你可能感興趣的試題

概述
南橋音像公司是一家音像制品零售商，公司銷售各種電影，記錄片和外國(guó)電影。近期南橋音像要求 CompanyA 公司提供運(yùn)貨服務(wù)。南橋音像總公司在亞特蘭大，公司在整個(gè)美國(guó)有 6 個(gè)零售店。CompanyA 公司位于丹佛。
計(jì)劃改革
公司網(wǎng)絡(luò)架構(gòu)如下圖所示：

一臺(tái)名為 VPN1 的 VPN 服務(wù)器將被安置在網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)上，移動(dòng)用戶將使用 VPN1 來(lái)連接公司網(wǎng)絡(luò)。除了 HR 部門以外，亞特蘭大辦公室的所有客戶機(jī)都將升級(jí)成 Windows XP 專業(yè)版。名為 WEB2 的 Web 服務(wù)器將被安裝到公司內(nèi)部網(wǎng)供開(kāi)發(fā)和測(cè)試使用。
業(yè)務(wù)過(guò)程
公司有以下幾個(gè)部門：
人力資源部（HR）、會(huì)計(jì)部、管理部、市場(chǎng)部、客服部和信息技術(shù)部
Internet 用戶必須注冊(cè)成為南橋音像的用戶才能在 Web 站點(diǎn)購(gòu)買錄像。用戶信息都存儲(chǔ)在一個(gè)數(shù)據(jù)庫(kù)中，這些用戶歸類為 Web 用戶，登錄信息通過(guò)電子郵件形式發(fā)送給用戶。Web 用戶連接一個(gè)名為 Members 的虛擬目錄。當(dāng)他們身份驗(yàn)證之后，Web 用戶能夠查看可得到的商品并且通過(guò)服務(wù)器 Web1 上運(yùn)行的一個(gè) Web 應(yīng)用程序來(lái)訂貨。當(dāng) Web 用戶訂貨后，請(qǐng)求就提交給 CompanyA 公司來(lái)包裝并運(yùn)送。所有客戶活動(dòng)記錄都存儲(chǔ)在 TRANS 共享文件夾中，這個(gè)文件夾位于服務(wù)器 DATA1 上。Authenticated Users 組分配了對(duì) TRANS 文件夾的“完全控制”
權(quán)限。
Active Directory （活動(dòng)目錄）
此網(wǎng)絡(luò)包括一個(gè)單一 Active Directory 域，所有服務(wù)器都運(yùn)行 Windows Server 2003，所有客戶機(jī)運(yùn)行 Windows NT Workstation 4.0 或 Windows 98，所有計(jì)算機(jī)都運(yùn)行最新的補(bǔ)丁。
組織單元（OU）結(jié)構(gòu)的相關(guān)部分如下圖所示：

