从整体安全论微软产品在企业从整体安全论微软产品在企业ITIT 的实施 的实施

裔云天 裔云天 Richard YiRichard Yi

MBA, CISSPMBA, CISSP

开发合作部开发合作部微软中国有限公司微软中国有限公司

日程安排日程安排

1. IT 面临的挑战1. IT 面临的挑战

2. 安全部署微软产品2. 安全部署微软产品

3. 案例研究3. 案例研究

4. 问题和讨论 4. 问题和讨论

IT IT 预算预算

IT IT 系统复杂性和成本系统复杂性和成本

ITIT

增强可用性增强可用性 降低运营成本降低运营成本

加快响应速度加快响应速度 增强安全性增强安全性

ITIT 面临的压力和挑战面临的压力和挑战ITIT 面临的压力和挑战面临的压力和挑战

商业价值商业价值 成本效率成本效率

服务水准服务水准

政府政策政府政策

应用失败 操作错误

平台

Gartner Security Conference presentation "Operation Zero Downtime", D. Scott, May 2002

IT IT 运营是运营是 重要的重要的

• 系统更改的任意性• 系统容量的要求

40%

• 忘记了某些事情• 缺少操作规程• 备份错误 / 安全

40%

硬件 , 操作系统 , 设备… ..

20%

更更̂^

ITIT 的安全挑战和目标的安全挑战和目标

保密性保密性非授权用户不能非法访问数据非授权用户不能非法访问数据

完整性完整性非授权用户不能非法篡改数据非授权用户不能非法篡改数据

可用性可用性非授权用户不能非法改变系统资源状态而使合法非授权用户不能非法改变系统资源状态而使合法用户不能访问数据用户不能访问数据

安全安全

保密性保密性 完整性完整性 可用性可用性

收入损失收入损失 声誉受到损害声誉受到损害

数据丢失或安全受到威胁

数据丢失或安全受到威胁

投资者的信心受到重创

投资者的信心受到重创

法律后果法律后果

业务流程中断业务流程中断客户的信心受到打击

客户的信心受到打击

违反安全性所造成的影响违反安全性所造成的影响

CSI/FBI 2003 CSI/FBI 2003 调查调查

实施各项安全措施的成本不低，但却是出安全事件后减轻影响的成本的一小部分。

投资改善安全性的好处投资改善安全性的好处

减少与系统和应用程序不可用性关联的停机时间和成本减少与系统和应用程序不可用性关联的停机时间和成本

减少与低效的安全更新部署关联的人力成本减少与低效的安全更新部署关联的人力成本

减少由于病毒或违反信息安全性所引起的数据丢失减少由于病毒或违反信息安全性所引起的数据丢失

增强对知识产权的保护增强对知识产权的保护

第二部分第二部分

1. IT 面临的挑战1. IT 面临的挑战

2. 安全部署微软产品2. 安全部署微软产品

3. 案例研究3. 案例研究

4. 问题和讨论 4. 问题和讨论

安全部署微软产品安全部署微软产品安全部署微软产品安全部署微软产品

安全管理规范安全管理规范

访问控制访问控制

安全架构安全架构

法律和道德法律和道德

应用安全应用安全

物理安全物理安全

加密加密

网络安全网络安全

运营安全运营安全

企业灾难恢复计划企业灾难恢复计划

ISO 17799 ISO 17799 安全标准安全标准

范围范围提供安全覆盖范围和安全目标的简单描述提供安全覆盖范围和安全目标的简单描述

定义定义

一系列与国际一系列与国际 ISO 17799ISO 17799 安全标准相关的安全标准相关的信息定义信息定义

信息安全策略信息安全策略

从管理的角度说明企业面临的信息安全相从管理的角度说明企业面临的信息安全相关问题并提供总体的解决方向关问题并提供总体的解决方向 ..

