{安全生产管理}网络安全设计.docx

{安全生产管理}网络安全设计 机都运行最新的补丁。 组织单元（OU）结构的相关部分如下图所示： LaptopOU包括手提电脑的计算机帐户，DesktopComputersOU包含了桌面电脑的计算机帐户。HR部门的所有用户和计算机帐户都位于LegacyOU中。 网络基础架构 亚特兰大办公室有一个无线LAN，这个网络上有两台MicrosoftInternet安全与加速（ISA） Server2004计算机，分别是ISA1和ISA2。一个公共的Web站点位于一台运行IIS6.0的服务器WEB1上。CompanyA公司的用户通过南桥音像公司和CompanyA公司之间的一个VPN通道来访问WEB1。HR部门使用一个客户应用系统，此系统只能运行在WindowsNTWorkstation4.0上。客服部把个人信息都存储在一台名为SRV1的文件服务器上，SRV1还被配置为脱机独立根CA。 问题描述 必须考虑以下业务问题： 计划升级之后，HR部门的用户在登录他们的客户机后将不能再修改他们的口令。当前用户 都不拥有证书。管理员没有时间来帮助所有用户处理问题。 首席信息官的意见 出于Internet连接在过去几个月里使用频繁，所以要采取措施不要把额外的工作量放在这 个连接上。我已经阅读过各种各样的缓存溢出对Web服务器的攻击，如果公共Web服务器受到这样一次攻击，我希望能够将用户请求重定向到一个包含了法律后果的HTML文档。我们目前的补丁管理方案要求大量的时间和资源，并且需要优化。我们还希望能够识别哪个安全补丁被安装到公司的计算机上。 首席安全官（CSO）的观点 有很多原因需要我们重新设计公司安全管理策略和惯例。我关心目前我们的无线配置使我们网络易受攻击，我还关心CompanyA用户访问的服务器的安全性。我想实现一个公司范围的用户证书作为我们新验证策略的第一阶段。我还想使用组策略对象（GPOs）来管理我们无线网络。近期，用户从Internet上下载并安装了未授权软件，导致了公司网络上的几台计算机停止响应。少量移动用户将连接公司网络，我们需要确保这些连接的安全性。 书面安全策略 南桥音像公司书面安全策略的相关部分包括以下要求： 只有客服部的用户能够连接无线网络； 无线网络要求字符串验证； 客服部和SRV1之间的通信始终安全并加密； 只有客服部的配有手提电脑的成员能够加密数据； 客服部必须拥有自己数据恢复代理； 财务部门用户必须实行双重身份验证，存储在TRANS文件夹中的信息都加密了并且只能被IT部门的员工访问； 和WEB1上的Member虚拟目录的通信都被加密； Web客户能够证实WEB1的身份； 所有WindowsServer2003计算机和WindowsXP专业版计算机的登录，只要涉及到本地用 户帐户的都需要被跟踪； 只有IT管理员能够远程修改WEB2上注册表信息； 所有软件都准许公司使用； VPN1必须支持MS-CHAPv2身份验证。 问题 1．你需要为南桥音像公司设计一个审核策略。你的方案必须满足公司的业务需求，你该怎么做？ A．创建一个新的安全模板，这个模板启用了成功和失败的账户登录事件的审核策略；创建一个新的GPO，并把它和域连接，在新的GPO中导入新的安全模板 B．创建一个新的安全模板，这个模板启用了成功和失败的帐户登录事件的审核策略；创建一个新的GPO，并把它和DomainControllersOU连接，在新的GPO中导入新的安全模板 C．创建一个新的安全模板，这个模板启用了成功和失败的登录事件的审核策略；创建一个新的GPO，并把它和DomainControllersOU连接，在新的GPO中导入新的安全模板 D．创建一个新的安全模板，这个模板启用了成功和失败的登录事件的审核策略；创建一个新的GPO，并把它和域连接，在新的GPO中导入新的安全模板 2.你需要为VPN1设计一个安全策略，你的解决方案必须满足业务需求，你该怎么做？ A．创建并配置一个新的安全模板；把这个模板导入到默认域策略组策略对象中 B．在RAS1上安装Internet身份验证服务（IAS）；配置VPN1成为RAS1的Radiu客户端；在VPN1上配置远程访问策略 C．创建并配置一个新的安全模板；把这个模板导入到VPN1的本地策略中 D．把VPN1移到VPNServersOU中；在VPN1上配置远程访问策略 3.你正在为财务部门设计一个身份验证策略，你的解决方案必须满足业务需求，你该怎么做？ A．在财务部门的所有计算机上安装无线网卡，选择PEAP身份验证 B．在财务部门的所有计算机上安装用户身份验证，配置这些计算机响应IPSec加密请求 C．给财务部门的所有用户和计算机发行智能卡和智能卡读取器；要求NTLMv2身份验证 D．给财务部门的所有用户和计算机发行智能卡