你可能感興趣的試題

概述
Woodgrove 銀行有一個(gè) 24 小時(shí)工作的呼叫中心用來(lái)支持客戶和合作伙伴。Woodgrove 銀行總部位于洛杉機(jī)（Los Angeles），擁有 1000 名員工。一個(gè)地區(qū)分行位于丹佛（Denver），擁有800 員工。還有 100 個(gè)支行，分部在美國(guó)西部的大部分城市，每個(gè)支行有 10 到 20 位員工。
業(yè)務(wù)處理
洛杉機(jī)總部對(duì) Woodgrove 銀行進(jìn)行管理。地區(qū)管理位于洛杉機(jī)和丹佛，洛杉機(jī)總部還管理加利福尼亞（Califonia），俄勒岡州（Oregon）和華盛頓（Washington）所有支行的運(yùn)作。丹佛地區(qū)分行管理科羅拉多州（Colorado），新墨西哥州（New Mexico），猶他州（Utah）和亞利桑那州（Arizona）所有支行的運(yùn)作。洛杉機(jī)和丹佛各自維護(hù)一個(gè)客戶支持呼叫中心。
人力資源（HR）部門(mén)位于洛杉機(jī)，信息技術(shù)（IT）部門(mén)位于洛杉機(jī)和丹佛兩個(gè)地區(qū)，每個(gè)地區(qū)有一個(gè)數(shù)據(jù)中心，為各自地區(qū)提供 IT 服務(wù)，IT 部門(mén)負(fù)責(zé)所有網(wǎng)絡(luò)的管理任務(wù)，支行則沒(méi)有 IT 人員。
目錄服務(wù)
在一個(gè)單一的森林中有 4 個(gè) Active Directory 域，Active Directory 結(jié)構(gòu)如下圖所示：

所有客戶支持人員都在 support.corp.woodgrovebank.com 域上擁有用戶賬戶，他們通過(guò)這些賬戶負(fù)責(zé)對(duì)內(nèi)部和外部的客戶提供支持，HR 部門(mén)的所有人員都是 LA\HRUsers 組的成員，每個(gè)支行都對(duì)應(yīng)有一個(gè)組織單元（OU），每一個(gè)地區(qū)域中也都包含了各自地理區(qū)域中的支行所對(duì)應(yīng)的組織單元（OU）。
網(wǎng)絡(luò)結(jié)構(gòu)
所有服務(wù)器運(yùn)行 Windows Server 2003，所有客戶機(jī)運(yùn)行 Windows XP 專(zhuān)業(yè)版。洛杉機(jī)和丹佛安裝了無(wú)線訪問(wèn)點(diǎn)，無(wú)線訪問(wèn)點(diǎn)支持 IEEE 802.11q 規(guī)格和有線對(duì)等私有性（WEP）加密。無(wú)線訪問(wèn)點(diǎn)支持證書(shū)和 Radius 身份驗(yàn)證。目前，無(wú)線訪問(wèn)點(diǎn)上沒(méi)有配置加密或身份驗(yàn)證方法。在安全補(bǔ)丁和更新包部署到其他網(wǎng)絡(luò)之前，必須要通過(guò)洛杉機(jī)數(shù)據(jù)中心的一個(gè)測(cè)試網(wǎng)絡(luò)的檢測(cè)。洛杉機(jī)和丹佛之間用專(zhuān)用廣域網(wǎng)連接，支行和它所屬的地區(qū)銀行之間是用一個(gè)幀中繼線連接。洛杉機(jī)和丹佛都有一個(gè)專(zhuān)用連線連接 Internet，支行不和 Internet 連接。公共可訪問(wèn)的 Web 和應(yīng)用服務(wù)器位于一個(gè)網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)上，如下圖所示：

Web 服務(wù)器上部署了一個(gè)應(yīng)用系統(tǒng)，此應(yīng)用系統(tǒng)和丹佛數(shù)據(jù)中心一臺(tái) Windows Server 2003計(jì)算機(jī)上部署的一個(gè)客戶應(yīng)用連接。這個(gè) Web 服務(wù)器還部署了一個(gè) Web 站點(diǎn)，這個(gè)站點(diǎn)包括了客戶和公有的公共可訪問(wèn)信息。這個(gè)網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)還作為企業(yè)外部網(wǎng)供合作公司訪問(wèn)。一臺(tái)名為 WebKiosk 的 Windows Server 2003 計(jì)算機(jī)安裝在洛杉機(jī)數(shù)據(jù)中心。WebKiosk 運(yùn)行IIS6.0 并部署了一個(gè) Web 站點(diǎn)，每個(gè)支行的信息服務(wù)臺(tái)可以訪問(wèn)這個(gè)站點(diǎn)。WebKiosk 是Kiosk OU 的成員，信息服務(wù)臺(tái)使用一個(gè)名為 KioskUser 的用戶帳戶和 Web 站點(diǎn)連接。
