网规近6年案例网络安全知识点汇总

近 6 年案例分析考察内容分布

2015 年题目 3：网络安全组网与设备部署

1501、题目信息

试题三（25 分）

阅读下列说明，回答问题 1 至问题 5，将解答填入答题纸的对应栏内。

【说明】 某学校拥有内部数据库服务器 1 台，邮件服务器 1 台，DHCP 服务器 1 台，FTP 服务器 1 台，流媒体服务器 1 台，Web 服务器 1 台，要求为所有的学生宿舍提供有线网络接入服务，对外提供 Web 服务，邮件服务，流媒体服务，内部主机和其他服务期对外不可见。

【问题 1】（5 分）

请划分防火墙的安全区域，说明每个区域的安全级别，指出各台服务器所处的安全区域。

【问题 2】（5 分）

请按照你的思路为该校进行服务器和防火墙部署设计，对该校网络进行规划，画出网络拓扑结构图。

【问题 3】（5 分）

学校在原有校园网络基础上进行了扩建，采用 DHCP。服务器动态分配 IP 地址，运行一段时间后，网络时常出现连接不稳定、用户所使用的 IP 地址被“莫名其妙”修改、无法访问校园网的现象。经检测发现网络中出现多个未授权 DHCP 地址。 请分析上述现象及遭受攻击的原理，该如何防范？

【问题 4】（6 分）

学生宿舍区经常使用的服务有 Web、即时通信、邮件、FTP 等，同时也因视频流寻致大量的 P2P 流量，为了保障该区域中各项服务均能正常使用，应采用何种设备合理分配每种应用的带宽？该设备部署在学校网络中的什么位置？一般采用何种方式接入网络？

【问题 5】（4 分）

当前防火墙中，大多都集成了 IPS 服务，提供防火墙与 IPS 的联动。区别于 IDS，IPS 主要增加了什么功能？通常采用何种方式接入网络？

1502、AI 解析要考察的知识点

这道题的出发点似乎是考察网络安全和网络设备的知识。主要涉及的知识点有:

• 防火墙的安全区域划分和安全级别
• 服务器部署和网络拓扑设计
• DHCP 攻击原理和防范 DHCP 攻击 （考查 IP 地址相关安全措施）
• 带宽管理设备的选择和部署
• IPS 与 IDS 的区别

具体的问题考查以下知识点:

• 问题 1 考查防火墙的安全区域划分和安全级别。

• 问题 2 考查服务器部署和网络拓扑设计。

• 问题 3 考查 DHCP 地址分配和防范 DHCP 攻击。

• 问题 4 考查带宽管理设备的选择和部署。

• 问题 5 考查 IPS 与 IDS 的区别。

总体来说,这段文字系统地考察了网络安全领域的服务器部署、网络设计、地址分配、带宽管理、入侵检测等方面的知识。

1503、详细知识点整理

1503-1、防火墙的安全区域划分和安全级别

1. 内部网络：安全级别最高，是可信的、重点保护的区域。包括所有内部主机，数据库服务器、DHCP 服务器和 FTP 服务器。
2. 外部网络：安全级别最低，是不可信的、要防备的区域。包括外部因特网用户主机和设备。
3. DMZ 区域(非军事化区)：安全级别中等，因为需要对外开放某些特定的服务和应用，受一定的保护，是安全级别较低的区域。包括对外提供 WWW 访问的 Web 服务器、邮件服务器和流媒体服务器。

1503-3、DHCP 攻击原理 和防范 DHCP 攻击(考查 IP 地址相关安全措施)

攻击原理：

(1) 当 DHCP 客户端第一次连接网络、重新连接或者地址租期己满时，会以广播的方式向 DHCP 服务器发送 DHCP Discover 消息，以获取/重新获取 IP 地址； (2) 若网络中存在多台 DHCP 服务器，均能收到该消息并应答； (3) 非授权 DHCP 服务器会先于授权 DHCP 服务器发出应答； (4) 客户端使用非授权服务器发出的应答包，并用作自己的 IP 地址； (5) 客户端地址被修改，无法访问校园网。

防范措施：

(1) 启用接入层交换机的 DHCP Snooping 功能； (2) DHCP Snooping 功能将交换机接口分为信任接口和非信任接口； (3) 连接客户端的接口为非信任接口，上连到汇聚交换机的接口为信任接口； (4) 非信任接口上接收到 DHCP Offer、DHCP ACK、DHCPNCK 报文时，交换机会将其丢弃； (5) DHCP Snooping 功能可阻止连接在非信任接口上的非授权 DHCP 服务器为客户端提供 IP 地址配置信息。

1503-4、带宽管理设备的选择和部署

由于网络中存在大量的 P2P 流量，而导致其他各项服务正常工作，应对 P2P 流量进行控制。要实现该功能，一般所选用的设备为流控设备，流控设备一般部署在被控流量区域的主干区域，应采用串接方式接入网络。

1503-5、防火墙、IPS 与 IDS 的区别

防火墙: 不能阻止内部网络的攻击，对于网络上流行的各种病毒也没有很好的防御措施； IDS: 只能检测入侵(基于包过滤检测实现)而不能实时地阻止攻击，而且 roS 具有较高的漏报和误报率。IDS 产品在网络中是旁路式工作。 入侵防御系统(Intrusion Prevention System，IPS): IPS 提供主动、实时的防护，其设计旨在对网络流量中的恶意数据包进行检测，对攻击性的流量进行自动拦截(阻断功能)，IPS 在网络中是串接式部署，IPS 检测数据流中的恶意代码，核对策略，在未转发到服务器之前，将信息包或数据流拦截。由于是在线操作，因而能保证处理方法适当而且可预知。 IPS 系统根据部署方式可以分为 3 类：基于主机的入侵防护(HIPS)、基于网络的入侵防护(N1PS)、应用入侵防护(AIP)。