Laptop OU 包括手提電腦的計(jì)算機(jī)帳戶，Desktop Computers OU 包含了桌面電腦的計(jì)算機(jī)帳戶。HR 部門的所有用戶和計(jì)算機(jī)帳戶都位于 Legacy OU 中。
網(wǎng)絡(luò)基礎(chǔ)架構(gòu)
亞特蘭大辦公室有一個(gè)無(wú)線 LAN，這個(gè)網(wǎng)絡(luò)上有兩臺(tái) Microsoft Internet 安全與加速（ISA）Server 2000 計(jì)算機(jī)，分別是 ISA1 和 ISA2。一個(gè)公共的 Web 站點(diǎn)位于一臺(tái)運(yùn)行 IIS6.0 的服務(wù)器 WEB1 上。CompanyA 公司的用戶通過(guò)南橋音像公司和 CompanyA 公司之間的一個(gè) VPN 通道來(lái)訪問(wèn) WEB1。HR 部門使用一個(gè)客戶應(yīng)用系統(tǒng)，此系統(tǒng)只能運(yùn)行在 Windows NT Workstation4.0 上。客服部把個(gè)人信息都存儲(chǔ)在一臺(tái)名為 SRV1 的文件服務(wù)器上，SRV1 還被配置為脫機(jī)獨(dú)立根 CA。
問(wèn)題描述
必須考慮以下業(yè)務(wù)問(wèn)題：
計(jì)劃升級(jí)之后，HR 部門的用戶在登錄他們的客戶機(jī)后將不能再修改他們的口令。當(dāng)前用戶都不擁有證書。管理員沒(méi)有時(shí)間來(lái)幫助所有用戶處理問(wèn)題。
首席信息官的意見(jiàn)
出于 Internet 連接在過(guò)去幾個(gè)月里使用頻繁，所以要采取措施不要把額外的工作量放在這個(gè)連接上。我已經(jīng)閱讀過(guò)各種各樣的緩存溢出對(duì) Web 服務(wù)器的攻擊，如果公共 Web 服務(wù)器受到這樣一次攻擊，我希望能夠?qū)⒂脩粽?qǐng)求重定向到一個(gè)包含了法律后果的 HTML 文檔。
我們目前的補(bǔ)丁管理方案要求大量的時(shí)間和資源，并且需要優(yōu)化。我們還希望能夠識(shí)別哪個(gè)安全補(bǔ)丁被安裝到公司的計(jì)算機(jī)上。
首席安全官（ CSO ）的觀點(diǎn)
有很多原因需要我們重新設(shè)計(jì)公司安全管理策略和慣例。我關(guān)心目前我們的無(wú)線配置使我們網(wǎng)絡(luò)易受攻擊，我還關(guān)心 CompanyA 用戶訪問(wèn)的服務(wù)器的安全性。我想實(shí)現(xiàn)一個(gè)公司范圍的用戶證書作為我們新驗(yàn)證策略的第一階段。我還想使用組策略對(duì)象（GPOs）來(lái)管理我們無(wú)線網(wǎng)絡(luò)。
近期，用戶從 Internet 上下載并安裝了未授權(quán)軟件，導(dǎo)致了公司網(wǎng)絡(luò)上的幾臺(tái)計(jì)算機(jī)停止響應(yīng)。少量移動(dòng)用戶將連接公司網(wǎng)絡(luò)，我們需要確保這些連接的安全性。
書面安全策略
南橋音像公司書面安全策略的相關(guān)部分包括以下要求：
只有客服部的用戶能夠連接無(wú)線網(wǎng)絡(luò)；
無(wú)線網(wǎng)絡(luò)要求字符串驗(yàn)證；
客服部和 SRV1 之間的通信始終安全并加密；
只有客服部的配有手提電腦的成員能夠加密數(shù)據(jù)；
客服部必須擁有自己數(shù)據(jù)恢復(fù)代理；
財(cái)務(wù)部門用戶必須實(shí)行雙重身份驗(yàn)證，存儲(chǔ)在 TRANS 文件夾中的信息都加密了并且只能被IT 部門的員工訪問(wèn)；
和 WEB1 上的 Member 虛擬目錄的通信都被加密；
Web 客戶能夠證實(shí) WEB1 的身份；
所有 Windows Server 2003 計(jì)算機(jī)和 Windows XP 專業(yè)版計(jì)算機(jī)的登錄，只要涉及到本地用戶帳戶的都需要被跟蹤；
只有 IT 管理員能夠遠(yuǎn)程修改 WEB2 上注冊(cè)表信息；
所有軟件都準(zhǔn)許公司使用；
VPN1 必須支持 MS-CHAP v2 身份驗(yàn)證。

概述
南橋音像公司是一家音像制品零售商，公司銷售各種電影，記錄片和外國(guó)電影。近期南橋音像要求 CompanyA 公司提供運(yùn)貨服務(wù)。南橋音像總公司在亞特蘭大，公司在整個(gè)美國(guó)有 6 個(gè)零售店。CompanyA 公司位于丹佛。
計(jì)劃改革
公司網(wǎng)絡(luò)架構(gòu)如下圖所示：

一臺(tái)名為 VPN1 的 VPN 服務(wù)器將被安置在網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)上，移動(dòng)用戶將使用 VPN1 來(lái)連接公司網(wǎng)絡(luò)。除了 HR 部門以外，亞特蘭大辦公室的所有客戶機(jī)都將升級(jí)成 Windows XP 專業(yè)版。名為 WEB2 的 Web 服務(wù)器將被安裝到公司內(nèi)部網(wǎng)供開(kāi)發(fā)和測(cè)試使用。
業(yè)務(wù)過(guò)程
公司有以下幾個(gè)部門：
人力資源部（HR）、會(huì)計(jì)部、管理部、市場(chǎng)部、客服部和信息技術(shù)部
Internet 用戶必須注冊(cè)成為南橋音像的用戶才能在 Web 站點(diǎn)購(gòu)買錄像。用戶信息都存儲(chǔ)在一個(gè)數(shù)據(jù)庫(kù)中，這些用戶歸類為 Web 用戶，登錄信息通過(guò)電子郵件形式發(fā)送給用戶。Web 用戶連接一個(gè)名為 Members 的虛擬目錄。當(dāng)他們身份驗(yàn)證之后，Web 用戶能夠查看可得到的商品并且通過(guò)服務(wù)器 Web1 上運(yùn)行的一個(gè) Web 應(yīng)用程序來(lái)訂貨。當(dāng) Web 用戶訂貨后，請(qǐng)求就提交給 CompanyA 公司來(lái)包裝并運(yùn)送。所有客戶活動(dòng)記錄都存儲(chǔ)在 TRANS 共享文件夾中，這個(gè)文件夾位于服務(wù)器 DATA1 上。Authenticated Users 組分配了對(duì) TRANS 文件夾的“完全控制”
權(quán)限。
Active Directory （活動(dòng)目錄）
此網(wǎng)絡(luò)包括一個(gè)單一 Active Directory 域，所有服務(wù)器都運(yùn)行 Windows Server 2003，所有客戶機(jī)運(yùn)行 Windows NT Workstation 4.0 或 Windows 98，所有計(jì)算機(jī)都運(yùn)行最新的補(bǔ)丁。
組織單元（OU）結(jié)構(gòu)的相關(guān)部分如下圖所示：

