《从整体安全论微软产品在企业IT的实施.ppt》由会员分享,可在线阅读,更多相关《从整体安全论微软产品在企业IT的实施.ppt(56页珍藏版)》请在三一文库上搜索。
1、从整体安全论微软产品在企业 IT的实施 日程安排 1. IT面临的挑战 2. 安全部署微软产品 3. 案例研究 4. 问题和讨论 IT IT 预算预算 IT 系统复杂性和成本 ITIT 增强可用性降低运营成本 加快响应速度 增强安全性 IT面临的压力和挑战 商业价值商业价值 成本效率成本效率 服务水准服务水准 政府政策政府政策 应用失败 操作错误 平台 Gartner Security Conference presentation “Operation Zero Downtime“, D. Scott, May 2002 IT 运营是 重要的 系统更改的任意性 系统容量的要求 40% 忘记了
2、某些事情 缺少操作规程 备份错误 / 安全 40% 硬件,操作系统, 设备 20% 更更 IT的安全挑战和目标 u保密性 非授权用户不能非法访问数据 u完整性 非授权用户不能非法篡改数据 u可用性 非授权用户不能非法改变系统资源状态而使合法用 户不能访问数据 安全安全 保密性保密性完整性完整性可用性可用性 收入损失声誉受到损害 数据丢失或安全 受到威胁 投资者的信心 受到重创 法律后果 业务流程中断 客户的信心 受到打击 违反安全性所造成的影响 CSI/FBI 2003 调查 实施各项安全措施的成本不低,但却是出安全事 件后减轻影响的成本的一小部分。 投资改善安全性的好处 减少与系统和应用程序
3、不可用性关联的停机 时间和成本 减少与低效的安全更新部署关联的人力成本 减少由于病毒或违反信息安全性所引起的数 据丢失 增强对知识产权的保护 第二部分 1. IT面临的挑战 2.安全部署微软产品 3.案例研究 4.问题和讨论 安全部署微软产品 安全部署微软产品安全部署微软产品 安全管理规范安全管理规范 访问控制访问控制 安全架构安全架构 法律和道德法律和道德 应用安全应用安全 物理安全物理安全 加密加密 网络安全网络安全 运营安全运营安全 企业灾难恢复计划企业灾难恢复计划 ISO 17799 安全标准 u范围 提供安全覆盖范围和安全目标的简单描述 u定义 一系列与国际ISO 17799安全标准
4、相关的信 息定义 u信息安全策略 从管理的角度说明企业面临的信息安全相关 问题并提供总体的解决方向. ISO 17799 安全标准 u企业安全 企业管理架构并说明各管理层在实施信息安 全时的职责和义务 u资产分类和控制 信息资产的保护, 包括信息的分类和负责人 u人员安全 企业员工安全, 如与工作职责有关的安全培 训和知识, 安全的认知培训, 安全事件的应对 等 ISO 17799 安全标准 u物理和环境安全 保护信息资产的物理安全, 免受非法访问和 损坏 u通讯和运营管理 实施标准的运营流程和职责, 包括危机处理 和系统更改管理控制等 u访问控制 定义并实施访问控制策略, 限制对信息和应 用
5、的使用和访问 ISO 17799 安全标准 u系统开发和维护 建立对新应用的安全控制, 比如说应用的发 布, 对现有应用的修改等 u企业灾难恢复及持续经营计划 定义并实施企业持续经营的管理流程, 包括 如何确定安全威胁和降低风险等 u政府法律 定义并实施控制, 保证企业的日常行为符合 政府的法律规范等 MS推荐IT服务模式 技术 利用产品和工 具实现自动化 流程 一致的和可重复 的 人 权责分明,具备相应的 技能 安全环境安全环境 未被管理的设备未被管理的设备 被管理的客户端被管理的客户端 被管理的服务器被管理的服务器 物理安全网络主机应用数据 纵深防御模式纵深防御模式 IT 安全威胁 威胁
6、Threats 威胁 Threats Threats Threats 深层防御模型 使用分层的方法: 增加攻击者被检测到的风险 降低攻击者的成功几率 OS 加固、身份验证、 修补程序管理、HIDS 防火墙、网络访问隔离控制 警卫、锁、跟踪设备 网段、IPSec、NIDS 应用程序加固、防病毒 ACLs、加密、EFS 安全文档、用户教育 策略、过程和通告 物理安全 周边 内部网络 主机 应用程序 数据 策略、过程和通告层介绍 我想我会使 用我的名字 作为密码。 嗨,我需要配置 一个防火墙。应 该阻塞哪些端口 ? 我想我会撬开计 算机房的房门。 这样做容易得多 。 他们封锁了我 最喜爱的 Web
7、站点。幸好我 有调制解调器。 策略、过程和通告层失守 嘿,我也有网络 在运行。你怎么 配置你的防火墙 ? 我总是想不到一 个好的密码。你 用什么密码? 嗨,你知道 计算机机房 在哪儿吗? 哟,调制解调器 不错啊。那条线 的号码是多少? 策略、过程和通告层保护 防火墙 配置过程 物理访问 安全策略 用户信息 保密策略 设备请求 过程 员工安全培训有助于用户支持 安全策略 物理安全层介绍 组织的 IT 基础结构中的所有资产须 受到物理保护 物理安全层失守 安装恶意代码 损坏硬件 查看、更改 或删除文件 移除硬件 物理安全层保护 锁门并安装报警器 雇佣安全保卫人员 强制实施访问过程 监视访问情况 限
8、制数据输入设备 使用远程访问工具增强安全性 周边层介绍 商业伙伴 Internet 服务 LAN 总部 LAN Internet 服务 分支机构 无线网络 LAN 网络周边包括到以下方面 的连接: Internet 分支机构 商业伙伴 远程用户 无线网络 Internet 应用程序 远程用户 Internet 周边层失守 商业伙伴 Internet 服务 LAN 总部 LAN Internet 服务 远程用户 Internet 分支机构 无线网络 LAN 网络周边失守可能导致: 成功攻击公司网络 成功攻击远程用户 来自商业伙伴的成功攻击 来自分支机构的成功攻击 成功攻击 Internet 服务
