201611网规下午真题
第 1 题
阅读以下说明,回答问题1至问题5,将解答填入答题纸对应的解答栏内。
【说明】
某企业实施数据机房建设项目,机房位于该企业业务综合楼二层,面积约50平方米。机房按照国家B类机房标准设计,估算用电量约50KW,采用三相五线制电源输入,双回路向机房设备供电,对电源系统提供三级防雷保护。要求铺设抗静电地板、安装微孔回风吊项,受机房高度影响,静电地板高20厘米。机房分为配电间和主机间两个区域,分别是15和3 5平方米。配电间配置市电配电柜、UPS主机及电池柜等设备;主机间配置网络机柜、服务器机柜以及精密空调等设备。
项目的功能模块如图1-1所示。
图 1-1</span>
【问题1】(4分)
数据机房设计标准分为(1) 类,该项目将数据机房设计标准确定为B类,划分依据是(2)。
【问题2】(6分)
该方案对电源系统提供第二、三级防雷保护,对应的措施是(3)和(4)。机房接地一般分为交流工作接地、直流工作接地、保护接地和(5) ,若采用联合接地的方式将电源保护接地接入大楼的接地极,则接地极的接地电阻值不应大于(6) 。
A.在大楼的总配电室电源输入端安装防雷模块
B.在机房的配电柜输入端安装防雷模块
C.选用带有防雷器的插座用于服务器、工作站等设备的防雷击保护
D.对机房中UPS不间断电源做防雷接地保护
【问题3】(4分)
在机房内空调制冷一般有下送风和上送风两种方式。该建设方案采用上送风的方式,选择该方式的原因是 (7) 、 (8) 。
(7)~(8)备选答案:
A.静电地板的设计高度没有给下送风预留空间
B.可以及时发现和排除制冷系统产生的漏水,消除安全隐患
C.上送风建设成本较下送风低,系统设备易于安装和维护
D.上送风和下送风应用的环境不同,在IDC机房建设时要求采用上送风方式
【问题4】(6分)
网络布线系统通常划分为工作区子系统、水平布线子系统、配线间子系统、(9)、管理子系统和建筑群子系统等六个子系统。机房的布线系统主要采用(10)和(11)。
【问题5】(5分)
判断下述观点是否正确(正确的打√;错误的打×)。
1.机房灭火系统,主要是气体灭火,其灭火剂包括七氟丙烷、二氧化碳、气溶胶等对臭氧层无破坏的灭火剂,分为管网式和无管网式。 (12)
2.机房环境监控系统监控的对象主要是机房动力和环境设备,比如配电、UPS、空调、温湿度、烟感、红外、门禁、防雷、消防等设备设施。 (13)
3.B级机房对环境温度要求是18℃~28℃,相对湿度要求是40%~70%。 (14)
4.机房新风系统中新风量值的计算方法主要按房间的空间大小和换气次数作为计算依据。 (15)
5.机房活动地板下部的电源线尽可能地远离计算机信号线,避免并排敷设,并采取相应的屏蔽措施。(16)
答案与解析
- 试题难度:较难
- 知识点:案例分析>其他
- 试题答案:
【问题1】
(1)A、B、C三
(2)按电子信息系统机房设计规范GB50174或系统运行造成的损失和影响程度划分【问题2】
(3)B
(4)D
(5)防雷接地
(6)1欧姆【问题3】
(7)A
(8)B【问题4】
(9)垂直干线子系统
(10)管理子系统
(11)配线间子系统【问题5】
(12)对
(13)对
(14)错
(15)对
(16)对 - 试题解析:
【问题1】
数据机房设计标准分为A、B、C类,该项目将数据机房设计标准确定为B类,划分依据是电子信息系统机房设计规范GB50174或者系统运行造成的损失和影响程度划分。【问题2】
该方案对电源系统提供第二、三级防雷保护,对应的措施是在大楼的总配电室电源输入端安装防雷模块和对机房中UPS不间断电源做防雷接地保护。
电源第一级防雷:在机房所在楼层配电间总电源处并联安装一套防雷箱,做为电源的第一级防雷保护。
电源第二级防雷:
虽然已经在楼层总电源进线端安装了第一级的防雷器,但是当较大雷电流进入时,第一级防雷器可将绝大部分雷电流由地线泄放,而剩余的雷电残压还是相当高,因此第一级防雷器的安装,可以减少大面积的雷击破坏事故,但是并不能确保后接设备的万无一失还存在感应雷电流和雷电波的二次入侵的可能,需要在机房电源进线处安装电源第二级防雷器。
电源第三级防雷:
虽然已经安装了第二级的防雷器,但是当较大雷电流进入时,前二级防雷器可将绝大部分雷电流由地线泄放,而剩余的雷电残压还是相当高,还存在感应雷电流和雷电波的再次入侵的可能,需要在UPS电源进线处安装电源第三级防雷器。
【问题3】
在机房内空调制冷一般有下送风和上送风两种方式。该建设方案采用上送风的方式,选择该方式的原因是静电地板的设计高度没有给下送风预留空间、可以及时发现和排除制冷系统产生的漏水,消除安全隐患。【问题4】
网络布线系统通常划分为工作区子系统、水平布线子系统、配线间子系统、垂直子系统、管理子系统和建筑群子系统等六个子系统。机房的布线系统主要采用管理子系统和配线间子系统。【问题5】
请参考答案。### 第 2 题 阅读下列说明,回答问题1至问题5,将解答填入答题纸的对应栏内。
【说明】
图2-1为某企业数据中心拓扑图,图中网络设备接口均为千兆带宽,服务器1至服务器4均配置为4颗CPU、256GB内存、千兆网卡。实际使用中发现服务器使用率较低,为提高资产利用率,进行虚拟化改造,拟采用裸金属架构,将服务器1至服务器4整合为一个虚拟资源池。
图中业务存储系统共计50TB,其中10TB用于虚拟化改造后的操作系统存储,20TB用于Oracle数据库存储,20TB分配给虚拟化存储用于业务数据存储。
【问题1】(6分)
常见磁盘类型有SATA、SAS等,从性价比考虑,本项目中业务存储系统和备份存储应如何选择磁盘类型,请简要说明原因。若要进一步提升存储系统性能,在磁盘阵列上可以采取哪些措施?
【问题2】(3分)
常用虚拟化实现方式有一虚多和多虚多,本例中应选择哪种方式,请说明理由。
【问题3】(8分)
常用存储方式包括FC-SAN、IP-SAN,本案例中,服务器虚拟化改造完成后,操作系统和业务数据分别采用什么方式在业务存储系统上存储?服务器本地磁盘存储什么数据?请说明原因。
【问题4】(4分)
常见备份方式主要有Host-Base、LAN-Base、LAN-Free、Server-Free,为该企业选择备份方式,说明理由。
【问题5】(4分)
服务器虚拟化改造完成后,每台宿主机承载的虚拟机和应用会更多,可能带来什么问题?如何解决。
答案与解析
- 试题难度:较难
- 知识点:案例分析>网络存储
- 试题答案:
【问题1】(共6分)
1、从图中可以看出业务系统中有数据库服务器与备份服务器,数据库服务器对可靠性与可用性的要求比备份服务器高。而SAS与SATA硬盘各有特点,SAS硬盘主要应用在线、高可用性、随机读取的情况,适用于大、中型企业关键任务资料的存储,效能高而且扩充性极高;SATA硬盘主要应用在线、近线作业、高可用性、随机读取、循序读取的情况。相比SATA,SAS的可靠性与可用性更高,因此数据库数据库服务器选择SAS硬盘更加适合,而备份服务器选择SATA更适合。
2、可以采用性能与可靠性都不错的RAID1+0或RAID5,相比RAID5,RAID1+0的性能更高,所以数据库系统采用RAID1+0,备用服务器采用RAID5的方式。
【问题2】(共3分)
采用多虚多的方式,由于采用独立的服务器方式资源利用率低,为提高资源利用率,将多个独立的服务器进行统一的调度与管理,将多台物理服务器虚拟成一台逻辑服务器,然后再将其划分为多个虚拟环境,即多个业务在多台虚拟服务器上运行。
【问题3】(共8分)
业务系统对I/O要求低,对存储负载要求也比较低,采用IP-SAN的方式存储。
操作系统与数据库对I/O要求高,可靠性要求也高,采用FC-SAN的方式存储。
本地磁盘存储虚拟化的管理系统与虚拟化底层软件。
【问题4】(共4分)
