问答题论计算机网络的安全性 随着计算机网络,特别是各类互联网络的普遍使用,计算机网络的安全性及其实现方法受到了人们极大的关注。为了保障网络服务的可用性和网络信息的完整性,目前已提出了许多对网络服务的种类与范围等实施控制的技术与方法。 ①简述你参与过的计算机网络应用系统的概要和你所担任的工作,包括你在网络安全性与保密性方面所做过的主要工作。 ②详细论述你采用的保障网络安全性的技术与方法,并且着重说明你所采用的专用软件、硬件与管理措施的综合解决方案。 ③论述保障网络安全性与提高网络服务效率之间的关系,同时简要

题目
问答题
论计算机网络的安全性 随着计算机网络,特别是各类互联网络的普遍使用,计算机网络的安全性及其实现方法受到了人们极大的关注。为了保障网络服务的可用性和网络信息的完整性,目前已提出了许多对网络服务的种类与范围等实施控制的技术与方法。 ①简述你参与过的计算机网络应用系统的概要和你所担任的工作,包括你在网络安全性与保密性方面所做过的主要工作。 ②详细论述你采用的保障网络安全性的技术与方法,并且着重说明你所采用的专用软件、硬件与管理措施的综合解决方案。 ③论述保障网络安全性与提高网络服务效率之间的关系,同时简要评估你所采用的网络安全性措施的效果。
相似考题

1.论IRF技术在网络规划与设计中的应用IRF的含义就是智能弹性架构(IntelligentResilientFramework),支持IRF的多台设备可互相连接起来形成一个"联合设备",这台"联合设备"称为一个Fabric,而将组成Fabric的每个设备称为一个Unit。多个Unit组成Fabric后,无论在管理上还是在使用上,就成为了一个整体。它既可以随时通过增加Unit来扩展设备的端口数量和交换能力,从而大大提高了设备的可扩展性;同时也可以通过多台Unit之间的互相备份来增强设备的可靠性;并且整个Fabric作为一台设备进行管理,用户管理起来也非常方便。请围绕"IRF技术在网络规划与设计中的应用"论题,依次对以下三个方面进行论述。(1)简述你参与规划与设计过的计算机网络的概要和你所担任的工作。(2)简述IRF技术的主要特点和优势。详细论述你是如何使用IRF技术进行网络规划与设计的,以及在你的方案中,如何体现出IRF技术的优点。(3)根据系统应用情况,简要评述你所规划与设计的计算机网络存在的问题,以及如何改进。

2.论文:试题论网络应用系统的安全设计随着计算机网络,特别是各类互联网络的普遍使用,计算机网络的安全性及其实现方法受到了人们极大的关注。为了保障网络服务的可用性和网络信息的完整性,目前已提出了许多对网络服务的种类与范围等实施控制的技术与方法。请围绕网络应用系统的安全性设计”论题,依次对以下3个方面进行论述。(1)简述你参与过的计算机网络应用系统的概要和你所担任的工作,包括你在网络安全性与保密性方面所做过的主要工作。(2)详细论述你采用的保障网络安全性的技术与方法,并且着重说明你所采用的专用软件、硬件与管理措施的综合解决方案。(3)论述保障网络安全性与提高网络服务效率之间的关系,同时简要评估你所采用的网络安全性措施的效果。

3.计算机网络的安全性主要包括网络服务的可用性、网络信息的保密性和网络信息的()

4.论校园网/企业网的网络规划与设计校园网(或企业网)是计算机网络的一大分支,有着非常广泛的应用及代表性。对于校园网/企业网,完备的应用是关键,而稳定可靠的网络是基础,完善的安全和管理手段是保障。由于学校/企业的类型和规模的不同,校园网/企业网的规划设计有着多种解决方案。校园网的规划、设计、硬件建设、软件建设以及网络的使用、扩充等都要从全局、长远的角度出发,充分考虑网络的安全性、易用性、可靠性和经济性等。请围绕"论校园网/企业网的网络规划与设计"论题,依次对以下三个方面进行论述。(1)概要叙述你参与设计实施的网络项目以及你所担任的主要工作。(2)具体讨论在校园网/企业网网络规划与设计中的主要工作内容和你所采用的原则、方法和策略,以及遇到的问题和解决措施。(3)分析你所规划和设计的校园网/企业网网络的实际运行效果。你现在认为应该做哪些方面的改进以及如何加以改进。

更多“问答题论计算机网络的安全性 随着计算机网络,特别是各类互联网络的普遍使用,计算机网络的安全性及其实现方法受到了人们极大的关注。为了保障网络服务的可用性和网络信息的完整性,目前已提出了许多对网络服务的种类与范围等实施控制的技术与方法。 ①简述你参与过的计算机网络应用系统的概要和你所担任的工作,包括你在网络安全性与保密性方面所做过的主要工作。 ②详细论述你采用的保障网络安全性的技术与方法,并且着重说明你所采用的专用软件、硬件与管理措施的综合解决方案。 ③论述保障网络安全性与提高网络服务效率之间的关系,同时简要”相关问题

  • 第1题:

    试题一 论电子政务专用网络的规划与设计

    随着信息技术在世界范围内的迅猛发展,特别是网络技术的普及应用,电子政务正在成为当代信息化的最重要领域之一。电子政务的推进加快了政府职能转变,提高了政府办事效率,增强了政府服务能力,促进了政务公开和廉政建设。电子政务的实施依托于电子政务专用网络,因而电子政务专用网络有其特有的应用环境和需求,也需要采用特有的技术和方法。

    请围绕“电子政务专用网络的规划与设计”论题,依次对以下三个方面进行论述。

    1、概要叙述你参与设计和实施的电子政务专用网络项目(若没有,叙述类似的项目)以及你所担任的主要工作。

    2、具体讨论你在电子政务专用网络(或类似网络)规划与设计中针对特有的应用环境和需求采用了哪些技术和方法,采取这些技术和方法有何优点?

    3、分析你采取上述技术、方法的效果如何,还有哪些需要进一步改进之处以及如何进行改进。


    正确答案:


    试题一 写作要点
    一、论文论述的是电子政务专用网络,而不是常规的局域网或广域网的规划与设计,要体现出电子政务应用背景。
      二、叙述自己参与设计和实施的电子政务专用网络项目应有一定的规模,自己在该项目中担任的主要工作应有一定的分量。
      二、能够全面和准确地描述该电子政务专用网络的应用环境和需求,深入地阐述规划与设计的主要内容、采用了哪些技术和方法,这些技术和方法要针对电子政务专用网络的特点,具有一定的广度和深度。主要应包括以下内容:
      (l)电子政务核心网络规划与设计(重点)。
      ① 电子政务网络平台构成、IP地址规划及域名规划、路由策略、组播方案设计、MPLS/VPN组网、QoS及流量工程设计等;
      ② 电子政务平台中各单位接入方式、远程和移动用户接入方式;
      ③ 网管中心方案、网管中心接入设计、网络管理系统设计。
      (2)传输线路规划与设计。
      (3)主机与存储系统规划与设计。
      ① 主机系统设备选型与配置规划;
      ② 存储系统分析、设计与规划。
    (4)容灾与备份系统规划与设计
      ① 备份系统建设分析、备份产品选型、备份策略和数据备份的管理等;
    ② 容灾建设策略、容灾系统设计等。
    (5)网络安全的规划与设计。网络隔离方式与规划设计、网络监控与入侵防范、网络漏洞扫描、抗DDOS攻击和基于PKI的CA认证等。
    四、对需要进一步改进的地方,应有具体的着眼点,不能泛泛而谈。

  • 第2题:

    计算机网络的基本分类方法主要有两种:一种是根据网络所使用的传输技术;另一种是根据

    A.网络协议

    B.网络操作系统类型

    C.覆盖范围与规模

    D.网络服务器类型与规模


    正确答案:C
    解析:计算机网络的基本分类方法主要有两种:1)根据网络所使用的传输技术分类,可分为广播式网络和点一点式网络;2)是根据网络的覆盖范围与规模分类,可分为局域网、城域网和广域网。

  • 第3题:

    试题二论计算机网络系统的可靠性设计

    计算机网络规划和设计的可靠性问题是一个关键问题,是网络规划和设计所必须考

    虑的,其目的是提高网络系统的可靠性,保证网络系统的稳定运行。

    请围绕“计算机网络系统的可靠性设计一论题,依次对以下三个方面进行论述。

    1、简要叙述你参与的计算机网络项目和你所担任的主要工作,以及项目的可靠性

    要求。

    2、从接入、网络、设备和系统等方面;讨论网络设计的可靠性的解决方案和措施。

    3、评估在网络设计中你采用可靠性的措施所带来的好处和问题。


    正确答案:
    试题二写作要点
    1、叙述你参与设计和实施的计算机网络项目,能在该项目中担任的主要工作,网络项目所采用的可靠性措施。
    2、能够全面和深入地阐述网络的设计的可靠性工作内容、采用了哪些技术和方法,这些技术和方法主要的特点,具有一定的广度和深度。主要应包括以下内容:网络结构设计中的可靠性、物理层技术选择的可靠性、硬件设备的可靠性、系统的可靠性。
    3、在网络设计中采用可靠性措施所带来的好处和问题,例如,成本、管理和维护等。

  • 第4题:

    论电子商务网络的安全

    随着Internet技术的发展,电子商务正以其高效和低成本的优势,逐步成为一类新的企业经营模式。实现电子商务的关键是要确保商务活动过程中系统有足够的安全性,防止由于非法入侵和机密信息泄露所造成的损失。

    请围绕“论电子商务网络的安全”论题,依次对以下3个问题进行论述。

    1.概要叙述你参与分析和开发的电子商务网络系统及你所担任的主要工作。

    2.简要讨论在一个具体的电子商务网络系统中需要考虑哪些安全要素?

