微軟的IT安全規(guī)劃課件_第1頁
微軟的IT安全規(guī)劃課件_第2頁
微軟的IT安全規(guī)劃課件_第3頁
微軟的IT安全規(guī)劃課件_第4頁
微軟的IT安全規(guī)劃課件_第5頁
已閱讀5頁,還剩67頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

微軟內(nèi)部的安全管理

-IT實踐何梅ITManagerOperationTechnologyGroupMicrosoftCorporation微軟內(nèi)部的安全管理

-IT實踐何梅微軟的IT安全規(guī)劃課件概述:微軟IT的使命和工作的優(yōu)先級我們所面臨的問題采取的幾項措施事例分析概述:微軟IT的使命和工作的優(yōu)先級IT目標和優(yōu)先級優(yōu)先級Microsoft的首位用戶和最佳用戶提供領(lǐng)先的思維建立并列的IT戰(zhàn)略運行一個世界級的公用設(shè)施“預(yù)見性地交付超出我們客戶、用戶和合作伙伴預(yù)期

的IT基礎(chǔ)結(jié)構(gòu)和應(yīng)用程序——使隨時隨地的工作更方便更有效率.”RickDevenuti–MicrosoftCIOIT目標和優(yōu)先級優(yōu)先級“預(yù)見性地交付超出我們客戶、用戶和合RedmondSydneyChofu&LesUlisTelehousTVPDublinBeneluxSiliconValleyMadridDubaiSingaporeJohannesburgSaoPaulo72,000個郵箱MicrosoftIT數(shù)據(jù)MilanStockholmMunichCanyonParkLosColinasCharlotteChicagoMilanStockholmMunichOemachi7000多臺服務(wù)器遍布世界的400多個IT支持位置每天450多萬封email每月260萬個語音電話400多種應(yīng)用程序150,000多臺PC110臺Exchange服務(wù)器RedmondSydneyChofu&LesUlisTe我們所面對的:來自外界的:100k+intrusionattempts/probes/scanspermonth125k+quarantinedemails/month225knetworkeddevices挑戰(zhàn)微軟的文化獨特的開發(fā)要求應(yīng)用程序的內(nèi)部測試技術(shù)的領(lǐng)先我們所面對的:來自外界的:生態(tài)系統(tǒng)InfoSecmustunderstandandmanagevulnerabilitiesacrossall5vectors.Threatsinanyofthesevectorsalmostalwaysleadtocompromiseofothervectors.Exploitofmisconfiguration,bufferoverflows,openshares,NetBIOSattacks托管對應(yīng)用程序的未授權(quán)訪問未經(jīng)檢查的內(nèi)存駐留應(yīng)用程序賬戶的一致性和私有性賬戶信任關(guān)系Datasniffingonthewire,networkfingerprinting網(wǎng)絡(luò)ExternalInfluences

(people,bugs,etc.)System

SecurityExternalInfluences

(people,bugs,etc.)生態(tài)系統(tǒng)InfoSecmustunderstandan理想的信息安全是:在一個包含的服務(wù)、應(yīng)用程序和網(wǎng)絡(luò)架構(gòu)的IT環(huán)境中,提供高可靠性、私有性和安全幾點重要保證:驗證身份所需資源的安全可靠數(shù)據(jù)和通訊的私有性角色和職能的劃分快速的危險和威脅的反應(yīng)理想的信息安全是:在一個包含的服務(wù)、應(yīng)用程序和網(wǎng)絡(luò)架構(gòu)的IT安全的策略目標確保網(wǎng)絡(luò)周邊的安全確保網(wǎng)絡(luò)內(nèi)部的安全確保重要資產(chǎn)的安全加強監(jiān)控和審計服務(wù)策略Investigations&ForensicsThreat&RiskAnalysisManagePolicyVulnerabilityScanningSecurityAuditsAccessManagementSmartCardsforRASSecureRemoteUserManagedSourceNetworkSegmentationSecuringtheExtranetUntrustworthyDevicesSecureEnvironmentalRemediation安全的策略目標確保網(wǎng)絡(luò)周邊的安全確保網(wǎng)絡(luò)內(nèi)部的安全加強監(jiān)控和危險的分類危險的分類技術(shù)不是解決問題的唯一技術(shù)不是解決問題的唯一危險的預(yù)防級別危險的預(yù)防級別事例分析事例分析安全小組InformationSecurityTeamThreat,Risk

