【问题2】（6分）
信息安全管理一般从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面进行安全管理规划和建设。 其中应急预案制定和演练、安全事件处理属于（ 7 ）方面； 人员录用、安全教育和培训属于（ 8 ） 方面； 制定信息安全方针与策略和日常操作规程属于（ 9 ）方面； 设立信息安全工作领导小组，明确安全管理职能部门的职责和分工属于（ 10 ）方 面。
【问题3】（4分）
随着DDoS （Distributed Denial of Service，分布式拒绝服务）攻击的技术门槛越来越低，使其成为网络安全中最常见、最难防御的攻击之一，其主要目的是让攻击目标无法提供正常服务。请列举常用的DDoS攻击防范方法。
【问题4】（6分）

图2-1所示的RAID方式是（1） ，该RAID最多允许坏（2）块磁盘而数据不丢失，通过增加（3）盘可以减小磁盘故障对数据安全的影响。
【问题2】（5分）
1. 图2-1 所示，RAID 的条带深度是（4）KB，大小是（5）KB。
2.简述该RAID方式的条带深度大小对性能的影响。
【问题3】（7分）
图2-1所示的RAID方式最多可以并发（6）个 IO写操作，通过（7）措施可以提高最大并发数，其原因是（8）。
【问题4】（7分）
某天，管理员发现该服务器的磁盘0故障报警，管理员立即采取相应措施进行处理。
1.管理员应采取什么措施？

该网络对汇聚层交换机进行了堆叠，在此基础上进行链路聚合并配置接口，补充下列命令片段。
[SW3] interface（1）
[SW3-Eth-Trunk30] quit
[SW3] interface gigabitethernet 1/0/1
[SW3-GigabitEthernet1/0/1] eth-trunk 30
[SW3-GigabitEthemet1/0/1] quit
[SW3] interface gigabitethernet 2/0/1
[SW3-GigabitEthernet2/0/1] eth-trunk 30
[SW3-GigabitEthernet2/0/1] quit
[SW3] vlan batch（2）
[SW3] interface eth-trunk 30
[SW3-Eth-Trunk30] port link-type（3）
[SW3-Eth-Trunk30] port trunk allow-pass vlan 30 40
[SW3-Eth-Trunk30] quit
[SW3] interface vlanif 30
[SW3-Vlanif30] ip address（4）
[SW3-Vlanif30] quit
【问题2】（8分）
该网络对核心层交换机进行了集群，在此基础上进行链路聚合并配置接口，补充下列命令片段。
[CSS] interface loopback 0
[CSS-LoopBack0] ip address 3.3.3.3 32
[CSS-LoopBack0] quit
[CSs] vlan batch 10 30 40 50
[CSS] interface eth-trunk 10
[CSS-Eth-Trunk10] port link-type access
[CSS- Eth-Trunk10] port default vlan 10
[CSS- Eth-Trunk10] quit
[CSS] interface eth-trunk 20
[CSS-Eth-Trunk20] port link-type（5）
[CSS- Eth-Trunk20] port default vlan 10
[CSS-Eth-Trunk20] quit
[CSS] interface eth-trunk 30
[CSS- Eth-Trunk30] port link-type（6）
[CSS-Eth-Trunk30] port trunk allow-pass vlan 30 40
[CSS-Eth-Trunk30] quit
[CSS] interface vlanif 10
[CSS-Vlanif10] ip address 172.16.10.3 24
[CSS-Vlanif10] quit
[CSS] interface vlanif 30
[CSS-Vlanif30] ip address 172.16.30.1 24
[CSS-Vlanif30] quit
[CSS] interface vlanif 40
[CSS-Vlanif40] ip address（7）
[CSS-Vlanif40] quit
[CSS] interface gigabitethernet 1/1/0/10
[CSS-GigabitEthernet1/1/0/10] port link-type access
[CSS-GigabitEthernet/1/0/10] port default vlan 50
[CSS-GigabitEthernetl/1/0/10] quit
[CSS] interface vlanif 50
[CSS-Vlanif50] ip address（8）
[CSS-Vlanif50] quit
【问题3】（3分）
配置FW1时，下列命 令片段的作用是（9）。
[FW1] iterface eth-trunk 10
[FW1-Eth-Trunk10] quit
[FW1] interface gigabitethernet 1/0/3
[FW1-GigabitEthernet1/0/3] eth- trunk 10
[FW1-GigabitEthernet1/0/3] quit
[FW1] interface gigabitethernet 1/0/4
[FW1-GigabitEthernet1/0/4] eth-trunk 10
[FW1-GigabitEthernet1/0/4] quit
【问题4】（6分）
在该网络以防火墙作为出口网关的部署方式，相比用路由器作为出口网关，防火墙旁挂的部署方式，最主要的区别在于（10）。

