[计算机软件及应用]70-298 网络安全设计模拟题.pdfVIP

网络安全设计(for Windows 2003) （MCP 70－298） 实例1：高山滑雪公司 概述 高山滑雪公司经营着滑雪胜地，这些滑雪胜地向客户提供住宿、餐饮和娱乐。公司的总部在 丹佛，公司在北美有 10 个滑雪胜地，其中3 个在加拿大，近期又将在欧洲增开4 个滑雪胜 地。每个胜地有90 到160 的用户。 计划修改 以下是接下去三个月需要进行的计划修改： 公司将在维也纳开设分公司，维也纳将支持欧洲4 个滑雪胜地，和丹佛目前支持北美滑雪胜 地的方式一样； 北美的所有服务器都会更新成Windows Server 2003。所有的客户机都将升级成Windows XP 专业版。当Windows NT 4.0 域中的成员服务器和客户机都升级后，NT 域将会移植到Active Directory 中； 一台新的名为Server1 的文件服务器将安装并配置，它将运行Windows Server 2003。每个 滑雪胜地将为未授权用户，比如胜地的顾客，安装几个网络信息亭。为了在高消费阶层具有 市场竞争性，公司将给来访的顾客提供无线Internet 接入。 业务过程 信息技术（IT）部门在丹佛，操作着公司的网站、数据库和电子邮件服务器。IT 部门还管 理丹佛客户机，IT 员工到北美胜地对那里的服务器执行大型升级、新的安装和重大故障排 除，每处胜地至少有一个桌面支持技术员来支持客户机。根据他们的经验，有些技术员对他 们胜地的服务器有管理权利。欧洲胜地有一个财务部门维持着一个名为 的Web 应用，这个应用给每位员工提供机密个人信息。此 应用有以下特征： 使用ASP.NET 和ADO.NET 部署在丹佛办公室的一台Web 服务器上 员工可以从工作处或家中来访问这个应用 预订部门维护着一个名为 的公共Web 站点。这个Web 站点有以 下特征： 使用ASP.NET 和ADO.NET 能够在Internet 上的任何地方获得 这个Web 站点还包括了每处滑雪胜地的静态内容 目录服务 公司使用北美的一个名为 的Active Directory 域，丹佛IT 部门管理 这个域。 域将保持一个森林根域。欧洲财务部门有一个名为CONTOSODOM 的Windows NT 4.0 域。每个欧洲胜地有一台运行Windows NT Server 4.0 的域控制器。所 有员工都有Active Directory 和Windows NT 4.0 域的用户账户。 网络基础架构 现有的位置和连接如下网络结构图所示： 丹佛办公室的网络基础结构如下图所示： 公司北美所用的服务器都运行 Windows 2000 Server，欧洲所用的服务器运行 Windows NT Server 4.0。公司所有客户机都运行Windows 2000 专业版。每个滑雪胜地和每个办公室都 有一台文件服务器。办公室和滑雪胜地之间通过Internet 的VPN 连接。每个滑雪胜地都安 装了无线访问点供员工使用。 首席信息官（CIO）的意见 保护我们共同的数据是至关重要的。我们把大量的客户信息保存在一个文件中，这些信息是 我们必须保护的； 所有我们使用的公钥基础结构（PKI）证书必须受到广泛的信任，客户不需要执行额外的操 作获得Web 站点的访问； 我们建立了安全策略和日志需求，如果有人破坏这些策略，我需要立即被告知并做出响应。 IT 部门经理的意见 为了避免昂贵复杂的 WAN 连接，我们使用 VPN 连接来代替。然而，我们不想让用户直接从 Internet 上下载更新程序； 我还希望能够自动进行日常管理任务，经常我们在很忙的时候那些重要的任务也没完成，所 以IT 管理需要通过尽可能少的用手动操作来完成； 我担心一些重要的东西可能会丢失。 目前，旧有的应用程序用来管理滑雪胜地的业务功能，读取和填写非管理员不能修改的注册 信息； 如果用户以管理员身份登录客户机来运行应用程序，可以正常工作，但是这个破坏了公司的 正式书面安全策略。 组织目的 公司必须能够在办公室和滑雪胜地之间共享信息，但是客户个人信息和其他机密数据在存储 和传输中必须加密。 书面安全策略 公司书面安全策略包括以下需求： 当一位管理员做了和安全性相关的操作并影响到了公司的服务器时，这个事件必须载入日 志，这个日志必须保存。如果可能，第二位管理员必须审核这个事件； 只有滑雪胜地的IT 员工和桌面支持技术员对客户机有管理权限，并能够修改其他用户的配 置； 所有客户机必须进行特定的桌面设置，这个设置集名为Desktop Settings Speci