    3.结合你的切身实践,详细论述你采用的电子商务网络系统安全问题的解决方案,并分析和评价你的解决方案。


    正确答案:1.简要介绍你所参与分析和开发的电子商务网络系统的基本情况并说明在该工程项目中所承担的主要工作。 2.实现电子商务的关键是要保证商务活动过程中系统的安全性即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看传统的买卖双方是面对面的因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中买卖双方是通过网络来联系的由于距离的限制因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和消费者)都面临安全威胁。电子商务的安全要素主要体现在以下几个方面: ①信息有效性、真实性即能对信息和实体进行鉴别。电子商务以电子形式取代了纸张如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。因此要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防以保证贸易数据在确定的时刻、确定的地点的真实有效。 ②信息机密性即保证信息不被泄露给非授权的人或实体。电子商务作为贸易的一种手段其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在一个较为开放的网络环境中的防止商业泄密是电子商务全面推广应用的重要保障。因此要预防非法的信息存取和信息在传输过程中被非法窃取确保只有合法用户才能看到数据防止泄密事件。 ③数据完整性即保证数据的一致性防止数据被非授权访问修改和破坏。电子商务简化了贸易过程减少了人为的干预同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为可能导致贸易各方信息的差异。此外数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。而贸易各方信息的完整性将影响到贸易各方的交易和经营策略保持贸易各方信息的完整性是电子商务应用的基础。因此要预防对信息的随意修改和删除同时要防止数据在传送过程中信息的丢失和重复并保证信息传送顺序的统一。 ④信息可靠性、不可抵赖性和可控性。可靠性要求是指保证合法用户对信息和资源的使用不会被不正当拒绝。不可抵赖性要求是指建立有效的责任机制防止实体否认其行为。可控性要求是指控制使用资源的人或实体的使用方式。在无纸化的电子商务方式下通过手写签名和印章进行贸易方的鉴别是不可能的。因此必须在交易信息传输过程中为参与交易的个人、企业或国家提供可靠的标识以保证数据发送方在发送数据后不能抵赖:数据接收方在接收数据后也不能抵赖。一旦交易成功便不可撤销在交易中的任何一方都不得否认其在该交易中的作用。为了进行业务交易各方还必须能够对另一方的身份进行鉴别一旦双方就某项交易签订合同后这项交易就应受到保护以防止被篡改或伪造。 3.以下列举一些常见的电子商务网络的安全对策。 (1)技术对策即通过各种产品和技术来保证网络的安全。 ①使用网络安全检测设备。例如可以通过网络安全监控系统找出安全隐患提供堵住安全漏洞所必需的校正方案监控各种变化情况从而使用户可以找出经常发生问题的根源所在。 ②使用各种具有较高安全性的访问设备如安全磁盘、智能卡等。 ③通过认证中心进行证书的认证和发放。 ④保护传输线路安全传输线路应有露天保护措施或埋于地下并要求远离各种辐射源以减少由于电磁干扰引起的数据错误。 ⑤要有较强的防入侵措施利用报警系统检测违反安全规程的行为对在规定次数内不正确的安全密码使用者网络系统可以采取行动锁住该终端并报警。 ⑥加强数据加密的工作网络中的数据加密方式有链路加密、节点加密和端对端加密等方式。 ⑦进行严格的访问控制当一主体试图非法使用一个未经授权的资源时访问控制机制将拒绝这一企图。 ⑧建立合理的鉴别机制包括报文鉴别、数字签名和终端识别技术以便查明某一个实体身份。 ⑨进行通信流的控制使网络中的数据流量比较平衡以防止破坏者通过分析网络中的某一路径的信息流量和流向来判断某事件的发生。 ⑩数据完整性的控制包括数据是否来自正确的发送方而非假冒数据接收的内容与发送时是否一致等。 (2)完善各项管理制度安全管理制度是用文字形式对各项安全要求所做的规定企业在参与电子商务初期就应当形成一套完整的、适应于网络环境的安全管理制度这些制度应当包括以下几个方面。 ①人员管理制度:保障计算机系统的安全首先要从体制和管理上下功夫要建立完善的安全管理的体制和制度建立一套行之有效的安全管理措施和手段。 ②保密制度:建立完善的保密体系提出相应的保密措施加强对密钥的管理。 ③跟踪审计制度:跟踪是指企业建立网络交易系统日志机制记录系统运行的全过程审计包括对系统日志的检查、审核以便及时发现故意入侵系统行为的记录和违反系统安全要求的记录等。 ④系统维护制度:包括软件和硬件的日常维护工作做好数据备份工作。 ⑤病毒防范制度:要有较强的病毒防范意识、要安装防病毒软件、不打开来自陌生地址的电子邮件、建立病毒清理制度等。 ⑥应急措施:在紧急事故发生时利用各项应急措施来保障计算机信息系统继续运行或紧急恢复如采用瞬时复制技术、远程磁盘镜像技术和数据库恢复技术等。 [参考范文] 论信息系统建设的网络规划 [摘要] 本文讨论了XX企业二期网络工程项目方案的规划与设计。该工程项目投入经费160万元建设周期为8个月。在项目的建设过程中本人有幸参与了整个建设方案的规划、设计并组织参与了整个项目的招标、投标、工程建设等工作。该工程项目是在原内部局城网的基础上升级改建的新增了220个信息点采用单核心两层拓扑结构并优化网络信息服务建立了企业内部信息发布系统、Web站点和FTP系统等与集团总部和各个下属单位实现VPN网络互联实现相互间信息共享。本工程项目基本完工后就投入运行顺利通过相关测试并验收结项得到了公司领导及员工的一致好评。最后针对本项目的一些规划设计工作中施行了简单、实用、低廉的策略提出了在先进性、可靠性、开放性等方面的改进意见。 [正文] 2008年3月至10月作为XX企业信息网络中心的一名技术骨干我有幸参与了本单位网络二期工程方案的规划、设计并组织参与了整个项目的招标、投标、工程建设且承担了该网络的运维工作。该二期网络工程建设的投资经费是160万元。本单位原有一个30个信息点的局城网以Windows2000为平台运行着核心应用软件——集装箱运输代理业务系统。本单位的人事部、财务部有相关的内部人事管理软件、工资软件和统计软件的应用。该二期网络工程主要是针对系统内信息流转不畅的需求进行的。其建设的目标是在原内部局城网的基础上升级改建新增了220个信息点能最大限度地保障网络系统的不间断运行并优化网络信息服务集成原有的业务应用系统建立了企业内部信息发布系统、Web站点和 FTP文件传输系统并与集团总部、各下属单位实现VPN网络互联实现相互间信息共享。 本单位二期网络工程在建设方案规划过程中我们主要进行了如下几个方面的策略选择。 1.综合布线方案。本单位办公楼是一幢6层的建筑物每位办公人员均有一台计算机。二期网络工程要求每台计算机均能访问Internet同时要求与3个基层单位(车队、外运仓库)和一个集装箱站相连。领导层、中层干部等群休在使用新信息发布系统时有相应数据查询功能。基于本单位的现状首先在办公楼进行结构化综合布线工程以利于今后信息点的扩展。由于办公楼楼层不高且只有第6层有空余房间因此将中心机房部署在办公楼的第6层。采用集中走线的方案使用超5类非屏蔽双绞线100Mbps带宽 250个信息点。 2.网络的逻辑结构设计方案。由于受整体经费不足等因素的限制因此在本单位二期网络工程逻辑结构设计时采用了较为实用的单核心局域网拓扑结构。由于本期网络工程建设的规模不大且资金投入有限因此在网络逻辑结构设计时未考虑部署汇聚层交换机。但核心交换机采用华为3COM的S6506三层交换机。该交换机共有6个光纤接口模块(或千兆位以太口模块)的扩展插槽以便于今后网络扩建时汇聚层交换机的接入。接入层交换机采用华为3COM的e328普通交换机共部署了12台每台共有24个以太网口。由于办公楼仅有6层中心机房到最远点接入层交换机的距离不超过90m因此每台e328交换机通过百兆位以太网口(第23、24端口)使用超5类UTP上连至S6506三层交换机。该上连链路使用了多链路捆绑技术从而达到带宽倍增、均衡网络流量等目的。e328交换机留有一个光纤接口扩展插槽也方便今后网络扩建时与汇聚层交换机的互连。 本单位二期网络工程采用基于交换机端口的方式按部门划分VLAN并为服务器、网络管理等应用划分了专门的VLAN。本单位服务器和客户机均采用静态IP地址配置方式。通过S6506交换机实现不同 VLAN间的数据通信。选用Cisco 3600作为路由器采用拨号方式将4个广域网口连接3个远程基层单位和集装箱站。使用DDN方式接入Internet。由于本期网络工程拓扑结构的复杂程度不高因此内部网络没有使用RIP或OSPF等动态路由协议只是在S6506交换机和Cisco 3600路由器上配置了通往Internet的相关静态路由。 考虑网络系统运维支持等因素Internet与Intranet之间的安全设备选购的是本地企业有相关资质的 XX牌硬件防火墙。并在企业网内部部署瑞星网络版防病毒软件(300个客户端用户数、5个服务器用户数)以及在三层交换机S6506配置防范震荡波病毒、冲击波病毒的相关过滤规则来加强计算机病毒的防范工作从而进一步保证内网的安全、顺畅。 3.软件平台的选择。考虑到中小企业的特点、可供选择的第三方软件比较多、支持微软平台的软件厂商多以及方便用户简便易操作、GUI界面等因素且本单位客户机多数使用的是Windows XP操作系统因此选择WindowsServer2003作为服务器的网络操作系统SQLServer6.0作为数据库平台。并使用 IIS6.0作为Web站点平台IE6.0作为客户浏览平台。 4.远程访问的接入。由于Windows Server 2003操作系统支持架构虚拟专用网(VPN)因此使用一台安装WindowsServer2003的服务器作为VPN服务器通过运行数据链路层的PPTP虚拟出一条安全的数据通道并在此基础上通过用户身份验证等手段实现与集团总部、各下属单位的网络基于Internet的安全互联以实现单位相互之间的信息共享。 本单位二期网络工程项目于2008年10月25日基本完工并投入试运行于2009年1月15日验收通过期间聘请了第三方测试机构对结构化综合布线工程的光纤及双绞线性能参数、网络流量等进行了相关测试。本工程项目加快了企业内部信息或单据的流转速度通过访问Internet加快了信息的时效性得到了公司领导及员工的好评。但是由于单位性质、规模等许多局限性(例如经费投入、本身的技术水平、网络规划设计能力等)使本项目的一些规划设计工作施行了简单、实用、低廉的策略。而网络工程建设是一项系统工程不仅需要结合近期目标考虑其实用性、安全性和易用性也要为系统的进一步发展和扩充留有余地还应具有良好的开放性、较高的可靠性、先进性。本人认为本单位的网络工程建设将来还要进行以下几个方面的改进。 (1)结构化综合布线工程可以采用多模光纤作为干线子系统并在相关楼层(例如第2层、第4层)设置水平工作间。 (2)网络的逻辑结构设计方案建议采用双核心拓扑结构实现企业内部网络各节点之间链路的冗余以增强网络的可靠性最大限度地保障网络系统7X24小时不间断运行。 (3)由于本单位内部网与Internet是互联互通的在二期工程建设中仅采用了一台硬件防火墙保障边界网络的安全。因此在今后网络建设中应考虑购买上网行为管理设备、入侵检测设备等来增加网络的监控和审计。对于本单位涉及内部机密数据的计算机应采用双硬盘隔离卡或网闸等物理隔离技术以增加企业内部数据的保密要求。 (4)进一步完善网络安全管理制度并加以落实和监管。
    1.简要介绍你所参与分析和开发的电子商务网络系统的基本情况,并说明在该工程项目中所承担的主要工作。 2.实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系的,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和消费者)都面临安全威胁。电子商务的安全要素主要体现在以下几个方面: ①信息有效性、真实性,即能对信息和实体进行鉴别。电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点的真实有效。 ②信息机密性,即保证信息不被泄露给非授权的人或实体。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在一个较为开放的网络环境中的,防止商业泄密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取,确保只有合法用户才能看到数据,防止泄密事件。 ③数据完整性,即保证数据的一致性,防止数据被非授权访问修改和破坏。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。而贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意修改和删除,同时要防止数据在传送过程中信息的丢失和重复,并保证信息传送顺序的统一。 ④信息可靠性、不可抵赖性和可控性。可靠性要求是指保证合法用户对信息和资源的使用不会被不正当拒绝。不可抵赖性要求是指建立有效的责任机制,防止实体否认其行为。可控性要求是指控制使用资源的人或实体的使用方式。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别是不可能的。因此,必须在交易信息传输过程中为参与交易的个人、企业或国家提供可靠的标识,以保证数据发送方在发送数据后不能抵赖:数据接收方在接收数据后也不能抵赖。一旦交易成功便不可撤销,在交易中的任何一方都不得否认其在该交易中的作用。为了进行业务交易,各方还必须能够对另一方的身份进行鉴别,一旦双方就某项交易签订合同后,这项交易就应受到保护以防止被篡改或伪造。 3.以下列举一些常见的电子商务网络的安全对策。 (1)技术对策,即通过各种产品和技术来保证网络的安全。 ①使用网络安全检测设备。例如,可以通过网络安全监控系统找出安全隐患,提供堵住安全漏洞所必需的校正方案,监控各种变化情况,从而使用户可以找出经常发生问题的根源所在。 ②使用各种具有较高安全性的访问设备,如安全磁盘、智能卡等。 ③通过认证中心进行证书的认证和发放。 ④保护传输线路安全,传输线路应有露天保护措施或埋于地下,并要求远离各种辐射源,以减少由于电磁干扰引起的数据错误。 ⑤要有较强的防入侵措施,利用报警系统检测违反安全规程的行为,对在规定次数内不正确的安全密码使用者,网络系统可以采取行动锁住该终端并报警。 ⑥加强数据加密的工作,网络中的数据加密方式有链路加密、节点加密和端对端加密等方式。 ⑦进行严格的访问控制,当一主体试图非法使用一个未经授权的资源时,访问控制机制将拒绝这一企图。 ⑧建立合理的鉴别机制,包括报文鉴别、数字签名和终端识别技术,以便查明某一个实体身份。 ⑨进行通信流的控制,使网络中的数据流量比较平衡,以防止破坏者通过分析网络中的某一路径的信息流量和流向来判断某事件的发生。 ⑩数据完整性的控制,包括数据是否来自正确的发送方而非假冒,数据接收的内容与发送时是否一致等。 (2)完善各项管理制度,安全管理制度是用文字形式对各项安全要求所做的规定,企业在参与电子商务初期,就应当形成一套完整的、适应于网络环境的安全管理制度,这些制度应当包括以下几个方面。 ①人员管理制度:保障计算机系统的安全,首先要从体制和管理上下功夫,要建立完善的安全管理的体制和制度,建立一套行之有效的安全管理措施和手段。 ②保密制度:建立完善的保密体系,提出相应的保密措施,加强对密钥的管理。 ③跟踪审计制度:跟踪是指企业建立网络交易系统日志机制,记录系统运行的全过程,审计包括对系统日志的检查、审核,以便及时发现故意入侵系统行为的记录和违反系统安全要求的记录等。 ④系统维护制度:包括软件和硬件的日常维护工作,做好数据备份工作。 ⑤病毒防范制度:要有较强的病毒防范意识、要安装防病毒软件、不打开来自陌生地址的电子邮件、建立病毒清理制度等。 ⑥应急措施:在紧急事故发生时,利用各项应急措施来保障计算机信息系统继续运行或紧急恢复,如采用瞬时复制技术、远程磁盘镜像技术和数据库恢复技术等。 [参考范文] 论信息系统建设的网络规划 [摘要] 本文讨论了XX企业二期网络工程项目方案的规划与设计。该工程项目投入经费160万元,建设周期为8个月。在项目的建设过程中,本人有幸参与了整个建设方案的规划、设计,并组织参与了整个项目的招标、投标、工程建设等工作。该工程项目是在原内部局城网的基础上升级改建的,新增了220个信息点,采用单核心两层拓扑结构,并优化网络信息服务,建立了企业内部信息发布系统、Web站点和FTP系统等,与集团总部和各个下属单位实现VPN网络互联,实现相互间信息共享。本工程项目基本完工后就投入运行,顺利通过相关测试,并验收结项,得到了公司领导及员工的一致好评。最后针对本项目的一些规划设计工作中施行了简单、实用、低廉的策略,提出了在先进性、可靠性、开放性等方面的改进意见。 [正文] 2008年3月至10月,作为XX企业信息网络中心的一名技术骨干,我有幸参与了本单位网络二期工程方案的规划、设计,并组织参与了整个项目的招标、投标、工程建设,且承担了该网络的运维工作。该二期网络工程建设的投资经费是160万元。本单位原有一个30个信息点的局城网,以Windows2000为平台运行着核心应用软件——集装箱运输代理业务系统。本单位的人事部、财务部有相关的内部人事管理软件、工资软件和统计软件的应用。该二期网络工程主要是针对系统内信息流转不畅的需求进行的。其建设的目标是,在原内部局城网的基础上升级改建,新增了220个信息点,能最大限度地保障网络系统的不间断运行,并优化网络信息服务,集成原有的业务应用系统,建立了企业内部信息发布系统、Web站点和 FTP文件传输系统,并与集团总部、各下属单位实现VPN网络互联,实现相互间信息共享。 本单位二期网络工程在建设方案规划过程中我们主要进行了如下几个方面的策略选择。 1.综合布线方案。本单位办公楼是一幢6层的建筑物,每位办公人员均有一台计算机。二期网络工程要求每台计算机均能访问Internet,同时要求与3个基层单位(车队、外运仓库)和一个集装箱站相连。领导层、中层干部等群休在使用新信息发布系统时有相应数据查询功能。基于本单位的现状,首先在办公楼进行结构化综合布线工程,以利于今后信息点的扩展。由于办公楼楼层不高,且只有第6层有空余房间,因此将中心机房部署在办公楼的第6层。采用集中走线的方案,使用超5类非屏蔽双绞线,100Mbps带宽, 250个信息点。 2.网络的逻辑结构设计方案。由于受整体经费不足等因素的限制,因此在本单位二期网络工程逻辑结构设计时,采用了较为实用的单核心局域网拓扑结构。由于本期网络工程建设的规模不大,且资金投入有限,因此在网络逻辑结构设计时未考虑部署汇聚层交换机。但核心交换机采用华为3COM的S6506三层交换机。该交换机共有6个光纤接口模块(或千兆位以太口模块)的扩展插槽,以便于今后网络扩建时汇聚层交换机的接入。接入层交换机采用华为3COM的e328普通交换机,共部署了12台,每台共有24个以太网口。由于办公楼仅有6层,中心机房到最远点接入层交换机的距离不超过90m,因此每台e328交换机通过百兆位以太网口(第23、24端口)使用超5类UTP上连至S6506三层交换机。该上连链路使用了多链路捆绑技术,从而达到带宽倍增、均衡网络流量等目的。e328交换机留有一个光纤接口扩展插槽,也方便今后网络扩建时与汇聚层交换机的互连。 本单位二期网络工程采用基于交换机端口的方式按部门划分VLAN,并为服务器、网络管理等应用划分了专门的VLAN。本单位服务器和客户机均采用静态IP地址配置方式。通过S6506交换机实现不同 VLAN间的数据通信。选用Cisco 3600作为路由器,采用拨号方式将4个广域网口连接3个远程基层单位和集装箱站。使用DDN方式接入Internet。由于本期网络工程拓扑结构的复杂程度不高,因此内部网络没有使用RIP或OSPF等动态路由协议,只是在S6506交换机和Cisco 3600路由器上配置了通往Internet的相关静态路由。 考虑网络系统运维支持等因素,Internet与Intranet之间的安全设备,选购的是本地企业有相关资质的 XX牌硬件防火墙。并在企业网内部部署瑞星网络版防病毒软件(300个客户端用户数、5个服务器用户数),以及在三层交换机S6506配置防范震荡波病毒、冲击波病毒的相关过滤规则来加强计算机病毒的防范工作,从而进一步保证内网的安全、顺畅。 3.软件平台的选择。考虑到中小企业的特点、可供选择的第三方软件比较多、支持微软平台的软件厂商多,以及方便用户简便易操作、GUI界面等因素,且本单位客户机多数使用的是Windows XP操作系统,因此选择WindowsServer2003作为服务器的网络操作系统,SQLServer6.0作为数据库平台。并使用 IIS6.0作为Web站点平台,IE6.0作为客户浏览平台。 4.远程访问的接入。由于Windows Server 2003操作系统支持架构虚拟专用网(VPN),因此使用一台安装WindowsServer2003的服务器作为VPN服务器,通过运行数据链路层的PPTP虚拟出一条安全的数据通道,并在此基础上通过用户身份验证等手段,实现与集团总部、各下属单位的网络基于Internet的安全互联,以实现单位相互之间的信息共享。 本单位二期网络工程项目于2008年10月25日基本完工并投入试运行,于2009年1月15日验收通过,期间聘请了第三方测试机构对结构化综合布线工程的光纤及双绞线性能参数、网络流量等进行了相关测试。本工程项目加快了企业内部信息或单据的流转速度,通过访问Internet加快了信息的时效性,得到了公司领导及员工的好评。但是,由于单位性质、规模等许多局限性(例如经费投入、本身的技术水平、网络规划设计能力等),使本项目的一些规划设计工作施行了简单、实用、低廉的策略。而网络工程建设是一项系统工程,不仅需要结合近期目标考虑其实用性、安全性和易用性,也要为系统的进一步发展和扩充留有余地,还应具有良好的开放性、较高的可靠性、先进性。本人认为本单位的网络工程建设将来还要进行以下几个方面的改进。 (1)结构化综合布线工程可以采用多模光纤作为干线子系统,并在相关楼层(例如第2层、第4层)设置水平工作间。 (2)网络的逻辑结构设计方案建议采用双核心拓扑结构,实现企业内部网络各节点之间链路的冗余,以增强网络的可靠性,最大限度地保障网络系统7X24小时不间断运行。 (3)由于本单位内部网与Internet是互联互通的,在二期工程建设中仅采用了一台硬件防火墙保障边界网络的安全。因此在今后网络建设中,应考虑购买上网行为管理设备、入侵检测设备等来增加网络的监控和审计。对于本单位涉及内部机密数据的计算机应采用双硬盘隔离卡或网闸等物理隔离技术,以增加企业内部数据的保密要求。 (4)进一步完善网络安全管理制度,并加以落实和监管。

