㈠ 你怎么排查网络的安全隐患
这个问题国际上有很多研究,都是基于安全模型来说的。
目前国内常用的方法是IATF纵深防御和PDR动态环模型。
简单的说,IATF就是从OSI的各层来检查安全隐患,物理层要做到防窃听,屏蔽,抗干扰之类。数据链路层有ARP的威胁,网络层就更多:拒绝服务、端口等很多问题。目前的威胁趋势主要集中在应用层,包括系统、各应用软件、漏洞等之类。这个模型还加入了对人的管理。基本上比较全面。详细的你可以找IATF的资料来看,另外还可以找一下安全威胁分类图,那里面会对各种威胁(也就是你说的安全隐患的正式技术术语)作比较清楚的剖析。
PDR模型是加入了时间的概念,防护时间大于检测时间+响应时间。延伸出来还有P2DR模型等很多种。这个是原则公式,满足这个公式即是安全的。细说的话要写几万字出来。
看你的情况应该属于新手,学习一下纵深模型就会有全局的视图,更能了解安全的含义。不过,我怀疑面试的人未必知道这些,呵呵。当你对这些都深入了解后,就不是他面试你了:)
公务员面试中计划组织协调题,它考察考生的贯彻执行能力,下面是公务员面试宣传类题目的作答原则与作答思路,考生可适当的参考。
确定题型,明确思路。一般情况下,题目中含有“宣传”、“宣传活动”、“组织一项关于XX的宣传活动”等相关字眼,考生可确定本题以考察宣传能力为主,“明确目的意义→阐述活动过程→总结活动成果”是基本思路,宣传类题目自然也不例外,答题大方向不变。
仔细审题,对“小猫腻”见招拆招。宣传类型题越来越灵活了,主要有以下两种情况:
(1)宣传对象单一,难度系数低:考生需要具备过滤提炼的能力,选取最为合适的宣传方式,保障题目宣传效果。
(2)宣传对象两个或多个,难度系数高:例如,你是市环保局的负责人,现要针对你市河流污染情况举行“保护湖泊宣传周”活动,请问你该怎么组织?
题目中,宣传对象看似是针对你市群众,但宣传对象过分广泛无法保障宣传效果,比较好的方法就是细化宣传对象,城市河流污染主要有两个源头即工业污染和生活垃圾污染,由此可见,宣传对象可以确定为污染企业和市民。
不落俗套,做好善后工作。考生可进行一下思考:工作做完了,宣传效果如何?如何确定宣传效果?好的经验该怎么办?教训该怎么办?向领导汇报的时候会说些什么?答题内容不要那么僵硬、形式化。
㈢ 关于网络安全方面的岗位面试题!哪位大大能提供答案啊
1是冯诺依曼理论的要点是:数字计算机的数制采用二进制;计算机应该按照程序顺序执行。人们把冯诺依曼的这个理论称为冯诺依曼体系结构。从ENIAC到当前最先进的计算机都采用的是冯诺依曼体系结构。所以冯诺依曼是当之无愧的数字计算机之父。
2否 没什么好说的给你个地址自己看http://doit.lme.net/read-htmldata-tid-155-page-e.html
3否
4是
5否设计模式是一套被反复使用、多数人知晓的、经过分类编目的、代码设计经验的总结。使用设计模式是为了可重用代码、让代码更容易被他人理解、保证代码可靠性。
㈣ 急!网络
企业网络工程解决方案
本方案是一个典型的大型企业网络工程解决方案,实际工程可以根据需要和可能,参照此方案灵活应用。
一、企业网络设计
(1)主干网设计
采用千兆以太网技术。千兆以太网技术特点是具有高速数据传输带宽,基本能满足高速交换及多媒体对服务质量的要求。易于网络升级、易于维护、易于管理,具有良好的价格比。
传输介质。千兆传输距离500m以内采用50/125多模光缆;千兆传输距离大于500m、小于5000m时采用9/125单模光缆;百兆传输距离2000m以内采用50/125多模光缆;百兆传输距离大于2000m采用9/125单模光缆。
交换机。主干交换机的基本要求:机箱式结构,便于扩展;支持多种网络方式,如快速以太网、千兆以太网等;高性能,高背板带宽及中心交换吞吐量;支持第二、第三交换,支持各种IP应用;高可靠性设计,如多电源/管理模块、热插拔;丰富的可管理能力等。
中心机房配置企业级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网,在中心交换机上配置第三层交换模块和网络监控模块。主干各结点采用1000Mbps连接,服务器采用双网卡链路聚合200Mbps连接,客户采用交换式10/1000Mbps连接。
(2)楼宇内局域网设计
要求采用支持802.1Q的10/100Mbps工作组以太网交换机,交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机,使10/100Mbps流量接至桌面。
(3)接入Internet设计
Internet接入系统由位于网络中心的非军事区(DMZ)交换机、WWW服务、E-mail服务、防火墙、路由器、Internet光纤接入组成。
(4)虚拟局域网VLAN设计
通过VLAN将相同业务的用户划分在一个逻辑子网内,既可以防止不同业务的用户非法监听保密信息、又可隔离广播风暴。不同子网的通信采用三层路由交换完成。
各工作组交换机采用基于端口的VLAN划分策略,划分出多个不同的VLAN组,分隔广播域。每个VLAN是一个子网,由子网中信息点的数量确定子网的大小。