2016 年题目 3：网络安全设备与组网

1601、题目信息

试题三（25 分）

阅读下列说明，回答问题 1 至问题 4，将解答填入答题纸的对应栏内。

【说明】 图 3-1 是某互联网服务企业网络拓扑，该企业主要对外提供网站消息发布、在线销售管理服务，Web 网站和在线销售管理服务系统采用 JavaEE 开发，中间件使用 Weblogic，采用访问控制、NAT 地址转换、异常流量检测、非法访问阻断等网络安全措施。

【问题 1】（6 分） 根据网络安全防范需求，需在不同位置部署不同的安全设备，进行不同的安全防范，为上图中的安全设备选择相应的网络安全设备。 在安全设备 1 处部署(1)； 在安全设备 2 处部署(2)； 在安全设备 3 处部署(3)。 (1)～(3)备选答案： A．防火墙 B．入侵检测系统(IDS) C．入侵防御系统(IPS)

【问题 2】（6 分） 在网络中需要加入如下安全防范措施： A．访问控制 B．NAT C．上网行为审计 D．包检测分析 E．数据库审计 F．DDoS 攻击检测和阻止 G．服务器负载均衡 H．异常流量阻断 I．漏洞扫描 J．Web 应用防护 其中，在防火墙上可部署的防范措施有(4)； 在 IDS 上可部署的防范措施有(5)； 在 IPS 上可部署的防范措施有(6)。

【问题 3】（5 分） 结合上述拓扑，请简要说明入侵防御系统(IPS)的不足和缺点。

【问题 4】（8 分） 该企业网络管理员收到某知名漏洞平台转发在线销售管理服务系统的漏洞报告，报告内容包括： 1．利用 Java 反序列化漏洞，可以上传 jsp 文件到服务器。 2．可以获取到数据库链接信息。 3．可以链接数据库，查看系统表和用户表，获取到系统管理员登录帐号和密码信息，其中登录密码为明文存储。 4．使用系统管理员帐号登录销售管理服务系统后，可以操作系统的所有功能模块。 针对上述存在的多处安全漏洞，提出相应的改进措施。

1602、AI 解析要考察的知识点

这道题的出发点是考察网络安全设备的部署和网络安全防护措施。主要考察的知识点有:

1. 防火墙、IDS、IPS 的功能及部署位置

2. 各种网络安全防护措施功能

3. IPS 的不足之处

4. 常见系统漏洞及改进措施

具体问题考察的知识点:

问题 1 考查防火墙、IDS、IPS 的功能区别及部署位置。

问题 2 考查各种网络安全防护措施功能。

问题 3 考查 IPS 的不足与缺点。

问题 4 考查系统漏洞及改进措施。

总体上全面考察了网络安全防护体系的设备选择、功能部署、漏洞修补等方面的知识。

1603、详细知识点整理

1603-1、防火墙、IDS、IPS 的功能及部署位置

防火墙: 一般作为网络边界防护设备，部署在网络的总出口处，本例中应部署在安全设备 1 的位置；

入侵检测系统: 一般作为旁路部署，进行网络行为检测分析，本例中应部署在安全设备 2 的位置；

入侵防御系统: 一般部署在业务服务器区域或者重要业务系统的网络出口处，主要进行应用层的安全防护，实时阻断网络攻击，本例中应部署在安全设备 3 的位置。

1603-2、各种网络安全防护措施功能

防火墙: 主要可部署的有访问控制、NAT(网络地址转换)、DDoS 攻击检测和阻止；

IDS: 主要可部署的有包检测分析；

IPS: 主要可部署的有异常流量阻断、Web 应用防护。剩余的其他防范措施中

上文行为审计: 一般部署在上网行为管理系统上，

数据库审计: 一般部署在安全审计系统上，

服务器负载均衡: 一般部署在负载均衡系统上

漏洞扫描: 一般部署在漏洞扫描系统上

1603-3、IPS 的不足之处

1.单点故障

2.性能瓶颈

3.误报率和漏报率

4.匹配规则库更新

总结: 入侵防御系统一般串接在网络中，通过匹配特征库，对入侵活动和攻击性网络流量进行拦截，容易造成单点故障，会影响网络性能，特征库也需要及时更新，同时也存在一定的漏报率和误报率。

1603-4、常见系统漏洞及改进措施/这种可以理解为排错或者找茬题，都用套路[模版]可言

1. 利用 Java 反序列化漏洞，可以上传 jsp 文件到服务器。 针对该漏洞，应更新 java 类包，修补漏桐。另外，本例中中间件釆用 weblogic，而 weblogic 是通过 T3 协议来传输序列化的类，并且 T3 协议和 Web 协议共用同一个端口，利用 Java 反序列化漏洞，通过 T3 协议，很容易实现文件的上传，可以借助负载均衡等设备，只转发 http 协议，过滤 T3 协议，实现漏洞的封堵。

2. 可以获取到数据库链接信息。 针对该漏洞，应该加密数据库链接信息，存储在隐蔽位置最好，也可以将数据库链接交由 weblogic 管理，因为 weblogic 对数据库链接信息实行加密存储。

3. 可以链接数据库，查看系统表和用户表，获取到系统管理员登录账号和密码信息，其中登录密码为明文存储。 针对该漏洞，应该调整数据库用户权限，取消业务用户访问数据库系统表的权限，同时，数据库中，登录账号、密码等敏感信息要加密存储。

4. 使用系统管理员帐号登录销售管理服务系统后，可以操作系统的所有功能模块。 该漏洞中，系统管理员的权限过大，应该将系统中的管理权限和业务权限分离，优化系统权限管理。

2017 年题目 3：网络安全

1701、题目信息

试题三（25 分）

阅读下列说明，回答问题 1 至问题 4，将解答填入答题纸的对应栏内。

【说明】 某企业网络拓扑如图 3-1 所示，该企业内部署有企业网站 Web 服务器和若干办公终端，Web 服务器(http://www.xxx.com) 主要对外提供网站消息发布服务，Web 网站系统采用 JavaEE 开发。