Laptop OU 包括手提電腦的計(jì)算機(jī)帳戶，Desktop Computers OU 包含了桌面電腦的計(jì)算機(jī)帳戶。HR 部門的所有用戶和計(jì)算機(jī)帳戶都位于 Legacy OU 中。
網(wǎng)絡(luò)基礎(chǔ)架構(gòu)
亞特蘭大辦公室有一個(gè)無(wú)線 LAN，這個(gè)網(wǎng)絡(luò)上有兩臺(tái) Microsoft Internet 安全與加速（ISA）Server 2000 計(jì)算機(jī)，分別是 ISA1 和 ISA2。一個(gè)公共的 Web 站點(diǎn)位于一臺(tái)運(yùn)行 IIS6.0 的服務(wù)器 WEB1 上。CompanyA 公司的用戶通過(guò)南橋音像公司和 CompanyA 公司之間的一個(gè) VPN 通道來(lái)訪問(wèn) WEB1。HR 部門使用一個(gè)客戶應(yīng)用系統(tǒng)，此系統(tǒng)只能運(yùn)行在 Windows NT Workstation4.0 上。客服部把個(gè)人信息都存儲(chǔ)在一臺(tái)名為 SRV1 的文件服務(wù)器上，SRV1 還被配置為脫機(jī)獨(dú)立根 CA。
問(wèn)題描述
必須考慮以下業(yè)務(wù)問(wèn)題：
計(jì)劃升級(jí)之后，HR 部門的用戶在登錄他們的客戶機(jī)后將不能再修改他們的口令。當(dāng)前用戶都不擁有證書。管理員沒(méi)有時(shí)間來(lái)幫助所有用戶處理問(wèn)題。
首席信息官的意見(jiàn)
出于 Internet 連接在過(guò)去幾個(gè)月里使用頻繁，所以要采取措施不要把額外的工作量放在這個(gè)連接上。我已經(jīng)閱讀過(guò)各種各樣的緩存溢出對(duì) Web 服務(wù)器的攻擊，如果公共 Web 服務(wù)器受到這樣一次攻擊，我希望能夠?qū)⒂脩粽?qǐng)求重定向到一個(gè)包含了法律后果的 HTML 文檔。
我們目前的補(bǔ)丁管理方案要求大量的時(shí)間和資源，并且需要優(yōu)化。我們還希望能夠識(shí)別哪個(gè)安全補(bǔ)丁被安裝到公司的計(jì)算機(jī)上。
首席安全官（ CSO ）的觀點(diǎn)
有很多原因需要我們重新設(shè)計(jì)公司安全管理策略和慣例。我關(guān)心目前我們的無(wú)線配置使我們網(wǎng)絡(luò)易受攻擊，我還關(guān)心 CompanyA 用戶訪問(wèn)的服務(wù)器的安全性。我想實(shí)現(xiàn)一個(gè)公司范圍的用戶證書作為我們新驗(yàn)證策略的第一階段。我還想使用組策略對(duì)象（GPOs）來(lái)管理我們無(wú)線網(wǎng)絡(luò)。
近期，用戶從 Internet 上下載并安裝了未授權(quán)軟件，導(dǎo)致了公司網(wǎng)絡(luò)上的幾臺(tái)計(jì)算機(jī)停止響應(yīng)。少量移動(dòng)用戶將連接公司網(wǎng)絡(luò)，我們需要確保這些連接的安全性。
書面安全策略
南橋音像公司書面安全策略的相關(guān)部分包括以下要求：
只有客服部的用戶能夠連接無(wú)線網(wǎng)絡(luò)；
無(wú)線網(wǎng)絡(luò)要求字符串驗(yàn)證；
客服部和 SRV1 之間的通信始終安全并加密；
只有客服部的配有手提電腦的成員能夠加密數(shù)據(jù)；
客服部必須擁有自己數(shù)據(jù)恢復(fù)代理；
財(cái)務(wù)部門用戶必須實(shí)行雙重身份驗(yàn)證，存儲(chǔ)在 TRANS 文件夾中的信息都加密了并且只能被IT 部門的員工訪問(wèn)；
和 WEB1 上的 Member 虛擬目錄的通信都被加密；
Web 客戶能夠證實(shí) WEB1 的身份；
所有 Windows Server 2003 計(jì)算機(jī)和 Windows XP 專業(yè)版計(jì)算機(jī)的登錄，只要涉及到本地用戶帳戶的都需要被跟蹤；
只有 IT 管理員能夠遠(yuǎn)程修改 WEB2 上注冊(cè)表信息；
所有軟件都準(zhǔn)許公司使用；
VPN1 必須支持 MS-CHAP v2 身份驗(yàn)證。