案例分析题

阅读以下关于电子政务系统安全体系结构的叙述，回答问题1～问题3。
博学公司通过投标，承担了某省级城市的电子政务系统，由于经费、政务应用成熟度、使用人员观念等多方面的原因，该系统计划采用分阶段实施的策略来建设，最先建设急需和重要的部分。在安全建设方面，先投入一部分资金保障关键部门和关键信息的安全，之后在总结经验教训的基础上分两年逐步完善系统。因此，初步考虑使用防火墙、入侵检测、病毒扫描、安全扫描、日志审计、网页防篡改、私自拨号检测、PKI技术和服务等保障电子政务的安全。
由于该电子政务系统涉及政府安全问题，为了从整个体系结构上设计好该系统的安全体系，博学公司首席架构师张博士召集了项目组人员多次讨论。在一次关于安全的方案讨论会上，谢工认为由于政务网对安全性要求比较高，因此要建设防火墙、入侵检测、病毒扫描、安全扫描、日志审计、网页防篡改、私自拨号检测系统，这样就可以全面保护电子政务系统的安全。王工则认为谢工的方案不够全面，还应该在谢工提出的方案的基础上，使用PKI技术，进行认证、机密性、完整性和抗抵赖性保护。

【问题1】
　　请用400字以内文字，从安全方面，特别针对谢工所列举的建设防火墙、入侵检测、病毒扫描、安全扫描、日志审计系统进行分析，评论这些措施能够解决的问题和不能解决的问题。
【问题2】
　　请用300字以内文字，主要从认证、机密性、完整性和抗抵赖性方面，论述王工的建议在安全上有哪些优点。
【问题3】
　　对于复杂系统的设计与建设，在不同阶段都有很多非常重要的问题需要注意，既有技术因素阻力，又有非技术因素阻力。请结合工程的实际情况，用200字以内文字，简要说明使用PKI还存在哪些重要的非技术因素方面的阻力。

问答题【问题1】 四台交换机都启用了MSTP生成树模式。其中S7606-1的相关配置如下： S7606-1（config）#spanning-treemst1priority4096 默认值是32768 S7606-1（config）#spanning-treemstconfiguration S7606-1（config-mst）#instance1vlan10，12 S7606-1（config-mst）#instance2vlan9，11 S7606-1（config-mst）#nameregionl S7606-1（config-mst）#revision1 S7606-2的相关配置如下： S7606-2（config）#spanning-treemst2priority4096 S7606-2（config）#spanning-treemstconfiguration S7606-2（config-mst）#instance1vlan10，12 S7606-2（config-mst）#instance2vlan9，11 S7606-2（config-mst）#nameregionl S7606-2（config-mst）#revision1 两台S2924G交换机也配置了相同的实例、域名称和版本修订号。 （1）请问instance2的生成树的根交换机是哪一台？为什么？ （2）就instance1而言，交换机S2924G-1的根端口是哪个端口？为什么？ （3）请指出PC1发给PC5的数据包经过的设备路径。 【问题2】 在三层交换机S7606-1中VLAN10的lP地址配置为202.10.10.1 24，VLAN11的IP地址配置为202.10.11.254 24。 在三层交换机S7606-2中VLAN10的lP地址配置为202.10.10.254 24，VLAN11的IP地址配置为202.10.11.1 24。 两台三层交换机中的VRRP配置如下： S7606-2（config）#interfaceVlan10 S7606-2（config-if）#vrrp10ip202.10.10.1 S7606-2（config）#interfaceVlan11 S7606-2（config-if）#vrrp11ip202.10.11.1 S7606-2（config-if）#vrrp11preempt （1）PC2主机中设置的网关IP为202.10.10.1，在网络正常运行的情况下，请按照以下格式写出PC2访问Internet的数据转发路径。（格式：PC2→设备1→…→Internet。不写返回路径） （2）假设三层交换机S7606-1需要临时宕机1小时进行检修及升级操作系统。 请问这1小时时段内PC2在没有修改网关IP地址的情况下，是否能访问Internet？请结合交换机S7606-1宕机后发生的变化说明原因。 【问题3】 企业内部架设有无线局域网，并采用了802.1X认证，用户名和密码存放在Radius服务器的数据库中。无线路由器Wirelessrouterl支持802.1x协议，请回答以下问题： （1）在图22-7的认证过程中，客户端向无线路由器发送的是什么帧？无线路由器向Radius服务器发送的是什么报文？ （2）在无线路由器中需要配置哪些与RadiusServer相关的信息？ （3）如果无线路由器不支持802.1X认证，为满足无线用户必须经过认证才能上网的需求，能否在上层交换机中启用802.1X，并将端口设置为启用dotlx认证？请简要说明理由。

问答题【问题1】 为了更可靠地保留相对较长时期的数据，并且更方便恢复，信息管理部门的李工程师建议采用7盘磁带轮换的方式进行网络数据备份。假定一盘磁带可以完成一次完全备份，请你具体列出这个备份策略的实现方案（100个文字以内）。如果这7盘磁带备份后有某一盘失效，最坏情况下可能造成什么损失？ 【问题2】 博学教育集团原来使用的是网络操作系统中所提供的备份软件（如WindowsServerBackup，与Unixtar cpio等），现在选用最先进的专业级网络备份软件，李工程师指出可以有如下好处： （1）可保证实施自动加载磁带机所能提供的全部先进功能。例如，完全备份、增量备份、差分备份策略，也可实现自动无人定时备份。 （2）可以更有效地实施系统数据恢复和系统数据丢失灾难分析等功能。 （3）可以自动优化数据的传输率，提高备份速度，更合理地使用先进的磁带机等备份设备。 （4）有可能采用更有效的 映像备份 功能，即允许从硬盘把数据流备份入磁带机（不再是逐个文件的备份）。、 除了上述好处外，你认为还可能有什么好处？请用50字以内文字简要说明。 【问题3】 在讨论与分析过程中，有关的管理人员和技术人员曾提出过以下的一些观点： （1）尽管网络中已采用磁盘阵列RAID，其中已有热备份硬盘、RAID技术和冗余校验技术支持，但是数据备份仍然是十分必要的。 （2）为了加快网络备份的速度和提高备份的效率，备份时可主要针对网络中的企业信息与数据文件的内容进行，无须进行网络中系统文件和应用程序的备份（因为这些内容可通过安装盘重新进行安装）。 （3）备份不同于单纯的数据复制技术，因为备份的规划、自动化备份操作和日志与历史记录的保存等备份管理内容也是属于数据备份方案中的内容。 （4）在当前可采用的先进的磁带机技术中已呈现明显的智能化趋势，如自动报警，磁带更换与控制，磁头清洗等已均可自动进行。 （5）由于目前光存储技术发展极快，可记录光盘既便宜又可靠，已开始可完全取代磁带备份技术。 请指出其中相对来说叙述不太恰当的两条观点的序号。