Host-Based备份结构的优点是数据传输速度快,备份管理简单;缺点是不利于备份系统的共享,不适合于现在大型的数据备份要求。
LAN-Based备份结构的优点是节省投资、磁带库共享、集中备份管理;它的缺点是对网络传输压力大。
LAN-Free和Server-Free的备份系统是建立在SAN(存储区域网)的基础上的,基于SAN的备份是一种彻底解决传统备份方式需要占用LAN带宽问题的解决方案。采用一种全新的体系结构,将磁带库和磁盘阵列各自作为独立的光纤结点,多台主机共享磁带库备份时,数据流不再经过网络而直接从磁盘阵列传到磁带库内,是一种无需占用网络带宽(LAN-Free)的解决方案。
目前随着SAN技术的不断进步,LAN-Free的结构已经相当成熟,而Server-Free的备份结构则不太成熟。
从图中来看,该方案中采用LAN-BASE方式。
【问题5】(共4分)
如果服务器每台资源利用过分集中,且某些应用占用资源高,会影响到服务器的整体性能。
可以根据服务的类型,对每台服务器的资源进行限制,对于重要的服务,优先占用资源。另外还可以升级带宽资源。 - 试题解析:
【问题1】(共6分)
1、从图中可以看出业务系统中有数据库服务器与备份服务器,数据库服务器对可靠性与可用性的要求比备份服务器高。而SAS与SATA硬盘各有特点,SAS硬盘主要应用在线、高可用性、随机读取的情况,适用于大、中型企业关键任务资料的存储,效能高而且扩充性极高;SATA硬盘主要应用在线、近线作业、高可用性、随机读取、循序读取的情况。相比SATA,SAS的可靠性与可用性更高,因此数据库数据库服务器选择SAS硬盘更加适合,而备份服务器选择SATA更适合。
2、可以采用性能与可靠性都不错的RAID1+0或RAID5,相比RAID5,RAID1+0的性能更高,所以数据库系统采用RAID1+0,备用服务器采用RAID5的方式。
【问题2】(共3分)
采用多虚多的方式,由于采用独立的服务器方式资源利用率低,为提高资源利用率,将多个独立的服务器进行统一的调度与管理,将多台物理服务器虚拟成一台逻辑服务器,然后再将其划分为多个虚拟环境,即多个业务在多台虚拟服务器上运行。
【问题3】(共8分)
业务系统对I/O要求低,对存储负载要求也比较低,采用IP-SAN的方式存储。
操作系统与数据库对I/O要求高,可靠性要求也高,采用FC-SAN的方式存储。
本地磁盘存储虚拟化的管理系统与虚拟化底层软件。
【问题4】(共4分)
Host-Based备份结构的优点是数据传输速度快,备份管理简单;缺点是不利于备份系统的共享,不适合于现在大型的数据备份要求。
LAN-Based备份结构的优点是节省投资、磁带库共享、集中备份管理;它的缺点是对网络传输压力大。
LAN-Free和Server-Free的备份系统是建立在SAN(存储区域网)的基础上的,基于SAN的备份是一种彻底解决传统备份方式需要占用LAN带宽问题的解决方案。采用一种全新的体系结构,将磁带库和磁盘阵列各自作为独立的光纤结点,多台主机共享磁带库备份时,数据流不再经过网络而直接从磁盘阵列传到磁带库内,是一种无需占用网络带宽(LAN-Free)的解决方案。
目前随着SAN技术的不断进步,LAN-Free的结构已经相当成熟,而Server-Free的备份结构则不太成熟。
从图中来看,该方案中采用LAN-BASE方式。
【问题5】(共4分)
如果服务器每台资源利用过分集中,且某些应用占用资源高,会影响到服务器的整体性能。
可以根据服务的类型,对每台服务器的资源进行限制,对于重要的服务,优先占用资源。另外还可以升级带宽资源。
第 3 题
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
图3-1是某互联网服务企业网络拓扑,该企业主要对外提供网站消息发布、在线销售管理服务,Web网站和在线销售管理服务系统采用JavaEE开发,中间件使用Weblogic,采用访问控制、NAT地址转换、异常流量检测、非法访问阻断等网络安全措施。