同样在千兆/百兆以太网上联端口上设置802.1Q协议,设置通信干道(Truck),将每个VLAN的数据流量添加标记,转发到主干交换机上实现网络多层交换。
(5)虚拟专用网VPN设计
如果公司跨地区经营,自己铺设专线不划算,可以通过Internet采用VPN数据加密技术,构成企业内部虚拟专用网。
(6)网络拓扑结构。这部分待续
二、网络安全性设计
网络系统的可靠与安全问题:
a. 物理信息安全,主要防止物理通路的损坏和对物理通路的攻击(干扰等)。
b. 链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN、加密通信等手段。
c. 网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。
d. 操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。
e. 应用平台的安全要求保证应用软件服务,如数据库服务、电子邮件服务器、Web服务器、ERP服务器的安全。
(1)物理安全
机房要上锁,出入人员要严加限制。注意不可让人从天花板、窗户进入房间。
机房电力要充足、制冷要合适,环境要清洁。
从工作站到配线柜的配线应该布在偷听设备接触不到的地方。配线不应该直接布在地板或天花板上,而应该隐藏在线槽或其他管道里。
应该包括诸如火灾、水灾等自然灾害后的恢复流程。如美国911世贸中心崩塌,大多数公司的数据得不到恢复。
(2)防火墙
防火墙应具管理简单、功能先进等特点,并且能够保证对所有系统实施“防弹”保护。 一个优秀的防火墙具有内网保护、灵活的部署、非军事区(DMZ)范围的保护、TCP状态提醒、包过滤技术、TCP/IP堆栈保护、网络地址翻译、VPN等功能。
(3)网络病毒
在网络中心主机安装一台网络病毒控制中心服务器,该服务器既要与Internet相连,又要与企业内网相连。该服务器通过Internet每每更病毒代码及相关文件,企业内部网络中的服务器、客户时刻处于网络病毒控制中心服务的监控下,更新本机的病毒代码库及相文件,对计算机的所有文件和内存实施动态、实时、定时等多种病毒防杀策略,以确保网络系统安全。
(4)网络容错
集群技术。一个服务器集群包含多台拥有共享数据存储空间的服务器,各服务器之间通过内部局域网进行相互通信。当其中一台服务器发生故障时,它所运行的应用程序将由其他的服务器自动接管。在大多数情况下,集群中所有的计算机都拥有一个共同的名称,集群系统内任意一台服务器都可被所有的网络用户所使用。
(5)安全备份与灾难恢复
企业信息管理最重要的资产不是网络硬件,而是网络运行的数据。
理想的备份系统是在软件备份的基础上增加硬件容错系统,使网络更加安全可靠。实际上,备份不仅仅是文件备份,而是整个网络的一套备份体系。备份应包括文件备份和恢复,数据库备份和恢复、系统灾难恢复和备份任务管理。
(6)网络入侵检测、报警、审计技术
入侵检测系统(IDS-Intrusin Detection System)执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。
常见的IDS产品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、启明星辰公司的天阗、上海金诺的网安、东软的网眼等。
(7)局域网信息的安全保护技术
密码采用9位以上,每周修改1次
采用多层交换网络的虚拟网划分技术,防止在内部网监听数据
采用NTFS磁盘分区加密技术,使网上邻居只能是信任用户
采用Windows域控制技术,对网络资源实行统一管理
采用SAN(Storage Area Network存储区域网络)与NAS(Network Attached Storage网络连接存储)保护数据。
SAN技术允许将独立的存储设备连接至一台或多台服务器,专用于服务器,而服务器则控制了网络其他部分对它的访问。
NAS将存储设备直接连接至网络,使网络中的用户和网络服务器可以共享此设备,网络对存储设备的访问则由文件管理器这一类设备进行管理。
利用SAN结合集群技术提高系统可靠性、可扩充性和抗灾难性;利用NAS文件服务统一存放管理全公司桌面系统数据。
(8)网络代理
采用Proxy对访问Internet实行统一监控。限制用户访问的时间、访问的内容、访问的网址、访问的协议等等,同时对用户的访问进行审计。
(9)邮件过滤技术。
采用具有过滤技术邮件管理系统,一般是针对“主题词”、“关键字”、“地址(IP、域名)”等信息过滤,防止非法信息的侵入。
(10)重视网络安全的教育,提高安全意识。
三、综合布线与机房设计
1. 把服务器、UPS、防火墙、路由器及中心交换机放置在中心机房,把各子系统的配线柜设置在各子系统所在的楼层。
2. 楼宇间光缆敷设
采用4芯以上的单模或多模室外金属光缆架空或埋地敷设。
3. 楼宇内UTP布线
采用AMP超五类UTP电缆、AMP超五类模块、AMP信息面板、配线架、AMP超五类UTP跳线实现垂直系统、水平子系统、工作区的布线。