  • 第5题:

    论网络中心机房的规划与设计 随着计算机的发展和网络的广泛应用,越来越多的单位建立了自己的网络,网络中心机房的建设是其中一个重要环节。它不仅集建筑、电气、安装、网络等多个专业技术于一体,更需要丰富的工程实施和管理经验。网络中心机房设计与施工的优劣直接关系到机房内计算机系统是否能稳定可靠地运行,是否能保证各类信息通信的畅通。

    请以“网络中心机房的规划与设计”为题,依次对以下三个方面进行论述。 1.概要叙述你参与设计实施的网络项目以及你所担任的主要工作。 2.具体讨论在网络中心机房的规划与设计中的主要工作内容和你所采用的原则、方法和策略,以及遇到的问题和解决措施。 3.分析你所规划和设计网络中心机房的实际运行效果。你现在认为应该做哪些方面的改进以及如何加以改进。


    正确答案:1.机房工程整体建设。
    2.防静电地板铺设。
    3.隔断装修。
    4.UPS不间断电源。
    5.精密空调系统。
    6.新风换气系统。
    7.接地系统。
    8.防雷系统。
    9.监控系统。
    10.门禁系统。
    11.漏水检测系统。
    12.机房环境及动力设备监控系统。
    13.消防系统。
    14.屏蔽系统。

  • 第6题:

    试题一 论网络规划与设计中的可扩展性问题

    网络技术的发展非常迅速,不仅原有技术不断升级换代,而且新的技术也不断涌现。同时,组织的网络应用需求也在不断提升,这一切对网络的升级提出了迫切需求。而组织的网络经常重建的可能性非常小,一般都是采取升级的方式来提高网络的性能。这就要求网络在规划和设计之初要充分考虑网络的可扩展性。

    请围绕“网络规划与设计中的可扩展性问题”论题,依次对以下三个方面进行论述。 1. 简要叙述你参与设计和实施的大中型网络项目以及你所担任的主要工作。

    2. 详细论述你在网络规划和设计中提高网络可扩展性的思路与策略,以及所采用的技术和方法。

    3. 分析和评估你所采用的提高网络可扩展性措施的效果,以及相关的改进措施。


    正确答案:


    试题一 写作要点
    一、叙述自己参与设计和实施的网络项目应有一定的规模,自己在该项目中担任的主要工 作应有一定的分量
    二、能够全面和深入地论述提高网络可扩展性的思路与策略以及所使用的技术和方法,从硬件、软件以及管理措施等多个角度进行说明,具有一定的广度和深度。主要从以下几个方面进行论述:
        1、在网络拓扑结构方面
        2、在综合布线方面
        3、在网络设备方面
        4、在系统软件、应用软件方面
        5、在网络管理方面
        6、在网络安全方面
    三、对提高网络可扩展性措施的效果以及需要进一步改进的地方,应有具体的着眼点,不能泛泛而谈。

     

  • 第7题:

    电子政务的安全与管理的目标主要有()。

    • A、信息安全性与可控性
    • B、网络安全性与可审计性
    • C、可用性、完整性、保密性、保障性、可控性、可审计性
    • D、计算机系统安全性

    正确答案:C

  • 第8题:

    论计算机网络的安全性 随着计算机网络,特别是各类互联网络的普遍使用,计算机网络的安全性及其实现方法受到了人们极大的关注。为了保障网络服务的可用性和网络信息的完整性,目前已提出了许多对网络服务的种类与范围等实施控制的技术与方法。 ①简述你参与过的计算机网络应用系统的概要和你所担任的工作,包括你在网络安全性与保密性方面所做过的主要工作。 ②详细论述你采用的保障网络安全性的技术与方法,并且着重说明你所采用的专用软件、硬件与管理措施的综合解决方案。 ③论述保障网络安全性与提高网络服务效率之间的关系,同时简要评估你所采用的网络安全性措施的效果。


    正确答案: 计算机网络应用系统不仅与计算机系统结构有关,还与运行的环境、人员因素和社会因素有关,具体来说,应该包括以下内容:
    ①硬件安全,是指保护计算机系统硬件的安全,保证其自身的可靠性。
    ②软件安全,是指保护软件和数据不被篡改、破坏和非法复制。通常又可分为操作系统安全、数据库安全、网络软件安全和应用软件安全。
    ③运行安全,是指保护系统能够连续和正常运行。
    ④安全立法,是指利用国家机器,通过网络与信息安全立法,对计算机网络方面的犯罪行为进行约束和制裁。
    从技术方面而言,硬件、软件的安全主要是通过系统供应商来保证的,在选择时应该经过系统的检查与评测,在设计时充分考虑到网络性的安全,相对而言网络安全的矛盾更加凸显。另外由于计算机网络的运行主要是通过网络和信息技术来支撑的,因此计算机网络安全运行的核心内容就是网络上的信息安全问题。在网络信息安全方面的主要特征如下:
    ①保密性。保证信息不泄露给未经授权的用户或供其利用。
    ②完整性。防止信息被未经授权的人篡改,保证真实的信息从真实的信源无失真地传到真实的信宿。
    ③可用性。保证信息及信息系统确实为授权使用者所用,防止由于计算机病毒或其他人为因素造成网络和系统无法正常运行而拒绝服务或为敌手所用。
    ④控性。对信息内容及信息系统实施安全监控管理,防止非法修改。
    ⑤抗抵赖性。保证信息行为人不能否认自己的行为。
    而在网络安全的防护方面,主要的技术手段包括:防火墙、入侵检测、病毒扫描、安全扫描、日志审计、网页防篡改、私自拨号检测、PKI技术和服务等。
    本文的写作要点,大致包括以下几个方面:
    ①简述你参与过的计算机网络应用系统的概要(并应适当地说明该系统的应用背景与目标)和你所担任的工作,包括你在网络安全性与保密性方面所做过的主要工作。
    ②具体叙述采用的保障网络安全性的技术与方法,并且着重说明你所采用的专用软件、硬件与管理措施的综合解决方案。
    ③根据系统实际运行情况,简要评估所采用的网络安全性措施的效果。
    ④简单论述保障网络安全性与提高网络服务效率之间的关系(显然是一种相互制约的关系)。

  • 第9题:

    计算机网络的安全性主要指的是:网络服务的可用性、网络信息的保密性和网络信息的完整性。()


    正确答案:正确

  • 第10题:

    判断题
    计算机网络的安全性主要指的是:网络服务的可用性、网络信息的保密性和网络信息的完整性。()
    A

    B


    正确答案:
    解析: 暂无解析

  • 第11题:

    问答题
    论文:试题论网络应用系统的安全设计随着计算机网络,特别是各类互联网络的普遍使用,计算机网络的安全性及其实现方法受到了人们极大的关注。为了保障网络服务的可用性和网络信息的完整性,目前已提出了许多对网络服务的种类与范围等实施控制的技术与方法。请围绕“网络应用系统的安全性设计”论题,依次对以下3个方面进行论述。 (1)简述你参与过的计算机网络应用系统的概要和你所担任的工作,包括你在网络安全性与保密性方面所做过的主要工作。 (2)详细论述你采用的保障网络安全性的技术与方法,并且着重说明你所采用的专用软件、硬件与管理措施的综合解决方案。 (3)论述保障网络安全性与提高网络服务效率之间的关系,同时简要评估你所采用的网络安全性措施的效果。