【问题 1】（6 分） 信息系统一般从物理安全、网络安全、主机安全、应用安全、数据安全等层面进行安全设计和防范，其中，"操作系统安全审计策略配置"属于（1）安全层面; "防盗防破坏、防火"属于（2）安全层面; "系统登录失败处理、最大并发数设置"属于（3）安全层面; "入侵防范、访问控制策略配置、防地址欺骗"属于（4）安全层面。

【问题 2】（3 分） 为增强安全防范能力，该企业计划购置相关安全防护系统和软件，进行边界防护、Web 安全防护、终端 PC 病毒防范，结合图 3-1 拓扑，购置的安全防护系统和软件应包括:（5）、（6）、（7）。 （5）~（7）备选答案：

A.防火墙

B.WAF

C.杀毒软件

D.数据库审计

E.上网行为检测

【问题 3】（6 分） 2017 年 5 月，Wannacry 蠕虫病毒大面积爆发，很多用户遭受巨大损失。在病毒爆发之初，应采取哪些应对措施？（至少答出三点应对措施）

【问题 4】（10 分） 1.采用测试软件输入网站 www.xxx.com/index.action. 执行 ifconfig 命令，结果如图 3-2 所示。

从图 3-2 可以看出，该网站存在（ ）漏洞，请针对该漏洞提出相应防范措施。

(8)备选答案:

A.Java 反序列化

B.跨站脚本攻击

C.远程命令执行

D.SQL 注入

2.通过浏览器访问网站管理系统，输入www.xxx.com/login?f_page=-->' "><svg onload=prompt(/x/)>，结果如图 3-3 所示。

从图 3-3 可以看出，该网站存在（ ）漏洞，靖针对该漏洞提出相应防范措施。

备选答案：

A.Java 反序列化

B.跨站脚本攻击

C.远程命令执行

D.SQL 注入

1702、AI 解析要考察的知识点

这道题主要考察信息系统安全的几个方面:

1. 信息系统不同安全层面的安全防护

2. 常见网络环境中的安全设备或软件选型

3. 针对蠕虫病毒的应急响应措施

4. 识别和防范 Web 应用常见漏洞

具体问题考察的知识点:

问题 1 考查信息系统不同安全层面的安全防护策略

问题 2 考查网络环境中的安全设备或软件选型

问题 3 考查针对蠕虫病毒的应急响应措施

问题 4 考查识别和防范 Web 应用中的命令执行漏洞和跨站脚本漏洞

总体上全面考查了信息系统安全防护的方方面面,既有理论知识,也测试应用能力。

1703、详细知识点整理

1703-1、信息系统不同安全层面的安全防护

• 物理安全:防盗防破坏、防火等物理安全措施。

• 网络安全:防火墙、入侵检测/防御系统、VPN 等网络边界控制和安全监控。

• 主机安全:操作系统安全配置、主机入侵检测、病毒防护等主机安全技术。

• 应用安全:Web 应用防火墙、数据库审计、输入输出校验、系统登录失败处理、最大并发数设置等应用程序安全措施。

• 数据安全:数据加密、数据库备份、存储权限控制等数据安全措施。

• 终端安全:VPN、数据加密、权限控制等终端访问安全措施。

• 身份认证:密码策略、双因子认证、生物认证等身份认证机制。

• 安全管理:安全策略、风险评估、漏洞管理、安全审计、员工培训等组织流程管理。

1703-2、常见网络环境中的安全设备或软件选型

防火墙: 一般用于在不同的网络间通过访问规则控制进行网络边界防范；

WAF (Web Application Firewall): 即 Web 应用防火墙，一般通过基于 Http/Https 的安全策略进行网站等 Web 应用防护；

杀毒软件: 一般用于终端电脑病毒、木马和恶意软件的查杀和防范。

1703-3、针对蠕虫病毒的应急响应措施/给出的操作大部分也可以作为通用答案[针对网络安全防护、整改]

• 立即断网排查

• 升级操作系统补丁程序

• 修复漏洞

• 关闭 445 端口

• 隔离已感染主机的网络连接

• 备份重要文件

• 安装杀毒软件

• 加强网络层防护

总结: Wannacry 蠕虫病毒是一个勒索式病毒软件，利用 Windows 操作系统漏洞进行传播，并且能够自我复制和主动传播。防范措施包括：立即断网进行排查阻止相互感染，下载并更新微软发布的漏洞补丁，终端电脑关闭 445 端口或者核心网络设备禁止 445 端口通信，备份重要资料，安装杀毒软件，加强网络安全防护等；如果发现有电脑已经中病毒，应立即隔离。

1703-4、识别和防范 Web 应用常见漏洞/延伸: 常见安全漏洞有哪些、如何防范？

1. 从图 3-2 可知，该网站可以使用工具远程执行 ifconfig 命令，说明存在远程命令执行漏洞，漏洞编号为：S2-45 说明为 Stmts2 的漏洞。应该立即升级漏洞补丁或者升级 Stmts2 版本，并部署 Web 安全防护系统，对该网站进行安全防护。

2. 从图 3-3 可知，该网站可以通过 URL 地址进行 JS 脚本注入攻击，说明存在跨站脚本攻击漏洞(XSS)。应该对 URL 地址和 input 框等用户输入进行过滤，并部署 Web 安全防护系统，对该网站进行安全防护。

2018 年题目 3：数据中心、网络安全

1801、题目信息

试题三（25 分） 阅读下列说明，回答问题 1 至问题 4，将解答填入答题纸的对应栏内。

【说明】

图 3-1 为某公司拟建数据中心的简要拓扑图，该数据中心安全规划设计要求符合信息安全等级保护(三级)相关要求。

【问题 1】（9 分）

1.在信息安全规划和设计时，一般通过划分安全域实现业务的正常运行和安全的有效保障，结合该公司实际情况，数据中心应该合理地划分为(1)、(2)、(3)三个安全域。

2.为了实现不同区域的边界防范和隔离，在图 3-1 的设备 ① 处应部署(4)设备,

通过基于 HTTP/HTTPS 的安全策略进行网站等 Web 应用防护，对攻击进行检测和阻断;在设备 ② 处应部署(5)设备，通过有效的访问控制策略，对数据库区域进行安全防护;在设备 ③ 处应部署(6)设备，定期对数据中心内服务器等关键设备进行扫描及时发现安全漏洞和威胁，可供修复和完善。