4. 机房装修
(1)地板。铺设抗静电三防地板,规格600*600*27,板面标高0.20m,地板应符合GB6650-82《计算机机房用活动地板技术条件》
(2)吊顶。轻钢龙骨铝合金架顶棚、顶部矿棉吸声板饰面。
(3)墙面。涂刮防防瓷、墙壁面刷乳胶漆。
(4)窗户。加装塑钢推拉窗、木制窗帘盒、亚麻竖百叶窗帘。
(5)出入门。安装铝合金玻璃隔断推拉门。
(6)照明。采用高效格栅双管日光灯嵌入安装。
(7)配电。机房配电采用三相五线制,多种电源(动力三相380V、普通220V和UPS输出220V)配电箱。为UPS、空调机、照明等供电。配电箱设有空气开关,线路全部用铜芯穿PVC管。
(8)接地。根据要求设计接地系统,其直流接地电阻小于1Ω、工作保护地和防雷地接地电阻小于4Ω。为保证优良的接地性能,采用JD—1型接地和化学降阻剂,此外,考虑机房抗静电的需求,对抗静电活动地板进行可靠的接地处理,以保证设备和工作人员的安全要求。
(9)空调。主机房3P柜机;分机房1.5壁挂式空调机。
5. UPS后备电源。
采用分散保护,集中管理电源的策略,考虑APC公司提供的电源解决方案。
四、企业网应用系统
1. 应用服务器。IBM服务器首选,当然,也可以采用高档PC机,PC机的优点是便于更新换代。
2. 软件平台。采用Windows 2003(主要使用Domain域控制器,集成DNS服务),Redhat 9.0,Solaris 9.0(在unix/linux上运行Oracle数据库,SAP/R3系统,基于Lotus Domino/Notes的OA系统)
3. 数据库系统。采用Oracle大型数据库,或SQL Server2000数据库。
4. OA办公系统。基于Lotus Domino/Notes的OA系统,Lotus Domino集成Email/HTTP等服务。
5. 企业管理综合软件ERP。采用SAP/R3系统,一步解决未来企业国际化问题;或是用友ERP—U8系统。
6. 网络存储系统。
五、网络系统管理
1.交换机、路由器管理。设备均是Cisco产品,使用Cisco Works 2000。
2.网络综合管理。HP OpenView集成网络管理和系统管理。OpenView 实现了网络运作从被动无序到主动控制的过渡,使IT部门及时了解整个网络当前的真实状况,实现主动控制。OpenView系统产品包括了统一管理平台、全面的服务和资产管理、网络安全、服务质量保障、故障自动监测和处理、设备搜索、网络存储、智能代理、Internet环境的开放式服务等丰富的功能特性。
3.桌面系统管理。
这是一个网上我搜索到的
!
有没有经验啦~~
自己能不能独立完成啦~~~
做过项目吗~~~~
网络设备啦~~~~
网络产品啦~~~
不知道是不是随便说说`~~~~~~~~~~
这是某人10月初的一个面试题目,售后职位:高级网络工程师。面试官是三位CCIE,面试过程历时2个多小时,印象非常深刻。现在这个offer基本已经确定了,事主还在考虑诸如待遇及工作压力等情况再决定是否接这个offer.事主亦在其blog上张贴了面试题目,我故亦斗胆将其贴出。
1. 现在的6509及7609,SUP720交换带宽去到720G,是不是可以说7609/6509可以取代一部分GSR的地位?
2. isis level1 的路由表包括哪此路由?有多个level-1-2出口时,其它路由它从哪里学到,如何选路?
3. MPLS L3 VPN,如果我想让两个不同的VPN作单向互访,怎做?
4. 跨域的MPLS L3 VPN可以谈谈思路吗?
5. MPLS L3 VPN的一个用户,他有上internet的需求,如何实现?有几种实现方法?特点各是什么?
6. MPLS L3 VPN,如果我想让两个不同的VPN作单向互访,怎做?
7. L3 VPN与L2 VPN各自的特点是怎样?你觉得哪一种模式运营起来比较有前景?
8. ISIS与OSPF的区别谈一谈吧,各个方面。
9. 一个骨干网或城域网选ISIS及OSPF基于什么理由?
10. BGP选路原则常用是哪些?在骨干网与城域网间如何搭配一块使用?
11. 如果BGP加上max path,会在哪个BGP选路属性之前应用这个选项?
12. 为什么骨干网pop及城域网出口要作next-hop-self?
13. 两个AS之间,有四台路由器口字型互联,其中一台路由器上从EBGP学到一个网络,又从IBGP学到同一个网络,选路哪个?是哪个属性影响?如果我在IBGP过来那个加上MED小于从EBGP过来的,又选哪个?为什么?
14. local-pre与weight的区别是什么?
15. BGP能不能实现负载均衡?如果可以,有哪些方法?
16. 多个AS之间,可不可以比较MED?如可以,需要前提条件吗?如有,前提条件是什么?
17. MED能不能和AS内的IGP度量值结合起来?如可以,如何做?
18. 割接限定回退的时间还有十分钟,割接还未成功,局方已经催你回退了,但你觉得这些问题你再努力5分钟可能会解决,你的选择是什么?