9、 来自 Internet 的成功攻击 周边层保护 商业伙伴 Internet 服务 LAN 总部 LAN Internet 服务 分支机构 无线网络 LAN 远程用户 Internet 网络周边保护包括: 防火墙 阻塞通信端口 端口和 IP 地址转换 虚拟专用网络 (VPN) 隧道协议 VPN 隔离 内部网络层介绍 销售 无线网络 市场推广 财务 人力资源 内部网络层失守 对系统未经 授权的访问 访问所有 网络通信 对无线网络未经 授权的访问 意外的通信端口 通过网络探测 数据包 内部网络层保护 要求互相进行身份验证 网络分段 网络通信加密 即使已分段也要限制通信 对网络数据包签名 实施 IP
10、Sec 端口筛选器以限制与 服务器的通信 主机层描述 u包含网络上的各计算机系统 u通常具有特定的作用或功能 u术语“主机”既指客户端又指服务器 主机层失守 利用不安全的 操作系统配置 利用操作 系统漏洞 不受监视的访问 散布病毒 主机层保护 加固客户端和服务器操作系统 禁用不必要的服务 使安全修补程序和 Service Pack 保持最新 监视和审核访问和试图进行的访问 安装和维护防病毒软件 使用防火墙 Windows XP SP2 高级安全技术 网络保护 内存保护 更安全的电子邮件处理 更安全的浏览 改进的计算机维护 在以下网址了解更多有关 Windows XP Service Pack
11、2 的信息:http:/ 应用程序层介绍 u该层包含客户端和服务器网络应用程序 u功能必须得以维护 客户端应用程序 示例:Microsoft Outlook、 Microsoft Office 套件 服务器应用程序 示例:Web 服务器、 Exchange Server、 SQL Server 应用程序层失守 u应用程序功能丢失 u恶意代码的执行 u超出应用程序的运行极限 DoS 攻击 u应用程序被移作它用 应用程序层保护 只启用必需的服务和功能 保护内部开发的应用程序 安装所有应用程序的安全更新程序 安装和更新防病毒软件 以最低必需权限运行应用程序 在开发新的应用程序时采用最新的安全做法 数
12、据层介绍 文档 目录文件 应用程序文件 数据层失守 文档 目录文件 应用程序文件 查看、更改或删除 信息 询问目录文件 替换或修改应用 程序文件 数据层保护 用 EFS 对文件进行加密 联合使用访问控制列表和加密 从默认位置移动文件 定期执行数据备份 用 Windows Rights Management Services 保护 文档和电子邮件 使用 NTFS 实现文件和文件夹级别的安全性 安全性最佳做法 遵循深层防御模型 努力实现在设计上安全的系统 应用最低权限准则 从经验中学习 运用监视和审核 培训用户注意安全问题 制定和测试事件应对计划和过程 安全性检查列表 创建安全策略和过程文档 订阅
13、安全性警告电子邮件 了解修补程序管理的最新信息 维护定期备份和还原过程 捕捉攻击者的心思 10 条永恒的安全法则,第 1 部分 1 如果攻击者可以说服您在计算机上运行 他的程序,则计算机便不再属于您 2 如果攻击者能够在您的计算机上更改操 作系 统,则计算机便不再属于您 3 如果攻击者能够不受限制地实地访问您 的计算机,则计算机便不再属于您 4 如果您允许攻击者上载程序到您的 Web 站点,则 Web 站点便不再属于您 5 强大的安全性敌不过脆弱的密码 10 条永恒的安全法则,第 2 部分 6 计算机的安全性仅等同于管理员的可靠 性 7 加密数据的安全性仅等同于解密密钥的 安全性 8 使用过时
14、的防病毒软件比根本没有防病 毒软件略好一点 9 绝对的匿名无论在现实中还是在 Web 中都不切实际 10 技术不是万灵药 Microsoft Baseline Security Analyzer (MBSA) v1.2Microsoft Baseline Security Analyzer (MBSA) v1.2 Virus Cleaner ToolsVirus Cleaner Tools Systems Management Server (SMS) 2003Systems Management Server (SMS) 2003 Software Update Services (SUS)
15、 SP1Software Update Services (SUS) SP1 Internet Security and Acceleration (ISA) Server 2004 Standard EditionInternet Security and Acceleration (ISA) Server 2004 Standard Edition Windows XP Service Pack 2Windows XP Service Pack 2 Patching Technology Improvements (MSI 3.0)Patching Technology Improveme
16、nts (MSI 3.0) Systems Management Server 2003 SP1Systems Management Server 2003 SP1 Microsoft Operations Manager 2005Microsoft Operations Manager 2005 Windows malicious software removal toolWindows malicious software removal tool Windows Server 2003 Service Pack 1Windows Server 2003 Service Pack 1 Wi