【问题 2】（6 分）

信息安全管理一般从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面进行安全管理规划和建设。其中应急预案制定和演练、安全事件处理属于(7)方面; 人员录用、安全教育和培训属于(8) 方面;制定信息安全方针与策略和日常操作规程属于(9)方面;设立信息安全工作领导小组，明确安全管理职能部门的职责和分工属于(10)方面。

【问题 3】（4 分）

随着 DDoS (Distributed Denial of Service,分布式拒绝服务)攻击的技术门槛越来越低，使其成为网络安全中最常见、最难防御的攻击之一，其主要目的是让攻击目标无法提供正常服务。请列举常用的 DDoS 攻击防范方法。

【问题 4】（6 分）

随着计算机相关技术的快速发展，简要说明未来十年网络安全的主要应用方向。

1802、AI 解析要考察的知识点

这道题的出题出发点是考察数据中心的网络安全规划设计,主要涉及以下知识点:

1. 数据中心的安全域划分

2. 数据中心各区域对应的安全设备选择

3. 信息安全管理体系的建设

4. DDoS 攻击的防范方法

5. 未来网络安全的发展方向

具体的问题设计考察如下:

问题 1 考查数据中心安全域划分和对应设备选择

问题 2 考查信息安全管理体系建设的各个方面

问题 3 考查 DDoS 攻击的防范方法

问题 4 考查未来网络安全的发展趋势

总体上系统全面地考察了数据中心网络安全规划中的安全防护、管理体系、应对攻击等问题,既注重理论知识也考察应用能力。

1803、详细知识点整理

1803-1、数据中心的安全域划分/延伸: 防火墙、网闸、IDS、IPS、上网行为管理等设备所处区域和功能相关？

此类题目要求考生熟悉常用安全防护设备的作用和部署方式，具备常见网络攻击的识别和防范能力，掌握信息安全管理的相关内容，要求考生具有信息系统安全规划、信息安全管理、防范网络攻击的实际经验。

1. 从图 3-1 中可知，该公司已经在网络拓扑设计中，按照业务类型和安全级别分为安全运维管理、应用业务、数据库三个区域，因此在安全域划分时，划分为安全运维管理安全域、应用业务安全域、数据库安全域较为合理。

2. 一般在业务服务器前（即设备 ① 处）串接部署 Web 防火墙（WAF)，通过基于 HTTP/HTTPS 的安全策略进行网站等 Web 应用防护，对 SQL 注入、跨站脚本等攻击进行检测和阻断。

在设备 ② 处部署防火墙，对区域边界进行隔离，通过有效的访问控制策略，对数据库区域进行安全防护。

在设备 ③ 处应部署漏洞扫描设备，定期对数据中心内服务器等关键设备进行扫描，及时发现安全漏洞和威胁，可供修复和完善。

1803-2、信息安全管理体系的建设/本小题 17 年考了

信息安全管理一般从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面进行安全管理规划和建设。

安全管理制度方面包括：制定信息安全工作的总体方针和安全策略，建立各类安全管理制度，对管理人员或操作人员执行的日常管理操作建立操作规程，并对制度修订评审，形成全面的信息安全管理制度体系。

安全管理机构方面包括：成立指导和管理信息安全工作的委员会或领导小组，设立信息安全管理工作的职能部门，明确各安全管理岗位职责，以及相关的授权审批、沟通合作、审核检查等内容。

人员安全管理方面包括：规范人员录用和离岗，签署保密协议和岗位安全协议，定期进行安全意识教育、岗位技能培训和相关安全技术培训，并进行安全技能及安全认知的考核等人月安全管理内容。

系统建设管理方面包括：明确信息系统的边界和安全保护等级，采取相应的安全措施，并依据风险分析的结果补充和调整安全措施，产品采购和软件开发需符合国家相关规定等内容。

系统运维管理方面包括：定期对机房供配电、空调、温湿度控制等设施进庁维护管理，编制资产清单，对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测，做好数据备份，明确安全事件处理流程，编制应急预案并定期演练等内容。

因此，应急预案制定和演练、安全事件处理属于系统运维管理方面;人员录用、安全教育和培训属于人员安全管理方面;制定信息安全方针与策略和日常操作规程属于安全管理制度方面;设立信息安全工作领导小组，明确安全管理职能部门的职责和分工属于安全管理机构方面。

1803-3、DDoS 攻击的防范方法/延伸: DDoS 攻击方式有哪些？

DDoS (Distributed Denial of Service,分布式拒绝服务）攻击是对传统 DoS 攻击的发展，攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。主要企图是借助于网络系统或网络协议的缺陷和配置漏洞进行网络攻击，使网络拥塞、系统资源耗尽或者系统应用死锁，妨碍目标主机和网络系统对正常用户服务请求的及时响应，造成服务的性能受损甚至导致服务中断。 常用防范措施包括但不限于：

1. 修改系统和软件配置，设置系统的最大连接数、TCP 连接最大时长等配置，拒绝非法连接，修复系统和软件漏洞。

2. 购置抗 DDoS 防火墙等专用设备，通过对数据包的特征识别、端口监视、流量信息监控等手段，阻断非法链接或者引流至沙箱，进行 DDoS 攻击流量清洗。

3. 购买第三方服务进行 DDoS 攻击流量清洗，目前，国内部分电信运营商、安全厂家、云服务商均提供 DDoS 攻击流量清洗服务，一般都是按照清洗流量多少进行收费。