ISO 17799 ISO 17799 安全标准安全标准

企业安全企业安全企业管理架构并说明各管理层在实施信息企业管理架构并说明各管理层在实施信息安全时的职责和义务安全时的职责和义务

资产分类和控制资产分类和控制 信息资产的保护信息资产的保护 , , 包括信息的分类和负责包括信息的分类和负责人人

人员安全人员安全 企业员工安全企业员工安全 , , 如与工作职责有关的安全如与工作职责有关的安全培训和知识培训和知识 , , 安全的认知培训安全的认知培训 , , 安全事件安全事件的应对等的应对等

ISO 17799 ISO 17799 安全标准安全标准

物理和环境安全物理和环境安全保护信息资产的物理安全保护信息资产的物理安全 , , 免受非法访问免受非法访问和损坏 和损坏

通讯和运营管理通讯和运营管理 实施标准的运营流程和职责实施标准的运营流程和职责 , , 包括危机处包括危机处理和系统更改管理控制等理和系统更改管理控制等

访问控制访问控制 定义并实施访问控制策略定义并实施访问控制策略 , , 限制对信息和限制对信息和应用的使用和访问应用的使用和访问

ISO 17799 ISO 17799 安全标准安全标准

系统开发和维护系统开发和维护建立对新应用的安全控制建立对新应用的安全控制 , , 比如说应用的比如说应用的发布发布 , , 对现有应用的修改等对现有应用的修改等

企业灾难恢复及持续经营计划企业灾难恢复及持续经营计划 定义并实施企业持续经营的管理流程定义并实施企业持续经营的管理流程 , , 包包括如何确定安全威胁和降低风险等括如何确定安全威胁和降低风险等

