1、网络规划设计师-访问控制与安全隔离及答案解析(总分:6.00,做题时间:90 分钟)一、单项选择题(总题数:6,分数:6.00)1.圳福大学是一所拥有 6 万多名师生的综合性大学。规划师对于该大学数据中心网络防火墙的访问控制问题,最可能采取的方案是_。A基于角色的访问控制(RBAC)方案 B自主型访问控制(DAC)方案C基于任务的访问控制(TBAC)方案 D强制型访问控制(MAC)方案(分数:1.00)A.B.C.D.2.星火大学是一所拥有 5 万多名师生的综合性大学。近期,该大学为争取成为博士学位授予单位专门成立了一个对校委会负责的工作组(为该校的临时性组织机构),并授予处理一定权限范围的机
2、密信息。对于该工作组在校园网中的访问控制问题,规划师最可能采取的是_。A自主型访问控制方案 B强制型访问控制方案C基于角色的访问控制方案 D基于任务的访问控制方案(分数:1.00)A.B.C.D.3.目前,主流的安全数据库系统一般使用_来实现其访问控制安全机制。A访问控制矩阵(ACM)B访问控制表(ACLs)C授权关系表(Authorization Relations)D能力表(Capabilities)(分数:1.00)A.B.C.D.4.有两台交换机分别安装在办公楼的 23 层,同属于财务部门的 8 台 PC 分别连接在这两台交换机的相应端口上。为了提高网络的安全性和易管理性,最好的解决方
3、案是_。A改变物理连接,将 8 台 PC 全部移动到同一层B使用路由器,并用访问控制列表(ACL)控制主机之间的数据流C构建一个 VPN,并使用 VTP 通过交换机的 Trunk 传播给 8 台 PCD在每台交换机上建立一个相同的 VLAN,将连接 8 台 PC 的交换机端口都分配到这个 VLAN 中(分数:1.00)A.B.C.D.5.针对某省直用户单位的应用需求,规划师提出了用物理隔离(如隔离网闸等)来实现网络安全的方案。_不是物理隔离设备必须具有的安全配置要求。A应有我国相关国家安全部门的产品认证证书B具有定期备份配置和日志功能,并能监控配置更改C设置加长口令,相关人员调离或退出本岗位时
4、口令应立即更换D能够为用户分配专用网络上的地址,并确保地址的安全性(分数:1.00)A.B.C.D.6.某单位允许其内部网络中的用户访问 Internet。由于业务发展的需要,现要求在政务网与单位内部网络进行数据安全交换。规划师最可能选用的隔离技术是_。A多重安全网关 BVLAN 隔离C网闸 D防火墙(分数:1.00)A.B.C.D.网络规划设计师-访问控制与安全隔离答案解析(总分:6.00,做题时间:90 分钟)一、单项选择题(总题数:6,分数:6.00)1.圳福大学是一所拥有 6 万多名师生的综合性大学。规划师对于该大学数据中心网络防火墙的访问控制问题,最可能采取的方案是_。A基于角色的访
5、问控制(RBAC)方案 B自主型访问控制(DAC)方案C基于任务的访问控制(TBAC)方案 D强制型访问控制(MAC)方案(分数:1.00)A. B.C.D.解析:解析 依题意,对于 6 万人规模的学校,用户数量较多,且学生的流动性较大(每年都需要对学生账户进行增、删等操作),因此对于该大学数据中心网络防火墙的访问控制问题,较好的解决策略是采用基于角色的访问控制(RBAC)方案来简化权限设置的管理工作量。规划师可以先将访问许可权限分配给一定的角色,再将不同年级的学生账户分配到相应的角色中,让这些账户与访问权限相联系。同一个用户可以是多个角色的成员(即同一个用户可以扮演多种角色),一个角色可以拥
6、有多个用户成员。RBAC 较好地解决了用户数量较多,数据更新变化频繁、信息数据量大等场合的安全管理,降低了授权数据管理的复杂性。2.星火大学是一所拥有 5 万多名师生的综合性大学。近期,该大学为争取成为博士学位授予单位专门成立了一个对校委会负责的工作组(为该校的临时性组织机构),并授予处理一定权限范围的机密信息。对于该工作组在校园网中的访问控制问题,规划师最可能采取的是_。A自主型访问控制方案 B强制型访问控制方案C基于角色的访问控制方案 D基于任务的访问控制方案(分数:1.00)A.B.C.D. 解析:解析 依题意,由于该工作小组属于该校的临时性组织机构,因此对于该工作组在校园网中的一种较好
