微软的安全战略与技术实践
微软与信息安全 …
全公司对信息安全的高度重视;全公司对信息安全的高度重视;
在安全技术研发、人员贮备的大力投入;在安全技术研发、人员贮备的大力投入;
对客户高度负责的积极态度;对客户高度负责的积极态度;
完整的信息安全解决方案;完整的信息安全解决方案;
与众多安全机构、安全厂商的广泛合作;与众多安全机构、安全厂商的广泛合作;
善于总结和分享经验、教训;善于总结和分享经验、教训;
微软与信息安全 …
全公司对信息安全的高度重视;全公司对信息安全的高度重视;
在安全技术研发、人员贮备的大力投入;在安全技术研发、人员贮备的大力投入;
对客户高度负责的积极态度;对客户高度负责的积极态度;
完整的信息安全解决方案;完整的信息安全解决方案;
与众多安全机构、安全厂商的广泛合作;与众多安全机构、安全厂商的广泛合作;
善于总结和分享经验、教训;善于总结和分享经验、教训;
来自微软高层的 2 封 E-Mail
Bill GateBill Gate:微软在安全领域的努力、现阶段的成绩,未来发展方向;:微软在安全领域的努力、现阶段的成绩,未来发展方向;
Steve BallmarSteve Ballmar:微软信息管理战略:微软信息管理战略————自主动态管理;自主动态管理;
微软与信息安全 …
全公司对信息安全的高度重视;全公司对信息安全的高度重视;
在安全技术研发、人员贮备的大力投入;在安全技术研发、人员贮备的大力投入;
对客户高度负责的积极态度;对客户高度负责的积极态度;
完整的信息安全解决方案;完整的信息安全解决方案;
与众多安全机构、安全厂商的广泛合作;与众多安全机构、安全厂商的广泛合作;
善于总结和分享经验、教训;善于总结和分享经验、教训;
安全性安全性 私密性私密性 可靠性可靠性 商务完整性商务完整性
微软对TWC的具体实践
——Windows Server 2003 的安全保障
16,000 16,000 工程师参加为期工程师参加为期 4~6 4~6 周的安全培训;周的安全培训;
360 360 人获人获 CISSP CISSP 认证(占员工总数的认证(占员工总数的%%););
完成并评估了完成并评估了180 180 个威胁模型;个威胁模型;
25 25 项服务在默认状态下将不安装或者禁用;项服务在默认状态下将不安装或者禁用;
20 20 项服务在限制权限下运行;项服务在限制权限下运行;
设计阶段设计阶段
8,500 8,500 安全工程师检查代码;安全工程师检查代码;
10 10 星期来集中精力的努力;星期来集中精力的努力;
涉及涉及150 150 项重大安全改进;项重大安全改进;
花费约花费约 $200M $200M(约(约 2 2 亿美元);亿美元);
设计阶段设计阶段 推出阶段推出阶段
微软对TWC的具体实践
——Windows Server 2003 的安全保障
0404上半年上半年 0404下半年下半年 未未 来来3~53~5年年2003
2003年年
扩展技术支持扩展技术支持
建立技术社区建立技术社区
月度补丁发布月度补丁发布
基础指南基础指南
Windows XP Windows XP
SP2SP2
补丁增强补丁增强
SMS 2003SMS 2003
SUS
WindowsWindows升级升级
大面积培训大面积培训
Windows Windows
Server 2003 Server 2003
SP1SP1
对下一代产品对下一代产品
进行进行安全技术安全技术
审查审查
ISA Server ISA Server
20042004
研发下一代安全研发下一代安全
技术基础技术基础
((NGSCBNGSCB))
实现对实现对
WindowsWindows安全安全
性的增强性的增强
继续发展继续发展OSOS级级
的安全技术的安全技术
微软安全技术发展路线
微软与信息安全 …
全公司对信息安全的高度重视;全公司对信息安全的高度重视;
在安全技术研发、人员贮备的大力投入;在安全技术研发、人员贮备的大力投入;
对客户高度负责的积极态度;对客户高度负责的积极态度;
完整的信息安全解决方案;完整的信息安全解决方案;
与众多安全机构、安全厂商的广泛合作;与众多安全机构、安全厂商的广泛合作;