19. 骨干网的QoS,如何部署?你认为什么骨干网什么情况下是有拥塞发生了?
20. 对于工程及维护来说,你觉得l3网络和l2网络哪个比较好?
21. L3网络与L2网络对环路的处理各是什么样的机制?
22. 一般情况下,L2交换机的生成树有多少数量?
23. 3550的生成树模式是什么?生成树数量是怎样的?
24. 跟据你的经验,GE的端口,当流量达到多少时,你可以认为是有拥塞发生了?2.5G POS口,当流量达到多少时,你可以认为有拥塞?
此外,中间问了对项目实施上的一些事件的处理方式,问了有没有一些失败的经历及体验,还有问及工作中碰过最棘手的事件是什么及如何处理等等。当然还有一些互相调戏平和气氛的对话。
㈤ 你对网络工程师这个岗位,你有什么认识 面试题
一、网络工程师的职业优势1、最具增值潜力的职业,掌握企业核心网络架构、安全技术,具有不可替代的竞争优势2、新型网络人才缺口大,27%的行业增长速度导致网络人才年缺口达30万,高薪高福利成为必然3、可实现专业零基础入行,4-10个月的强化训练和职业化引导,就可成为企业急需的技能型网络人才4、就业面广,一专多能,实践经验适用于各个领域5、增 值潜力大,职业价值随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨6、职业发展前景广阔,网络工程师到项目经理仅一步之遥,从容晋升Manager二、网络工程师解读何谓网络工程师,网络工程师是通过学习和训练,掌握网络技术的理论知识和操作技能的网络技术人员。网络工程师能够从事计算机信息系统的设计、建设、运行和维护工作。具体来说,我们可以从企业信息化的岗位体系中作一些了解。企业(或政府)信息化过程中需要以下四种人:1、企业信息化主管:负责信息化建设中的目标与方案决策,信息化建设中的方向研究;2、工程技术人员:负责信息化系统的设计、建设,包括设备、系统、数据库、应用系统的建设;3、运行维护人员:负责信息化系统的运行、维护、管理以及基本的开发;4、操作应用人员:主要应用信息化系统进行本职工作。一般来说,IT企业的IT技术职位根据职能可以分为管理岗位:企业信息主管CIO、总监、IT经理、项目经理等;工程技术岗位:规划设计师、网络工程师、系统工程师、软件工程师和数据库工程师等;运行维护岗位:数据库管理员、系统管理员、网络管理员、服务器管理员等;操作岗位:办公文员、CAD设计员、网页制作员、多媒体制作员等。根据企业规模大小,规模较小的企业,一个岗位可能涵盖几个岗位的内容,系统管理员既要负责系统管理,又要承担网络管理;大企业则会分的比较专业,有网络设计师、系统集成工程师、网络安装工程师、综合布线工程师和系统测试工程师等。网络工程师职业规划过程主要有以下几步:两年以上的小型企业→四年左右的中型企业→大型企业或跨国集团公司第一步,小企业的网络管理员(系统管理员);第二步,进入大中型企业,同样的网络管理工作,工资就可能完全不同了,一般都在3000元以上。做了部门经理时,还可以高达5000元或以上;第三步,学习更全面的知识成为普通的网络工程师工资就高达3500元以上;第四步,学习更全面的知识成为专业的网络工程师,如网络存储工程师、网络安全工程师的工资就可以达8000元以上,做大型企业或专业网络公司IT经理的工资就更高了,基本在万元以上。下面从三个方面来详细说明网络工程师职业发展:(一)、管理员■职称:初级工作在中小企业,涵盖网络基础设施管理、网络操作系统管理、网络应用系统管理、网络用户管理、网络安全保密管理、信息存储备份管理和网络机房管理等几大方向。这些管理涉及到多个领域,每个领域的管理又有各自特定的任务。■主要岗位:网络管理员(系统管理员)■工作职责描述:1、网络本身的管理;2、网络中操作/应用系统的管理(在大型企业、外资、合资企业中通常称之为“MIS(Manger Information System,信息系统管理员)。两者的区别主要是:网络管理员重在OSI下3层,系统管理员则主要在系统维护和公司信息系统管理上。■就业前景:是一个专业网络人员必经的初始阶段■待遇:1800元——3000元(视专业的掌握程度以及技术的熟练度而定)(二)、工程师■职称:中级工作在网络公司或者大中型企业。在网络公司中主要任务是设计并建设;在大中型企业中的主要任务是运营和维护。网络工程师其实是一个包括许多种工种的职业,不同的网络工程师工种对从业的人员的要求也不一样,对从业人员的网络管理水平的要求差别很大。