微软的安全战略与技术实践

微软的安全战略与技术实践微软（中国）有限公司微软与信息安全…全公司对信息安全的高度重视；在安全技术研发、人员贮备的大力投入；对客户高度负责的积极态度；完整的信息安全解决方案；与众多安全机构、安全厂商的广泛合作；善于总结和分享经验、教训；微软与信息安全…全公司对信息安全的高度重视；在安全技术研发、人员贮备的大力投入；对客户高度负责的积极态度；完整的信息安全解决方案；与众多安全机构、安全厂商的广泛合作；善于总结和分享经验、教训；来自微软高层的2封E-MailBillGate：微软在安全领域的努力、现阶段的成绩，未来发展方向；SteveBallmar：微软信息管理战略——自主动态管理；微软与信息安全…全公司对信息安全的高度重视；在安全技术研发、人员贮备的大力投入；对客户高度负责的积极态度；完整的信息安全解决方案；与众多安全机构、安全厂商的广泛合作；善于总结和分享经验、教训；安全性私密性可靠性商务完整性微软对TWC的具体实践——WindowsServer2003的安全保障16,000工程师参加为期4~6周的安全培训；360人获CISSP认证（占员工总数的0.6%）；完成并评估了180个威胁模型；25项服务在默认状态下将不安装或者禁用；20项服务在限制权限下运行；设计阶段8,500安全工程师检查代码；10星期来集中精力的努力；涉及150项重大安全改进；花费约$200M（约2亿美元）；设计阶段推出阶段微软对TWC的具体实践——WindowsServer2003的安全保障04上半年04下半年未来3~5年2003年扩展技术支持建立技术社区月度补丁发布基础指南WindowsXPSP2补丁增强SMS2003SUS2.0Windows升级大面积培训WindowsServer2003SP1对下一代产品进行安全技术审查ISAServer2004研发下一代安全技术基础（NGSCB）实现对Windows安全性的增强继续发展OS级的安全技术微软安全技术发展路线微软与信息安全…全公司对信息安全的高度重视；在安全技术研发、人员贮备的大力投入；对客户高度负责的积极态度；完整的信息安全解决方案；与众多安全机构、安全厂商的广泛合作；善于总结和分享经验、教训；对客户高度负责各操作系统对已公布的系统安全隐患修复的平均天数：010203040506070MicrosoftDebianSuSeFreeBSDMandrakeRedHat~7月，微软在全国举办一系列信息安全培训，分如下阶段：第一阶段：桌面/终端系统安全Microsoft安全策略和解决方案概述基于WindowsAD、SUS/SMS的自动补丁发放解决方案第二阶段：信息系统架构安全基于SMS/MOM的集中式安全运维方案MicrosoftServices安全管理提供第三阶段：系统安全与管理MicrosoftOTGIT管理案例MOF——微软运维管理架构（MicrosoftOperationFramework）免费为用户提供信息安全培训微软安全培训网站…微软安全主页（中文）微软安全培训网站…TechNet安全主页（中文）微软与信息安全…全公司对信息安全的高度重视；在安全技术研发、人员贮备的大力投入；对客户高度负责的积极态度；完整的信息安全解决方案；与众多安全机构、安全厂商的广泛合作；善于总结和分享经验、教训；总体安全架构体系安全指导思想技术支持体系管理机制安全审计数据安全操作系统安全网络安全安全管理规章/制度应急处理机制安全演习机制政策/法律/法规信息/数据安全分类安全模型的建立物理安全登录及访问控制应用系统安全人员培训体系实时防御/监控机制安全意识的培训安全技能的培训完善的技术支持……………信息系统安全架构体系微软提供的安全解决方案MSA——微软系统总体架构设计（与多厂商合作）；系统风险评估、管理；网络层安全网络边界防护/应用层过滤；病毒网关、IDS（与第三方厂商合作）VPN（基于IPSec）系统安全加固域（安全组策略+安全模板）关键业务服务器（如：Web、DB、Mail、…）终端（安全组策略+安全模板）病毒防护（与第三方厂商合作）；系统自动升级管理（补丁管理）；系统集中运维管理（SMS+MOM）；灾难恢复及应急响应（与多厂商合作）；…业务应用子系统…电子商务Internet硬件平台（主机/网络）操作系统/访问控制开发工具专用业务n数据库（关系型/半关系型）应用集成（数据汇聚）信息门户防火墙/代理/缓存运维管理系统专用业务1ERPKMorOACRMBIHR微软企业应用框架WindowsServer+ADSQL/ExchangeSharePointPortalServerISAServerBizTalkEIPEAIVisualStudio3rdpartyAdd-onsMOMSMSExchangeMobileInfoServerContentMgmtServerOfficeSystemSPS/WSSCommerceServerBizTalkSQLServer(OLAP)OfficeSystem2003微软与信息安全…全公司对信息安全的高度重视；在安全技术研发、人员贮备的大力投入；对客户高度负责的积极态度；完整的信息安全解决方案；与众多安全机构、安全厂商的广泛合作；善于总结和分享经验、教训；微软在安全领域的合作机构…国家信息安全产品评测中心；公安部计算机信息系统安全产品质量监督检测中心；公安部第三研究所——微软（中国）有限公司信息安全技术联合实验室；国家计算机病毒应急处理中心；与各地信息中心合作，开设了：成都、重庆、山东、辽宁微软安全技术中心；…GIAIS;CERT;病毒信息联盟;美国国土安全部;CISSP;…微软在安全领域的合作厂商…解决方案供应商服务提供商微