Analysis&PolicyAssessment

ComplianceMonitoring,IntrusionDetection,IncidentResponseSharedServices

OperationsThreat&Risk

AnalysisPolicy

DevelopmentProduct

EvaluationDesign

ReviewStructure

StandardsSecurity

ManagementSecurity

AssessmentCompliance&

RemediationMonitoring&

IntrusionDetectionRapidResponse

&Resolution

ForensicsIT

InvestigationsPhysical&

RemoteAccessCertificate

AdministrationSecurity

ToolsInitiative

Management安全小組InformationSecurityTeamT確保網(wǎng)絡(luò)周邊的安全

ISAServerasPerimeterFirewall確保網(wǎng)絡(luò)周邊的安全

ISAServerasPerime遠程訪問的架構(gòu)CorpnetDomain

ControllerIASRRASIAS

ProxyRRAS

VPNUUNetPOPInternetVPNtunnelover

broadbandconnectionVPNtunneloveranalogconnectionAnalogconnectionoverdirectdialconnectionCHAPauthenticationEAP/TLSauthenticationEmployee

computerCorpnetMSCHAP

EAPauthentication遠程訪問的架構(gòu)CorpnetDomain

Controlle確保網(wǎng)絡(luò)周邊的安全

RASDeployment使用智能卡實施VPN/RADIUS利用Windows2000Server’sPKI集中式卡的管理確保網(wǎng)絡(luò)周邊的安全

RASDeployment使用智能卡確保網(wǎng)絡(luò)周邊的安全

ConnectionManager用戶撥號所必需的

檢查系統(tǒng)設(shè)置:是否安裝放病毒軟件ICFICS

(關(guān)閉)利用Auto-Update功能Push所需的軟件確保網(wǎng)絡(luò)周邊的安全

ConnectionManager用戶確保網(wǎng)絡(luò)內(nèi)部的安全

用戶賬戶的管理密碼是嚴格控制的信息所有用戶,系統(tǒng),網(wǎng)絡(luò)和應(yīng)用程序的密碼必須70天更新密碼在網(wǎng)絡(luò)傳輸?shù)倪^程中加密密碼的標準確保網(wǎng)絡(luò)內(nèi)部的安全

用戶賬戶的管理密碼是嚴格控制的信息確保內(nèi)部網(wǎng)絡(luò)的安全

確保無線網(wǎng)絡(luò)的安全升級fireware到802.1x禁用

sharedWEPkey禁止使用非IT管理的AP采用PKI分發(fā)和驗證用戶和機器的證書

確保內(nèi)部網(wǎng)絡(luò)的安全

確保無線網(wǎng)絡(luò)的安全升級fireware確保網(wǎng)絡(luò)內(nèi)部的安全

NetworkThreats,Risks,andAttacksNetworkLevelThreatsUn-patchedvulnerabilities/

mis-configurationCompromiseofdataintegrity“over-the-wire”UnauthorizedaccesstoacomputerAttacksBufferoverflowattacksSQLSlammerCodeRedNimdaRisksUntrustedcomputersMalware&malicioususersgainingaccessNetworkedmachinescanbeaconduittovaluabledata確保網(wǎng)絡(luò)內(nèi)部的安全

NetworkThreats,Ris確保網(wǎng)絡(luò)內(nèi)部的安全

網(wǎng)絡(luò)的隔離降低危險確認微軟IT管理的機器區(qū)分微軟IT管理,非IT管理的機器限制訪問

NetworkSegmentationApproach限制非IT管理的機器(不在domain中的)