【问题1】(6分)
根据网络安全防范需求,需在不同位置部署不同的安全设备,进行不同的安全防范,为上图中的安全设备选择相应的网络安全设备。
在安全设备1处部署(1);
在安全设备2处部署(2);
在安全设备3处部署(3)。
(1)~(3)备选答案:
A.防火墙 B.入侵检测系统(IDS) C.入侵防御系统(IPS)
【问题2】(6分,多选题)
在网络中需要加入如下安全防范措施:
A.访问控制
B.NAT
C.上网行为审计
D.包检测分析
E.数据库审计
F.DDoS攻击检测和阻止
G.服务器负载均衡
H.异常流量阻断
I.漏洞扫描
J.Web应用防护
其中,在防火墙上可部署的防范措施有(4);
在IDS上可部署的防范措施有(5);
在IPS上可部署的防范措施有(6)。
【问题3】(5分)
结合上述拓扑,请简要说明入侵防御系统(IPS)的不足和缺点。
【问题4】(8分)
该企避网络管理员收到某知名漏洞平台转发在线销售管理服务系统的漏洞报告,报告内容包括:
1.利用Java反序列化漏洞,可以上传jsp文件到服务器。
2.可以获取到数据库链接信息。
3.可以链接数据库,查看系统表和用户表,获取到系统管理员登录帐号和密码信息,其中登录密码为明文存储。
4.使用系统管理员帐号登录销售管理服务系统后,可以操作系统的所有功能模块。
针对上述存在的多处安全漏洞,提出相应的改进措施。
答案与解析
- 试题难度:较难
- 知识点:案例分析>网络安全方案
- 试题答案:
【问题1】
(1)A
(2)B
(3)C
【问题2】
(4)A、B、F
(5)D
(6)H、J
【问题3】
访问WEB服务器的流量都要经过IPS,IPS是入侵防御系统,IPS会对数据包做重组,会对数据的传输层,网络层,应用层中各字段做分析并与签名库做比对,如果没有问题,才转发出去。IPS规划在这个位置会加大网络的延迟。同时,网络中部署一个IPS会存在有单点故障。
【问题4】
1、针对此安全及时更新补丁,采取相应措施防止反序列化漏洞。
2、软件代码设计严谨,数据库链接信息加密保存,销售服务链接数据库的用户取消查看系统表的权限。
3、数据库相关安全设置,帐号密码采用密文等加密手段。
4、系统采取分级权限设置,避免管理员权限过宽。 - 试题解析:
【问题1】
内网用户去往外网需要部署NAT,安全设备1部署防火墙。看图安全设备2旁挂,部署IDS对网络流量进行检测不影响网络。在安全设备3处部署IPS可以对服务器进行防护。
【问题2】
防火墙需要对内网用户NAT以供访问外网,对于域间做访问控制,外网访问服务器部署负载均衡。IDS是入侵检测系统,对网络中的流量做审计与分析功能。IPS是入侵防御系统,部署服务器侧针对DDOS攻击检测阻止、异常流量阻断、漏洞扫描、WEB应用防护。
【问题3】
访问WEB服务器的流量都要经过IPS,IPS是入侵防御系统,IPS会对数据包做重组,会对数据的传输层,网络层,应用层中各字段做分析并与签名库做比对,如果没有问题,才转发出去。IPS规划在这个位置会加大网络的延迟。同时,网络中部署一个IPS会存在有单点故障。
【问题4】
Java反序列划漏洞:产生原因是java类ObjectInputStream在执行反序列化时,并不会对自身的输入进行检查,这就说明恶意攻击者可能也可以构建特定的输入,在ObjectInputStream类反序列化之后会产生非正常结果,利用这一方法就可以实现远程执行任意代码。现在新的版本进行了安全处理,对这些不安全的Java类的序列化支持增加了开关,默认为关闭状态。另外也可以删除特定文件防止此漏洞。
上传jsp恶意代码导致获取数据库链接信息,针对恶意代码做相应处理防止执行。对于数据库可以进行相关安全设置,帐号密码采用密文等加密手段,系统采取分级权限设置,避免管理员权限过宽。