微软的安全战略与技术实践.pptVIP

微软的安全战略与技术实践 微软与信息安全 … 全公司对信息安全的高度重视； 在安全技术研发、人员贮备的大力投入； 对客户高度负责的积极态度； 完整的信息安全解决方案； 与众多安全机构、安全厂商的广泛合作； 善于总结和分享经验、教训； 微软对TWC的具体实践——Windows Server 2003 的安全保障 16,000 工程师参加为期 4~6 周的安全培训；360 人获 CISSP 认证（占员工总数的0.6%）； 完成并评估了180 个威胁模型； 25 项服务在默认状态下将不安装或者禁用； 20 项服务在限制权限下运行； 微软对TWC的具体实践——Windows Server 2003 的安全保障 8,500 安全工程师检查代码； 10 星期来集中精力的努力； 涉及150 项重大安全改进； 花费约 $200M（约 2 亿美元）； 对客户高度负责 免费为用户提供信息安全培训 04年2~7月，微软在全国举办一系列信息安全培训，分如下阶段： 第一阶段：桌面 / 终端系统安全 Microsoft 安全策略和解决方案概述 基于Windows AD、SUS / SMS 的自动补丁发放解决方案 第二阶段：信息系统架构安全 基于SMS / MOM 的集中式安全运维方案 Microsoft Services 安全管理提供 第三阶段：系统安全与管理 Microsoft OTG IT 管理案例 MOF —— 微软运维管理架构（Microsoft Operation Framework） 信息系统安全架构体系 微软提供的安全解决方案 MSA——微软系统总体架构设计（与多厂商合作）； 系统风险评估、管理； 网络层安全 网络边界防护 / 应用层过滤；病毒网关、IDS（与第三方厂商合作） VPN（基于IPSec） 系统安全加固 域（安全组策略 + 安全模板） 关键业务服务器（如：Web、DB、Mail、…） 终端（安全组策略 + 安全模板） 病毒防护（与第三方厂商合作）； 系统自动升级管理（补丁管理）； 系统集中运维管理（SMS + MOM）； 灾难恢复及应急响应（与多厂商合作） ； … 微软与信息安全 … 全公司对信息安全的高度重视； 在安全技术研发、人员贮备的大力投入； 对客户高度负责的积极态度； 完整的信息安全解决方案； 与众多安全机构、安全厂商的广泛合作； 善于总结和分享经验、教训； 微软在安全领域的合作机构 … 国家信息安全产品评测中心； 公安部计算机信息系统安全产品质量监督检测中心； 公安部第三研究所——微软（中国）有限公司信息安全技术联合实验室； 国家计算机病毒应急处理中心； 与各地信息中心合作，开设了：成都、重庆、山东、辽宁微软安全技术中心； … GIAIS; CERT; 病毒信息联盟 ; 美国国土安全部; CISSP; … 微软在安全领域的合作厂商 … 微软所面临的安全环境 所面临的环境： 100,000+ 闯入的尝试 / 企图 / 扫描 / 月 125,000+ 隔离邮件 / 月 300,000 台网络的设备 挑战： 文化 独特的开发环境 内部应用程序测试 领先的技术 加强安全认证、权限管理 微软信息安全成功案例（二） 中国海关 H2000 通关系统（AD / SMS） 青岛市电子政务系统 （AD） 中国人民银行账户管理系统安全（AD / SMS） 铁道部系统运维管理系统（AD / ISA / SMS） 中国工商银行核心业务系统 （AD / ISA / SMS / MOM） 华夏银行终端标准化（AD / SMS） 中国移动终端标准化、运维管理系统（AD / ISA / SMS） … * * 小组成员：林如，张承林，卓轩逸 安全性 私密性 可靠性 商务完整性 设计阶段 设计阶段 推出阶段 各操作系统对已公布的系统安全隐患修复的平均天数： 总体安全架构体系 安全指导思想 技术支持体系 管理机制 安全审计 数据安全 操作系统安全 网络安全 安全管理规章 / 制度 应急处理机制 安全演习机制 政策 / 法律 / 法规 信息 / 数据安全分类 安全模型的建立 物理安全 登录及访问控制 应用系统安全 人员培训体系 实时防御 / 监控机制 安全意识的培训 安全技能的培训 完善的技术支持 … … … … … 解 决 方 案 供 应 商 服 务 提 供 商 微软信息安全成功案例（一）—— Security at Microsoft Redmond Sydney Chofu Les Ulis Telehous TVP Dublin Benelux Silicon Valley Madrid Dubai Singapore Johannesburg Sao Paulo 72,000个 邮箱 Milan Stockholm Munic