专业网络工程师主要有:网络系统设计师、网络工程师、系统工程师、网络安全工程师、数据存储工程师等。1、普通网络工程师■工作职责描述:(1)、高级网络管理员,在大企业中或是在网络公司工作(2)、维护公司网络设备,保证公司骨干网络正常工作(3)、对主流的网络设备非常了解■职位要求:·扎实而又全面的网络知识功底·多年专业网络管理经验·对产品性能和最新技术掌握很好■就业前景:国内网络公司的技术人员或专业的IDC中心、大的ISP服务商2、普通系统工程师■工作职责描述:(1)、高级网络管理员(2)、在大企业中或是在网络公司工作(3)、维护并保证系统工作正常(4)、对流行的OS非常了解(5)、对系统故障的解决有丰富的经验■职位要求:·扎实而又全面的网络知识功底·多年专业网络管理经验·对新OS系统和最新技术掌握很好■就业前景:·国内网络公司的技术人员·大公司的技术人员·外包公司3、网络系统设计师■工作职责描述:(1)、公司需要建设网络,主要根据要求进行设计,客户能满意(2)、设计项目达到全面、高的实用性和可用性(3)、网络系统设计师是一个综合性的工种(4)、网络和系统方面都有很好的经验■职位要求:·扎实而又全面的网络知识功底·多年专业网络管理、设计经验·对网络核心技术掌握很好■就业前景:国内真正的设计师凤毛麟角 工资过万4、网络存储工程师■工作职责描述:(1)、主要工作在一些大的数据需要量大的公司如银行、电视台、IDC中心(2)、有效管理公司海量数据,有存储设备测试、评估环境、系统咨询、实施指导、测试、培训、相关解决方案(3)、灾难恢复■职位要求:·有多年的网络管理经验·熟悉一些常用数据库软件·有网络存储理论知识,包括存储基础、技术及网络存储高级技术·熟悉主流存储、备份厂商的产品线;如IBM/HP/SUN·熟练掌握veritas、legato、tsm、dp等备份软件工具使用·具有良好的撰写需求分析、解决方案、PPT、系统软硬件配置等方案的能力■就业前景:国内每年所需的网络存储人才在60万以上,而目前国内每年最多仅能提供1万左右,缺口极大。随着网络经济的日益普及,此类人才在未来几年中的需求将持续攀升,专业的硬件服务器和网络存储人才的工资标准可能还要远高于软、硬件开发人员。5、网络安全工程师■工作职责描述:(1)、主要保护网络安全(2)、保护网站、邮件等服务器安全(3)、合理布置网络结构和网络产品(4)、对企业能进行安全评估和防护■工作要求:·有多年的网络管理经验·熟悉多种网络安全技术,对各种主流的安全产品(如防火墙、防病毒、入侵检测等)有较好的理论基础和实践经验,了解各种安全产品(例如FireWall、VPN、防病毒产品、IPS等)的特点、使用方法及常用的调试技巧;·精通Windows、Linux等系统环境,能进行维护管理和故障分析■就业前景:当前最急缺的人才,工资增长幅度大(三)、专家■职称:高级工作在大的网络公司、或研究所主要是技术主管、项目经理、技术专家1、技术专家■工作描述:(1)、某一行业的专家、顾问、权威;(2)、如果的确非常喜爱技术工作,而不擅长和喜欢与人沟通,则可以完全专注于自身的领域,以发展成为行业资深专家为方向和目标(3)、发展过程比较漫长,任何一个领域的顶尖技术人才都需要长期的行业经验的累积和个人孜孜不倦的投入;(4)、优势是越老越吃香,当别人随着年龄的逐步增长而开始担心饭碗问题时,你则渐入佳境,开始进入职业发展的黄金时期。■工作要求:·全面的网络技术·对新技术有深刻的认识,所以要求有极强的学习能力■就业前景:待遇很高,技术人员到30岁后的发展目标之一2、项目经理■工作内容:(1)、融合技术和管理的复合性人才 (2)、参与项目谈判(3)、项目目标和项目财务指标(4)、划分工作内容并合理分配(5)、指导网络工程师(6)、控制工作的进度,按计划完成项目(7)、组织项目会议■职位要求:·多年的网络工程师经验·希望做管理·需要自己学习项目管理知识■就业前景:技术人员到35岁后的发展目标之一待遇高,可晋升企业核心管理层3、技术主管■工作任务描述:(1)、带领技术团队创造更多的价值(2)、在信息方面参与公司的规划和计划■职位要求:技术全面;有管理能力■就业前景:是网络工程师30岁后的发展方向
㈥ 面试题,救命 4、 客户注册、黑客攻击安全了解多少
客户注册
http://www.sd.cnc.cn/CUST/Register/RegStep1.aspx
你看看了.