    正确答案: 我在某大学网络中心工作,我校数字化建设的主要内容是建立基于千兆主干网络的、提供多种网络服务的网络应用体系。2001年3月,我参加了数字图书馆建设,担任技术部主管职务,负责理解学校和省教委对该项目的要求,根据技术先进、成本适中、充分满足要求为原则,进行应用需求分析,对整个网络进行设计,提出设计方案。
    由于该项目规模比较大,提供的服务比较多,作为校园网络的中心和提供网络服务的核心部门,我馆图书馆的许多业务需要在网上展开,各种特色服务所用的平台也是五花八门。这对安全方面的设计提出的较高的要求。我们通过采用保障Internet接入的安全、保证干路畅通和合理划分子网、保证软件系统的安全、健全管理机制等措施来设计图书馆网络。这种切合实际、低成本、高技术的设计方案实施后的网络,其安全性大大加强了,同时网络的性能并未受到太多的影响。
    2001年3月,我参加了某大学数字211建设图书馆数字化建设部分(分为第一、第二、第三期工程),第二期工程总额5500万元。该工程建设项目分为网络部分、软件部分以及资源建设部分。该项目的目标是,将地处该城市的东、西、南、北端的各分校区和总校区的网络联连接成为一个畅通的宽带、高速、高性能的校园网;建立一个文献信息中心,能为读者提供电子期刊服务、图书书目数据服务、图书光盘点播、视频点播服务,并且能够拥有部分自己的特色数据资源;建立一个网络中心,提供Web服务、邮件服务、全校的办公自动化服务,它既是全校的应用服务中心、公共数据存储中心,又是全校网络的管理中心。我在该项目中担任技术部主管,任务是进行应用需求分析,对整个网络进行设计,提出设计方案。
    由于该项目规模比较大,提供的服务比较多,各种特色服务所用的平台也是五花八门。同时,影响网络安全的因数比较多,通常有人的因数、自然因数、病毒因数。如果对这些主要因数防范不得力,将影响网络硬件、网络数据传输、数据服务器的安全。因此对其安全设计,单一的技术或者设备保护难以保证本校网络的安全,效果往往不理想;所以我们采用多层次的防护体系来保证网络的畅通和网络数据的安全。我们根据业务数据的流动历经的重要环节,来提出具体的安全方案。1.保证接入的安全。
    俗话说病从口入,同样一些常有的攻击往往来自外网,同时使用图书馆所购买的外文资料例如WebScience、EBSCO等数据库需要访问外网;同时,外网的授权用户需要能够访问我们的数据。所以必须保证接入部分的稳定与安全。在外网联接上,我们租用2条光纤线路(100Mbps)分别接入中国电信和XXX大学,使用Cisco的7500系列路由器接入,然后用一台Sunspark操作系统为Solaris的服务器做防火墙将外网和内网划分开;同时用其做策略路由服务器,使用校园网内的用户可以快捷的访问电信网络和教育网络的资源。在外部用户访问上,我们首先用Sunspark服务器防火墙进行IP地址过滤掉非法的IP地址,然后通过用户名+密码模式登录,才能通过防火墙访问我们内部资源。2.保证干路畅通和划分子网
    网络干路是指各楼的骨干网、骨干网汇接形成的交换中心及联结Internet的接入线路。它的不畅通必然导致大规模的网络瘫痪,外部付费用户访问不到内部资源,这将造成极坏的影响。
    在光纤干路上我们采用光纤连接主校区的各大教学楼、南院校区和XXX校区,主干路使用3对光纤做冗余。由于其他分校区离主校区比较远,光纤连入费用较高,我们采用拨号接入的方式联结。我们采用3ComRAS1500作为拨号服务器.分配32个校内电话号码给该服务器,用户只需要拨这32个其中一个,通过认证后,就可以动态分配一个校内的合法IP来访问校内的资源。在干路上,安全的隐患往往来自非技术因素,由于本市修建大学城,道路施工比较多,我们的光纤被人为地挖断;由于,某路段起火烧掉部分光纤。对于这种情况,我们采取紧急修理,租用吉通的2Mbps微波通信线路和将策略路由指向电信线路的办法来保障网路的畅通。
    由于本校应用点多,地理位置也十分分散,各大单位为相对独立的机构,所以需要进行子网划分以便管理。
    我们使用两台3Com的CB9000中心交换机连接各教学单位过来的光纤,并且将华中分配的16个C类地址分成为32个VLan。子网的划分使安全性得到了很大的提高,同时各单位的网络组织成独立的虚网。同时,每个教学单位指定专人负责网络地址的分配,这样盗用IP地址的情况大大的减少了。
    我们采用3Com的Transcend作为网管平台,实施对网络干路和各个子网的监控和进行网络优化。当网络有人恶意下载资源和蠕虫病毒群发邮件时,我们可以立即找出攻击源而进行相应的措施。3.保证软件系统的安全由于操作系统是软件系统的基础,所以,保护好操作系统是必须的,对于Windows系统(提供CNKI和VIP镜像等服务)保护,我们主要采取取消Guest账号、取消不必要的服务(如远程注册表操作)安装诺顿防火墙和相应的杀毒软件、定时查看有无异常的程序运行等方式来保证其安全。对于Linux或者UNIX(提供邮件、网络计费、主页、论坛等服务),我们关闭许多不必要的端口、定时对系统打包升级等措施来保证其安全。
    对于数据库系统的保护,主要集中在保证数据的完整性、正确性和安全性方面。在数据存储介质方面,我们采用磁盘阵列、NAS、San结合RAID5方式存储数据。4.健全的安全管理机制
    管理安全数字图书馆的工作状态在很大程度上取决于是否有良好的管理机制。如果制度合理、管理得当、执行得力就能有效的预防和控制安全事故的发生。反之,则会引发各种安全隐患。
    我们规定工作人员每日必须检查服务器的曰志,通过日志可以清楚地看到有无外来人员登录服务器,并且做了何种修改。对重要的数据服务器,每日必须做异地数据备份。同时管理员的密码必须达到一定的长度并且每周建议修改一次。
    一般而言,网络安全是网络服务效率的保障。没有了数据安全,网络服务成为无源之水;没有网络系统的安全,网络服务将成为无本之木。当然没有效率的网络传输是得不偿失的。所以,我们要合理的规划好网络及软、硬件的合理利用。
    在接入上,由于全校有3000多台机器也要通过该做防火墙的服务器接入Internet,这将给该服务器造成较大的负担,同时数据传输量大时,该服务器处理速度相对将成为瓶颈。我们采取单独使用两台Spark主机做代理服务器,代理服务器同时启动用户认证服务,由于代理服务器的缓存保证了出校的流量大大减少,同时认证功能使得非法用户无法登录网络。这样的冗余设计使得网络的安全性能和效能得到了大幅度的提高。
    在子网划分上,连接各教学单位过来的光纤的2台中心3ComCB9000交换机之间用两根光纤作一个串口,这样跨子网的访问无需通过交换能力不强的Cisco路由器7500,子网间传输数据的瓶颈问题消失了。
    在数据存储上,由于我们提供CNKI和VIP等服务,这些服务器的访问量、存储的数据量都十分庞大,单个的数据检索查询都会占据大量的CPU时间。我们使用SAN和NAS存储大量的数据,当用户提出一个检索的申请时,检索服务将在服务器上运行,当用户提出一个下载的服务时候,下载的服务由SAN和NAS去完成,这样使得SAN和NAS的效能比磁盘阵列要高。由于SAN和NAS都可以做RAID1~RAID5,所以数据安全性能比普通的硬盘要高。采用新技术和冗余使得我们的网络服务效率和安全性能得到了大幅度的提高。
    本项目的网络系统还有许多问题,一次网络发生了大规模的网络风暴,从子交换机扩散到中心交换机,主机与主机之间的数据传输丢包率达到了75%几乎是不通了,最后我们发现一个施工的单位将~根漏电的线缆搭在网络上。但是为什么会造成跨虚网的网络风暴,从技术上我们无法解决,只能是严格检测各子网和主干网络是否达到屏蔽的要求,并且将电路和网路尽量分开。
    解析: 暂无解析

  • 第12题:

    问答题
    论文:论信息系统的安全性与保密性设计 在企业信息化推进的过程中,需要建设许多的信息系统,这些系统能够实现高效率、低成本的运行,为企业提升竞争力。但在设计和实现这些信息系统时,除了针对具体业务需求进行详细的分析,保证满足具体的业务需求之外,还要加强信息系统安全方面的考虑。因为如果一个系统的安全措施没有做好,那么系统功能越强大,系统出安全事故时的危害与损失也就越大。 请围绕“信息系统的安全性与保密性”论题,依次从以下3个方面进行论述: (1)概要叙述你参与分析设计的信息系统及你所担任的主要工作。 (2)深入讨论作者参与建设的信息系统中,面临的安全及保密性问题,以及解决该问题采用的技术方案(3)经过系统运行实践,客观的评价你的技术方案,并指出不足,提出解决方案。

    正确答案: “钢铁企业集团生产管控数字化应用示范”是国家“十二五”先进制造技术领域科技支撑计划项目——“集团企业数字化综合管控集成应用示范”的12个课题之一,主要实现从客户需求、资源平衡、生产制造、物流管理到客户服务的全程信息透明、资源共享和业务协同。我作为课题技术负责人,担任了系统设计工作。
    生产管控平台面临的安全和保密性问题主要有信息泄露、抵赖和外部攻击。在系统设计过程中,我们在DMZ区增设代理服务器隔离Web服务器;采用了数据加密传输技术;敏感数据加密后再存储;采用严格的认证和访问控制机制;应用数字签名技术防止抵赖;设计了业务操作跟踪审计功能。
    实际运行结果表明,我们在设计阶段采用的技术和方法有效地保证了系统的安全性和保密性。但业务操作跟踪审计功能对系统性能有一定的影响,有待进行改进。
    正文:
    为满足制造业做大做强、制造企业全球协作和精益管控的发展需求,国家科技部组织了以12家集团企业为主体、产学研相结合的“十二五”先进制造技术领域科技支撑计划项目——“集团企业数字化综合管控集成应用示范”的实施,分两期、3年完成。我所在单位是一个大型国有钢铁集团企业,由我所在单位为主体、联合浙江大学等单位共同承担的“钢铁企业集团生产管控数字化应用示范”是该项目12个课题之一。
    “钢铁企业集团生产管控数字化应用示范”课题的主要任务是开发钢铁集团企业以生产制造、经营管理和制造服务为核心的数字化集中管控平台,高效整合集团企业内部与外部的各种业务、管理和市场信息,支持集团企业的企业运营、兼并重组等战略,为我国钢铁企业集团实现生产管控、供应链协同的信息化应用提供典型示范案例。概括地说,生产管控平台要实现从客户需求、资源平衡、生产制造、物流管理到客户服务的全程信息透明、资源共享和业务协同。
    钢铁企业集团生产管控平台(以下简称生产管控平台)一期于2011年7月开始设计和开发,2012年7月投入运行,至今运行良好。我作为课题技术负责人,担任了系统设计工作。
    根据对系统需求的理解和分析,我们将该系统设计为3个子系统,即面向客户、基于B/S架构的销售在线子系统;面向内部用户、基于C/S架构的生产管控子系统;面向企业内部系统和外部客户系统的系统集成子系统。
    生产管控平台数据库采用Oracle10g;主要核心业务逻辑由C/C++语言实现,运行在交易中间件Tuxedo平台;Web服务器采用Weblogic,涉及核心业务逻辑的部分功能经由WTC调用Tuxedo服务实现,其他功能通过JDBC直接访问数据库;C/S客户端采用C#开发。生产管控平台面向的服务对象既包括企业内部用户,又包括国内和国外客户,还包括客户信息系统,涉及的业务都是企业的关键业务,系统安全和信息保密十分重要。生产管控平台面临的安全和保密性问题主要有:
    ①信息泄露。钢铁行业产品销售的一个重要特点是一单一议,即一定时期内不同客户、不同订单、同一产品的销售价格可能不尽相同,并且客户之间不透明。因此,每个客户都想方设法希望得到其他客户的订单价格,以便谈判时掌握主动。如果销售价格信息泄露,企业方在谈判时将处于极为不利的被动局面。系统必须保证销售价格等敏感信息不易泄露。
    ②抵赖。生产管控平台需要实现第三方机构和客户直接修改系统数据的功能,如第三方机构确认产品是否合格、客户打印质量证明书等。以质量证明书为例,它是产品质量的唯一凭据,一件产品只能有一份质量证明书,即客户打印一份之后不能再打印第二份。系统必须保证这些操作的不可抵赖性。
    ③外部攻击。由于生产管控平台涉及的业务都是企业的关键业务,而且可以通过Internet进行访问,所以容易受到外部的攻击。
    为了提高生产管控平台的安全性和保密性,在系统设计过程中,我们应用了多种技术和方法。
    首先,我们在DMZ区增设代理服务器隔离Web服务器。销售在线子系统主要为客户提供服务,必须通过Internet访问,过去我们一般将Web服务器部署在DMZ区,基于安全性考虑,我们将生产管控平台的Web服务器与数据库服务器部署在内部网络区域,DMZ区部署Apache的HTTP服务器作为代理服务器,客户通过HTTPS访问代理服务器,代理服务器再通过HTTP协议穿过防火墙访间Web服务器。不仅在安全性和性能上取得了相对平衡,而且增加了外部攻击的难度。
    其次,采用了数据加密传输技术。生产管控子系统采用Tuxedo中间件提供的加/解密技术对客户端和服务器端之间传输的数据进行加密和解密处理,销售在线子系统采用HTTP协议进行加密传输,集成子系统中与客户信息系统的集成采用SSL协议进行加密传输,防止数据传输过程中被窃取和篡改。
    第三,敏感数据加密后再存储。为了防止内部人员泄露敏感信息,我们对数据库中存储的销售价格、用户密码等敏感信息进行了加密处理,即使从数据库中得到了数据也不能获得相应的信息。所有需加/解密的数据均采用Tuxedo中间件提供的加/解密技术,由运行在Tuxedo中间件平台的独立模块进行加密和解密处理。
    第四,采用严格的认证和访问控制机制。内部用户采用用户名/口令验证机制,外部用户采用用户名/口令和数字证书验证机制。服务端采用会话管理机制,客户端调用服务端的每一个功能都必须提供合法、有效的会话标识,否则服务端将拒绝提供相应的服务。数据访问控制到数据行和数据列,客户和第三方机构只能查看和操作与自己相关的业务数据,内部用户按照业务职能只能操作职责范围内的业务数据;不同用户根据授权可查看相关的数据项。
    第五,应用数字签名技术。在对第三方机构确认产品是否合格、客户打印质量证明书等外部用户直接修改系统数据的功能设计时,我们采用了数字签名技术,从提供给用户的硬件Key中读取用户私钥,对操作的关键数据生成消息摘要并用私钥加密;集成子系统中与客户信息系统的集成也采用了数字签名技术,保证数据发送和接收的不可否认性。
    最后,我们还设计了业务操作跟踪审计功能。对系统的所有操作,我们记录了跟踪审计信息,记录了操作时间、客户机IP、操作人、功能和主要数据,便于出现安全事件时进行分析。
    生产管控平台的实际运行结果表明,我们在设计阶段采用的技术和方法有效地保证了系统的安全性和保密性。系统运行至今,虽然遭到过外部攻击,但还没有出现过因系统设计不完善导致的泄密和安全事故。例如,我们发现了多次外部攻击,但这些攻击只访问到代理服务器即被阻止。系统运行过程中,我们发现业务操作审计功能对系统性能有一定的影响,我们计划在两个方面进行改进,一是对内部用户只跟踪涉及敏感信息的操作,二是将跟踪信息持久化层由文件系统改变为数据库,并采用缓存机制将跟踪信息保存在内存并定时更新到数据库。
    解析: 暂无解析

  • 第13题:

    试题二 论网络系统的安全设计

    网络的安全性及其实施方法是网络规划中的关键任务之一,为了保障网络的安全性和信息的安全性,各种网络安全技术和安全产品得到了广泛使用。

    请围绕“网络系统的安全设计”论题,依次对以下三个方面进行论述。

    1、简述你参与设计的网络安全系统以及你所担任的主要工作。

    2、详细论述你采用的保障网络安全和信息安全的技术和方法,并着重说明你所采用的软件、硬件安全产品以及管理措施的综合解决方案。

    3、分析和评估你所采用的网络安全措施的效果及其特色,以及相关的改进措施。


    正确答案:

    试题二 写作要点
      一、论文叙述自己参与设计和实施的电子政务专用网络项目应有一定的规模,自己在该项目中担任的主要工作应有一定的分量。
      二、能够全面和准确地论述采用的保障网络安全和信息安全的技术和方法,从软件、硬件以及管理措施等多个角度进行说明,具有一定的广度和深度。主要应从以下几个方面进行论述:
    (1)网络平台及计算机系统的物理安全。
    (2)网络平台的数据链路安全。
    (3)主要网络安全技术和方法。物理隔离技术、防火墙、网络监控与入侵防范、网络漏洞(弱点)扫描、抗DDOS攻击和安全黑洞等。
    (4)系统平台安全。操作系统安全、应用软件和数据库系统安全、系统安全管理和系统病毒防范。
     (5)网络应用系统安全。防网页篡改、反垃圾邮件等。
     (6)可靠性与容错容灾安全。
     (7)数据安全。数据传输安全、数据存储安全等。
    (8)基于PKI的CA认证。认证中心、注册登记机构RA、PKI/CA建设思路。
    (9)安全管理制度。建立完善的安全管理组织机构、安全评估的管理、具体安全策略的管理、工程实施的安全管理、接入管理、建立完善的安全管理制度、运行管理、应急处理、联合防护等。
    三、对需要进一步改进的地方,应有具体的着眼点,不能泛泛而谈。

  • 第14题:

    试题一论计算机网络系统设计中接入技术的选择

    计算机网络技术的发展非常迅速,新技术不断涌现。在网络设计和实现中,各种接

    入方式和接入技术不断成熟,要求网络在规划和设计中,考虑实际情况,针对具体目标,

    选择适合的接入方式和技术。

    请围绕“计算机网络系统设计中接入技术的选择”论题,依次对以下三个方面进行

    论述.