总结: 由于 DDoS 攻击隐蔽性强、攻击成本低廉等特性，使得完全消除 DDoS 攻击较难，只能尽可能减小 DDoS 攻击带来的影响。

1803-4、未来十年网络安全的主要应用方向

需要关注大数据安全、移动智能终端安全、互联网舆情监管、物联网安全、云安全等主要应用。

1. 大数据安全：大数据的广泛应用在个性化服务和辅助决策等方面带来便捷的同时，也会带来新的安全问题，如用户隐私被侵犯、信息泄露等。

2. 移动智能终端安全：移动智能终端的快速增长和普及，与人们的日常生活已紧密关联，而安全风险也随之而来。

3. 互联网舆情监管：互联网用户的快速增长使得舆情监管日益凸显，网络舆情越来越多地反映人们的价值观，同时也影响着人们的价值观取向。

4. 物联网安全：网络和物理世界的融合即“物联网”的兴起和发展，会导致更加严重的网络安全问题。

5. 云安全：云计算的兴起和快速发展，带来了新的安全问题，风险更加集中，且具有不确定性。

2019 年题目 3：网络安全与等级保护

1901、题目信息

试题一（25 分） 回答问题 1 至问题 3，将解答填入答题纸的对应栏内。

【问题 1】（4 分）

安全管理制度管理、规划和建设为信息安全管理的重要组成部分，一般从安全策略、 安全预案、安全检査、安全改进等方面加强安全管理制度建设和规划。其中，(1)应定义安全管理机构、等级划分、汇报处置、处置操作、安全演练等内容；(2)应该以信息安全的总体目标、管理意图为基础，是指导管理人员行为、保护信息网络安全的指南。

【问题 2】（11 分）

某天，网络管理员发现 Web 服务器访问缓慢，无法正常响应用户请求，通过检查发现该服务器 CPU 和内存资源使用率很高、网络带宽占用率很高，进一步查询日志，发现该服务器与外部未知地址有大量的 UDP 连接和 TCP 半连接，据此初步判断该服务器受到(3)和(4)类型的分布式拒绝服务攻击(DDoS),可以部署(5)设备进行防护。这两种类型的 DDoS 攻击的原理是(6) 、(7)。 (3)~(4)备选答案（每个选项仅限选一次)：

A. Ping 洪流攻击

B. SYN 泛洪攻击

C. Teardrop 攻击

D. UDP 泛洪攻击

(5)备选答案：

A. 抗 DDos 防火墙

B. Web 防火墙

C. 入侵检测系统

D. 漏洞扫描系统

【问题 3】（10 分）

网络管理员使用检测软件对 Web 服务器进行安全测试，图 3-1 为测试结果的片段信息，从测试结果可知该 Web 系统使用的数据库软件为（8）, Web 服务器软件为（9），该 Web 系统存在（10）漏洞，针对该漏洞应采取（11）、（12）等整改措施讲行防范。

1902、AI 解析要考察的知识点

这道试题的出题出发点是考察信息系统安全管理体系建设和 Web 应用安全,主要涉及以下知识点:

• 安全管理制度 - 安全预案和安全策略

• DDoS 攻击类型和防护设备

• 根据漏洞扫描结果判断 Web 应用漏洞类型

• 漏洞修复和安全加固措施

具体的题目考查如下:

问题 1 考查安全预案和安全策略的定义

问题 2 考查 DDoS 攻击类型防护措施

问题 3 考查根据漏洞扫描报告判断漏洞类型,并提出修复措施

总体上全面考察了信息系统安全管理和 Web 应用安全两个方面,既涉及理论知识,也考察分析判断和应用能力。

1903、详细知识点整理

安全管理制度 - 安全预案和安全策略 / 本题可以理解为 18 年的小题 2 的延伸

安全预案: 是为应对网络与信息安全突发公共事件的应急处理工作，最大限度地减轻或消除网络与信息安全突发事件的危害和影响，确保网络运行安全与信息安全，而编制的信息系统安全应急处置方案。在安全预案中需要明确安全等级划分、安全管理机构、 处置机构、处置流程、处置方法等内容。故（1）处应填写安全预案。

安全策略: 是对信息系统安全管理的目标和意图的描述，是对信息系统安全进行管理和保护的指导原则，是指导管理人员行为、保护信息网络安全的指南，在安全策略的指导下制定安全管理制度、组织实施、检查改进，保证信息系统安全保护工作的整体性、计划性及规范性，确保技术防护措施和管理手段的正确实施，使得信息系统数据的完整性、机密性和可用性受到全面的保护。故（2）处应填写安全策略。

DDoS 攻击类型和防护措施 / 18 年小题 3 就是对应的 DDoS 相关

分布式拒绝服务攻击（DDoS)是对传统 DoS 攻击的发展，攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。常见类型有 SYN Flood 攻击、UDP Flood 攻击、ICMP Flood 攻击、Connection Flood 攻击等。被 DDoS 攻击时可能的现象有：

(1)被攻击主机上有大量等待的 TCP 连接。

(2)大量到达的数据分组（包括 TCP 分组和 UDP 分组）并不是网站服务连接的一 部分，往往指向机器的任意端口。

(3)网络中充斥着大量的无用的数据包，源地址为假。

(4)制造高流量的无用数据，造成网络拥塞，使受害主机无法正常和外界通信。

(5)利用受害主机提供的服务和传输协议上的缺陷，反复发出服务请求，使受害主机无法及时处理所有正常请求。

(6)严重时会造成死机。

SYN 泛洪攻击的原理是利用 TCP 连接的 3 次握手进行攻击，攻击端利用伪造的 IP 地址向被攻击端发出请求，使得被攻击端发出的响应报文发送不到目的地，会造成 3 次握手无法完成，此时连接处于半连接状态，被攻击端会继续发生响应报文，多次重试后，等待一段时间，才会丢弃这个未完成的连接，这个过程会大量消耗服务器的内存资源。如果有大量用户进行这种恶意攻击，服务器为了维护庞大的半连接列表而消耗非常多的资源，以致服务器资源耗尽，无法正常提供服务。