黑客攻击安全
本文通过电信IP网的特性,分析了黑客攻击对电信IP网的安全威胁,介绍了黑客攻击电信IP网的手段及防范措施,最后讨论了电信IP网如何建立防范黑客攻击的安全防范策略。
1、引言
电信网从原来电话交换为主的话音业务正全面向语音、数据、多媒体等综合业务的平台转变。IP技术成为下一代电信网络的关键技术,传统电信网由于其自身的封闭性,安全问题并不是很突出,但是以IP为基础协议的下一代网络已经开始必须面对以往只是在IP网上才会出现的网络安全问题。在威胁我国电信IP网的众多因素中,黑客攻击是其中最为重要的一种,在我国电信IP网中曾出现过遭黑客攻击的案例,如近日某企业员工通过参与某移动公司项目得到了系统的密码,继而侵入移动公司充值中心数据库,盗取充值卡密码,给移动公司带来了370余万元的损失。
近年来,黑客对电信网络的攻击给社会带来了极大的损害,随着黑客攻击技术的不断发展,网络和系统漏洞的不断出现,黑客群体的变化,社会对网络的依赖性提高,未来黑客攻击手段越来越隐蔽,破坏力将越来越大,攻击行为也将变得越来越复杂和难于防范。2006年世界电信日的主题是:让世界网络更安全。我国信息产业部也根据这个主题开展了一系列的主题活动,从而可以看出网络安全已经成为电信发展中的一个重要问题。本文就黑客攻击的手段和防范的策略给出简单的分析。
2、黑客攻击对电信IP网的安全威胁分析
在《中华人民共和国电信条例》中,对电信网络安全方面,针对现实中危害较大的计算机病毒、黑客等情况,做了禁止性的规定。其中在第五十八条规定了任何组织或者个人不得有四类危害电信网络安全和信息安全的行为,其中第三类中就是故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施。这个其他行为目前主要是指黑客攻击。黑客通过遍及全球的IP网侵入通信系统,截取通信安全方面的信息资料,他们篡改信息、替换网页、下载或盗取敏感信息、攻击主机和网络、发送邮件炸弹或使网络瘫痪。黑客攻击一旦得逞,小则瘫痪网络的某项服务,大则造成短时间内无法恢复的整个网络的瘫痪,造成巨大的损失。黑客之所以能够对电信IP网造成威胁,主要有以下几点原因:
(1)技术方面:IP协议设计中的错误和疏忽使得网络先天不足,为黑客攻击提供了条件。例如,IEEE802.11b 中出现的WEP漏洞,还有由于TCP/IP协议缺乏相应的安全机制,且IP网最初设计基本没有考虑安全问题等等都使得电信网络存在先天不足。随着软件系统规模的不断增大,各种系统软件、应用软件变得越来越复杂,电信设备厂商、集成商和运营商的软件中心在开发和实现过程中不可避免的会出现各种缺陷和漏洞,这使得黑客可以利用这些漏洞对电信IP网进行攻击。
(2)管理方面:缺乏完整统一的安全策略,缺乏完善的、切实可行的管理和技术规范,为黑客“钻空子”提供了便利。很多网络在建设初期,发展的方向都倾向于网络的便利性和实用性,忽略了至关重要的网络安全性,为以后的发展埋下了隐患。有些地方缺乏合理安全的网络设计规划和配置,防火墙的配置也不够严密,这些都为黑客攻击提供了方便。
(3)人力方面:缺少网络安全方面的专职人员,并且各运维人
㈦ 求网络安全专员的面试试题
1.网络安全策略的执行:
(1)针对网络架构与公司业务特点,实施网络安全方案,设置防火墙、帐号、口令等安全策略,并定期进行更新维护,确保公司网络的安全;
(2)管理服务器的安全加固,对服务器安全情况进行巡检
2.网络安全防护:
(1)根据安全策略,执行公司业务网络(如网站、BBS、游戏服务器、网络设备等)及内部网络的安全防护及安全集成,并预防和及时解决网络攻击、入侵等问题,维护公司业务的正常开展与信息的安全;
(2)执行公司信息安全规划、管理、检查和评估工作,及时发现问题并提出解决方案;
3.网络安全改进:
(1)定期检查和加固相关服务系统的安全性能,定期进行安全扫描,查找安全漏洞;
(2)定期对全网主机、网络设备进行安全评估,提出漏洞修复建议,协助系统管理员及时进行系统及应用软件的升级或修补;
(3)及时跟进最新安全动向,并提出安全防范及补救策略;
4.资料收集:
关注最新安全动向,收集网络安全技术资料,总结网络安全事故,根据公司网络安全状况,提出改进建议。
我建议你从上面的要点着手准备面试吧,另外你还可以在
http://www.lookgz.com/thread-25928-1-1.html
找到网络安全专员的面试题目!
㈧ 急求网络安全工程师面试的自我介绍
1、网络安全策略的执行:针对网络架构与公司业务特点,实施网络安全方案,设置防火墙、帐号、口令等安全策略,并定期进行更新维护,确保公司网络的安全; 2、网络安全防护:根据安全策略,执行公司业务网络(如网站、BBS、游戏服务器、网络设备等)及内部网络的安全防护及安全集成,并预防和及时解决网络攻击、入侵等问题,维护公司业务的正常开展与信息的安全; 3、网络安全改进:定期检查和加固相关服务系统的安全性能,定期进行安全扫描,查找安全漏洞,定期对全网主机、网络设备进行安全评估,提出漏洞修复建议,协助系统管理员及时进行系统及应用软件的升级或修补; 4、资料收集:关注最新安全动向,收集网络安全技术资料,总结网络安全事故,根据公司网络安全状况,提出改进建议。 你可以利用上面的这些关键要点来说明你的自我介绍,还有你找的网络安全工程师面试的自我介绍可以在 http://www.lookgz.com/thread-39461-1-1.html 这里找到!