訪問IT管理的機器利用IPsec確保網(wǎng)絡(luò)內(nèi)部的安全

網(wǎng)絡(luò)的隔離降低危險確保網(wǎng)絡(luò)內(nèi)部的安全

補丁管理確保網(wǎng)絡(luò)內(nèi)部的安全

補丁管理WindowsUpdate

WindowsUpdateWindowsUpdate

WindowsUpdateMicrosoftBaselineSecurityAdvisor(MBSA)

MicrosoftBaselineSecurityAdMicrosoftBaselineSecurityAdvisor(MBSA)MicrosoftBaselineSecurityAdAdvertisedProgramMonitor

(DeployedbySMS)AdvertisedProgramMonitor

(DeAdvertisedProgramMonitor

在設(shè)定的時間段,程序可以自動運行

AdvertisedProgramMonitor在設(shè)定ASAP實施

applicationsoftwareassuranceprogram危險評估設(shè)計審核產(chǎn)品發(fā)布之前的評估產(chǎn)品發(fā)布之后的跟蹤ASAP實施

applicationsoftwarea增強監(jiān)督機制設(shè)立專門的監(jiān)督部門利用自動工具進行掃描微軟對外發(fā)布的工具有:MicrosoftBaselineSecurityAnalyzer(MBSA)andHFNetChkScanformissinghotfixesandothervulnerabilitiesScanningisgeographicallydistributedandusesavarietyofnetworksweepmethodologiesAninternallydevelopedtoolkithelpstoidentifyandcorrectvulnerabilities增強監(jiān)督機制設(shè)立專門的監(jiān)督部門防病毒的策略安裝防病毒軟件AuditemployeedesktopsviaalogonscriptQuarantineremotecomputerswithouteTrustfromconnecting利用在Outlook中的安全設(shè)置EmailattachmentsecurityHeightenedOutlookdefaultsecuritysettingsObjectModelGuard在ExchangeIMC上做設(shè)置Currentlyblock38fileextensionsattheIMCContentscanningandfilteringatInternetfacingserversBlockrogueWebsitesattheProxyservers防病毒的策略安裝防病毒軟件微軟的IT安全規(guī)劃課件微軟的IT安全規(guī)劃課件更多的信息可以在:AdditionalcontentonOTGdeploymentsandbestpracticescanbefoundon.TechNet:

/technet/showcaseCaseStudyResources:

/resources/casestudies

更多的信息可以在:Additionalcontenton?2003MicrosoftCorporation.Allrightsreserved.Thispresentationisforinformationalpurposesonly.MICROSOFTMAKESNOWARRANTIES,EXPRESSORIMPLIED,INTHISSUMMARY.?2003MicrosoftCorporation.微軟內(nèi)部的安全管理

-IT實踐何梅ITManagerOperationTechnologyGroupMicrosoftCorporation微軟內(nèi)部的安全管理

-IT實踐何梅微軟的IT安全規(guī)劃課件概述:微軟IT的使命和工作的優(yōu)先級我們所面臨的問題采取的幾項措施事例分析概述:微軟IT的使命和工作的優(yōu)先級IT目標和優(yōu)先級優(yōu)先級Microsoft的首位用戶和最佳用戶提供領(lǐng)先的思維建立并列的IT戰(zhàn)略運行一個世界級的公用設(shè)施“預(yù)見性地交付超出我們客戶、用戶和合作伙伴預(yù)期