政府法律政府法律 定义并实施控制定义并实施控制 , , 保证企业的日常行为符保证企业的日常行为符合政府的法律规范等合政府的法律规范等

MSMS 推荐推荐 ITIT 服务模式服务模式

技术利用产品和工具实现自动化

流程一致的和可重复的

人权责分明，具备相应的技能

安全环境安全环境安全环境安全环境

未被管理的设备未被管理的设备

被管理的客户端被管理的客户端

被管理的服务器被管理的服务器

物理安全 网络 主机 应用 数据

纵深防御模式纵深防御模式

IT IT 安全威胁安全威胁

威胁威胁

ThreatsThreats

威胁威胁T

hre

ats

Th

rea

ts

Th

rea

tsT

hre

ats

Th

rea

tsT

hre

ats

深层防御模型深层防御模型 使用分层的方法：使用分层的方法：

增加攻击者被检测到的风险 增加攻击者被检测到的风险 降低攻击者的成功几率降低攻击者的成功几率

OS 加固、身份验证、 修补程序管理、 HIDS

防火墙、网络访问隔离控制

警卫、锁、跟踪设备

网段、 IPSec、 NIDS

应用程序加固、防病毒

ACLs、加密、 EFS

安全文档、用户教育策略、过程和通告策略、过程和通告

物理安全物理安全

周边

内部网络

主机

应用程序

数据

策略、过程和通告层介绍策略、过程和通告层介绍

我想我会使用我的名字作为密码。

嗨，我需要配置一个防火墙。应

该阻塞哪些端口？

我想我会撬开计算机房的房门。

这样做容易得多。

他们封锁了我最喜爱的 Web 站点。幸好我

有调制解调器。

策略、过程和通告层失守策略、过程和通告层失守

嘿，我也有网络在运行。你怎么配置你的防火墙

？

我总是想不到一个好的密码。你

用什么密码？

嗨，你知道计算机机房在哪儿吗？

哟，调制解调器不错啊。那条线的号码是多少？

策略、过程和通告层保护策略、过程和通告层保护

防火墙配置过程物理访问安全策略

用户信息保密策略

设备请求过程

员工安全培训有助于用户支持员工安全培训有助于用户支持安全策略安全策略

物理安全层介绍物理安全层介绍

组织的 组织的 IT IT 基础结构中的所有资产基础结构中的所有资产须受到物理保护须受到物理保护

物理安全层失守物理安全层失守

安装恶意代码安装恶意代码

损坏硬件损坏硬件查看、更改或删除文件查看、更改或删除文件

移除硬件移除硬件

物理安全层保护物理安全层保护

锁门并安装报警器锁门并安装报警器

雇佣安全保卫人员雇佣安全保卫人员

强制实施访问过程强制实施访问过程

监视访问情况监视访问情况

限制数据输入设备限制数据输入设备

使用远程访问工具增强安全性使用远程访问工具增强安全性

周边层介绍周边层介绍

商业伙伴商业伙伴

Internet 服务

LAN

总部总部

LAN

Internet 服务

分支机构分支机构

无线网络

LAN

网络周边包括到以下方面的连接：网络周边包括到以下方面的连接：

Internet分支机构商业伙伴远程用户无线网络Internet 应用程序

Internet分支机构商业伙伴远程用户无线网络Internet 应用程序

远程用户远程用户

Internet

周边层失守周边层失守

商业伙伴商业伙伴

Internet 服务

LAN

总部总部

LAN

Internet 服务

远程用户远程用户

Internet

分支机构分支机构

无线网络

LAN

网络周边失守可能导致：网络周边失守可能导致：

成功攻击公司网络成功攻击远程用户 来自商业伙伴的成功攻击来自分支机构的成功攻击成功攻击 Internet 服务来自 Internet 的成功攻击

成功攻击公司网络成功攻击远程用户 来自商业伙伴的成功攻击来自分支机构的成功攻击成功攻击 Internet 服务来自 Internet 的成功攻击

周边层保护周边层保护

商业伙伴商业伙伴

Internet 服务

LAN

总部总部

LAN

Internet 服务

分支机构分支机构

无线网络

LAN

远程用户远程用户

Internet

网络周边保护包括：网络周边保护包括：

防火墙阻塞通信端口端口和 IP 地址转换虚拟专用网络 (VPN)隧道协议VPN 隔离

防火墙阻塞通信端口端口和 IP 地址转换虚拟专用网络 (VPN)隧道协议VPN 隔离

内部网络层介绍内部网络层介绍

销售销售无线网络无线网络

市场推广市场推广

财务财务人力资源人力资源

内部网络层失守内部网络层失守

对系统未经授权的访问对系统未经授权的访问

访问所有网络通信访问所有网络通信

对无线网络未经授权的访问

对无线网络未经授权的访问

意外的通信端口意外的通信端口

通过网络探测数据包

通过网络探测数据包

内部网络层保护内部网络层保护

要求互相进行身份验证要求互相进行身份验证

网络分段网络分段

网络通信加密网络通信加密

即使已分段也要限制通信即使已分段也要限制通信

对网络数据包签名对网络数据包签名

实施 IPSec 端口筛选器以限制与服务器的通信实施 IPSec 端口筛选器以限制与服务器的通信

主机层描述主机层描述 包含网络上的各计算机系统包含网络上的各计算机系统 通常具有特定的作用或功能通常具有特定的作用或功能 术语“主机”既指客户端又指服务器术语“主机”既指客户端又指服务器