软与信息安全…全公司对信息安全的高度重视；在安全技术研发、人员贮备的大力投入；对客户高度负责的积极态度；完整的信息安全解决方案；与众多安全机构、安全厂商的广泛合作；善于总结和分享经验、教训；微软信息安全成功案例（一）——SecurityatMicrosoftRedmondSydneyChofu&LesUlisTelehousTVPDublinBeneluxSiliconValleyMadridDubaiSingaporeJohannesburgSaoPaulo72,000个邮箱MilanStockholmMunichCanyonParkLosColinasCharlotteChicagoMilanStockholmMunichOemachi7000多台服务器遍布世界的400多个IT支持位置每天450多万封email每月260万个语音电话400多种应用程序150,000多台PC110台Exchange服务器微软所面临的安全环境所面临的环境：100,000+闯入的尝试/企图/扫描/月125,000+隔离邮件/月300,000台网络的设备挑战：文化独特的开发环境内部应用程序测试领先的技术成熟的应用层攻击（蠕虫、病毒、缓冲区溢出攻击）Internet网络层硬件防火墙物理层OSI7层模型数据链路层网络层传输层会话层表示层应用层企业内部网络应用层过滤防火墙(ISAServer)成熟的应用层攻击(蠕虫、病毒、缓冲区溢出攻击)传统的网络层和会话层攻击安全、高效、多层面的互联网边界防护加强安全认证、权限管理部署AD；实施严格的安全管理组策略；强化密码管理；使用智能卡；实施VPN/RADIUS；利用Windows2000Server’sPKI；(1)DiscoveryandAssessmentEnforcementDeadline(5)Enforce(4)Deploy(3)TestingClient,datacenter,BUIT,extranetandlabteamstestpatch10businessdaysbeforedeadline:Ownersofnon-compliantserversreceivee-mailreminders2businessdaysbeforedeadline:Ownersofnon-compliantserversandtheirmanagersreceivee-mailremindersPatchesinstalledbydesktop,laptopandserverowners(2)EvaluateComplianceThroughScanningSMSforcedpatches,logonscripts,SERforcedpatching,portshutdownsMicrosoftCorporateSecurityperformsariskassessmenttoidentifyinternalcriticalitylevelCriticalpatch?Determinereleaseschedulebasedonriskassessment(urgent,norebootrequired,rebootrequired)MSRCpublicnotificationofcriticalvulnerabilityStandardreleasescheduleYesNoUrgentDeployment≈2hours2xthroughenvironment/dayDeadlineis≈48hourselapsedtimefromvulnerabilityassessment4–6HoursNoRebootRequired≈2hours2xthroughenvironment/dayDeadlineis14dayselapsedtimefromvulnerabilityassessment48HoursRebootRequired≈2hours2xthroughenvironment/dayDeadlineis21dayselapsedtimefromvulnerabilityassessment48Hours10%compliance≈90%-95%complianceWindowsUpdate,E-mailnotification,Intranetpostings99%+complianceDeploymentofCriticalPatchesatMicrosoftProcessDetailTimeline5StepstoDeployCriticalPaches(1)发现系统更新强制部署截止时间(5)强制部署(4)批量部署(3)系统测试进行测试下载系统更新严重安全更新?判断部署条件收到安全公告标准部署流程是10%完成部署99%+完成部署90~95%完成部署批量分发状态跟踪报表统计强制分发否微软信息安全成功案例（二）中国海关H2000通关系统（AD/SMS）青岛市电子政务系统（AD）中国人民银行账户管理系统安全（AD/SMS）铁道部系统运维管理系统（AD/ISA/SMS）中国工商银行核心业务系统（AD/ISA/SMS/MOM）华夏银行终端标准化（AD/SMS）中国移动终端标准化、运维管理系统（AD/ISA/SMS）…BackupSlidesNationalInterestPersonalGainPersonalFameCuriosityUndergraduateExpertSpecialistLargestareabyvolumeLargestareaby$lostScript-KiddyLargestsegmentby$spentondefenseFastestgrow