从整体b安全b论微软产品在企业IT的实施.pptVIP

从整体安全论微软产品在企业IT的实施 裔云天 Richard Yi MBA, CISSP 开发合作部 微软中国有限公司 日程安排 IT的安全挑战和目标 保密性 非授权用户不能非法访问数据 完整性 非授权用户不能非法篡改数据 可用性 非授权用户不能非法改变系统资源状态而使合法用户不能访问数据 违反安全性所造成的影响 CSI/FBI 2003 调查 实施各项安全措施的成本不低，但却是出安全事件后减轻影响的成本的一小部分。 投资改善安全性的好处 第二部分 安全部署微软产品 ISO 17799 安全标准 范围 提供安全覆盖范围和安全目标的简单描述 定义 一系列与国际ISO 17799安全标准相关的信息定义 信息安全策略 从管理的角度说明企业面临的信息安全相关问题并提供总体的解决方向. ISO 17799 安全标准 企业安全 企业管理架构并说明各管理层在实施信息安全时的职责和义务 资产分类和控制 信息资产的保护, 包括信息的分类和负责人 人员安全 企业员工安全, 如与工作职责有关的安全培训和知识, 安全的认知培训, 安全事件的应对等 ISO 17799 安全标准 物理和环境安全 保护信息资产的物理安全, 免受非法访问和损坏 通讯和运营管理 实施标准的运营流程和职责, 包括危机处理和系统更改管理控制等 访问控制 定义并实施访问控制策略, 限制对信息和应用的使用和访问 ISO 17799 安全标准 系统开发和维护 建立对新应用的安全控制, 比如说应用的发布, 对现有应用的修改等 企业灾难恢复及持续经营计划 定义并实施企业持续经营的管理流程, 包括如何确定安全威胁和降低风险等 政府法律 定义并实施控制, 保证企业的日常行为符合政府的法律规范等 MS推荐IT服务模式 IT 安全威胁 深层防御模型 使用分层的方法： 增加攻击者被检测到的风险 降低攻击者的成功几率 策略、过程和通告层介绍 策略、过程和通告层失守 策略、过程和通告层保护 员工安全培训有助于用户支持安全策略 物理安全层介绍 组织的 IT 基础结构中的所有资产须受到物理保护 物理安全层失守 物理安全层保护 周边层介绍 周边层失守 周边层保护 内部网络层介绍 内部网络层失守 内部网络层保护 主机层描述 包含网络上的各计算机系统 通常具有特定的作用或功能 术语“主机”既指客户端又指服务器 主机层失守 主机层保护 Windows XP SP2 高级安全技术 应用程序层介绍 该层包含客户端和服务器网络应用程序 功能必须得以维护 应用程序层失守 应用程序功能丢失 恶意代码的执行 超出应用程序的运行极限 – DoS 攻击 应用程序被移作它用 应用程序层保护 数据层介绍 数据层失守 数据层保护 安全性最佳做法 安全性检查列表 10 条永恒的安全法则，第 1 部分 10 条永恒的安全法则，第 2 部分 微软安全产品时间表 资源 寻找其他安全培训活动： /seminar/events/security.mspx 英文版） 注册安全通告服务： /technet/security/signup/default.mspx 英文版） 订购 Security Guidance Kit： /china/security/guidance/order/default.mspx（简体中文） 安全ONLINE LAB /security 获取其他安全工具和内容： /china/security/guidance/default.mspx（简体中文）获取其他安全工具和内容： 第三部分 案例研究– 银行/保险业 案例 建立一个名为 “e-bank”的数据中心, 希望建立基于微软产品和技术的安全架构, 保证系统的安全性, 高可用性和可靠性, 系统包括电子邮件系统, 网上银行, 远程访问等 设计简介 利用 WSSRA (Windows Server System Reference Architecture) Exchange/Firewall Cluster/Multiple ISP connection Server patch management/hardening/Monitoring Change management Business Continuity plan 好处 Better Productivity Guaranteed System Up-time Delivering more service with the same budget 案例研究– 银行/保险业 案例研究– 银行/保险业 第四部分 FAQ 为什么要用ISA 2004防火墙来保护我的IT系统? 跟其他应用级防