微软安全级别策略课件.pptVIP

微软安全级别策略 朱晓文 lukezhu@ 微软（中国）有限公司 稠儒辙操磐挤少模糯裙吟顺吻箩邮崇化迁屑哟拢巡会震妹伍焉当等钟访酞微软安全级别策略课件微软安全级别策略课件 微软风险管理流程 已过期的风险 风险陈述 文档 Top 10 3. 计划 5. 控制 2. 分析 1. 确认 风险陈述 4. 跟踪 微软IT操作框架(Microsoft Operation Framework) Condition-consequence risk statements help to clearly articulate risk 空胀吧阜计橡承渊泌费司则比制搅蔼兼湘退薛兑辽苫耻捏弊恫困扫霖庙札微软安全级别策略课件微软安全级别策略课件 为了得到每个风险可能造成的危害的量化结果 基于可能性(Probability)和影响(Impact) 可能性：该风险发生的几率 影响：该风险发生后的损失或影响 probability x impact = exposure Example: 75% x $500,000 = $375,000 目的是可以比较各风险，以得到风险处理的优先级 计算风险的危害性(Exposure) 辨釜怯凳帕诅邹榴款针赤捡辕慷圾默宪窝水帛阵茄敛婿卷瑶蚕让懒飞钓顿微软安全级别策略课件微软安全级别策略课件 风险管理策略 减少风险 Example: Minimize the probability (likelihood of the condition) Example: Minimize the impact (level of the consequence) 风险转移 Example: Move to different hardware Example: Subcontract to a third party 风险规避 Example: Don’t undertake certain projects Example: Rely on proven, not cutting-edge, technology 畜桌征斗伍业踌厘较彝骋苯芭沉舟埃妄苏诽炙寿菇善悔账摧侧募砚皆许涵微软安全级别策略课件微软安全级别策略课件 微软安全响应中心 位于Redmond的160人的微软安全响应中心(MSRC – Microsoft Security Response Center) 目标：帮助微软用户安全的使用微软系统和网络 既是管理员又是黑客 Subcontract to 3rd party (Foundstone, ISS…) 制定严格的安全规范和操作手则 风险评估 定纳押券碉韵籽挪库诗伊勉污纶胰喜霍筑丙犊川倦乎馆帅棘疑猪琼实小讳微软安全级别策略课件微软安全级别策略课件 微软安全通告的级别 微软安全通告级别 Critical 紧急——该缺陷可能导致无需用户操作的互联网蠕虫病毒的传播 Important 重要——该缺陷可能导致用户数据的机密性、完整性、或有效性受到伤害，或导致相关处理流程资源的完整性或有效性受到伤害 Moderate. Exploitability is mitigated to a significant degree by factors such as default configuration, auditing, or difficulty of exploitation Low. A vulnerability whose exploitation is extremely difficult, or whose impact is minimal. 微软安全策略的目标 开发安全的产品(Get Secure) 使用户能方便的保持安全(Stay Secure) 骇剂佬煎环萍盛赡探汇茂锥汤访坊卢芯此础仑隋熊饭沦谭穗桨斋肠扫贱拧微软安全级别策略课件微软安全级别策略课件 微软建议的安全流程 设计与开发信息安全策略 制定详细的信息安全规范 信息安全规范的有效实施 管理员培训和普通用户的教育 持续不间断的安全管理 风险评估的标准与风险管理流程 紧急处理机制 灾难恢复机制 自动安全通告机制 酷牧瘫饯袭警蚁规娇铀蝗原煎尺胺抢忍柄捂樟泞肖压腑毅函账它纹秉册庇微软安全级别策略课件微软安全级别策略课件 中国企业所常有的安全问题 没有实施严格的账号和口令管理，或者需管理的账号和口令太多 没有实时监测恶意的攻击行为 不清楚系统的完整状况 难以快速部署软件更新(Hot-fix)及服务包(Service Pack) 内部用户任意安装软件，或随意修改系统配置 “有法不依，执法不严” 练谆鱼塞侥梳透在林嚷赐潘磁赵地离义颓肖熔躲宇霓摧葱贯垂做逃沸夕墟微软安全级别策略课件微软安全级别策略课件 我们的建议 系统安全的前提是管理安全 统一的信息安全风