17、ndows Update Services Windows Update Services llISA Server 2004 Enterprise EditionISA Server 2004 Enterprise Edition Windows Rights Management Services SP1Windows Rights Management Services SP1 Windows AntiSpywareWindows AntiSpyware System Center 2005System Center 2005 Windows Server 2003 “R2”Window
18、s Server 2003 “R2” Visual Studio 2005Visual Studio 2005 Vulnerability Assessment and RemediationVulnerability Assessment and Remediation Active Protection Technologies Active Protection Technologies AntivirusAntivirus PriorPrior 20200404 FutureFuture 20052005 微软安全产品时间表 资源 u寻找其他安全培训活动: http:/ 英文版) u注
19、册安全通告服务: http:/ 英文版) u订购 Security Guidance Kit: http:/ order/default.mspx(简体中文) u安全ONLINE LAB http:/ u获取其他安全工具和内容: http:/ default.mspx(简体中文)获取其他安全工具和内容: 第三部分 1. IT面临的挑战 2.安全部署微软产品 3.案例研究 4.问题和讨论 案例研究 银行/保险业 u案例 建立一个名为 “e-bank”的数据中心, 希望建立基于微软 产品和技术的安全架构, 保证系统的安全性, 高可用性和可 靠性, 系统包括电子邮件系统, 网上银行, 远程访问等 u
20、设计简介 利用 WSSRA (Windows Server System Reference Architecture) Exchange/Firewall Cluster/Multiple ISP connection Server patch management/hardening/Monitoring Change management Business Continuity plan u好处 Better Productivity Guaranteed System Up-time Delivering more service with the same budget 案例研究 银
21、行/保险业 Branch Network Corporate and Regional Facilities Regional Facility Geographic Facility Satellite Branch Branch Office 案例研究 银行/保险业 循 环 往 复 1. 1. 安全策略安全策略/ /标准标准/ /操作流程设计操作流程设计 3. 3. 安全审计安全审计 4. 4. 发现问题并提高发现问题并提高 2. 2. 实施实施 第四部分 1. IT面临的挑战 2.安全部署微软产品 3.案例研究 4.问题和讨论 FAQ u为什么要用ISA 2004防火墙来保护我的IT 系
22、统? u跟其他应用级防火墙相比, ISA 2004的优势 是什么? u微软的系统安全还是LINUX的系统安全? Questions and Comments Q & A ? Richard YiRichard Yi MBA, CISSPMBA, CISSP DPEDPE Microsoft CorporationMicrosoft Corporation Mar.Mar.1616th th 2005 2005 TechNet是什么? u只需轻轻点击,答案就在您的指尖 对于IT 专业人员来说,TechNet 是一个知识的宝库,你 可以找到关于如何规划,部署和管理微软产品的的技术资源 uu每月发放
23、包含最新信息的每月发放包含最新信息的 DVDDVD或者或者CDCD 这是最权威的资源,可以帮助你评估、配置和维护微软产品。这是最权威的资源,可以帮助你评估、配置和维护微软产品。 订阅TechNet uu可以访问该站点可以访问该站点 在线资源和社区在线资源和社区 订户订户- -仅仅提供在线服务仅仅提供在线服务 TechNet 网站 uu两周发放一次的中文电子快报两周发放一次的中文电子快报 安全更新安全更新, , 新的资源等等新的资源等等 TechNet 中文电子快报 uu有关最新微软产品介绍和技术的简报有关最新微软产品介绍和技术的简报 uu上机试验上机试验, “, “如何操作如何操作” ”等信息等信息 TechNet 活动 和网站消息 uu用户群用户群 uu可管理的新闻组可管理的新闻组 中文社区 我们从哪里可以了解到 TechNet? u访问TechNet的官方网站 u注册TechNet快报 u加入到中文在线论坛 http:/ u成为 TechNet的订户 u参与到更多的TechNet活动中或者在线了解 您的潜力,我们的动力!您的潜力,我们的动力!