采纳哦
㈨ 网络工程师面试问题!
IDS 和IPS
从题库里找到的答案,加油!
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
我们做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:
(1)尽可能靠近攻击源
(2)尽可能靠近受保护资源
这些位置通常是:
•服务器区域的交换机上
•Internet接入路由器之后的第一台交换机上
•重点保护网段的局域网交换机上
防火墙和IDS可以分开操作,IDS是个临控系统,可以自行选择合适的,或是符合需求的,比如发现规则或监控不完善,可以更改设置及规则,或是重新设置!
IPS:侵入保护(阻止)系统
【导读】:侵入保护(阻止)系统(IPS)是新一代的侵入检测系统(IDS),可弥补 IDS 存在于前摄及假阳性/阴性等性质方面的弱点。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
侵入保护(阻止)系统(IPS)是新一代的侵入检测系统(IDS),可弥补 IDS 存在于前摄及假阳性/阴性等性质方面的弱点。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
IPS 的关键技术成份包括所合并的全球和本地主机访问控制、IDS、全球和本地安全策略、风险管理软件和支持全球访问并用于管理 IPS 的控制台。如同 IDS 中一样,IPS 中也需要降低假阳性或假阴性,它通常使用更为先进的侵入检测技术,如试探式扫描、内容检查、状态和行为分析,同时还结合常规的侵入检测技术如基于签名的检测和异常检测。
同侵入检测系统(IDS)一样,IPS 系统分为基于主机和网络两种类型。
基于主机 IPS
基于主机的 IPS 依靠在被保护的系统中所直接安装的代理。它与操作系统内核和服务紧密地捆绑在一起,监视并截取对内核或 API 的系统调用,以便达到阻止并记录攻击的作用。它也可以监视数据流和特定应用的环境(如网页服务器的文件位置和注册条目),以便能够保护该应用程序使之能够避免那些还不存在签名的、普通的攻击。
基于网络的 IPS
基于网络的 IPS 综合了标准 IDS 的功能,IDS 是 IPS 与防火墙的混合体,并可被称为嵌入式 IDS 或网关 IDS(GIDS)。基于网络的 IPS 设备只能阻止通过该设备的恶意信息流。为了提高 IPS 设备的使用效率,必须采用强迫信息流通过该设备的方式。更为具体的来说,受保护的信息流必须代表着向联网计算机系统或从中发出的数据,且在其中:
指定的网络领域中,需要高度的安全和保护和/或
该网络领域中存在极可能发生的内部爆发
配置地址能够有效地将网络划分成最小的保护区域,并能够提供最大范围的有效覆盖率。
IDS和IPS争议有误区
【导读】:对于“IDS和IPS(IDP)谁更能满足用户需求”这个问题,给人一种二选一的感觉。经过了长时间的反复争论,以及来自产品开发和市场的反馈,冷静的业内人士和客户已经看到这根本不是一个二选一的问题。
对于“IDS和IPS(IDP)谁更能满足用户需求”这个问题,给人一种二选一的感觉。经过了长时间的反复争论,以及来自产品开发和市场的反馈,冷静的业内人士和客户已经看到这根本不是一个二选一的问题。
很显然,用户需要的不是单一的产品,也不是众多产品的简单堆砌。现在一个比较流行的说法就是“信息安全保障体系(系统)”,也就是用户的安全是要靠众多技术、产品、服务和管理等要素组合成一个完整的体系,来解决所面临的安全威胁,以保护信息资产和正常业务。
在安全保障框架中,不同的产品、服务、措施会在不同的地方发挥作用。比如,PKI和生物鉴别机制的优势在鉴别认证领域能够很好地发挥作用;入侵检测则在监测、监控和预警领域发挥优势;防火墙和IPS能在访问控制领域发挥长处;数据加密和内容过滤在内容安全领域独领风骚。讨论不同的安全技术领域哪个更加符合用户的需求,其实不如探讨让各种安全技术如何有效地协同工作。
IPS真的能够替代防火墙和IDS吗?提供IPS(IDP)的厂商常常声称,其IPS能够兼具防火墙的网关防御能力和入侵检测的深度检测,企图达到把IPS的作用上升到1+1>2的效果。但是很遗憾,实际上并不是这样。我们必须从技术本质上寻找解决办法。目前IPS能够解决的主要是准确的单包检测和高速传输的融合问题。
当然,检测和访问控制如何协同和融合,将会一直是业内研究的课题,也将会有更多更好的技术形态出现。不管叫什么名字,适合用户需求的就是最好的。
三个维度区分IDS与IPS
【导读】:3年前,当入侵防御技术(IPS)出现时,咨询机构Gartner曾经预言,IDS(入侵检测)即将死亡,将由IPS取代,当时曾引起媒体一片讨论。2006年,咨询机构IDC断言,IDS与IPS是两种不同的技术,无法互相取代。而今天,依然有很多用户不清楚两者之间的差别。
中国人民银行的张涨是IDS的骨灰级用户,对IDS玩得非常熟,但即使这样,他也仅仅是听说IPS而已,并没有真正使用和见过。他的担心是:IPS既然是网络威胁的阻断设备,误报、误阻影响网络的连通性怎么办?北京银行的魏武中也认为,如果在网络的入口处,串接了一串安全设备:IPS、防火墙/VPM以及杀病毒网关等,怎么保证网络的效率?是否会因增添一种新的设备而引起新的单点故障的风险?
