01a-信息安全引言-freezed【荐】.ppt

MS08-067 Information security: Confidentiality, Integrity, Availability Information security: Confidentiality, Integrity, Availability by Donn B. Parker by 方滨兴 HIT Cryptography 信息安全问题非一劳永逸而是一个动态的过程 作者：陈波 文章来源：赛迪网－中国计算机用户 点击数：47 更新时间：2007-4-28 　 “微软每年花费60亿在研发上，其中有20亿花在安全上。企业的信息安全问题不可能一劳永逸，它是一个动态的过程。” 微软公司大中华区首席安全官艾力克如是说。 信息安全已经成为全球IT界的热点话题，不仅因为商业计算所面临的安全形势的严峻性，也是由于客户对于“可信赖计算”的需求在不断升级。 “安全是一个旅程。” 微软公司大中华区首席安全官艾力克这样阐述微软的安全观。 *70％以上安全事故可以避免 在安全这个旅程中，安全管理是非常重要的，如果进行了合理的安全管理，有70%以上的安全事故可以避免。 在2006年5月《中国计算机用户》所做的一次针对行业用户的问卷调查中发现：当被问及“您所在机构每隔多长时间巡检IT系统安全并向管理层通报”这一问题时，有40.24%的用户回答是偶尔，只在有需要时做；23.17%的用户回答是每个月一次。 从这一数据中可以看出，用户的安全意识仍需要加强，另一方面更加说明，很多机构没有将巡检系统安全制度化，在安全管理方面存在问题。 信息安全管理的问题，正是微软企业高层主管安全沙龙关注的焦点问题。在2005年12月22日举行的一次微软企业高层主管信息安全沙龙之后，《中国计算机用户》刊发了题为《信息安全：三分技术，七分管理》的文章。 *提升安全四要素 “微软做任何一件事都基于以下四个要点：建立相互信任的生态环境、安全工程、简易性和安全的平台。” 艾力克在演讲中指出。 今年2月14日的RSA安全大会上，盖茨也提出，要想提升整个社会的安全性，业界首先必须做到这四个方面。 安全工程，包括三个理念：在软件设计上的安全，在默认配置上的安全，在实施方案时的安全。其中默认配置上的安全，就是当发布一个产品、一个软件时，把很多不安全的产品在默认情况下关掉，这样保证在默认情况下收到的产品都是安全的。 艾力克在讲到企业的安全文化时说：“从2002年以后，微软内部开发人员都接受了如何书写安全代码的培训，软件的安全质量得到了非常大的改善。” 提到简易性，艾力克幽默地说道：“我不希望我的妈妈从6000英里外打电话来，需要我帮助解决安全问题”。这句话道出了个人用户需要的简易性，而对于IT专业人员来说，就意味着可以花更少的时间在日常的维护管理上。 *安全新高度—Vista 微软在Windows Vista操作系统上作了最大一笔投入，它也承载着成为微软有史以来最安全的操作系统的使命，可以说，Vista的关键是安全性、安全性以及安全性。 微软的总体系统安全架构体系的核心设计思想围绕着可信计算展开。安全的操作系统平台是可信计算的基本要求，而Microsoft Windows Vista通过构建安全基础结构满足了这一要求。 加密算法是个敏感的话题，一些部门和机构更愿意用自己开发的加密算法，而Vista中是允许插入自己开发的加密算法的。 艾力克说道：“如果您今天听后只记得两件事，那我希望记得有这样两个软件—恶意移除工具和最新的防间谍软件，它们都是免费的，并且都将集成到微软最新的操作系统Vista 中。” 当用户问及Vista发布时间时，艾力克回答说今年11月底将会公布，明年1月份个人用户可以拿到这个版本。 *微软安全的一组数字 在全球内，微软有30多万台网络设备、9万多个邮箱、近6万名员工，微软的网络平均每天要经受 4000 多次重大攻击。 但是，微软顶住了这些攻击，并高效地管理着网络和业务系统。 防垃圾邮件方面，微软的hotmail拥有两亿三千万用户，微软每天为用户过滤掉的垃圾邮件是38亿封。 在演讲的最后，艾力克问到：“我站在这里已经1个小时了，您知道微软在这一个小时内发生了什么吗？” 答案是一连串的数字：3000名IT专业人员访问了微软的有关安全的网站；500个用户下载了windows Server 2003 sp1 ；10000个用户运行了恶意移除软件工具；36000人安装了防间谍软件…… 这就是一个真实的微软，安全已经无处不在。 (T228) /jh/29/ ChinaUnix首页 精华文章 网络安全 正文 [保留] 网络安全的核心问题是什么？ --------------------