UDP 泛洪攻击原理是攻击者利用简单的 TCP/IP 服务，通过向被攻击端发送大量的 UDP 报文，导致被攻击端忙于处理这些 UDP 报文，而无法处理正常的报文请求或响应， 同时网络中会出现大量的 UDP 流量，占用网络带宽。也会利用多播协议，使得多播流量在网络中泛洪，造成网络堵塞，甚至网络瘫瘓。

上述 Web 服务器的表现症状符合 SYN Flood 攻击、UDP Flood 攻击，故初步判断该服务器受到 SYN Flood 攻击和 UDP Flood 攻击类型的分布式拒绝服务攻击（DDoS)。

分布式拒绝服务攻击（DDoS)的常用防范包括：

(1)修改系统和软件配置，设置系统的最大连接数、TCP 连接最大时长等配置，拒绝非法连接，修复系统和软件漏洞。

(2)购置抗 DDoS 防火墙等专用设备，通过对数据包的特征识别、端口监视、流量信息监控等手段，阻断非法链接或者引流至沙箱，进行 DDoS 攻击流量清洗。

(3)购买第三方服务进行 DDoS 攻击流量清洗，目前，国内部分电信运营商、安全厂家、云服务商均提供 DDoS 攻击流量清洗服务，一般都是按照清洗流量多少进行收费。

总结: 由于 DDoS 攻击隐蔽性强、攻击成本低廉等特性，使得完全消除 DDoS 攻击较难， 只能尽可能减小 DDoS 攻击带来的影响。

考查根据漏洞扫描报告判断漏洞类型,并提出修复措施

从图3-1可知，网络管理员使用Sqlmap测试工具，对Web服务器进行测试，Sqlmap常用于SQL注入漏洞的检查。从测试结果来看，Web系统存在SQL注入漏洞，测试中获取到/数据库的版本、Web服务器版本和6个数据库名（ecp、information—schema、mysql、performance—schema、sys、webData)等关键敏感信息，从获取的信息可知该服 务器使用MySQL数据库，Web服务器为Apache。

SQL注入漏洞的防护措施包括：部署Web防火墙（WAF)或者具备Web防护能力的其他系统、修复软件漏洞或者针对SQL注入特征进行过滤。

2020 年题目 3：网络安全与等级保护

2001、题目信息

试题三（25分） 阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。

【说明】

案例一

据新闻报道，某单位的网络维护员张某将网线私自连接到单位内部专网，通过专网远程登录到该单位的某银行储蓄所营业员电脑，破解默认密码后以营业员身份登录系统，盗取该银行83.5万元。该储蓄所使用与互联网物理隔离的专用网络，且通过防火墙设置层层防护，但最终还是被张某非法入侵，并造成财产损失。

案例二

据国内某网络安全厂商通报，我国的航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位受到多次不同程度的APT攻击，攻击来源均为国外几个著名的APT组织，比如某境外APT组织搭建钓鱼攻击平台，冒充“系统管理员”向某科研单位多名人员发送旳鱼邮件，邮件附件中包含伪造Office、PDF图标的PE文件或者含有恶意宏的Word文件，该单位小李打开钓鱼邮件附件后，其工作电脑被植入恶意程序，获取到小李个人邮箱账号和登录密码，导致其电子邮箱被秘密控制。之后，该APT组织定期远程登录小李的电子邮箱收取文件，并利用该邮箱向小李的同事、下级单位人员发送数百封木马钓鱼邮件，导致十余人下载点击了木马程序，相关人员计算机被控制，造成敏感信息被窃取。

【问题1】（4分）

安全运维管理为信息系统安全的重要组成部分，一般从环境管理、资产管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码管理、备份与恢复管理、安全事件处置、外包运维管理等方面进行规范管理。其中：

1.规范机房出入管理，定期对配电、消防、空调等设施维护管理应属于(1)范围;

2.分析和鉴定安全事件发生的原因，收集证据，记录处理过程，总结经验教训应属于(2)范围;

3.制定重要设备和系统的配置和操作手册，按照不同的角色进行安全运维管理应属于(3)范围:

4.定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题应属于(4)管理范围。

【问题2】（8分）

请分析案例一中网络系统存在的安全隐患和问题。

【问题3】（8分）

请分析案例二，回答下列问题:

1.请简要说明APT攻击的特点。

2.请简要说明APT攻击的步骤。

【问题4】（5分）

结合上述案例，请简要说明从管理层面应如何加强网络安全防范。

2002、AI 解析要考察的知识点

这道题的出题出发点是考察信息系统安全运维管理,通过两个案例分析信息系统安全问题,主要考查以下知识点:

1. 信息系统安全运维管理的范围

2. 根据案例分析信息系统安全问题

3. APT攻击的特点和步骤

4. 从管理层面加强网络安全防范

具体问题设计如下:

问题1考查安全运维管理的范围

问题2考查根据案例分析信息系统安全问题

问题3考查APT攻击的特点和步骤

问题4考查从管理层面加强网络安全防范

这道题综合考察了信息系统安全运维管理知识与案例分析能力,通过实例考查学生对网络安全问题的识别及分析能力,以及综合运用所学知识提出解决方案的能力。

2003、详细知识点整理

2003-01、信息系统安全运维管理的范围

此类题目要求考生具备常见网络攻击、网络系统安全隐患的识别和防范能力，熟悉APT攻击的持点和步骤，掌握信息安全管理的相关内容，要求考生具有信息系统安全规划、安全运维、网络攻击防范等方面的实际经验。

安全运维管理为信息系统安全的重要组成部分，等保2.0标准体系中，对安全运维管理提出明确要求，安全运维管理包括环境管理、资产管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码管理、备份与恢复管理、安全事件处置、外包运维管理等方面，其中:

(1)环境管理：应指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。

(2)安全事件处置：应报告所发现的安全弱点和可疑事件；应制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等；应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训；对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。

