资讯安全的分析.pptVIP

固若金湯的多層次防禦 賴天祥 專案技術部 大型企業業務暨經銷事業群 台灣微軟股份有限公司 議題 資訊安全的分析 資訊安全的藍圖規劃與策略 資安防禦 網路層防禦 主機主動防禦 遠端安全存取 政策推行 落實原則 資訊保護 安全回報 結論 現今資訊安全的問題 資訊風險衝擊案例 資訊風險衝擊案例（續） 實例應用(I)-系統弱點攻擊 實例應用(II)-電子郵件攻擊 實例應用(III)-網站植入木馬 資訊安全藍圖規劃與架構 資訊安全的目標 參考架構 Reference Architecture 縱深防禦 Defense in Depth企業防禦架構 Layered Portfolio of Countermeasures Reduce the chance of a single point of vulnerability 安全防禦 Isolation and ResiliencyISA 2004 企業版防火牆 - 應用層防禦 網路封包過濾傳統防火牆 Only packet headers are inspected Application layer content appears as “black box” 網路封包過濾ISA 2004 企業版 Packet headers and application content are inspected 實例應用(I) - Isolation Resiliency ISA 2004 企業版-有效的網路隔絕 ISA 2004 企業版應用層防火牆 實例應用(II) - Isolation ResiliencyISA 2004 VPN隔離區 實例應用(II) - Isolation ResiliencyISA 2004 VPN隔離區 ISA 2004 VPN ISA Server 2004 中文企業版 Enterprise Management Storage and Configuration based on AD/AM Support for workgroup scenarios Role-based administration Network Load Balancing Full integration on NLB into ISA Server scenarios Per-network NLB configuration Integrated management and monitoring Fault-tolerant VPN and Web-Publishing scenarios Arrays Cache Load Balancing with CARP Deploy multi-function or dedicated function arrays Fail-over and scalability 實例應用(III) - Isolation Resiliency多層式防禦 - 強化工作站的安全 Spyware 實例應用(IV) - Isolation Resiliency安全無線存取 - 802.1x PKI integrated with Active Directory New: Auto enrollment of certificates for machines New: Integrated 802.1x Support New: Protected EAP Security for non-PKI environments 政策推行 使用者及電腦規範 數位版權安全防護機密資料外洩及智慧資產的損失 數位資產安全防護技術之演變 最初的年代 : 沒有控管 檔案在磁片上，別人要時再複製給他人 無法控制複製出去的檔案流向 第一代：檔案系統的控管 在 NTFS 的檔案系統中作資源分享控管 有使用權限的人可以未經授權就分享出去 第二代：在檔案中加上密碼 在檔案中加上讀取密碼或編輯密碼 取得檔案密碼後檔案就可能被散佈出去 第三代：經過授權的檔案 文件發佈者可以決定使用者、使用範圍及有效時間 實例應用(I) - 事件與異動偵測透過各種來源管道管理企業內部各種伺服器 微軟提供的解決方案 Security Resources General /taiwan/security /msa Consumers /protect IT Professionals /technet/security Patch Management /technet/security/topics/patch Best Practices for Defense in Depth /security/guidance How Microso