主机层失守主机层失守

利用不安全的操作系统配置

利用操作系统漏洞

不受监视的访问散布病毒

主机层保护主机层保护

加固客户端和服务器操作系统加固客户端和服务器操作系统

禁用不必要的服务禁用不必要的服务

使安全修补程序和 Service Pack 保持最新使安全修补程序和 Service Pack 保持最新

监视和审核访问和试图进行的访问监视和审核访问和试图进行的访问

安装和维护防病毒软件安装和维护防病毒软件

使用防火墙使用防火墙

Windows XP SP2 Windows XP SP2 高级安全技高级安全技术术

网络保护内存保护更安全的电子邮件处理更安全的浏览

改进的计算机维护

在以下网址了解更多有关 Windows XP Service Pack 2 的信息： http://www.microsoft.com/sp2preview

网络保护内存保护更安全的电子邮件处理更安全的浏览

改进的计算机维护

在以下网址了解更多有关 Windows XP Service Pack 2 的信息： http://www.microsoft.com/sp2preview

应用程序层介绍应用程序层介绍 该层包含客户端和服务器网络应用程序该层包含客户端和服务器网络应用程序 功能必须得以维护功能必须得以维护

客户端应用程序示例： Microsoft Outlook、 Microsoft Office 套件

服务器应用程序 示例： Web 服务器、

Exchange Server、SQL Server

应用程序层失守应用程序层失守

应用程序功能丢失应用程序功能丢失 恶意代码的执行恶意代码的执行 超出应用程序的运行极限 超出应用程序的运行极限 – – DoS DoS 攻击攻击 应用程序被移作它用应用程序被移作它用

应用程序层保护应用程序层保护

只启用必需的服务和功能只启用必需的服务和功能

保护内部开发的应用程序保护内部开发的应用程序

安装所有应用程序的安全更新程序安装所有应用程序的安全更新程序

安装和更新防病毒软件安装和更新防病毒软件

以最低必需权限运行应用程序以最低必需权限运行应用程序

在开发新的应用程序时采用最新的安全做法在开发新的应用程序时采用最新的安全做法

数据层介绍数据层介绍

文档目录文件

应用程序文件

数据层失守数据层失守

文档目录文件

应用程序文件

查看、更改或删除信息

查看、更改或删除信息

询问目录文件询问目录文件

替换或修改应用程序文件

替换或修改应用程序文件

数据层保护数据层保护

用 EFS 对文件进行加密用 EFS 对文件进行加密

联合使用访问控制列表和加密联合使用访问控制列表和加密

从默认位置移动文件从默认位置移动文件

定期执行数据备份定期执行数据备份

用 Windows Rights Management Services 保护文档和电子邮件用 Windows Rights Management Services 保护文档和电子邮件