7、的访问控制策略是,采用能够随着执行任务的上下文环境发生变化、基于任务的访问控制(TBAC)方案。由于特定任务都具有时效性,因此在基于任务的访问控制中,用户对于授予他的权限的使用也是有时效性的。通过授权步的动态权限管理,TBAC 支持最小特权原则和最小泄露原则,在执行特定任务时只给该工作组成员分配所需的权限,未执行任务或任务终止后组成员不再拥有所分配的权限。在执行任务过程中,当某一权限不再使用时,通过授权步自动将其回收。对于敏感的任务需要不同的用户执行,这可以通过授权步之间的分权依赖来实现。3.目前,主流的安全数据库系统一般使用_来实现其访问控制安全机制。A访问控制矩阵(ACM)B访问控制表(A
8、CLs)C授权关系表(Authorization Relations)D能力表(Capabilities)(分数:1.00)A.B.C. D.解析:解析 目前,主流的安全数据库系统一般使用授权关系表来实现其访问控制安全机制。它既不对应于行也不对应于列的实现技术,而是对访问矩阵中每一个非空元素的实现技术。4.有两台交换机分别安装在办公楼的 23 层,同属于财务部门的 8 台 PC 分别连接在这两台交换机的相应端口上。为了提高网络的安全性和易管理性,最好的解决方案是_。A改变物理连接,将 8 台 PC 全部移动到同一层B使用路由器,并用访问控制列表(ACL)控制主机之间的数据流C构建一个 VPN,
9、并使用 VTP 通过交换机的 Trunk 传播给 8 台 PCD在每台交换机上建立一个相同的 VLAN,将连接 8 台 PC 的交换机端口都分配到这个 VLAN 中(分数:1.00)A.B.C.D. 解析:解析 虚拟局域网(VLAN)所创建的虚拟工作组是一个逻辑上的概念,它不受实际交换机区段的限制,也不受用户所在物理位置和物理网段的限制。VLAN 技术提供了动态组织工作环境的功能,简化了网络的物理结构,提高了网络的安全性和易管理性,提高了网络的性能。5.针对某省直用户单位的应用需求,规划师提出了用物理隔离(如隔离网闸等)来实现网络安全的方案。_不是物理隔离设备必须具有的安全配置要求。A应有我国
10、相关国家安全部门的产品认证证书B具有定期备份配置和日志功能,并能监控配置更改C设置加长口令,相关人员调离或退出本岗位时口令应立即更换D能够为用户分配专用网络上的地址,并确保地址的安全性(分数:1.00)A.B.C.D. 解析:解析 当网络中存在安全级别较高的区域时,可以通过隔离网闸等物理隔离设备实施隔离。一些工作性质较为特殊的单位,其内部网络中可能含有一定的敏感信息,可以通过隔离网闸等设备在受控情况下与外部网进行连接。网闸的安全配置要求应符合以下要求:应有我国相关国家安全部门的产品认证证书。每台设备上要求安装经认可的操作系统,并及时修补漏洞。设置加长口令,相关管理人员调离或退出本岗位时口令应立
11、即更换。密码不得以明文形式出现在纸制材料上,密码应隐式记录,记录材料应存放于保险柜中。限制逻辑访问,合理处置访问控制列表,限制远程终端会话。监控配置更改,即改动设备配置时,应进行监控。定期备份配置和日志。明确责任,维护人员对更改设备配置的时间、操作方式、原因和权限需要明确,在进行任何更改之前,制定详细的逆序操作规程。“能够为用户分配专用网络上的地址,并确保地址的安全性”属于虚拟专用网(VPN)的一种功能要求。6.某单位允许其内部网络中的用户访问 Internet。由于业务发展的需要,现要求在政务网与单位内部网络进行数据安全交换。规划师最可能选用的隔离技术是_。A多重安全网关 BVLAN 隔离C网闸 D防火墙(分数:1.00)A.B.C. D.解析:解析 网闸是一种物理隔离技术,它使得能够访问 Internet 的单位内部网络(即非涉密网络)和政务网(即涉密网络)之间在物理上不同时连接,对攻击防护较好。防火墙、多重安全网关、VPN 隔离等技术均属于基于软件保护的逻辑隔离技术。这些逻辑实体易被操纵,使得涉密网机密数据的安全寄托在用概率来做判断的防护上。