事实上,这些疑问一直如影随形地伴随着IPS的诞生和发展。以至于,在很多用户的安全设备的采购清单中,一直在出现“IDS或IPS”的选择,这证明用户依然不了解这两种技术的差别。
启明星辰公司的产品管理中心总监万卿认为,现在是重新审视这两种技术的时候了。他认为,要从三个维度上认清这两种技术的不同。
从趋势看差别
2004年,Gartner的报告曾经预言IDS即将死亡,但无论从用户的需求还是从厂商的产品销售来看,IDS依然处于旺盛的需求阶段,比如,国内最大的IDS生产厂商启明星辰公司,今年上半年IDS的增长超过了50%,并且,公司最大的赢利来源依然是IDS,事实证明,IDS即将死亡的论断是错误的。
万卿认为,IDC的报告是准确的,IDS和IPS分属两种不同产品领域,前者是一种检测技术,而后者是一种阻断技术,只不过后者阻断攻击的依据是检测,因此要用到很多的检测技术,很多用户就此搞混了。
从理论上看,IDS和IPS是分属两个不同的层次,这与用户的风险防范模型有关,用户首先要查找到风险,才能预防和阻断风险。而IDS是查找和评估风险的设备,IPS是阻断风险的设备。防火墙只能做网络层的风险阻断,不能做到应用层的风险阻断。过去,人们曾经利用防火墙与IDS联动的方式实现应用层的风险阻断,但由于是联动,阻断时间上会出现滞后,往往攻击已经发生了才出现阻断,这种阻断已经失去了意义,IPS就此产生。
用一句话概括,IDS是帮助用户自我评估、自我认知的设备,而IPS或防火墙是改善控制环境的设备。IPS注重的是入侵风险的控制,而IDS注重的是入侵风险的管理。也许有一天,通过IDS,我们能确定到底在什么地方放IPS?到底在什么地方放防火墙?这些设备应该配备哪些策略?并可以通过IDS检测部署IPS/防火墙的效果如何。
IDS与IPS各自的应用价值与部署目标
【导读】:从2003年 Gartner公司副总裁Richard Stiennon发表的《入侵检测已寿终正寝,入侵防御将万古长青》报告引发的安全业界震动至今,关于入侵检测系统与入侵防御系统之间关系的讨论已经趋于平淡,2006年IDC年度安全市场报告更是明确指出入侵检测系统和入侵防御系统是两个独立的市场,给这个讨论画上了一个句号。可以说,目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢?笔者曾见过用户进行产品选择的时候在产品类型上写着“入侵检测系统或者入侵防御系统”。这说明用户还不能确定到底使用哪种产品,显然是因为对两类产品的区分不够清晰所致,其实从产品价值以及应用角度来分析就可以比较清晰的区分和选择两类产品。
从2003年 Gartner公司副总裁Richard Stiennon发表的《入侵检测已寿终正寝,入侵防御将万古长青》报告引发的安全业界震动至今,关于入侵检测系统与入侵防御系统之间关系的讨论已经趋于平淡,2006年IDC年度安全市场报告更是明确指出入侵检测系统和入侵防御系统是两个独立的市场,给这个讨论画上了一个句号。可以说,目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢?笔者曾见过用户进行产品选择的时候在产品类型上写着“入侵检测系统或者入侵防御系统”。这说明用户还不能确定到底使用哪种产品,显然是因为对两类产品的区分不够清晰所致,其实从产品价值以及应用角度来分析就可以比较清晰的区分和选择两类产品。
从产品价值角度讲:入侵检测系统注重的是网络安全状况的监管。用户进行网络安全建设之前,通常要考虑信息系统面临哪些威胁;这些威胁的来源以及进入信息系统的途径;信息系统对这些威胁的抵御能力如何等方面的信息。在信息系统安全建设中以及实施后也要不断的观察信息系统中的安全状况,了解网络威胁发展趋势。只有这样才能有的放矢的进行信息系统的安全建设,才能根据安全状况及时调整安全策略,减少信息系统被破坏的可能。
入侵防御系统关注的是对入侵行为的控制。当用户明确信息系统安全建设方案和策略之后,可以在入侵防御系统中实施边界防护安全策略。与防火墙类产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。
从产品应用角度来讲:为了达到可以全面检测网络安全状况的目的,入侵检测系统需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。
而为了实现对外部攻击的防御,入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统,入侵防御系统即可实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。
IDS是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
㈩ 网络安全工程师单招面试技巧
网络安全工程师单招面试,不要太紧张就行了,一般不会问太复杂的问题的。
如仍有疑问,欢迎向“育龙单招平台”提问,我们会及时解答。