使用 NTFS 实现文件和文件夹级别的安全性使用 NTFS 实现文件和文件夹级别的安全性

安全性最佳做法安全性最佳做法遵循深层防御模型遵循深层防御模型

努力实现在设计上安全的系统努力实现在设计上安全的系统

应用最低权限准则应用最低权限准则

从经验中学习从经验中学习

运用监视和审核运用监视和审核

培训用户注意安全问题培训用户注意安全问题

制定和测试事件应对计划和过程制定和测试事件应对计划和过程

安全性检查列表安全性检查列表

创建安全策略和过程文档创建安全策略和过程文档

订阅安全性警告电子邮件订阅安全性警告电子邮件

了解修补程序管理的最新信息了解修补程序管理的最新信息

维护定期备份和还原过程维护定期备份和还原过程

捕捉攻击者的心思捕捉攻击者的心思

10 10 条永恒的安全法则，第 条永恒的安全法则，第 1 1 部部分分

11如果攻击者可以说服您在计算机上运行如果攻击者可以说服您在计算机上运行他的程序，则计算机便不再属于您他的程序，则计算机便不再属于您

22如果攻击者能够在您的计算机上更改操如果攻击者能够在您的计算机上更改操作系作系统，则计算机便不再属于您统，则计算机便不再属于您

33如果攻击者能够不受限制地实地访问您如果攻击者能够不受限制地实地访问您的计算机，则计算机便不再属于您的计算机，则计算机便不再属于您

44如果您允许攻击者上载程序到您的 如果您允许攻击者上载程序到您的 Web Web 站点，则 站点，则 Web Web 站点便不再属于站点便不再属于您您

55 强大的安全性敌不过脆弱的密码强大的安全性敌不过脆弱的密码

10 10 条永恒的安全法则，第 条永恒的安全法则，第 2 2 部部分分

66计算机的安全性仅等同于管理员的可靠计算机的安全性仅等同于管理员的可靠性性

77加密数据的安全性仅等同于解密密钥的加密数据的安全性仅等同于解密密钥的安全性安全性

88使用过时的防病毒软件比根本没有防病使用过时的防病毒软件比根本没有防病毒软件略好一点毒软件略好一点

99绝对的匿名无论在现实中还是在 绝对的匿名无论在现实中还是在 Web Web 中都不切实际中都不切实际

1010 技术不是万灵药技术不是万灵药

Microsoft Baseline Security Analyzer (MBSA) v1.2Microsoft Baseline Security Analyzer (MBSA) v1.2Virus Cleaner ToolsVirus Cleaner ToolsSystems Management Server (SMS) 2003Systems Management Server (SMS) 2003Software Update Services (SUS) SP1Software Update Services (SUS) SP1Internet Security and Acceleration (ISA) Server 2004 Internet Security and Acceleration (ISA) Server 2004 Standard EditionStandard EditionWindows XP Service Pack 2Windows XP Service Pack 2

Patching Technology Improvements (MSI Patching Technology Improvements (MSI 3.0)3.0)Systems Management Server 2003 SP1Systems Management Server 2003 SP1Microsoft Operations Manager 2005Microsoft Operations Manager 2005Windows malicious software removal toolWindows malicious software removal tool

Windows Server 2003 Service Pack 1Windows Server 2003 Service Pack 1Windows Update Services Windows Update Services ISA Server 2004 Enterprise EditionISA Server 2004 Enterprise EditionWindows Rights Management Services SP1Windows Rights Management Services SP1Windows AntiSpywareWindows AntiSpywareSystem Center 2005System Center 2005Windows Server 2003 “R2”Windows Server 2003 “R2”Visual Studio 2005Visual Studio 2005

Vulnerability Assessment and Vulnerability Assessment and RemediationRemediationActive Protection Technologies Active Protection Technologies AntivirusAntivirus

PriorPrior

20042004

FutureFuture

20052005

微软安全产品时间表微软安全产品时间表

资源资源 寻找其他安全培训活动：寻找其他安全培训活动： http://www.microsoft.com/seminar/events/security.mspxhttp://www.microsoft.com/seminar/events/security.mspx

英文版）英文版） 注册安全通告服务：注册安全通告服务：

http://www.microsoft.com/technet/security/signup/default.mspx

英文版）英文版） 订购 订购 Security Guidance KitSecurity Guidance Kit ：：

http://www.microsoft.com/china/security/guidance/http://www.microsoft.com/china/security/guidance/order/default.mspxorder/default.mspx （简体中文）（简体中文）

安全安全 ONLINE LAB ONLINE LAB

http://www.microsoftelearning.com/securityhttp://www.microsoftelearning.com/security 获取其他安全工具和内容：获取其他安全工具和内容：

http://www.microsoft.com/china/security/guidance/http://www.microsoft.com/china/security/guidance/default.mspxdefault.mspx （简体中文）（简体中文）获取其他安全工具和内容：获取其他安全工具和内容：

第三部分第三部分

1. IT 面临的挑战1. IT 面临的挑战

2. 安全部署微软产品2. 安全部署微软产品

3. 案例研究3. 案例研究

4. 问题和讨论 4. 问题和讨论

案例研究案例研究– – 银行银行 // 保险业保险业 案例案例

建立一个名为建立一个名为 “ “ e-bank”e-bank” 的数据中心的数据中心 , , 希望建立基于微希望建立基于微软产品和技术的安全架构软产品和技术的安全架构 , , 保证系统的安全性保证系统的安全性 , , 高可用高可用性和可靠性性和可靠性 , , 系统包括电子邮件系统系统包括电子邮件系统 , , 网上银行网上银行 , , 远程远程访问等访问等

设计简介设计简介 利用利用 WSSRA (Windows Server System Reference WSSRA (Windows Server System Reference

Architecture)Architecture) Exchange/Firewall Cluster/Multiple ISP connectionExchange/Firewall Cluster/Multiple ISP connection Server patch management/hardening/MonitoringServer patch management/hardening/Monitoring Change managementChange management Business Continuity planBusiness Continuity plan