(3)网络和系统安全管理：应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限；应指定专门的部门或人员进行账号管理，对申请账号、建立账号、删除账号等进行控制；应制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置；应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容。

(4)漏洞和风险管理：应采取必要的措施识别安全隐患，对发现的安全隐患及时进行修补或评估可能的影响后进行修补。应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题。

2003-02、根据案例分析信息系统安全问题/同1603考察方向相近，就是出现问题让你去找问题并给出解决方案

案例一中的网络系统存在的安全隐患和问题如下：

(1)网络维护员张某将网线私自连接到单位内部专网，说明该网络系统缺少网络准入控制。

(2)通过专网远程登录到该单位的某银行储蓄所营业员电脑，说明该网络系统沒有控制远程登录，电脑主机没有设置远程登录限制。

(3)破解默认密码后以营业员身份登录系统，说明该信息系统使用默认密码，沒有设置复杂度更高的密码，没有按照要求定期更换密码；作为重要的信息系统，至少应有两种或两种以上组合的身份认证。

(4)该单位配备有各种安全设备，层层防护，但最终被非法入侵，说明该单位网络安全管理不到位，在网络安全防范时，不仅要依靠专业设备和技术手段，也需要制定安全制度、明确安全责任、加强安全培训。

2003-03、APT攻击的特点和步骤

APT攻击的特点：

①潜伏性，在用户网络环境中长久潜伏存在；

②持续性，持续不断地监控和获取敏感信息；

③威胁性大，有组织有预谋，成功率高，危害系数大，近年来频频发生针对我国政府机关和核心部门发起的有组织的APT攻击。

APT攻击的步骤/攻击步骤基本上是通用的，少许修改即可用于其他场景：

①收集信息或扫描探测；

②恶意代码投送；

③利用漏洞；

④植入木马或植入恶意程序；

⑤命令与控制或远程控制;

⑥横向渗透并达成目标；

⑦清除痕迹或者删除恶意程序。

2003-04、从管理层面加强网络安全防范

①定网络安全管理制度；

②明确网络安全主体责任；

③细化网络安全工作职责，责任到人；

④合理分配人员权限、最小权限和加强审计;

⑤加强网络安全意识和技能培训；

⑥强化网络安全执行监督。

2021 年题目 3：安全管理、攻击防范、等保 2.0

2101、题目信息

试题三（25分）

阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。

【说明】

案例一 安全测评工程师小张对某单位的信息系统进行安全渗透测试时，首先获取A系统部署的WebServer版本信息然后利用A系统的软件中间件漏洞，发现可以远程在A系统服务器上执行命令。小张控制A服务器后，尝试并成功修改网页。通过向服务器区域横向扫描，发现B和C服务器的root密码均为123456,利用该密码成功登录到服务器并获取root权限。

案例二 网络管理员小王在巡查时发现网站访问日志中有多条非正常记录。 其中，日志1访问记录为: www.xx.com/ param=1'and updatexml(1, concat(0x7e (SEL ECT MD5(1234),0x7e), 1) 日志2访问记录为 www.xx.com/js/url. substring(0, indexN2)}/ alert(url);url+= 小王立即采取措施,加强Web安全防范。

案例三 某信息系统在2018年上线时，在公安机关备案为等级保护第三级,单位主管认为系统已经定级,此后无须再做等保安全评测。

【问题1】（6分）

信息安全管理机构是行使单位信息安全管理职能的重要机构，各个单位应设立(1)领导小组,作为本单位信息安全工作的最高领导决策机构。设立信息安全管理岗位并明确职责，至少应包含安全主管和“三员”岗位，其中“三员”岗位中:(2)岗位职责包括信息系统安全监督和网络安全管理沟通、协调和组织处信息安全事件等;系统管理员岗位职责包括网络安全设备和服务器的配置、部署、运行维护和日常管理等工作;(3)岗位职责包括对安全、网络、系统、应用、数据库等管理人员的操作行为进行审计,监督信息安全制度执行情况。

【问题2】（9分）

1.请分析案例一信息系统存在的安全隐患和问题(至少回答5点);

2.针对案例一存在的安全隐患和问题，提出相应的整改措施(至少回答4点)

【问题3】（6分）

1. 案例二中，日志1所示访问记录是(4)攻击，日志2所示访问记录是(5)攻击

2. 案例二中，小王应采取哪些措施加强web安全防范?

【问题4】（4分）

案例三中，单位主管的做法明显不符合网络安全等级保护制度要求，请问，该信息系统应该至少(6)年进行一次等保安全评测，该信息系统的网.络日志至少应保存(7)个月。

2102、AI 解析要考察的知识点

这道题的出题出发点是考察信息系统安全管理体系和Web应用安全,主要涉及以下知识点:

1. 信息系统安全管理机构设置

2. 根据案例分析信息系统安全问题

3. 识别Web应用漏洞类型

4. 网络安全等级保护要求

具体问题考查如下:

问题1考查信息系统安全管理机构设置

问题2考查根据案例分析信息系统安全问题

问题3考查Web应用漏洞类型

问题4考查网络安全等级保护要求

这道题通过典型案例考察学生对信息系统安全问题的识别及分析能力,并综合考查安全管理体系和Web应用安全知识,既考察理论知识,也考察应用与分析能力。

2103、详细知识点整理

2103-01、信息系统安全管理机构设置

信息安全管理机构是行使单位信息安全管理职能的重要机构，各个单位应设立网络安全和信息建设领导小组,作为本单位信息安全工作的最高领导决策机构。设立信息安全管理岗位并明确职责，至少应包含安全主管和“三员”岗位，其中“三员”岗位中:安全管理员岗位职责包括信息系统安全监督和网络安全管理沟通、协调和组织处信息安全事件等;系统管理员岗位职责包括网络安全设备和服务器的配置、部署、运行维护和日常管理等工作;安全审计员岗位职责包括对安全、网络、系统、应用、数据库等管理人员的操作行为进行审计,监督信息安全制度执行情况。