的IT基礎(chǔ)結(jié)構(gòu)和應(yīng)用程序——使隨時隨地的工作更方便更有效率.”RickDevenuti–MicrosoftCIOIT目標和優(yōu)先級優(yōu)先級“預(yù)見性地交付超出我們客戶、用戶和合RedmondSydneyChofu&LesUlisTelehousTVPDublinBeneluxSiliconValleyMadridDubaiSingaporeJohannesburgSaoPaulo72,000個郵箱MicrosoftIT數(shù)據(jù)MilanStockholmMunichCanyonParkLosColinasCharlotteChicagoMilanStockholmMunichOemachi7000多臺服務(wù)器遍布世界的400多個IT支持位置每天450多萬封email每月260萬個語音電話400多種應(yīng)用程序150,000多臺PC110臺Exchange服務(wù)器RedmondSydneyChofu&LesUlisTe我們所面對的:來自外界的:100k+intrusionattempts/probes/scanspermonth125k+quarantinedemails/month225knetworkeddevices挑戰(zhàn)微軟的文化獨特的開發(fā)要求應(yīng)用程序的內(nèi)部測試技術(shù)的領(lǐng)先我們所面對的:來自外界的:生態(tài)系統(tǒng)InfoSecmustunderstandandmanagevulnerabilitiesacrossall5vectors.Threatsinanyofthesevectorsalmostalwaysleadtocompromiseofothervectors.Exploitofmisconfiguration,bufferoverflows,openshares,NetBIOSattacks托管對應(yīng)用程序的未授權(quán)訪問未經(jīng)檢查的內(nèi)存駐留應(yīng)用程序賬戶的一致性和私有性賬戶信任關(guān)系Datasniffingonthewire,networkfingerprinting網(wǎng)絡(luò)ExternalInfluences

(people,bugs,etc.)System

SecurityExternalInfluences

(people,bugs,etc.)生態(tài)系統(tǒng)InfoSecmustunderstandan理想的信息安全是:在一個包含的服務(wù)、應(yīng)用程序和網(wǎng)絡(luò)架構(gòu)的IT環(huán)境中,提供高可靠性、私有性和安全幾點重要保證:驗證身份所需資源的安全可靠數(shù)據(jù)和通訊的私有性角色和職能的劃分快速的危險和威脅的反應(yīng)理想的信息安全是:在一個包含的服務(wù)、應(yīng)用程序和網(wǎng)絡(luò)架構(gòu)的IT安全的策略目標確保網(wǎng)絡(luò)周邊的安全確保網(wǎng)絡(luò)內(nèi)部的安全確保重要資產(chǎn)的安全加強監(jiān)控和審計服務(wù)策略Investigations&ForensicsThreat&RiskAnalysisManagePolicyVulnerabilityScanningSecurityAuditsAccessManagementSmartCardsforRASSecureRemoteUserManagedSourceNetworkSegmentationSecuringtheExtranetUntrustworthyDevicesSecureEnvironmentalRemediation安全的策略目標確保網(wǎng)絡(luò)周邊的安全確保網(wǎng)絡(luò)內(nèi)部的安全加強監(jiān)控和危險的分類危險的分類技術(shù)不是解決問題的唯一技術(shù)不是解決問題的唯一危險的預(yù)防級別危險的預(yù)防級別事例分析事例分析安全小組InformationSecurityTeamThreat,Risk

Analysis&PolicyAssessment

ComplianceMonitoring,IntrusionDetection,IncidentResponseSharedServices

OperationsThreat&Risk

AnalysisPolicy

DevelopmentProduct

EvaluationDesign

ReviewStructure

StandardsSecurity

ManagementSecurity

AssessmentCompliance&

RemediationMonitoring&

IntrusionDetectionRapidResponse

&Resolution

ForensicsIT

InvestigationsPhysical&

RemoteAccessCertificate

AdministrationSecurity

ToolsInitiative

Management安全小組InformationSecurityTeamT確保網(wǎng)絡(luò)周邊的安全

ISAServerasPerimeterFirewall確保網(wǎng)絡(luò)周邊的安全

ISAServerasPerime遠程訪問的架構(gòu)CorpnetDomain

ControllerIASRRASIAS

ProxyRRAS

VPNUUNetPOPInternetVPNtunnelover

broadbandconnectionVPNtunneloveranalogconnectionAnalogconnectionoverdirectdialconnectionCHAPauthenticationEAP/TLSauthenticationEmployee

computerCorpnetMSCHAP

EAPauthentication遠程訪問的架構(gòu)CorpnetDomain

Controlle確保網(wǎng)絡(luò)周邊的安全

RASDeployment使用智能卡實施VPN/RADIUS利用Windows2000Server’sPKI集中式卡的管理確保網(wǎng)絡(luò)周邊的安全