回答问题1至问题3。

【问题1】( 4分)
安全管理制度管理、规划和建设为信息安全管理的重要组成部分。一般从安全策略、安全预案、安全检查、安全改进等方面加强安全管理制度建设和规划。其中， (1)应定义安全管理机构、等级划分、汇报处置、处置操作、安全演练等内容;(2)应该以信 息安全的总体目标、管理意图为基础,是指导管理人员行为,保护信息网络安全的指南。

【问题2】( 11分)
某天,网络安全管理员发现web服务器访问缓慢,无法正常响应用户请求,通过检查发现,该服务器CPU和内存资源使用率很高、网络带宽占用率很高,进一步查询日志,发现该服务器与外部未知地址有大量的UDP连接和TCP半连接,据此初步判断该服务器受到 (3)和(4)类型的分布式拒绝服务攻击( DDos)，可以部署(5)设备进行防护。这两种类型的DDos攻击的原理是(6)、(7)。

(3)~ (4)备选答案(每个选项仅限选一次) :

A Ping洪流攻击     B SYN泛洪攻击

C Teardrop攻击    D UDP泛洪攻击

(5)备选答案:

A 抗DDoS防火墙    B Web防火墙

C 入侵检测系统      D 漏洞扫描系统

【问题3】( 10分)
网络管理员使用检测软件对Web服务器进行安全测试,图3-1为测试结果的片段信息,从测试结果可知,该Web系统使用的数据库软件为(8)Web服务器软件为(9)该Web系统存在(10)漏洞，针对该漏洞应采取(11) 、(12)等整改措施进行防范。

阅读下列说明，回答问题1至问题4 。

【说明】
图2-1为某政府部门新建大楼，网络设计拓扑图，根据业务需求，共有三条链路接入，分别连接电子政务外网、互联网、电子政务内网（涉密网），其中机要系统通过电子政务内网访问上级部门机要系统，并由加密机进行数据加密。3条接入链路共用大楼局域网， 通过VLAN逻辑隔离。大楼内部署有政府服务系统集群，对外提供政务服务，建设有四个视频会议室，部署视频会议系统，与上级单位和下级各部门召开业务视频会议及项目评审会议等，要求录播存储，录播系统将视频存储以NFS格式挂载为网络磁盘，存储视频文件。

【问题1】（ 9分）
（1）图2-1所示设计的网络结构为大二层结构，简述该网络结构各层的主要功能和作用，并简要说明该网络结构的优缺点。
（2）图2-1所示网络设计中，如何实现互联网终端仅能访问互联网、电子政务外网终端仅能访问政务外网，机要系统仅能访问电子政务内网？
（3）机要系统和电子政务内网设计是否违规？请说明原因。

【问题2】（ 6分）
（4）视频会议1080p格式传输视频，码流为8Mbps ，请计算每个视频会议室每小时会占用多少存储空间（单位要用MB或者GB） ，并说明原因。
（5）每个视频会议室每年使用约100天（每天按8小时计算） ，视频文件至少保存2年。图2-1中设计的录播系统将视频存储挂载为网络磁盘，存储视频文件，该存储系统规划配置4TB （实际容量按3.63TB计算）磁盘， RAID6方式冗余， 设置全局热备盘1块。请计算该存储系统至少需要配置多少块磁盘并说明原因。