好处好处 Better ProductivityBetter Productivity Guaranteed System Up-timeGuaranteed System Up-time Delivering more service with the same budgetDelivering more service with the same budget

案例研究案例研究– – 银行银行 // 保险业保险业

Branch

Network

Corporate

and Regional

Facilities

Regional

FacilityGeographic

Facility

Satellite

Branch

Branch

Office

案例研究案例研究– – 银行银行 // 保险业保险业

循循环环往往复复

1. 1. 安全策略安全策略 // 标准标准 // 操作流程设计操作流程设计

3. 3. 安全审计安全审计

4. 4. 发现问题并提高发现问题并提高

2. 2. 实施实施

第四部分第四部分

1. IT 面临的挑战1. IT 面临的挑战

2. 安全部署微软产品2. 安全部署微软产品

3. 案例研究3. 案例研究

4. 问题和讨论 4. 问题和讨论

FAQFAQ

为什么要用为什么要用 ISA 2004ISA 2004 防火墙来保护我的防火墙来保护我的 ITIT系统系统 ? ?

跟其他应用级防火墙相比跟其他应用级防火墙相比 , ISA 2004, ISA 2004 的优的优势是什么势是什么 ??

微软的系统安全还是微软的系统安全还是 LINUXLINUX 的系统安全的系统安全 ??

Questions and CommentsQuestions and Comments

Q & A ?Richard YiRichard YiMBA, CISSPMBA, CISSPDPEDPEMicrosoft CorporationMicrosoft Corporation Mar.16Mar.16thth 2005 2005

TechNetTechNet 是什么是什么 ?? 只需轻轻点击，答案就在您的指尖只需轻轻点击，答案就在您的指尖

对于对于 IT IT 专业人员来说，专业人员来说， TechNet TechNet 是一个知识的宝库，你是一个知识的宝库，你可以找到关于如何规划，部署和管理微软产品的的技术资源可以找到关于如何规划，部署和管理微软产品的的技术资源

每月发放包含最新信息的 每月发放包含最新信息的 DVDDVD 或者或者 CDCD 这是最权威的资源，可以帮助你评估、配置和维护微软产品。这是最权威的资源，可以帮助你评估、配置和维护微软产品。

订阅 TechNet

可以访问该站点 可以访问该站点 www.microsoft.com/china/technet 在线资源和社区在线资源和社区 订户订户 ----仅仅提供在线服务仅仅提供在线服务

TechNet 网站

两周发放一次的中文电子快报两周发放一次的中文电子快报 安全更新安全更新 , , 新的资源等等新的资源等等

TechNet 中文电子快报

有关最新微软产品介绍和技术的简报有关最新微软产品介绍和技术的简报上机试验上机试验 , “, “ 如何操作”等信息如何操作”等信息

TechNet 活动和网站消息

用户群用户群 可管理的新闻组可管理的新闻组

中文社区

我们从哪里可以了解到 我们从哪里可以了解到 TechNet?TechNet?

访问访问 TechNetTechNet 的官方网站的官方网站www.microsoft.com/China/technetwww.microsoft.com/China/technet

注册注册 TechNetTechNet 快报 快报 www.microsoft.com/china/technet/abouttn/subscriptions/flash.mspxwww.microsoft.com/china/technet/abouttn/subscriptions/flash.mspx

加入到中文在线论坛 加入到中文在线论坛 http://www.microsoft.com/china/community/http://www.microsoft.com/china/community/

成为 成为 TechNetTechNet 的订户 的订户 www.microsoft.com/china/technetwww.microsoft.com/china/technet

参与到更多的参与到更多的 TechNetTechNet 活动中或者在线了解活动中或者在线了解www.microsoft.com/china/technetwww.microsoft.com/china/technet

您的潜力，我们的动力！您的潜力，我们的动力！