延伸阅读:

1、《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239)

该文件中规定了各级信息系统应设置网络安全和信息化建设领导小组,并明确各管理岗位的职责。

2、《信息系统安全管理要求》(GB/Z 11770)

该文件对各类信息系统的安全管理体系进行了规范,其中定义了安全管理员、系统管理员、安全审计员的具体岗位职责。

2103-02、根据案例分析信息系统安全问题/也就是所谓的找茬题[弱口令、安全设备部署不到位等等]

存在问题

• WebServer版本信息没有屏蔽
• 中间件漏洞没有及时补丁升级
• 存在远程命令漏洞
• 存在弱口令
• 没有禁用ROOT用户远程登录等

整改方案

• WebServer版本信息屏蔽
• 中间件漏洞及时补丁升级
• 关闭高危端口
• 加强口令强度
• 定时更新口令
• 禁用ROOT用户远程登录
• 部署WAF设备、IPS设备、漏洞扫描设备

2103-03、识别Web应用漏洞类型/延伸: 常见攻击方式、漏洞

SQL注入攻击是通过构造恶意SQL语句,将SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

XSS攻击是跨站脚本攻击,通过在可信的网站中注入恶意脚本,使之在用户浏览器上执行,从而实现欺骗用户或盗取用户信息的目的。

防范SQL注入攻击的方法:

1. 使用参数化的SQL语句,而不是动态拼凑SQL语句。

2. 过滤特殊字符,对用户输入进行过滤处理。

3. 限制数据库用户权限,避免直接访问核心数据库。

4. 采用预编译语句而非执行动态查询语句。

5. 利用WAF(Web应用防火墙)检测和阻止XSS攻击。

防范XSS攻击的方法:

1. 对所有用户输入的数据进行过滤或编码处理。

2. 设置HTTP Only属性防止脚本读取Cookie。

3. 使用CSP(内容安全策略)限制资源加载域。

4. 使用安全的JavaScript API替代不安全的DOM API。

5. 利用WAF(Web应用防火墙)检测和阻止XSS攻击。

2103-04、网络安全等级保护要求

根据《信息系统安全等级保护基本要求》的规定,三级信息系统应当每年进行一次安全评估,日志保存时间至少为6个月。

2022 年题目 3：攻击防范、等保 2.0

2201、题目信息

试题三（25分）

阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。 【说明】

案例一 某单位网站受到攻击，首页被非法篡改。经安全专业机构调查，该网站有一个两年前被人非法上传的后门程序，本次攻击就是因为其他攻击者发现该后门程序并利用其实施非法篡改。

案例二 网站管理员某天打开本单位门户网站首页后，发现自动弹出所示图，手动关闭后每次刷新首页均会弹出。

【问题1】（4分）

安全人员管理是信息系统安全管理的重要组成部分，新员工入职时应与其签署(1)明确安全责任，与关键岗位人员应签署(2)明确岗位职责和责任;人员离职时，应终止离岗人员的所有(3)权限，办理离职手续,并承诺离职后(4)的义务。

【问题2】（4分）

1.请分析案例一、信息系统存在的安全隐患和问题（至少回答2点)。

2.针对案例一存在的安全隐患和问题，提出相应的整改措施（至少回答2点)。

【问题3】（7分）

1.请分析案例二中门户网站存在有什么漏洞?

2.针对案例二中存在的漏洞，在软件编码方面应如何修复问题?

【问题4】（10分）

该数据中心按照等级保护第三级要求，应从哪些方面考虑安全物理环境规划?(至少回答五点)

2202、AI 解析要考察的知识点

这道题的出发点是考察信息系统安全管理体系中的人员管理和物理环境管理,以及通过案例分析常见的信息系统安全问题,主要考查以下知识点:

1. 信息系统人员管理

2. 根据案例分析信息系统安全问题

3. 识别Web应用漏洞类型

4. 数据中心安全物理环境规划

具体问题考查如下:

问题1考查信息系统人员管理制度

问题2考查根据案例分析信息系统安全问题

问题3考查Web应用漏洞类型及修复方法

问题4考查安全物理环境规划要点

这道题综合考察了信息系统安全管理体系中的多个方面,同时通过典型案例测试分析能力,全面检查信息系统安全管理的知识掌握程度。

2203、详细知识点整理

2203-01、信息系统人员管理/延伸: 和21年试题三第一问相近，都是等保基本要求，所以等保2.0的规章制度要去读

安全人员管理是信息系统安全管理的重要组成部分，新员工入职时应与其签署安全责任书明确安全责任，与关键岗位人员应签署岗位责任书明确岗位职责和责任;人员离职时，应终止离岗人员的所有访问权限，办理离职手续,并承诺离职后保密的义务。

延伸阅读:

1、《GBT22239-2019信息安全技术网络安全等级保护基本要求》

该文件中规定了各级信息系统应设置网络安全和信息化建设领导小组,并明确各管理岗位的职责。

2203-02、根据案例分析信息系统安全问题/延伸：可以理解为找茬题[定期巡检、安全软件等]

问题

1.没有定期查杀病毒，木马

2.没有相应的安全防护软件

解决方案

1.定期查杀病毒和木马程序

2.安装防护软件或者防火墙

3.定期进行系统漏洞扫描,加固系统

4.部署网页防篡改安全工具

2203-03、识别Web应用漏洞类型/延伸：可以理解为找茬题[定期巡检、安全软件等]

问题

跨站脚本攻击(XSS)或者网站首页被篡改,加入了弹窗代码

解决方案

• 删除首页中的弹窗脚本命令
• 禁止使用iframe
• 对于网页中有上传功能的代码严格审查，避免上传恶意代码
• 规范安全配置
• 部署WAF

2203-04、数据中心安全物理环境规划/

• 物理位置的选择
• 物理访问控制
• 防止意外断电，部署UPS、多路市电等
• 防雷
• 防盗、防破坏
• 防火
• 防水
• 防静电
• 电磁防护