善于总结和分享经验、教训;善于总结和分享经验、教训;
对客户高度负责
各操作系各操作系统对统对已公布的系已公布的系统统安全安全隐隐患修患修复复的平均天数:的平均天数:
0404年年2~72~7月,微软在全国举办一系列信息安全培训,分如下阶段:月,微软在全国举办一系列信息安全培训,分如下阶段:
第一阶段:第一阶段:桌面桌面 / / 终端系统安全终端系统安全
Microsoft Microsoft 安全策略和解决方案概述安全策略和解决方案概述
基于基于Windows ADWindows AD、、SUS / SMS SUS / SMS 的自动补丁发放解决方案的自动补丁发放解决方案
第二阶段:第二阶段:信息系统架构安全信息系统架构安全
基于基于SMS / MOM SMS / MOM 的集中式安全运维方案的集中式安全运维方案
Microsoft Services Microsoft Services 安全管理提供安全管理提供
第三阶段:第三阶段:系统安全与管理系统安全与管理
Microsoft OTG IT Microsoft OTG IT 管理案例管理案例
MOF —— MOF —— 微软运维管理架构(微软运维管理架构(Microsoft Operation FrameworkMicrosoft Operation Framework))
免费为用户提供信息安全培训
微软安全培训网站 …
微软安全主页(中文)微软安全主页(中文)
微软安全培训网站 …
TechNet TechNet 安全主页(中文)安全主页(中文)
微软与信息安全 …
全公司对信息安全的高度重视;全公司对信息安全的高度重视;
在安全技术研发、人员贮备的大力投入;在安全技术研发、人员贮备的大力投入;
对客户高度负责的积极态度;对客户高度负责的积极态度;
完整的信息安全解决方案;完整的信息安全解决方案;
与众多安全机构、安全厂商的广泛合作;与众多安全机构、安全厂商的广泛合作;
善于总结和分享经验、教训;善于总结和分享经验、教训;
总体安全架构体系
安全指导思想 技术支持体系 管理机制
安全审计
数据安全
操作系统安全
网络安全
安全管理规章 / 制度
应急处理机制
安全演习机制
政策 / 法律 / 法规
信息 / 数据安全分类
安全模型的建立
物理安全
登录及访问控制
应用系统安全
人员培训体系
实时防御 / 监控机制
安全意识的培训
安全技能的培训
完善的技术支持
…
… …
…
…
信息系统安全架构体系
微软提供的安全解决方案
MSA——MSA——微软系统总体架构设计(与多厂商合作);微软系统总体架构设计(与多厂商合作);
系统风险评估、管理;系统风险评估、管理;
网络层安全网络层安全
网络边界防护网络边界防护 / / 应用层过滤;病毒网关、应用层过滤;病毒网关、IDSIDS(与第三方厂商合作)(与第三方厂商合作)
VPNVPN(基于(基于IPSecIPSec))
系统安全加固系统安全加固
域(安全组策略域(安全组策略 + + 安全模板)安全模板)
关键业务服务器(如:关键业务服务器(如:WebWeb、、DBDB、、MailMail、、……))
终端(安全组策略终端(安全组策略 + + 安全模板)安全模板)
病毒防护(与第三方厂商合作);病毒防护(与第三方厂商合作);
系统自动升级管理(补丁管理);系统自动升级管理(补丁管理);
系统集中运维管理(系统集中运维管理(SMS + MOMSMS + MOM););
灾难恢复及应急响应(与多厂商合作)灾难恢复及应急响应(与多厂商合作) ;;
……
业业 务务 应应 用用 子子 系系 统统 … …电电
子子
商商
务务
InternetInternet
硬硬 件件 平平 台台 (主机(主机//网络)网络)
操作系统操作系统 / / 访问控制访问控制
开开
发发
工工
具具
专专
用用
业业
务务
nn
数数 据据 库(关系型库(关系型//半关系型)半关系型)
应用集成(数据汇聚)应用集成(数据汇聚)
信息门户信息门户
防火墙防火墙 / / 代理代理 / / 缓存缓存
运运
维维
管管
理理
系系
统统
专专
用用
业业
务务
11
E
R
P
E
R
P KMKM