首席信息總監(jiān)
我關(guān)心無(wú)線網(wǎng)絡(luò)對(duì)我們網(wǎng)絡(luò)的安全造成的危害，我想確保只有授權(quán)用戶和授權(quán)計(jì)算機(jī)能夠連接無(wú)線網(wǎng)絡(luò)。我還關(guān)心我們的公鑰基礎(chǔ)設(shè)施可能受到的安全危及，如果受到這樣的一次危及客戶對(duì)我們公司的信任將被破壞，并且恢復(fù)就時(shí)間和金錢(qián)來(lái)說(shuō)相當(dāng)昂貴。
IT主管
在我們以前的環(huán)境下補(bǔ)丁管理昂貴又費(fèi)時(shí)，經(jīng)常要求 IT 人員到所有支行所在地執(zhí)行。我想用一個(gè)方法使更新程序能夠自動(dòng)部署到網(wǎng)絡(luò)中所有計(jì)算機(jī)上。我還關(guān)心支行里的信息服務(wù)臺(tái)危及網(wǎng)絡(luò)安全并允許未授權(quán)訪問(wèn)公司資源。還有一個(gè)問(wèn)題，就是支行出納員在他們的計(jì)算機(jī)上運(yùn)行未授權(quán)應(yīng)用程序。
HR主管
我擔(dān)心未被授權(quán)的用戶能訪問(wèn)個(gè)人信息，這些個(gè)人信息只有 HR 用戶需要訪問(wèn)，并非 IT 員工能訪問(wèn)。
組織目的
必須考慮以下組織需求：
每位客服人員必須在呼叫中心工作 6 個(gè)小時(shí)，其中有 4 個(gè)小時(shí)隨時(shí)待命提供服務(wù)，這些用戶擁有手提電腦并能夠高速訪問(wèn) Internet。這些用戶希望使用用戶終端服務(wù)從呼叫中心的Windows Server 2003 計(jì)算機(jī)上運(yùn)行支持應(yīng)用系統(tǒng)。
Woodgrove 銀行與外部審核公司合作向用戶提供查帳服務(wù)。審核公司的用戶能訪問(wèn)丹佛地區(qū)分行的外部網(wǎng)，這些用戶需要訪問(wèn)丹佛內(nèi)部網(wǎng)上一臺(tái)名為 Server1 服務(wù)器上的文件資源。即使 IT 人員不在自己的位置上，他們也必須能夠執(zhí)行管理任務(wù)。所有的 IT 人員都有新的配有無(wú)線網(wǎng)卡的手提電腦。
支行出納員在他們的計(jì)算機(jī)上只能夠運(yùn)行名為 Bank Teller 2.0 的第三方應(yīng)用軟件。不管最終用戶采取什么行動(dòng)，其他應(yīng)用軟件不能在這些計(jì)算機(jī)上運(yùn)行。但是，地區(qū)銀行的用戶能夠運(yùn)行他們所需的應(yīng)用系統(tǒng)。
安全性
必須考慮以下安全需求：
所有個(gè)人數(shù)據(jù)都存儲(chǔ)在 HRSrv1 服務(wù)器上，只有 HR 部門(mén)的用戶可以訪問(wèn)這些數(shù)據(jù)。然而，IT人員按計(jì)劃必須能夠備份和存儲(chǔ)這些數(shù)據(jù)。IT 人員能夠從家里連接網(wǎng)絡(luò)，所有 IT 人員和網(wǎng)絡(luò)外部連接必須使用強(qiáng)大有效的加密和身份驗(yàn)證方法。
審核公司的用戶只能夠和名為 TS-Server1 的 Windows Server 2003 計(jì)算機(jī)連接。TS-Server1運(yùn)行終端服務(wù)并且位于外部網(wǎng)上。所有內(nèi)部網(wǎng)資源的訪問(wèn)必須通過(guò) TS-Server1。
客戶能夠通過(guò)公司 Web 站點(diǎn)訪問(wèn)個(gè)人賬戶信息，所有客戶都配備了一個(gè)智能卡和智能卡讀取器?？蛻羰褂弥悄芸ㄗ鳛榻栌浛▉?lái)訪問(wèn)個(gè)人賬戶信息。智能卡還包括了 Woodgrove 銀行 CA發(fā)行的一個(gè)用戶證書(shū)。
客戶需求
必須考慮以下客戶需求：
合作公司的用戶需要訪問(wèn)丹佛內(nèi)部網(wǎng)上一臺(tái) Microsoft SQL Server 2000 計(jì)算機(jī)上存儲(chǔ)的信息。內(nèi)部網(wǎng)用戶也能夠使用 Microsoft Access 2000 訪問(wèn) SQL Server 中的信息。