RASDeployment使用智能卡確保網(wǎng)絡(luò)周邊的安全

ConnectionManager用戶撥號所必需的

檢查系統(tǒng)設(shè)置:是否安裝放病毒軟件ICFICS

(關(guān)閉)利用Auto-Update功能Push所需的軟件確保網(wǎng)絡(luò)周邊的安全

ConnectionManager用戶確保網(wǎng)絡(luò)內(nèi)部的安全

用戶賬戶的管理密碼是嚴格控制的信息所有用戶,系統(tǒng),網(wǎng)絡(luò)和應(yīng)用程序的密碼必須70天更新密碼在網(wǎng)絡(luò)傳輸?shù)倪^程中加密密碼的標準確保網(wǎng)絡(luò)內(nèi)部的安全

用戶賬戶的管理密碼是嚴格控制的信息確保內(nèi)部網(wǎng)絡(luò)的安全

確保無線網(wǎng)絡(luò)的安全升級fireware到802.1x禁用

sharedWEPkey禁止使用非IT管理的AP采用PKI分發(fā)和驗證用戶和機器的證書

確保內(nèi)部網(wǎng)絡(luò)的安全

確保無線網(wǎng)絡(luò)的安全升級fireware確保網(wǎng)絡(luò)內(nèi)部的安全

NetworkThreats,Risks,andAttacksNetworkLevelThreatsUn-patchedvulnerabilities/

mis-configurationCompromiseofdataintegrity“over-the-wire”UnauthorizedaccesstoacomputerAttacksBufferoverflowattacksSQLSlammerCodeRedNimdaRisksUntrustedcomputersMalware&malicioususersgainingaccessNetworkedmachinescanbeaconduittovaluabledata確保網(wǎng)絡(luò)內(nèi)部的安全

NetworkThreats,Ris確保網(wǎng)絡(luò)內(nèi)部的安全

網(wǎng)絡(luò)的隔離降低危險確認微軟IT管理的機器區(qū)分微軟IT管理,非IT管理的機器限制訪問

NetworkSegmentationApproach限制非IT管理的機器(不在domain中的)

訪問IT管理的機器利用IPsec確保網(wǎng)絡(luò)內(nèi)部的安全

網(wǎng)絡(luò)的隔離降低危險確保網(wǎng)絡(luò)內(nèi)部的安全

補丁管理確保網(wǎng)絡(luò)內(nèi)部的安全

補丁管理WindowsUpdate

WindowsUpdateWindowsUpdate

WindowsUpdateMicrosoftBaselineSecurityAdvisor(MBSA)

MicrosoftBaselineSecurityAdMicrosoftBaselineSecurityAdvisor(MBSA)MicrosoftBaselineSecurityAdAdvertisedProgramMonitor

(DeployedbySMS)AdvertisedProgramMonitor

(DeAdvertisedProgramMonitor

在設(shè)定的時間段,程序可以自動運行

AdvertisedProgramMonitor在設(shè)定ASAP實施

applicationsoftwareassuranceprogram危險評估設(shè)計審核產(chǎn)品發(fā)布之前的評估產(chǎn)品發(fā)布之后的跟蹤ASAP實施

applicationsoftwarea增強監(jiān)督機制設(shè)立專門的監(jiān)督部門利用自動工具進行掃描微軟對外發(fā)布的工具有

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論