攻击行为、对