銀行客戶能夠安全訪問(wèn)他們個(gè)人賬戶信息
客戶和潛在客戶能夠使用運(yùn)行 Windows XP 專(zhuān)業(yè)版的信息服務(wù)臺(tái)來(lái)訪問(wèn)銀行公有信息。每個(gè)支行將會(huì)有至少一臺(tái)的信息服務(wù)臺(tái)。
Active Directory
必須考慮下列對(duì) Active Directory 的要求
企業(yè)外部網(wǎng)應(yīng)用服務(wù)器上使用的應(yīng)用軟件需要對(duì) Active Directory 架構(gòu)進(jìn)行修改，這些修改不能應(yīng)用到其他的網(wǎng)絡(luò)中。
目前所有支行的網(wǎng)絡(luò)管理都是由洛杉機(jī)和丹佛兩地的管理員來(lái)執(zhí)行的。IT 部門(mén)想要把特定城市的所有支行管理工作分配給獨(dú)立的一個(gè)管理員。這位管理員將會(huì)負(fù)責(zé)支行所有用戶、組和資源的管理。
IT技術(shù)支持部門(mén)的員工要求 在 la.corp.woodgrovebank.com 域和den.corp.woodgrovebank.com 域執(zhí)行有限的管理任務(wù)，這些任務(wù)包括重置用戶口令和創(chuàng)建支行新用戶賬戶，但不能執(zhí)行其他管理任務(wù)。
網(wǎng)絡(luò)基礎(chǔ)架構(gòu)
必須考慮以下網(wǎng)絡(luò)架構(gòu)需求：
所有幀中繼廣域網(wǎng)連接需要加密和身份驗(yàn)證。
證書(shū)服務(wù)必須安裝在每個(gè)域的至少一臺(tái)服務(wù)器上，CA 的配置必須根據(jù)每個(gè)域的需求。
一臺(tái)軟件更新服務(wù)（SUS）服務(wù)器必須安裝在每個(gè)地區(qū)銀行的域上。
微軟基線安全分析器（MBSA）必須部署到每個(gè)域的所有計(jì)算機(jī)上。

概述
南橋音像公司是一家音像制品零售商，公司銷(xiāo)售各種電影，記錄片和外國(guó)電影。近期南橋音像要求 CompanyA 公司提供運(yùn)貨服務(wù)。南橋音像總公司在亞特蘭大，公司在整個(gè)美國(guó)有 6 個(gè)零售店。CompanyA 公司位于丹佛。
計(jì)劃改革
公司網(wǎng)絡(luò)架構(gòu)如下圖所示：

一臺(tái)名為 VPN1 的 VPN 服務(wù)器將被安置在網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)上，移動(dòng)用戶將使用 VPN1 來(lái)連接公司網(wǎng)絡(luò)。除了 HR 部門(mén)以外，亞特蘭大辦公室的所有客戶機(jī)都將升級(jí)成 Windows XP 專(zhuān)業(yè)版。名為 WEB2 的 Web 服務(wù)器將被安裝到公司內(nèi)部網(wǎng)供開(kāi)發(fā)和測(cè)試使用。
業(yè)務(wù)過(guò)程
公司有以下幾個(gè)部門(mén)：
人力資源部（HR）、會(huì)計(jì)部、管理部、市場(chǎng)部、客服部和信息技術(shù)部
Internet 用戶必須注冊(cè)成為南橋音像的用戶才能在 Web 站點(diǎn)購(gòu)買(mǎi)錄像。用戶信息都存儲(chǔ)在一個(gè)數(shù)據(jù)庫(kù)中，這些用戶歸類(lèi)為 Web 用戶，登錄信息通過(guò)電子郵件形式發(fā)送給用戶。Web 用戶連接一個(gè)名為 Members 的虛擬目錄。當(dāng)他們身份驗(yàn)證之后，Web 用戶能夠查看可得到的商品并且通過(guò)服務(wù)器 Web1 上運(yùn)行的一個(gè) Web 應(yīng)用程序來(lái)訂貨。當(dāng) Web 用戶訂貨后，請(qǐng)求就提交給 CompanyA 公司來(lái)包裝并運(yùn)送。所有客戶活動(dòng)記錄都存儲(chǔ)在 TRANS 共享文件夾中，這個(gè)文件夾位于服務(wù)器 DATA1 上。Authenticated Users 組分配了對(duì) TRANS 文件夾的“完全控制”
權(quán)限。
Active Directory （活動(dòng)目錄）
此網(wǎng)絡(luò)包括一個(gè)單一 Active Directory 域，所有服務(wù)器都運(yùn)行 Windows Server 2003，所有客戶機(jī)運(yùn)行 Windows NT Workstation 4.0 或 Windows 98，所有計(jì)算機(jī)都運(yùn)行最新的補(bǔ)丁。