oror
OAOA C
R
M
C
R
M
BIBI HRHR
微软企业应用框架
Windows Server + ADWindows Server + AD
SQL / ExchangeSQL / Exchange
SharePoint Portal ServerSharePoint Portal Server
ISA ServerISA Server
BizTalkBizTalk
EIPEIP
EAIEAI
VisualVisual
StudioStudio
33rdrd
partyparty
Add-onsAdd-ons
MOMMOM
SMSSMS
Exchange Exchange
Mobile Info ServerMobile Info Server
Content Mgmt ServerContent Mgmt Server
Office SystemOffice System
SPS / WSSSPS / WSS
CommerceCommerce
ServerServer
Biz TalkBiz Talk
SQLSQL
ServerServer
(OLAP)(OLAP)
OfficeOffice
SystemSystem
20032003
微软与信息安全 …
全公司对信息安全的高度重视;全公司对信息安全的高度重视;
在安全技术研发、人员贮备的大力投入;在安全技术研发、人员贮备的大力投入;
对客户高度负责的积极态度;对客户高度负责的积极态度;
完整的信息安全解决方案;完整的信息安全解决方案;
与众多安全机构、安全厂商的广泛合作;与众多安全机构、安全厂商的广泛合作;
善于总结和分享经验、教训;善于总结和分享经验、教训;
微软在安全领域的合作机构 …
国家信息安全产品评测中心;国家信息安全产品评测中心;
公安部计算机信息系统安全产品质量监督检测中心;公安部计算机信息系统安全产品质量监督检测中心;
公安部第三研究所公安部第三研究所————微软(中国)有限公司微软(中国)有限公司
信息安全技术联合实验室;信息安全技术联合实验室;
国家计算机病毒应急处理中心;国家计算机病毒应急处理中心;
与各地信息中心合作,与各地信息中心合作,开设开设了:了:
成都、重成都、重庆庆、山、山东东、、辽辽宁微宁微软软安全技安全技术术中心;中心;
……
GIAIS; CERT; GIAIS; CERT; 病毒信息联盟病毒信息联盟 ; ;
美国国土安全部美国国土安全部;;
CISSP; CISSP;
……
微软在安全领域的合作厂商 …
解解 决决 方方 案案
供供 应应 商商
服服 务务
提提 供供 商商
微软与信息安全 …
全公司对信息安全的高度重视;全公司对信息安全的高度重视;
在安全技术研发、人员贮备的大力投入;在安全技术研发、人员贮备的大力投入;
对客户高度负责的积极态度;对客户高度负责的积极态度;
完整的信息安全解决方案;完整的信息安全解决方案;
与众多安全机构、安全厂商的广泛合作;与众多安全机构、安全厂商的广泛合作;
善于总结和分享经验、教训;善于总结和分享经验、教训;
微软信息安全成功案例(一)
—— Security at Microsoft
Redmond
Sydney
Chofu &Les Ulis
Telehous
TVP
Dublin
Benelux
Silicon Valley Madrid
Dubai
Singapore
Johannesburg
Sao Paulo
72,00072,000个个
邮箱邮箱
Milan
Stockholm
Munich
Canyon Park
Los Colinas Charlotte
Chicago Milan
Stockholm
Munich
Oemachi
70007000多台服务器多台服务器
遍布世界的遍布世界的400400多个多个ITIT
支持位置支持位置
每天每天450450多万封多万封
emailemail
每月每月260260万个语音万个语音
电话电话
400400多种应用程序多种应用程序
150,000150,000多台多台 PC PC 110110台台
ExchangeExchange
服务器服务器
微软所面临的安全环境
