论微软产品在企业IT的实施.pptxVIP

从整体安全论微软产品在企业IT的实施 裔云天 Richard YiMBA, CISSP开发合作部微软中国有限公司日程安排1. IT面临的挑战2. 安全部署微软产品3. 案例研究4. 问题和讨论 IT 系统复杂性和成本IT 预算IT面临的压力和挑战降低运营成本增强可用性服务水准 成本效率商业价值IT加快响应速度增强安全性政府政策^ 更忘记了某些事情缺少操作规程备份错误 / 安全系统更改的任意性系统容量的要求硬件,操作系统, 设备…..40%40%20%IT 运营是 重要的应用失败操作错误平台Gartner Security Conference presentation Operation Zero Downtime, D. Scott, May 2002安全保密性完整性可用性IT的安全挑战和目标保密性 非授权用户不能非法访问数据完整性 非授权用户不能非法篡改数据可用性 非授权用户不能非法改变系统资源状态而使合法用户不能访问数据收入损失声誉受到损害投资者的信心受到重创数据丢失或安全受到威胁客户的信心受到打击业务流程中断法律后果违反安全性所造成的影响CSI/FBI 2003 调查 实施各项安全措施的成本不低，但却是出安全事件后减轻影响的成本的一小部分。投资改善安全性的好处减少与系统和应用程序不可用性关联的停机时间和成本减少与低效的安全更新部署关联的人力成本减少由于病毒或违反信息安全性所引起的数据丢失增强对知识产权的保护第二部分1. IT面临的挑战2.安全部署微软产品3.案例研究4.问题和讨论 安全部署微软产品安全管理规范访问控制企业灾难恢复计划运营安全网络安全加密物理安全应用安全法律和道德安全架构安全部署微软产品ISO 17799 安全标准范围 提供安全覆盖范围和安全目标的简单描述定义 一系列与国际ISO 17799安全标准相关的信息定义信息安全策略 从管理的角度说明企业面临的信息安全相关问题并提供总体的解决方向. ISO 17799 安全标准企业安全 企业管理架构并说明各管理层在实施信息安全时的职责和义务资产分类和控制 信息资产的保护, 包括信息的分类和负责人 人员安全 企业员工安全, 如与工作职责有关的安全培训和知识, 安全的认知培训, 安全事件的应对等ISO 17799 安全标准物理和环境安全 保护信息资产的物理安全, 免受非法访问和损坏 通讯和运营管理 实施标准的运营流程和职责, 包括危机处理和系统更改管理控制等访问控制 定义并实施访问控制策略, 限制对信息和应用的使用和访问ISO 17799 安全标准系统开发和维护 建立对新应用的安全控制, 比如说应用的发布, 对现有应用的修改等 企业灾难恢复及持续经营计划 定义并实施企业持续经营的管理流程, 包括如何确定安全威胁和降低风险等政府法律 定义并实施控制, 保证企业的日常行为符合政府的法律规范等 流程一致的和可重复的人权责分明，具备相应的技能技术利用产品和工具实现自动化MS推荐IT服务模式纵深防御模式安全环境应用数据被管理的服务器被管理的客户端主机威胁网络物理安全ThreatsThreats威胁ThreatsThreats未被管理的设备IT 安全威胁深层防御模型 使用分层的方法：增加攻击者被检测到的风险 降低攻击者的成功几率策略、过程和通告物理安全数据ACLs、加密、EFS应用程序应用程序加固、防病毒OS 加固、身份验证、 修补程序管理、HIDS主机内部网络网段、IPSec、NIDS周边防火墙、网络访问隔离控制警卫、锁、跟踪设备安全文档、用户教育策略、过程和通告层介绍我想我会撬开计算机房的房门。 这样做容易得多。嗨，我需要配置一个防火墙。应 该阻塞哪些端口？他们封锁了我最喜爱的 Web 站点。幸好我 有调制解调器。我想我会使用我的名字作为密码。嘿，我也有网络在运行。你怎么配置你的防火墙？嗨，你知道计算机机房在哪儿吗？我总是想不到一个好的密码。你用什么密码？哟，调制解调器不错啊。那条线的号码是多少？策略、过程和通告层失守策略、过程和通告层保护 员工安全培训有助于用户支持安全策略防火墙配置过程物理访问安全策略设备请求过程用户信息保密策略物理安全层介绍 组织的 IT 基础结构中的所有资产须受到物理保护查看、更改或删除文件损坏硬件移除硬件安装恶意代码物理安全层失守锁门并安装报警器雇佣安全保卫人员强制实施访问过程监视访问情况限制数据输入设备使用远程访问工具增强安全性物理安全层保护商业伙伴总部LANLANInternetInternet 服务Internet 服务网络周边包括到以下方面的连接：分支机构Internet分支机构商业伙伴远程用户无线网络Internet 应用程序远程用户无线网络LAN周边层介绍商业伙伴总部LANLANInternetInternet 服务In