    1、简要叙述你参与设计和实施的计算机网络项目,以及你所担任的主要工作和接

    入方式的选择。

    2、详细论述你在网络规划和设计中接入技术选择的思路与策略,以及所采用的技

    术和方法。

    3、分析和评估你所采用的接入技术的措施及其效果,以及相关的改进措施。


    正确答案:
    试题一写作要点
    1、叙述你参与设计和实施的计算机网络项目,该项目应有一定的规模,你在该项目中担任的主要工作应有一定的份量,说明你对接入技术的选择。
    2、全面和深入地论述各种接入方式使用的技术和方法,具有一定的广度和深度。主要从以下几个方面进行论述:接入方式、带宽、可靠性、安全性、成本、可扩展性。
    3、对选择的网络系统设计中接入技术的效果以及需要进一步改进的地方,应有具体的着眼点,不能泛泛而谈。

  • 第15题:

    网络技术的发展非常迅速,不仪原有技术不断升级换代,而且新的技术也不断涌现。同时,组织的网络应用需求也在不断提升,这一切对网络的升级提出了迫切需求。而组织的网络经常重建的可能性非常小,一般都是采取升级的方式来提高网络的性能。这就要求网络在规划和设计之初要充分考虑网络的可扩展性。

    请围绕“网络规划与设计中的可扩展性问题”论题,依次对以下三个方面进行论述。

    1.简要叙述你参与设计和实施的大中型网络项目以及你所担任的主要工作。

    2.详细论述你在网络规划和设计中提高网络可扩展性的思路与策略,以及所采用的技术和方法。

    3.分析和评估你所采用的提高网络可扩展性措施的效果,以及相关的改进措施。


    正确答案:[写作要点] 一、叙述自己参与设计和实施的网络项目应有一定的规模自己在该项目中担任的主要工作应有一定的分量。 二、能够全面和深入地沦述提高网络可扩展性的思路与策略以及所使用的技术和方法从硬件、软件以及管理措施等多个角度进行说明具有一定的广度和深度。主要从以下几个方面进行论述: 1.在网络拓扑结构方面 2.在综合布线方面 3.在网络设备方面 4.在系统软件、应用软件方面 5.在网络管理方面 6.在网络安全方面 三、对提高网络可扩展性措施的效果以及需要进一步改进的地方应有具体的着眼点不能泛泛而谈。
    [写作要点] 一、叙述自己参与设计和实施的网络项目应有一定的规模,自己在该项目中担任的主要工作应有一定的分量。 二、能够全面和深入地沦述提高网络可扩展性的思路与策略以及所使用的技术和方法,从硬件、软件以及管理措施等多个角度进行说明,具有一定的广度和深度。主要从以下几个方面进行论述: 1.在网络拓扑结构方面 2.在综合布线方面 3.在网络设备方面 4.在系统软件、应用软件方面 5.在网络管理方面 6.在网络安全方面 三、对提高网络可扩展性措施的效果以及需要进一步改进的地方,应有具体的着眼点,不能泛泛而谈。

  • 第16题:

    计算机网络的基本分类方法主要有两种:一种是根据网络所使用的传输技术;另一种是根据A.四络协议B.网络操作系统类型C.覆盖范围与规模D.网络服务器类型与规模


    正确答案:C
    【解析】计算机网络的基本分类方法主要有两种:一是根据网络所使用的传输技术分类,可分为广播式网络和点-点式网络;另一种是根据网络的覆盖范围与规模分类,可分为局域网、城域网和广域网。

  • 第17题:

    论软件系统测试及其应用

    软件系统测试是将已经确认的软件与计算机硬件、外设、网络等其他设施结合在一起,进行信息系统的各种组装测试和确认测试,系统测试是针对整个产品系统进行的测试,目的是验证系统是否满足了需求规格的定义,找出与需求规格不符或与之矛盾的地方,进而完善软件。系统洌试的主要内容包括功能测试、健壮性测试、性能测试、用户界面测试、安全性测试、安装与反安装测试等,其中,最重要的是功能测试和性能测试。功能测试主要采用黑盒测试方法。

    请围绕“软件系统测试及其应用”论题,依次从以下三个方面进行论述。 1.概要叙述你参与管理和开发的软件项目以及你在其中所担任的主要工作。 2.详细论述软件系统测试中功能测试的主要方法,自动化测试的主要内容和如何选择适合的自动化测试工具。 3.结合你具体参与管理和开发的实际项目,说明你是如何采用软件系统测试方法进行系统测试的,说明具体实施过程以及应用效果。


    正确答案:
    本题属于软件工程方向的考题。文章第一部分是标准问题,进行详实的项目简介即可。
    文章第二部分与第三部分内容可以结合起来论述,需要理论结合实践。在此主要说明需要用到的理论知识。其实题目中所说的” 软件系统测试中功能测试“就是平时所说的黑盒测试与白盒测试。
    白盒测试的方法包括一系列的逻辑覆盖,主要的覆盖标准有语句覆盖、判定覆盖、条件覆盖、条件/判定覆盖、条件组合覆盖、修正的条件/判定覆盖和路径覆盖等。
    (1)语句覆盖。语句覆盖是指选择足够多的测试用例,使得运行这些测试用例时,被测程序的每个语句至少执行一次。很显然,语句覆盖是一种很弱的覆盖标准。
    (2)判定覆盖。判定覆盖也称为分支覆盖,它是指不仅每个语句至少执行一次,而且每个判定的每种可能的结果(分支)都至少执行一次。判定覆盖比语句覆盖强,但对程序逻辑的覆盖程度仍然不高。
    (3)条件覆盖。条件覆盖是指不仅每个语句至少执行一次,而且使判定表达式中的每个条件都取得各种可能的结果。条件覆盖不一定包含判定覆盖,判定覆盖也不一定包含条件覆盖。
    (4)条件/判定覆盖。同时满足判定覆盖和条件覆盖的逻辑覆盖称为判定/条件覆盖。它的含义是,选取足够的测试用例,使得判定表达式中每个条件的所有可能结果至少出现一次,而且每个判定本身的所有可能结果也至少出现一次。
    (5)条件组合覆盖。条件组合覆盖是指选取足够的测试用例,使得每个判定表达式中条件结果的所有可能组合至少出现一次。显然,满足条件组合覆盖的测试用例,也一定满足判定/条件覆盖。因此,条件组合覆盖是上述5种覆盖标准中最强的一种。然而,条件组合覆盖还不能保证程序中所有可能的路径都至少遍历一次。
    (6)修正的条件/判定覆盖。修正的条件/判定覆盖需要足够的测试用例来确定各个条件能够影响到包含的判定结果。首先,每个程序模块的入口和出口点都要考虑至少要被调用一次,每个程序的判定到所有可能的结果值要至少转换一次;其次,程序的判定被分解为通过逻辑操作符(and和or)连接的布尔条件,每个条件对于判定的结果值是独立的。
    (7)路径覆盖。路径覆盖是指选取足够的测试用例,使得程序的每条可能执行到的路径都至少经过一次(如果程序中有环路,则要求每条环路路径至少经过一次)。路径覆盖实际上考虑了程序中各种判定结果的所有可能组合,因此是一种较强的覆盖标准。但路径覆盖并未考虑判定中的条件结果的组合,并不能代替条件覆盖和条件组合覆盖。
    常见的黑盒测试包括:
    (1)等价类划分。在设计测试用例时,等价类划分是用得最多的一种黑盒测试方法。所谓等价类就是某个输入域的集合,对于一个等价类中的输入值来说,它们揭示程序错误的作用是等效的。也就是说,如果等价类中的一个输入数据能检测出一个错误,那么等价类中的其他输入数据也能检测出同一个错误;反之,如果等价类中的一个输入数据不能检测出某个错误,那么等价类中的其他输入数据也不能检测出这一错误(除非这个等价类的某个子集还属于另个一等价类)。
    (2)边界值分析。经验表明,软件在处理边界情况时最容易出错。设计一些测试用例,使软件恰好运行在边界附近,暴露出软件错误的可能性会更大一些。通常,每一个等价类的边界,都应该着重测试,选取的测试数据应该恰好等于、稍小于或稍大于边界值。例如,对于条件“10<x<30”的测试,可以选取x的值为9、10、30和31作为测试数据。
    在实际测试工作中,将等价类划分法和边界值分析法结合使用,能更有效地发现软件中的错误。
    (3)错误推测。使用等价类划分和边界值分析技术,有助于设计出具有代表性的、容易暴露软件错误的测试方案。但是,不同类型的软件通常有一些特殊的容易出错的地方。错误推测法主要依靠测试人员的经验和直觉,从各种可能的测试用例中选出一些最可能引起程序出错的用例。
    虽然手工测试可以找到软件的很多缺陷,但这是一个艰苦和耗时的过程,而且可能无法有效地发现某些类型的缺陷。测试自动化是一个通过编程完成测试的过程,一旦测试实现了自动化,大量的测试用例就可以迅速得到执行。
    自动化测试通常需要构建存放程序软件包和测试软件包的文件服务器、存储测试用例和测试结果的数据库服务器、执行测试的运行环境、控制服务器、Web服务器和客户端程序。自动化测试的主要实现方法包括代码的静态与动态分析、测试过程的捕获与回放、测试脚本技术、虚拟用户技术和测试管理技术等。
    自动化测试工具的关键特性之一是具有良好的脚本开发环境。测试工具首先应该具有相对应的容错处理系统,可以自动处理一些异常状况;其次要能够提供类似软件集成开发环境中的调试功能,支持脚本的运行、设置断点、得到变量返回结果等,可以更有效地对测试脚本的执行进行跟踪、检查并迅速定位问题;最后,测试脚本的开发通常也需要一个团队的开发环境,即测试工具对脚本代码能很好地进行控制与管理。
    目前,测试工具主要有单元测试工具、负载和性能测试工具、GUI功能测试工具和基于Web应用的测试工具等。
    (1)单元测试工具。单元测试工具主要包括C/C++测试工具(例如,Panorama C++和C++ Test等)、Java开源测试框架JUnit、内存资源泄漏检查工具(例如,Numega的BounceChecker和Rational的Purify等)、代码覆盖率检查工具(例如,Numega的TrueCoverage、Rational的PureCoverage和TeleLogic的LogiScope等)、代码性能检查工具(例如,LogiScope的Macabe等)和软件纠错工具(例如,Rational Purl等)。
    (2)负载和性能测试工具。负载和性能测试工具是软件测试中作用最大的工具,可以完成一些难以用手工实现的测试,常用工具包括Mercury Interactive的LoadRunner和Compuware的QALoad,以及IBM Rational的SQA Load、Performance和Visual Quality。
    (3)GUI功能测试工具。GUI功能测试工具主要用于回归测试,主要工具包括Mercury Interactive的WinRunner和Compuware的QARun,以及IBM Rational的SQA Robot和Microsoft的Visual Test Suite等。
    (4)基于Web应用的测试工具。基于Web应用的测试工具主要进行链接检查、HTML检查、Web功能和安全性等方面的测试。主要的测试工具包括MI公司的Astra系列和RSW公司的E-TestSuite,以及WorkBench、Web Application Stress(WAS)Tool和Link Sleuth等。
    其他的测试工具还包括缺陷跟踪工具、综合测试管理工具、嵌入式测试工具、数据库测试工具等。面对如此众多的测试工具,在选择时应进行综合考虑,例如,考察测试工具是否支持脚本语言,是否具有良好的脚本开发环境;脚本语言是否支持外部函数库,以及函数的可复用;测试工具对程序界面中对象的识别能力,对分布式测试的网络支持,以及是否支持数据驱动测试等方面。

  • 第18题:

    论软件系统测试及其应用

    软件系统测试是将已经确认的软件与计算机硬件、外设、网络等其他设施结合在一起,进行信息系统的各种组装测试和确认测试,系统测试是针对整个产品系统进行的测试,目的是验证系统是否满足了需求规格的定义,找出与需求规格不符或与之矛盾的地方,进而完善软件。系统洌试的主要内容包括功能测试、健壮性测试、性能测试、用户界面测试、安全性测试、安装与反安装测试等,其中,最重要的是功能测试和性能测试。功能测试主要采用黑盒测试方法。

    1.概要叙述你参与管理和开发的软件项目以及你在其中所担任的主要工作。

    2.详细论述软件系统测试中功能测试的主要方法,自动化测试的主要内容和如何选择适合的自动化测试工具。

    3.结合你具体参与管理和开发的实际项目,说明你是如何采用软件系统测试方法进行系统测试的,说明具体实施过程以及应用效果。


    答案:
    解析:
    1.概要叙述你参与管理和开发的软件项目以及你在其中所担任的主要工作。

    解析:

    根据要求能够概要叙述你参与和开发的软件项目背景,可以包括项目的名称、起始时间、项目背景介绍、建设内容、项目金额等内容,介绍你在本项目中的角色,工作职责,主要承担的工作等内容。此部分内容可以分为一段,或者二段均可,字数在300-400为宜。

    2.详细论述软件系统测试中功能测试的主要方法,自动化测试的主要内容和如何选择适合的自动化测试工具。

    解析:

    功能测试主要的方法为黑盒测试。

    黑盒测试根据软件需求说明书所规定的功能来设计测试用例,一般包括功能分解、等价类划分、边界值分析、判定表、因果图、状态图、随机测试、错误推测和正交实验法等。

    测试自动化是一个通过编程完成测试的过程,一旦测试实现自动化,大量的测试用例就可以迅速执行。自动化测试通常需要构建存放程序软件包和测试软件包的文件服务器、存储测试用例和测试结果的数据库服务器、执行测试的运行环境、控制服务器、Web服务器和客户端程序。自动化测试的主要实现方法包括代码的静态与动态分析、测试过程的捕获与回放、测试脚本技术、虚拟用户技术和测试管理技术等。

    自动化测试工具的选择需要考虑以下几点:

    (1)测试工具应该具有相应的容错处理系统,可以自动处理一些异常状况;

    (2)能够提供类似软件集成开发环境中的调试功能,支持脚本的运行、设置断点、得到变量返回结果等,可以更有效地对测试脚本的执行进行跟踪、检查并迅速定位问题;

    (3) 测试脚本的开发需要支持团队的开发环境,即测试工具对脚本代码能够很好地控制和管理。

    3.结合你具体参与管理和开发的实际项目,说明你是如何采用软件系统测试方法进行系统测试的,说明具体实施过程以及应用效果。

    解析:

    你需结合自身参与项目的实际状况,在软件开发中进行软件测试,指出其参与管理和开发的项目中所进行的系统测试,包含单个用例、系统整体测试等,说明在每种测试过程中的具体实施过程、使用的方法和工具,并对实际应用效果进行分析。

  • 第19题:

    论网络系统的安全设计 网络的安全性及其实施方法是网络规划中的关键任务之一,为了保障网络的安全性和信息的安全性,各种网络安全技术和安全产品得到了广泛使用。 请围绕"网络系统的安全设计"论题,依次对以下三个方面进行论述。 (1)简述你参与设计的网络安全系统以及你所担任的主要工作。 (2)详细论述你采用的保障网络安全和信息安全的技术和方法,并着重说明你所采用的软件、硬件安全产品以及管理措施的综合解决方案。 (3)分析和评估你所采用的网络安全措施的效果及其特色,以及相关的改进措施。


    正确答案: 【摘要】
    我在一家证券公司信息技术部分工作,我公司在2002年建成了与各公司总部及营业网点的企业网络,并已先后在企业网络上建设了交易系统、办公系统,并开通了互联网应用。因为将对安全要求不同、安全可信度不同的各种应用运行在同一网络上,给黑客的攻击、病毒的蔓延打开了方便之门,给我公司的网络安全造成了很大的威胁。作为信息技术中心部门经理及项目负责人,我在资金投入不足的前提下,充分利用现有条件及成熟技术,对公司网络进行了全面细致的规划,使改造后的网络安全级别大大提高。本文将介绍我在网络安全性和保密性方面采取的一些方法和策略,主要包括网络安全隔离、网络边界安全控制、交叉病毒防治、集中网络安全管理等,同时分析了因投入资金有限,我公司网络目前仍存在的一些问题或不足,并提出了一些改进办法。
    【正文】
    我在一家证券公司工作,公司在2002年就建成了与各公司总部及营业网点的企业网络,随着公司业务的不断拓展,公司先后建设了集中报盘系统、网上交易系统、OA、财务系统、总部监控系统等等,为了保证各业务正常开展,特别是为了确保证券交易业务的实时高效,公司已于2005年已经将中心至各营业部的通信链路由初建时的主链路64kb/s的DDN作为备链路33.3kPSTN,扩建成主链路2Mb/s光缆作为主链路和256kb/s的DDN作为备份链路,实现了通信线路及关键网络设备的冗余,较好地保证了公司业务的需要。并且随着网上交易系统的建设和网上办公的需要,公司企业网与互联网之间建起了桥梁。改造前,应用系统在用户认证及加密传输方面采取了相应措施。如集中交易在进行身份确认后信息采用了Blowfish128位加密技术,网上交易运用了对称加密和非对称加密相结合的方法进行身份验证和数据传输加密,但公司办公系统、交易系统、互联网应用之间没有进行安全隔离,只在互联网入口安装软件防火墙,给黑客的攻击、病毒的蔓延打开了方便之门。
    作为公司信息技术中心运维部经理,系统安全一直是困扰着我的话题,特别是随着公司集中报盘系统、网上交易系统的建设,以及外出办公需要,网络安全系统的建设更显得犹为迫切。但公司考虑到目前证券市场疲软,竞争十分激烈,公司暂时不打算投入较大资金来建设安全系统。作为部门经理及项目负责人,我在投入较少资金的前提下,在公司可以容忍的风险级别和可以接受的成本之间作为取舍,充分利用现有的条件及成熟的技术,对公司网络进行了全面细致的规划,并且最大限度地发挥管理功效,尽可能全方位地提高公司网络安全水平。在网络安全性和保密性方面,我采用了以下技术和策略:
    (1)将企业网划分成交易网、办公网、互联网应用网,进行网络隔离。
    (2)在网络边界采取防火墙、存取控制、并口隔离等技术进行安全控制。
    (3)运用多版本的防病毒软件对系统交叉杀毒。
    (4)制定公司网络安全管理办法,进行网络安全集中管理。1.网络安全隔离
    为了达到网络互相不受影响,最好的办法是将网络进行隔离,网络隔离分为物理隔离和逻辑隔离,我主要是从系统的重要程度即安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问或有控制的进行访问。针对我公司的网络系统的应用特点把公司证券交易系统、业务公司系统之间进行逻辑分离,划分成交易子网和办公子网,将互联网应用与公司企业网之间进行物理隔离,形成独立的互联网应用子网。公司中心与各营业部之间建有两套网络,中心路由器是两台CISC07206,营业部是两台CISC02612,一条通信链路是联通2Mb/s光缆,一条是电信256KDDN,改造前两套链路一主一备,为了充分利用网络资源实现两条链路的均衡负载和线路故障的无缝切换,子网的划分采用VLAN技术,并将中心端和营业商的路由器分别采用两组虚拟地址的HSRP技术,一组地址对应交易子网;另一组地址对应办公网络,形成两个逻辑上独立的网络。改造后原来一机两用(需要同时访问两个网络信息)的工作站采用双硬盘网络隔离卡的方法,在确保隔离的前提下实现双网数据安全交换。2.网络边界安全控制
    网络安全的需求一方面要保护网络不受破坏,另一方面要确保网络服务的可用性。将网络进行隔离后,为了能够满足网络内的授权用户对相关子网资源的访问,保证各业务不受影响,在各子网之间采取了不同的存取策略。
    (1)互联网与交易子网之间:为了保证网上交易业务的顺利进行,互联网与交易子网之间建有通信链路,为了保证交易网不受互联网影响,在互联网与专线之间安装了NETSCREEN防火墙,并进行了以下控制:
    ①只允许股民访问网上交易相应地址的相应端口。
    ②只允许信息技术中心的维护地址PING、TELNET委托机和路由器。
    ③只允许行情发送机向行情主站上传行情的端口。
    ④其他服务及端口全部禁止。
    (2)办公子网与互联网之间:采用东大NETEYE硬件防火墙,并进行了以下控制:
    ①允许中心上网的地址访问互联网的任何地址和任何端口。
    ②允许股民访问网上交易备份地址8002端口。
    ③允许短信息访问公司邮件110、25端口,访问电信SP的8001端口。
    ④其他的端口都禁止。3.病毒防治
    网络病毒往往令人防不胜防,尽管对网络进行网络隔离,但网络资源互防以及人为原因,病毒防治依然不可掉以轻心。因此,采用适当的措施防治病毒,是进一步提高网络安全的重要手段。我分别在不同子网上部署了能够统一分发、集中管理的熊猫卫士网络病毒软件,同时购置单机版瑞星防病毒软件进行交叉杀毒;限制共享目录及读写权限的使用;限制网上软件的下载和禁用盗版软件;软盘数据和邮件先查毒后使用等等。4.集中网络安全管理
    网络安全的保障不能仅仅依靠安全设备,更重要的是要制定一个全方位的安全策略,在全网范围内实现统一集中的安全管理。在网络安全改造完成后,我制定了公司网络安全管理办法,主要措施如下:
    (1)多人负责原则,每一项与安全有关的活动,都必须有两人或多人在场,并且一人操作一人复核。
    (2)任期有限原则,技术人员不定期地轮岗。
    (3)职责分离原则,非本岗人员不得掌握用户、密码等关键信息。
    (4)营业网点进行网络改造方案必须经过中心网络安全小组审批后方可实施。
    (5)跨网互访需绑定IP及MAC地址,增加互相访问时须经过中心批准并进行存取控制设置后方可运行。
    (6)及时升级系统软件补丁,关闭不用的服务和端口等。
    保障网络安全性与网络服务效率永远是一对矛盾。在计算机应用日益广泛的今天,要想网络系统安全可靠,势必会增加许多控制措施和安全设备,从而会或多或少的影响使用效率和使用方便性。例如,我在互联网和交易网之间设置了防火墙后,网上交易股民访问交易网的并发人数达到一定量时就会出现延时现象,为了保证股民交易及时快捷,我只好采用增加通信机的办法来消除交易延时问题。
    在进行网络改造后,我公司的网络安全级别大大提高。但我知道安全永远只是一个相对概念,随着计算机技术不断进步,有关网络安全的讨论也将是一个无休无止的话题。审视改造后的网络系统,我认为尽管我们在Internet的入口处部署了防火墙,有效阻档了来自外部的攻击,并且将网络分成三个子网减少了各系统之间的影响,但在公司内部的访问控制以及入侵检测等方面仍显不足,如果将来公司投资允许,我将在以下几方面加强:
    (1)在中心与营业部之间建立防火墙,通过访问控制防止通过内网的非法入侵。
    (2)中心与营业部之间的通信,采用通过IP层加密构建证券公司虚拟专用网(VPN),保证证券公司总部与各营业部之间信息传输的机密性。
    (3)建立由入侵监测系统、网络扫描系统、系统扫描系统、信息审计系统、集中身份识别系统等构成的安全控制中心,作为公司网络监控预警系统。

  • 第20题:

    论文:论信息系统的安全性与保密性设计 在企业信息化推进的过程中,需要建设许多的信息系统,这些系统能够实现高效率、低成本的运行,为企业提升竞争力。但在设计和实现这些信息系统时,除了针对具体业务需求进行详细的分析,保证满足具体的业务需求之外,还要加强信息系统安全方面的考虑。因为如果一个系统的安全措施没有做好,那么系统功能越强大,系统出安全事故时的危害与损失也就越大。 请围绕“信息系统的安全性与保密性”论题,依次从以下3个方面进行论述: (1)概要叙述你参与分析设计的信息系统及你所担任的主要工作。 (2)深入讨论作者参与建设的信息系统中,面临的安全及保密性问题,以及解决该问题采用的技术方案(3)经过系统运行实践,客观的评价你的技术方案,并指出不足,提出解决方案。