【问题3】 （ 6分）
（6）各视频会议室的视频终端和MCU是否需要一对一做NAT ，映射公网IP地址?请说明原因。
（7）召开视频会议使用的协议是什么?需要在防火墙开放的TCP端口是什么?
【问题4】 （ 4分）
图2-1所示的虚拟化平台连接的存储系统连接方式是（8）视频存储的连接方式是（9）。

阅读以下说明，回答问题1至问题4 。

【说明】
某物流公司采用云管理平台构建物流网络，如图1-1所示（以1个配送站为例） ，数据规划如表1-1所示。

项目特点：
1.单个配送站人员少于20人，仅一台云防火墙就能满足需求；
2.总部与配送站建立IPSec ，配送站通过IPSec接入总部，内部用户需要认证后才有访问网络的权限；
3.配送站的云防火墙采用IPSec智能选路与总部两台防火墙连接， IPSec智能选路探测隧道质量，当质量不满足时切换另外一条链路；
4.配送站用户以无线接入为主。
（备注： Agile Controller-Campus是新一代园区与分支网络控制器，支持网络部署自动化、策略自动化，SD-WAN等，让网络服务更加便捷。 ）

图1-1

【问题1】  配置传统防火墙FW_A配置命令的注释。

（1 ）~（ 10）备选答案：
A.配置IKE Peer
B.引用安全策略模板并应用到接口
C.配置访问控制列表
D.配置序号为10的IKE安全提议
E.配置接口加入安全域
F.允许封装前和解封后的报文能通过FW_ A
G.配置接口IP地址
H.配置名称为tran1的IPSec安全提议
I.配置名称为map_ temp、序号为1的IPSec安全策略模板
J.允许IKE协商报文能正常通过FW_A
【问题2】（4分）

物流公司进行用户（配送站）侧验收时，在配送站FW _C. 上查看IPSec智能选路情况如下图所示，则配送站智能接入的设备是 （11） ，该选路策略在 （12）设备上配置。

【问题3】（5分）
物流公司组建该网络相比传统网络体现出哪些优势?

【问题4】（6分）
简要说明该云管理网络构建及运营与MSP（Mananaged Sservices Provider）的区别?

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。
【说明】
案例一
据新闻报道，某单位的网络维护员张某将网线私自连接到单位内部专网，通过专网远程登录到该单位的某银行储蓄所营业员电脑，破解默认密码后以营业员身份登录系统，盜取该银行83.5万元。该储蓄所使用与互联网物理隔离的专用网络，且通过防火墙设置层层防护，但最终还是被张某非法入侵，并造成财产损失。
案例二
据国内某网络安全厂商通报，我国的航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位受到多次不同程度的APT攻击，攻击来源均为国外几个著名的APT组织。比如某境外APT组织搭建钓鱼攻击平台，冒充“系统管理员"向某科研单位多名人员发送钓鱼邮件，邮件附件中包含伪造Office. PDF图标的PE文件或者含有恶意宏的Word文件，该单位小李打开钓鱼邮件附件后，其工作电脑被植入恶意程序，获取到小李个人邮箱账号和登录密码，导致其电子邮箱被秘密控制。之后，该APT组织定期远程登录小李的电子邮箱收取文件，并利用该邮箱向小李的同事、下级单位人员发送数百封木马钓鱼邮件，导致十余人下载点击了木马程序，相关人员计算机被控制，造成敏感信息被窃取。

【问题1】 （4分）
安全运维管理为信息系统安全的重要组成部分，一般从环境管理、资产管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码管理、备份与恢复管理、安全事件处置、外包运维管理等方面进行规范管理。其中：
1.规范机房出入管理，定期对配电、消防、空调等设施维护管理应属于（1）范围：
2.分析和鉴定安全事件发生的原因，收集证据，记录处理过程，总结经验教训应属于（2）范围：
3.制定重要设备和系统的配置和操作手册，按照不同的角色进行安全运维管理应属于（3）范围：
4.定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题应属于（4）管理范围。
【问题2】 （8分）
请分析案例一中网络系统存在的安全隐患和问题。
【问题3】 （8分）
请分析案例二，回答下列问题：
1.请简要说明APT攻击的特点。
2.请简要说明APT攻击的步骤。
【问题4】 （5分）
结合上述案例，请简要说明从管理层面应如何加强网络安全防范。