所面临的环境:所面临的环境:
100,000+ 100,000+ 闯入的尝试闯入的尝试 / / 企图企图 / / 扫描扫描 / / 月月
125,000+ 125,000+ 隔离邮件隔离邮件 / / 月月
300,000 300,000 台网络的设备台网络的设备
挑战:挑战:
文化文化
独特的开发环境独特的开发环境
内部应用程序测试内部应用程序测试
领先的技术领先的技术
成熟的应用层攻击成熟的应用层攻击
(蠕虫、病毒、缓冲区溢出攻击)(蠕虫、病毒、缓冲区溢出攻击)
Internet 网络层硬件防火墙
物理层物理层
OSI 7OSI 7层模型层模型
数据链路层数据链路层
网络层网络层
传输层传输层
会话层会话层
表示层表示层
应用层应用层 企企
业业
内内
部部
网网
络络
应用层过滤防火墙应用层过滤防火墙
(ISA Server)(ISA Server)
成熟的应用层攻击成熟的应用层攻击
((蠕虫、病毒、缓冲区溢出攻击蠕虫、病毒、缓冲区溢出攻击))
传统的网络层和会话层攻击传统的网络层和会话层攻击
安全、高效、多层面的互联网边界防护
加强安全认证、权限管理
部署部署ADAD;;
实施严格的安全管理组策略;实施严格的安全管理组策略;
强化密码管理;强化密码管理;
使用智能卡;使用智能卡;
实施实施VPN / RADIUS VPN / RADIUS ;;
利用利用Windows 2000 Server’s PKI Windows 2000 Server’s PKI
;;
(1)
发现
系统更新
强制部署截止时间
(5)
强制部署
(4)
批量部署
(3)
系统测试
进行测试
下载系统更新 严重安全更新?
判断部署条件
收到安全公告 标准部署流程
是
< 10%
完成部署
99%+
完成部署
90~95%
完成部署
批量分发 状态跟踪
报表统计
强制分发
否
微软信息安全成功案例(二)
中国海关中国海关 H2000 H2000 通关系统(通关系统(AD / SMSAD / SMS))
青岛市电子政务系统青岛市电子政务系统 ((ADAD))
中国人民银行账户管理系统安全(中国人民银行账户管理系统安全(AD / SMSAD / SMS))
铁道部系统运维管理系统(铁道部系统运维管理系统(AD / ISA / SMSAD / ISA / SMS))
中国工商银行核心业务系统中国工商银行核心业务系统 ((AD / ISA / SMS / MOMAD / ISA / SMS / MOM))
华夏银行终端标准化(华夏银行终端标准化(AD / SMSAD / SMS))
中国移动终端标准化、运维管理系统(中国移动终端标准化、运维管理系统(AD / ISA / SMSAD / ISA / SMS))
……
感谢各位领导和专家!
Backup Slides
National InterestNational Interest
Personal GainPersonal Gain
Personal FamePersonal Fame
CuriosityCuriosity
UndergraduateUndergraduate ExpertExpert SpecialistSpecialist
Largest area Largest area
by volumeby volume
Largest area by $ lostLargest area by $ lost
Script-KiddyScript-Kiddy
Largest segment by Largest segment by
$ spent on defense$ spent on defense
Fastest Fastest
growing growing
segmentsegment
AuthorVandal
Thief
Spy
Trespasser
微软(中国)信息技术与安全计划
现场培训活动现场培训活动
面向面向IT IT 管理人员,开发人员的技术讲座管理人员,开发人员的技术讲座
将一直持续到六月将一直持续到六月
在全国各主要大中型城市全面铺开在全国各主要大中型城市全面铺开
在线培训在线培训
技术讲座技术讲座
技术在线解答技术在线解答