    正确答案: “钢铁企业集团生产管控数字化应用示范”是国家“十二五”先进制造技术领域科技支撑计划项目——“集团企业数字化综合管控集成应用示范”的12个课题之一,主要实现从客户需求、资源平衡、生产制造、物流管理到客户服务的全程信息透明、资源共享和业务协同。我作为课题技术负责人,担任了系统设计工作。
    生产管控平台面临的安全和保密性问题主要有信息泄露、抵赖和外部攻击。在系统设计过程中,我们在DMZ区增设代理服务器隔离Web服务器;采用了数据加密传输技术;敏感数据加密后再存储;采用严格的认证和访问控制机制;应用数字签名技术防止抵赖;设计了业务操作跟踪审计功能。
    实际运行结果表明,我们在设计阶段采用的技术和方法有效地保证了系统的安全性和保密性。但业务操作跟踪审计功能对系统性能有一定的影响,有待进行改进。
    正文:
    为满足制造业做大做强、制造企业全球协作和精益管控的发展需求,国家科技部组织了以12家集团企业为主体、产学研相结合的“十二五”先进制造技术领域科技支撑计划项目——“集团企业数字化综合管控集成应用示范”的实施,分两期、3年完成。我所在单位是一个大型国有钢铁集团企业,由我所在单位为主体、联合浙江大学等单位共同承担的“钢铁企业集团生产管控数字化应用示范”是该项目12个课题之一。
    “钢铁企业集团生产管控数字化应用示范”课题的主要任务是开发钢铁集团企业以生产制造、经营管理和制造服务为核心的数字化集中管控平台,高效整合集团企业内部与外部的各种业务、管理和市场信息,支持集团企业的企业运营、兼并重组等战略,为我国钢铁企业集团实现生产管控、供应链协同的信息化应用提供典型示范案例。概括地说,生产管控平台要实现从客户需求、资源平衡、生产制造、物流管理到客户服务的全程信息透明、资源共享和业务协同。
    钢铁企业集团生产管控平台(以下简称生产管控平台)一期于2011年7月开始设计和开发,2012年7月投入运行,至今运行良好。我作为课题技术负责人,担任了系统设计工作。
    根据对系统需求的理解和分析,我们将该系统设计为3个子系统,即面向客户、基于B/S架构的销售在线子系统;面向内部用户、基于C/S架构的生产管控子系统;面向企业内部系统和外部客户系统的系统集成子系统。
    生产管控平台数据库采用Oracle10g;主要核心业务逻辑由C/C++语言实现,运行在交易中间件Tuxedo平台;Web服务器采用Weblogic,涉及核心业务逻辑的部分功能经由WTC调用Tuxedo服务实现,其他功能通过JDBC直接访问数据库;C/S客户端采用C#开发。生产管控平台面向的服务对象既包括企业内部用户,又包括国内和国外客户,还包括客户信息系统,涉及的业务都是企业的关键业务,系统安全和信息保密十分重要。生产管控平台面临的安全和保密性问题主要有:
    ①信息泄露。钢铁行业产品销售的一个重要特点是一单一议,即一定时期内不同客户、不同订单、同一产品的销售价格可能不尽相同,并且客户之间不透明。因此,每个客户都想方设法希望得到其他客户的订单价格,以便谈判时掌握主动。如果销售价格信息泄露,企业方在谈判时将处于极为不利的被动局面。系统必须保证销售价格等敏感信息不易泄露。
    ②抵赖。生产管控平台需要实现第三方机构和客户直接修改系统数据的功能,如第三方机构确认产品是否合格、客户打印质量证明书等。以质量证明书为例,它是产品质量的唯一凭据,一件产品只能有一份质量证明书,即客户打印一份之后不能再打印第二份。系统必须保证这些操作的不可抵赖性。
    ③外部攻击。由于生产管控平台涉及的业务都是企业的关键业务,而且可以通过Internet进行访问,所以容易受到外部的攻击。
    为了提高生产管控平台的安全性和保密性,在系统设计过程中,我们应用了多种技术和方法。
    首先,我们在DMZ区增设代理服务器隔离Web服务器。销售在线子系统主要为客户提供服务,必须通过Internet访问,过去我们一般将Web服务器部署在DMZ区,基于安全性考虑,我们将生产管控平台的Web服务器与数据库服务器部署在内部网络区域,DMZ区部署Apache的HTTP服务器作为代理服务器,客户通过HTTPS访问代理服务器,代理服务器再通过HTTP协议穿过防火墙访间Web服务器。不仅在安全性和性能上取得了相对平衡,而且增加了外部攻击的难度。
    其次,采用了数据加密传输技术。生产管控子系统采用Tuxedo中间件提供的加/解密技术对客户端和服务器端之间传输的数据进行加密和解密处理,销售在线子系统采用HTTP协议进行加密传输,集成子系统中与客户信息系统的集成采用SSL协议进行加密传输,防止数据传输过程中被窃取和篡改。
    第三,敏感数据加密后再存储。为了防止内部人员泄露敏感信息,我们对数据库中存储的销售价格、用户密码等敏感信息进行了加密处理,即使从数据库中得到了数据也不能获得相应的信息。所有需加/解密的数据均采用Tuxedo中间件提供的加/解密技术,由运行在Tuxedo中间件平台的独立模块进行加密和解密处理。
    第四,采用严格的认证和访问控制机制。内部用户采用用户名/口令验证机制,外部用户采用用户名/口令和数字证书验证机制。服务端采用会话管理机制,客户端调用服务端的每一个功能都必须提供合法、有效的会话标识,否则服务端将拒绝提供相应的服务。数据访问控制到数据行和数据列,客户和第三方机构只能查看和操作与自己相关的业务数据,内部用户按照业务职能只能操作职责范围内的业务数据;不同用户根据授权可查看相关的数据项。
    第五,应用数字签名技术。在对第三方机构确认产品是否合格、客户打印质量证明书等外部用户直接修改系统数据的功能设计时,我们采用了数字签名技术,从提供给用户的硬件Key中读取用户私钥,对操作的关键数据生成消息摘要并用私钥加密;集成子系统中与客户信息系统的集成也采用了数字签名技术,保证数据发送和接收的不可否认性。
    最后,我们还设计了业务操作跟踪审计功能。对系统的所有操作,我们记录了跟踪审计信息,记录了操作时间、客户机IP、操作人、功能和主要数据,便于出现安全事件时进行分析。
    生产管控平台的实际运行结果表明,我们在设计阶段采用的技术和方法有效地保证了系统的安全性和保密性。系统运行至今,虽然遭到过外部攻击,但还没有出现过因系统设计不完善导致的泄密和安全事故。例如,我们发现了多次外部攻击,但这些攻击只访问到代理服务器即被阻止。系统运行过程中,我们发现业务操作审计功能对系统性能有一定的影响,我们计划在两个方面进行改进,一是对内部用户只跟踪涉及敏感信息的操作,二是将跟踪信息持久化层由文件系统改变为数据库,并采用缓存机制将跟踪信息保存在内存并定时更新到数据库。

  • 第21题:

    问答题
    论网络系统的安全设计 网络的安全性及其实施方法是网络规划中的关键任务之一,为了保障网络的安全性和信息的安全性,各种网络安全技术和安全产品得到了广泛使用。 请围绕"网络系统的安全设计"论题,依次对以下三个方面进行论述。 (1)简述你参与设计的网络安全系统以及你所担任的主要工作。 (2)详细论述你采用的保障网络安全和信息安全的技术和方法,并着重说明你所采用的软件、硬件安全产品以及管理措施的综合解决方案。 (3)分析和评估你所采用的网络安全措施的效果及其特色,以及相关的改进措施。

    正确答案: 【摘要】
    我在一家证券公司信息技术部分工作,我公司在2002年建成了与各公司总部及营业网点的企业网络,并已先后在企业网络上建设了交易系统、办公系统,并开通了互联网应用。因为将对安全要求不同、安全可信度不同的各种应用运行在同一网络上,给黑客的攻击、病毒的蔓延打开了方便之门,给我公司的网络安全造成了很大的威胁。作为信息技术中心部门经理及项目负责人,我在资金投入不足的前提下,充分利用现有条件及成熟技术,对公司网络进行了全面细致的规划,使改造后的网络安全级别大大提高。本文将介绍我在网络安全性和保密性方面采取的一些方法和策略,主要包括网络安全隔离、网络边界安全控制、交叉病毒防治、集中网络安全管理等,同时分析了因投入资金有限,我公司网络目前仍存在的一些问题或不足,并提出了一些改进办法。
    【正文】
    我在一家证券公司工作,公司在2002年就建成了与各公司总部及营业网点的企业网络,随着公司业务的不断拓展,公司先后建设了集中报盘系统、网上交易系统、OA、财务系统、总部监控系统等等,为了保证各业务正常开展,特别是为了确保证券交易业务的实时高效,公司已于2005年已经将中心至各营业部的通信链路由初建时的主链路64kb/s的DDN作为备链路33.3kPSTN,扩建成主链路2Mb/s光缆作为主链路和256kb/s的DDN作为备份链路,实现了通信线路及关键网络设备的冗余,较好地保证了公司业务的需要。并且随着网上交易系统的建设和网上办公的需要,公司企业网与互联网之间建起了桥梁。改造前,应用系统在用户认证及加密传输方面采取了相应措施。如集中交易在进行身份确认后信息采用了Blowfish128位加密技术,网上交易运用了对称加密和非对称加密相结合的方法进行身份验证和数据传输加密,但公司办公系统、交易系统、互联网应用之间没有进行安全隔离,只在互联网入口安装软件防火墙,给黑客的攻击、病毒的蔓延打开了方便之门。
    作为公司信息技术中心运维部经理,系统安全一直是困扰着我的话题,特别是随着公司集中报盘系统、网上交易系统的建设,以及外出办公需要,网络安全系统的建设更显得犹为迫切。但公司考虑到目前证券市场疲软,竞争十分激烈,公司暂时不打算投入较大资金来建设安全系统。作为部门经理及项目负责人,我在投入较少资金的前提下,在公司可以容忍的风险级别和可以接受的成本之间作为取舍,充分利用现有的条件及成熟的技术,对公司网络进行了全面细致的规划,并且最大限度地发挥管理功效,尽可能全方位地提高公司网络安全水平。在网络安全性和保密性方面,我采用了以下技术和策略:
    (1)将企业网划分成交易网、办公网、互联网应用网,进行网络隔离。
    (2)在网络边界采取防火墙、存取控制、并口隔离等技术进行安全控制。
    (3)运用多版本的防病毒软件对系统交叉杀毒。
    (4)制定公司网络安全管理办法,进行网络安全集中管理。1.网络安全隔离
    为了达到网络互相不受影响,最好的办法是将网络进行隔离,网络隔离分为物理隔离和逻辑隔离,我主要是从系统的重要程度即安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问或有控制的进行访问。针对我公司的网络系统的应用特点把公司证券交易系统、业务公司系统之间进行逻辑分离,划分成交易子网和办公子网,将互联网应用与公司企业网之间进行物理隔离,形成独立的互联网应用子网。公司中心与各营业部之间建有两套网络,中心路由器是两台CISC07206,营业部是两台CISC02612,一条通信链路是联通2Mb/s光缆,一条是电信256KDDN,改造前两套链路一主一备,为了充分利用网络资源实现两条链路的均衡负载和线路故障的无缝切换,子网的划分采用VLAN技术,并将中心端和营业商的路由器分别采用两组虚拟地址的HSRP技术,一组地址对应交易子网;另一组地址对应办公网络,形成两个逻辑上独立的网络。改造后原来一机两用(需要同时访问两个网络信息)的工作站采用双硬盘网络隔离卡的方法,在确保隔离的前提下实现双网数据安全交换。2.网络边界安全控制
    网络安全的需求一方面要保护网络不受破坏,另一方面要确保网络服务的可用性。将网络进行隔离后,为了能够满足网络内的授权用户对相关子网资源的访问,保证各业务不受影响,在各子网之间采取了不同的存取策略。
    (1)互联网与交易子网之间:为了保证网上交易业务的顺利进行,互联网与交易子网之间建有通信链路,为了保证交易网不受互联网影响,在互联网与专线之间安装了NETSCREEN防火墙,并进行了以下控制:
    ①只允许股民访问网上交易相应地址的相应端口。
    ②只允许信息技术中心的维护地址PING、TELNET委托机和路由器。
    ③只允许行情发送机向行情主站上传行情的端口。
    ④其他服务及端口全部禁止。
    (2)办公子网与互联网之间:采用东大NETEYE硬件防火墙,并进行了以下控制:
    ①允许中心上网的地址访问互联网的任何地址和任何端口。
    ②允许股民访问网上交易备份地址8002端口。
    ③允许短信息访问公司邮件110、25端口,访问电信SP的8001端口。
    ④其他的端口都禁止。3.病毒防治
    网络病毒往往令人防不胜防,尽管对网络进行网络隔离,但网络资源互防以及人为原因,病毒防治依然不可掉以轻心。因此,采用适当的措施防治病毒,是进一步提高网络安全的重要手段。我分别在不同子网上部署了能够统一分发、集中管理的熊猫卫士网络病毒软件,同时购置单机版瑞星防病毒软件进行交叉杀毒;限制共享目录及读写权限的使用;限制网上软件的下载和禁用盗版软件;软盘数据和邮件先查毒后使用等等。4.集中网络安全管理
    网络安全的保障不能仅仅依靠安全设备,更重要的是要制定一个全方位的安全策略,在全网范围内实现统一集中的安全管理。在网络安全改造完成后,我制定了公司网络安全管理办法,主要措施如下:
    (1)多人负责原则,每一项与安全有关的活动,都必须有两人或多人在场,并且一人操作一人复核。
    (2)任期有限原则,技术人员不定期地轮岗。
    (3)职责分离原则,非本岗人员不得掌握用户、密码等关键信息。
    (4)营业网点进行网络改造方案必须经过中心网络安全小组审批后方可实施。
    (5)跨网互访需绑定IP及MAC地址,增加互相访问时须经过中心批准并进行存取控制设置后方可运行。
    (6)及时升级系统软件补丁,关闭不用的服务和端口等。
    保障网络安全性与网络服务效率永远是一对矛盾。在计算机应用日益广泛的今天,要想网络系统安全可靠,势必会增加许多控制措施和安全设备,从而会或多或少的影响使用效率和使用方便性。例如,我在互联网和交易网之间设置了防火墙后,网上交易股民访问交易网的并发人数达到一定量时就会出现延时现象,为了保证股民交易及时快捷,我只好采用增加通信机的办法来消除交易延时问题。
    在进行网络改造后,我公司的网络安全级别大大提高。但我知道安全永远只是一个相对概念,随着计算机技术不断进步,有关网络安全的讨论也将是一个无休无止的话题。审视改造后的网络系统,我认为尽管我们在Internet的入口处部署了防火墙,有效阻档了来自外部的攻击,并且将网络分成三个子网减少了各系统之间的影响,但在公司内部的访问控制以及入侵检测等方面仍显不足,如果将来公司投资允许,我将在以下几方面加强:
    (1)在中心与营业部之间建立防火墙,通过访问控制防止通过内网的非法入侵。
    (2)中心与营业部之间的通信,采用通过IP层加密构建证券公司虚拟专用网(VPN),保证证券公司总部与各营业部之间信息传输的机密性。
    (3)建立由入侵监测系统、网络扫描系统、系统扫描系统、信息审计系统、集中身份识别系统等构成的安全控制中心,作为公司网络监控预警系统。
    解析: 暂无解析

  • 第22题:

    问答题
    论校园网/企业网的网络规划与设计 校园网(或企业网)是计算机网络的一大分支,有着非常广泛的应用及代表性。对于校园网/企业网,完备的应用是关键,而稳定可靠的网络是基础,完善的安全和管理手段是保障。由于学校/企业的类型和规模的不同,校园网/企业网的规划设计有着多种解决方案。校园网的规划、设计、硬件建设、软件建设以及网络的使用、扩充等都要从全局、长远的角度出发,充分考虑网络的安全性、易用性、可靠性和经济性等。 请围绕"论校园网/企业网的网络规划与设计"论题,依次对以下三个方面进行论述。 (1)概要叙述你参与设计实施的网络项目以及你所担任的主要工作。 (2)具体讨论在校园网/企业网网络规划与设计中的主要工作内容和你所采用的原则、方法和策略,以及遇到的问题和解决措施。 (3)分析你所规划和设计的校园网/企业网网络的实际运行效果。你现在认为应该做哪些方面的改进以及如何加以改进。