阅读以下说明， 回答问题1至问题4，将解答填入答题纸对应的解答栏内。
【说明】
某企业数据中心拓扑如图2-1所示，均采用互联网双线接入，实现冗余和负载。两台核心交换机通过虚拟化配置实现关键链路冗余和负载均衡，各服务器通过SAN存储网络与存储系统连接。关键数据通过虚拟专用网络加密传输，定期备份到异地灾备中心，实现数据冗余。

【问题1】 （8分）
在①处部署 （1） 设备， 实现链路和业务负载，提高线路和业务的可用性。
在②处配置 （2） 实现 SwichA与两台核心交换机之间的链路冗余。
在③处部署 （3） 设备， 连接服务器HBA卡和各存储系统，在该设备上配置 （4）将连接在SAN网络中的设备划分为不同区域，隔离不同的主机和设备。
【问题2】 （8分）
为保障关键数据安全，利用虚拟专用网络，在本地数据中心与异地灾备中心之间建立隧道，使用IPSec协议实现备份数据的加密传输，IPSec使用默认端口。
根据上述需求回答以下问题：
1.应在④处部署什么设备实现上述功能需求？
2.在两端防火墙上需开放UDP4500和什么端口？
3.在有限带宽下如何提高异地备份时的备份效率？
4.请简要说明增量备份和差异备份的区别。
【问题3】 （6分）
分布式存储解决方案在实践中得到广泛应用。请从成本、扩容、IOPS、冗余方式、稳定性五个方面对传统集中式存储和分布式存储进行比较，并说明原因。
【问题4】 （3分）
数据中心设计是网络规划设计的重要组成部分，请简述数据中心选址应符合的条件和要求。（至少回答3点）

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。
【说明】
某居民小区FTTB+HGW网络拓扑如图1-1所示。GPON OLT部署在汇聚机房，通过聚合方式接入到城城网： ONU部署在居民楼楼道交接箱里，通过用户家中部署的LAN.上行的HGW来提供业务接入接口。
HGW通过ETH接口上行至ONU设备，下行通过 FE/WiFi接口为用户提供Internet业务，通过FE接口为用户提供IPTV业务。
HGW提供PPPoE拨号、NAT等功能，可以实现家庭内部多台PC共享上网。

【问题1】 （8分）
1.对网络进行QoS规划时，划分了语音业务、管理业务、IPTV业务、上网业务， 其中优先级最高的是（1）， 优先级最低是（2）。
2.通常情况下，一路语音业务所需的带宽应达到或接近（3）kb/s，一路高清IPTV所需的带宽应达到或接近（4）Mb/s。
（3）、（4） 的备选答案：
A.100
B.10
C.1000
D.50
3.简述上网业务数据规划的原则。
【问题2】 （10分）
小区用户上网业务需要配置的内容包括OLT、ONU、家庭网关HGW，其中：
1.在家庭网关HGW上配置的有 （5）和 （6）。
2.在ONU上配置的有（7）.（8）、（9）和（10）。
3.在OLT上配置的有 （11） 、 （12） . （13） 和 （14） 。
（5） - （14）的备选答案：
A.配置语音业务
B.配置上网业务
C.配置IPTV业务
D.配置聚合、拥塞控制及安全策略
E.增加ONU
F.配置OLT和ONU之间的业务通道
G.配置OLT和ONU之间的管理通道
【问题3】 （3分）
某OLT.上的配置命令如下所示。

简要说明步骤1~3命令片段实现的功能。
步骤1：（15）。
步骤2：（16）
步骤3：（17）
【问题4】 （4分）
在该网络中，用户的语音业务（电话）的上联设备是ONU，采用H.248语音协议，通过运营的 （18） 接口和语音业务通道接入网络侧的 （19）