組織單元（OU）結(jié)構(gòu)的相關(guān)部分如下圖所示：

Laptop OU 包括手提電腦的計(jì)算機(jī)帳戶，Desktop Computers OU 包含了桌面電腦的計(jì)算機(jī)帳戶。HR 部門(mén)的所有用戶和計(jì)算機(jī)帳戶都位于 Legacy OU 中。
網(wǎng)絡(luò)基礎(chǔ)架構(gòu)
亞特蘭大辦公室有一個(gè)無(wú)線 LAN，這個(gè)網(wǎng)絡(luò)上有兩臺(tái) Microsoft Internet 安全與加速（ISA）Server 2000 計(jì)算機(jī)，分別是 ISA1 和 ISA2。一個(gè)公共的 Web 站點(diǎn)位于一臺(tái)運(yùn)行 IIS6.0 的服務(wù)器 WEB1 上。CompanyA 公司的用戶通過(guò)南橋音像公司和 CompanyA 公司之間的一個(gè) VPN 通道來(lái)訪問(wèn) WEB1。HR 部門(mén)使用一個(gè)客戶應(yīng)用系統(tǒng)，此系統(tǒng)只能運(yùn)行在 Windows NT Workstation4.0 上?？头堪褌€(gè)人信息都存儲(chǔ)在一臺(tái)名為 SRV1 的文件服務(wù)器上，SRV1 還被配置為脫機(jī)獨(dú)立根 CA。
問(wèn)題描述
必須考慮以下業(yè)務(wù)問(wèn)題：
計(jì)劃升級(jí)之后，HR 部門(mén)的用戶在登錄他們的客戶機(jī)后將不能再修改他們的口令。當(dāng)前用戶都不擁有證書(shū)。管理員沒(méi)有時(shí)間來(lái)幫助所有用戶處理問(wèn)題。
首席信息官的意見(jiàn)
出于 Internet 連接在過(guò)去幾個(gè)月里使用頻繁，所以要采取措施不要把額外的工作量放在這個(gè)連接上。我已經(jīng)閱讀過(guò)各種各樣的緩存溢出對(duì) Web 服務(wù)器的攻擊，如果公共 Web 服務(wù)器受到這樣一次攻擊，我希望能夠?qū)⒂脩粽?qǐng)求重定向到一個(gè)包含了法律后果的 HTML 文檔。
我們目前的補(bǔ)丁管理方案要求大量的時(shí)間和資源，并且需要優(yōu)化。我們還希望能夠識(shí)別哪個(gè)安全補(bǔ)丁被安裝到公司的計(jì)算機(jī)上。
首席安全官（ CSO ）的觀點(diǎn)
有很多原因需要我們重新設(shè)計(jì)公司安全管理策略和慣例。我關(guān)心目前我們的無(wú)線配置使我們網(wǎng)絡(luò)易受攻擊，我還關(guān)心 CompanyA 用戶訪問(wèn)的服務(wù)器的安全性。我想實(shí)現(xiàn)一個(gè)公司范圍的用戶證書(shū)作為我們新驗(yàn)證策略的第一階段。我還想使用組策略對(duì)象（GPOs）來(lái)管理我們無(wú)線網(wǎng)絡(luò)。
近期，用戶從 Internet 上下載并安裝了未授權(quán)軟件，導(dǎo)致了公司網(wǎng)絡(luò)上的幾臺(tái)計(jì)算機(jī)停止響應(yīng)。少量移動(dòng)用戶將連接公司網(wǎng)絡(luò)，我們需要確保這些連接的安全性。
書(shū)面安全策略
南橋音像公司書(shū)面安全策略的相關(guān)部分包括以下要求：
只有客服部的用戶能夠連接無(wú)線網(wǎng)絡(luò)；
無(wú)線網(wǎng)絡(luò)要求字符串驗(yàn)證；
客服部和 SRV1 之間的通信始終安全并加密；
只有客服部的配有手提電腦的成員能夠加密數(shù)據(jù)；
客服部必須擁有自己數(shù)據(jù)恢復(fù)代理；
財(cái)務(wù)部門(mén)用戶必須實(shí)行雙重身份驗(yàn)證，存儲(chǔ)在 TRANS 文件夾中的信息都加密了并且只能被IT 部門(mén)的員工訪問(wèn)；
和 WEB1 上的 Member 虛擬目錄的通信都被加密；
Web 客戶能夠證實(shí) WEB1 的身份；
所有 Windows Server 2003 計(jì)算機(jī)和 Windows XP 專(zhuān)業(yè)版計(jì)算機(jī)的登錄，只要涉及到本地用戶帳戶的都需要被跟蹤；
只有 IT 管理員能夠遠(yuǎn)程修改 WEB2 上注冊(cè)表信息；
所有軟件都準(zhǔn)許公司使用；
VPN1 必須支持 MS-CHAP v2 身份驗(yàn)證。