    正确答案: 【摘要】
    本文讨论了XX企业二期网络工程项目方案的规划与设计,该工程项目投入经费160万元,建设周期为8个月。该工程项目是在原内部局域网的基础上升级改建的,新增了220个信息点,采用单核心两层拓扑结构,并优化网络信息服务,建立了企业内部信息发布系统Web站点和FTP系统等。与集团总部和各个下属单位实现VPN网络互联,实现相互间信息共享,有力地推动了企业信息化的进程。在项目的建设过程中,本人担任项目经理,参与了整个建设方案的规划设计,并组织参与了整个项目的招标、投标、工程建设等工作。本文将从企业综合布线方案、网络逻辑方案设计、软件平台选择及无线访问接入等方面阐述了项目建设过程。该工程项目基本完工后就投入运行,顺利通过相关测试并验收结项。得到了公司领导及员工的一致好评。最后针对本项目的一些规划设计工作中实行了简单、实用、低廉的策略,提出了在先进性、可靠性、开放性等方面的改进意见。
    【正文】2011年3月至10月,作为XX企业信息网络中心的一名技术骨干,我有幸参与了本单位网络二期工程方案的规划设计,并组织参与了整个项目的招标、投标、工程建设,且承担了网络的运维工作。该二期网络工程的投资经费是160万元。本单位原有一个30个信息点的局域网,以Windows2003为平台运行着核心应用软件--集装箱运输代理业务系统。本单位的人事部,财务部有相关的内部人事管理软件,工资软件和统计软件的应用。该二期网络工程主要是针对系统内信息流转不畅的需求进行的。其建设的目标是,在原内部局域网的基础上升级改建,新增了220个信息点,能最大限度地保障网络系统的不间断运行,并优化网络信息服务,集成原有的业务应用系统,建立了企业内部信息发布系统,WEB站点和FTP文件传输系统,并与集团总部,各下属单位实现VPN网络互联,实现相互间信息共享。
    本单位二期网络工程在建设方案过程中我们主要进行了如下几个方面的策略选择。1.综合布线方案
    本单位办公楼是一幢6层的建筑物,每位办公人员均有一台计算机。二期网络工程要求每台计算机均能访问Internet,同时要求与3个基层单位(车队,外运仓库)和一个集装箱站相连。领导层、中层干部等群体在使用新信息发布系统时有相应数据查询功能。基于本单位的现状,首先在办公楼进行结构化综合布线工程,以利于今后信息点的扩展。由于办公楼楼层不高,且只有第6层有空余房间,因此将中心机房部署在办公楼的第6层。采用集中走线的方案,使用超5类非屏蔽双绞线,100Mb/s带宽,250个信息点。2.网络的逻辑结构设计方案
    由于受整体经费不足等因素的限制,因此在本单位二期网络工程逻辑结构设计时,采用了较为实用的单核心局域网拓扑结构。由于本期网络工程建设的规模不大,且资金投入有限,因此在网络逻辑结构设计时未考虑部署汇聚层交换机。但核心交换机采用华为3COM的S6506三层交换机。该交换机共有6个光纤接口模块的扩展插槽,以便于今后网络扩建时汇聚层交换机的接入。接入层交换机采用华为3COM的e328普通交换机,共部署了12台,每台共有24个以太网口。由于办公楼仅有6层,中心机房到最远点接入层交换机的距离不超过90m,因此每台e328交换机通过百兆位以太网口(第23、24端口)使用超5类UTP上连至S6506三层交换机。该上连链路使用了多链路捆绑技术,从而达到带宽倍增,均衡网络流量等目的。e328交换机留有一个光纤接口扩展插槽,也方便今后网络扩建时与汇聚层交换机的互连。
    本单位二期网络工程基于交换机端口的方式按部门划分VLAN,并为服务器,网络管理等应用划分了专门的VLAN。本单位服务器和客户机均采用静态IP地址配置方式。通过S6506交换机实现不同VLAN间的数据通信。选用Cisc03600作为路由器,采用VPN方式将4个广域网口连接3个远程基层单位和集装箱站。使用ADSL方式接入Internet。由于本期网络工程拓扑结构的复杂程度不高,因此内部网络没有使用RIP或OSPF等动态路由器协议,只是在S6506交换机和Cisc03600路由器上配置了通往Internet的相关静态路由。
    考虑网络系统运维支持等因素,Internet与Intranet之间的安全设备,选购的是本地企业有相关资质的天融信硬件防火墙。并在企业网内部部署瑞星网络版防病毒软件(300个客户端用户数,5个服务器用户数),以及在三层交换机S6506配置防范震荡波病毒,冲击波病毒的相关过滤规则来加强计算机病毒的防范工作,从而进一步保证内网的安全,顺畅。3.软件平台的选择
    考虑到中小企业的特点,可供选择的第三方软件比较多,支持微软平台的软件厂商多,以及方便用户简便易操作,GUI界面等因素,且本单位客户机多数使用的是Windows7操作系统,因此选择WindowsServer2008作为服务器的网络操作系统。SQLServer2008作为数据库平台,并使用IIS7.0作为Web站点平台。4.远程访问的接入
    由于WindowsServer2008操作系统支持架构虚拟专用网,因此使用一台安装WindowsServer2003的服务器作为VPN服务器,通过运行数据链路层的PPTP虚拟出一条安全的数据通道,并在此基础上通过用户身份验证等手段,实现与集团总部,各下属单位的网络基于internet的安全互联,以实现单位相互之间的信息共享。
    本单位二期网络工程项目于2011年10月25日基本完工并投入试运行,于2012年1月15日验收通过,期间聘请了第三方测试机构对结构化综合布线工程的光纤及双绞线性能参数,网络流量等进行了相关测试。本工程项目加快了企业内部信息或单据的流转速度,通过访问Internet加快了信息的时效性,得到了公司领导及员工的好评。但是,由于单位性质、规模等许多局限性(如经费投入、本身的技术水平、网络设计能力等),使本项目的一些规划设计工作施行了简单、实用、低廉的策略。网络工程建设是一项系统工程,不仅需要结合近期目标考虑其实用性,安全性和易用性,也要为系统的进一步开展和扩充留用余地,还应具有良好的开放性,较高的可靠性,先进性。本人认为本单位的网络工程建设将来还要进行以下几个方面的改进。
    (1)结构化综合布线工程可以采用多模光纤作为干线子系统,并在相关楼层设置水平工作间。
    (2)网络的逻辑结构设计方案建议采用双核心拓扑结构,实现企业内部网络各节点之间链路的冗余,以增强网络的可靠性,最大限度地保障网络系统7×24小时不间断运行。
    (3)由于本单位内部网与Internet是互联互通的,在二期工程建设中仅采用了一台硬件防火墙保障边界网络的安全。因此在今后网络建设中,应考虑购买上网行为管理设备,入侵检测设备等来增加网络的监控和审计。对于本单位涉及内部机密数据的计算机应采用双硬盘隔离卡或网闸等物理隔离技术,以增加企业内部数据的保密要求。
    (4)进一步完善网络安全管理制度,并加以落实和监管。
    解析: 暂无解析

  • 第23题:

    问答题
    论IRF技术在网络规划与设计中的应用 IRF的含义就是智能弹性架构(IntelligentResilientFramework),支持IRF的多台设备可互相连接起来形成一个"联合设备",这台"联合设备"称为一个Fabric,而将组成Fabric的每个设备称为一个Unit。多个Unit组成Fabric后,无论在管理上还是在使用上,就成为了一个整体。它既可以随时通过增加Unit来扩展设备的端口数量和交换能力,从而大大提高了设备的可扩展性;同时也可以通过多台Unit之间的互相备份来增强设备的可靠性;并且整个Fabric作为一台设备进行管理,用户管理起来也非常方便。 请围绕"IRF技术在网络规划与设计中的应用"论题,依次对以下三个方面进行论述。 (1)简述你参与规划与设计过的计算机网络的概要和你所担任的工作。 (2)简述IRF技术的主要特点和优势。详细论述你是如何使用IRF技术进行网络规划与设计的,以及在你的方案中,如何体现出IRF技术的优点。 (3)根据系统应用情况,简要评述你所规划与设计的计算机网络存在的问题,以及如何改进。

    正确答案: 【摘要】
    我在某高校网络中心工作,2010年6月,我校着手对原有校园网进行Gigabit-10Gigabit改造。在这个项目中,作为网络中心的技术骨干,我主要担任网络整体规划与设计工作。
    本文以我校校园网项目建设为背景,介绍IRF技术在校园网项目中的实际应用。我校的校园网采用万兆以太网技术,网络结构分为3层,分别是核心层、汇聚层和接入层。核心层按功能分为对外服务核心、教学核心和宿舍核心3个大块;汇聚层通过1000Mb/s冗余链路,分别连接到核心设备上,以提高网络的稳定性;接入层设备与1000Mb/s汇聚交换机连接,具有很好的接入控制能力。2011年3月,整个网络升级改造工程基本完成,但是,在网络运行过程中,我们发现,网络结构无论从效率和安全性角度来考虑都有所欠缺,为此,我们又通过划分虚拟局域网,解决了这个问题。从目前来看,整个网络运行稳定,达到了预期的目标和要求。
    【正文】
    我在某高校网络中心工作,信息时代的到来,网络的普及对高校校园网络环境的搭建提出了更多、更高的要求。传统意义上的FastEthernet(快速以太网,采用标准IEEE802.3u)及GigabitEthernet(千兆率以太网,采用标准IEEE802.3z)在某种程度上已经不能满足日益壮大的网络群体及日益发展的网络需求。在这样的背景下,2010年6月,我校着手对原有校园网进行Gigabit-10Gigabit改造。在这个项目中,作为网络中心的技术骨干,我主要担任网络整体规划与设计工作。1.IRF技术
    IRF主要包括分布设备管理、分布冗余路由和分布链路聚合3方面的技术。在外界看来,整个Fabric是一台整体设备。网络管理员对它进行管理,用户可通过Console、SNMP、Telnet、Web等多种方式来管理整个Fabric。Fabric的多个设备在外界看来是一台单独的3层交换机。整个Fabric将作为一台设备进行路由功能和二、三层转发功能。单播路由协议和组播路由协议分布式运行并完全支持热备份,在某一个设备发生故障时,路由协议和数据转发都可以不中断。分布链路聚合技术支持跨设备的链路聚合,可在设备之间进行链路的负载分担和互为备份。
    支持IRF的设备可以使用户的投资得到更多的价值回报,这主要体现在易管理、易扩充、高可靠性几个方面:多台设备的统一管理;按需购买、平滑扩充;1:N完全备份的高可靠性。2.校园网总体设计
    我校的校园网采用万兆以太网技术,网络结构分为3层,分别是核心层、汇聚层和接入层。本项目依据功能进行网络主干规划,核心层采用IRF技术的华为3COM公司的多台s9500和s8500系列核心构成交换机交换区块架构,能提供强大的交换能力和冗余备份,并因采IRF技术,能方便地进行管理和扩充。核心层按功能分为对外服务核心、教学核心和宿舍核心3个大块。汇聚层采用凯创SSR8000和港湾6802等设备,通过1000Mb/s冗余链路,分别连接到核心设备上,以提高网络的稳定性。接入层设备采用港湾、锐捷、凯创等公司的可网管接入交换机,与1000Mb/s汇聚交换机连接,具有很好的接入控制能力。内网采用OSPF动态路由协议,出口路由器上采用静态路由协议。
    网络的出口有两条线路,一条线路通过本地教育城域网,两个10Gb/s全双工连接到中国教育科研计算机网,一条线路连接到中国电信1000Mb/s公用广域网,出口路由器为JuniperM108,默认路由指向中国电信,到教育网流量通过教育网线路,在出口路由器上作地址转换。
    网络配置防火墙和入侵检测系统、反垃圾邮件网关,并和市公安局网上110联网,能够下载安全规则,上传有害信息的报告,及时处理安全事故。同时,采用瑞星和赛门特克网络版杀病毒软件、漏洞补丁服务系统等加强网络的安全。3.网络结构设计
    校园网的规模一般比较大,普通的平面网络结构设计模型难以满足校园网设计的需求;层次型网络设计模型,由于其结构清晰、性能好、有良好的伸缩能力、易于实现、易于排除故障、冗余性好、易于管理等特点,可充分满足校园网的需求。因此,我们采用3层(接入层、汇聚层、核心层)模型,将整个网络划分成不同的层次,各个层次各司其职。
    在本项目中,由于信息点较多且其分布较广,为了将来易于管理、升级与扩展,同时考虑该网络同时起到教育城域网核心和上联作用等问题。这里采用基于IRF技术的多核心结构进行设计。
    采用基于IRF技术的多核心结构进行设计的好处有:采用链路冗余设计,保证了整个网络稳定;采用IRF技术很好地解决了端口扩展和交换能力,同时增强了设备的可靠性;网络层次结构更加完善、可汇总路由,降低核心路由表项;安全性更高,预防和控制性能更强,将对网络的攻击、病毒和破坏尽量控制在边缘完成;各接入层内部通信量大,无需通过核心处理(内部网络游戏等),采用层结构更合理。4.IP地址规划
    IP地址的合理规划是网络设计中的重要一环,尤其是对于本项目校园网络系统,必须对其IP地址进行统一规划并得到实施。网络系统IP地址规划的好坏,直接影响网络的性能、扩展和管理,也必将影响网络应用的进一步发展。
    IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现网络的可扩展性和灵活性。同时还要能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的路由数量、路由表的长度,减少对路由器CPU、内存的消耗,降低网络动荡程度,隔离网络故障,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。
    我校网络中心从中国教育科研计算机网(CERNET)分配到60个C类地址,结合本项目骨干网络目前的现实情况,我们按照下列原则对lP地址进行规划:
    (1)服务器区采用真实的lP地址,供远程访问。
    (2)与Internet互联设备的IP地址采用真实的lP地址。
    (3)在校内办公区采用真实IP地址。
    (4)内部互连采用内部IP地址。
    (5)学生宿舍采用内部IP地址,并由边缘设备(路由器)进行地址翻译。
    这样设计,既可方便地实现互通互连,且将地址翻译这种耗费设备资源的工作由网络边缘设备分担,提高了网络的整体性能。5.存在的问题及改进2011年3月,整个网络升级改造基本完成。在网络运行过程中,我们发现,各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。因为我们网络中的广播域是根据物理网络来划分的。这样的网络结构无论从效率和安全性角度来考虑都有所欠缺。同时,由于网络中的站点被束缚在所处的物理网络中,而不能够根据需要将其划分至相应的逻辑子网,因此网络的结构缺乏灵活性。为解决以上问题,我们划分了虚拟局域网(VLAN)。事实证明,在骨干网络的整个网络规划中,VLAN的划分是非常重要的部分,很好地利用VLAN技术的功能能起到事半功倍的效果,对整个网络的性能也是事关重要的。
    另外,作为一个完整的校园网建设方案,我们还需要对数据中心安全、消防,电源系统的设计进行加强,需要进一步地补充和完善整个系统。
    解析: 暂无解析

相关内容