河南省职业技能等级认定试卷 证书 网络与信息安全管理员实操四级样卷及答案.docxVIP

河南省职业技能等级认定试卷证书网络与信息安全管理员实操四级样卷及答案

考试时间：______分钟总分：______分姓名：______

一、

请简述TCP/IP模型中传输层的主要功能，并说明传输层使用哪些主要协议来实现这些功能。

二、

某公司网络中使用交换机连接各部门计算机，为防止内部用户互相访问对方桌面文件，同时允许访问共享打印机，请简述至少两种实现该访问控制需求的交换机安全策略（如VLAN、ACL等），并说明其基本原理。

三、

假设你发现一台运行WindowsServer2016的服务器突然无法响应Web服务请求，且有日志显示可能存在异常登录尝试。请列出你将采取的初步排查步骤，并说明每个步骤的目的。

四、

请解释什么是VPN，并说明基于IPsec的VPN和基于SSL/TLS的VPN在实现方式上的主要区别。

五、

在配置防火墙时，管理员需要允许内部员工访问公司外部的OICQ服务（假设使用UDP端口8000），同时阻止访问所有其他国内外的即时通讯服务。请设计一个防火墙访问控制列表（ACL）规则，描述规则匹配顺序和关键参数。

六、

某公司网络遭受了勒索软件攻击，部分文件被加密。作为安全员，在事件响应初期，你应采取哪些关键措施来遏制损害蔓延，并保护未受感染系统？

七、

请描述使用Wireshark捕获网络流量数据的基本过程，并说明如何通过分析捕获到的数据包，初步判断一台客户端计算机是否正在尝试连接一个外部的恶意IP地址。

八、

用户报告无法访问公司内部的FTP服务器（使用TCP21端口）。请列出可能的原因，并说明你将如何使用命令行工具（如ping,traceroute,netstat等）来排查问题。

九、

简述什么是“最小权限原则”在网络安全管理中的应用，并举例说明如何在操作系统用户管理中实践这一原则。

十、

公司计划部署一套基础的入侵检测系统（IDS）。请简述选择IDS部署位置时需要考虑的因素，并比较基于主机的HIDS和基于网络的NIDS的特点与适用场景。

试卷答案

一、

传输层的主要功能是提供端到端的通信服务，确保数据在源主机和目标主机之间的可靠或不可靠传输。主要协议包括：

1.TCP(TransmissionControlProtocol):提供可靠的、面向连接的服务。通过序列号、确认应答、超时重传、流量控制等机制保证数据完整、按序、无差错地传输。

2.UDP(UserDatagramProtocol):提供不可靠的、无连接的服务。速度快，开销小，不保证数据传输的可靠性、顺序性或完整性，适用于对实时性要求高、能容忍少量丢包的应用，如视频流、在线游戏。

二、

策略一：使用VLAN分割广播域

*实现：将不同部门或不同安全级别的计算机划分到不同的VLAN中。例如，将需要访问共享打印机的用户划分到VLANA，将需要互相访问桌面文件的用户划分到VLANB。确保VLANA和VLANB之间没有直接交换机互连，或者不允许可信主机访问。

*原理：VLAN可以隔离广播域。不同VLAN间的通信需要通过三层交换机或路由器进行，可以在路由器或三层交换机上配置访问控制列表（ACL）来实现更细粒度的控制。这样，VLANB内的用户即使与VLANA的设备在同一物理交换机上，也无法直接访问VLANA的广播流量，从而限制了桌面文件的互相访问，但可以通过路由实现打印机共享访问。

策略二：使用ACL(AccessControlList)在交换机或防火墙上进行端口级别控制

*实现：在连接关键服务器（如存放共享文件的文件服务器、共享打印机连接的交换机端口）的交换机端口或防火墙上配置ACL。

*ACL1：允许VLANA（打印用户）的特定IP范围访问共享打印机端口（如TCP端口80/TCP端口21）。

*ACL2：拒绝VLANB（桌面文件用户）的IP范围访问上述服务器端口。

*原理：ACL基于源/目的IP地址、协议类型、端口号等条件对网络流量进行匹配和过滤。通过精确配置规则，可以精确控制哪些用户、哪些设备、哪些服务可以相互通信，从而实现细粒度的访问控制，满足题目要求。

三、

排查步骤及目的：

1.验证服务器基本状态：检查服务器是否通电、启动、能否ping通网关。目的：排除服务器硬件故障或无法加入网络的问题。

2.检查网络连接：使用`ipconfig`（Windows）或`ifconfig`/`ipa`（Linux）检查服务器IP配置（IP、子网掩码、网关、DNS）是否正确。使用`ping`命令测试服务器与网关、DNS服务器、外部网站（如）的连通性。目的：确认服务器网络配置是否正常，以及是否能够访问外部网络，判断故障