资源描述:
《微软安全级别策略》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、微软安全级别策略朱晓文lukezhu@microsoft.com微软(中国)有限公司微软风险管理流程已过期的风险风险陈述文档Top103.计划5.控制2.分析1.确认风险陈述4.跟踪微软IT操作框架(MicrosoftOperationFramework)Condition-consequenceriskstatementshelptoclearlyarticulaterisk为了得到每个风险可能造成的危害的量化结果基于可能性(Probability)和影响(Impact)可能性:该风险发生的几率影响:该风险发生后的损失或影响probabilit
2、yximpact=exposureExample:75%x$500,000=$375,000目的是可以比较各风险,以得到风险处理的优先级计算风险的危害性(Exposure)风险管理策略减少风险Example:Minimizetheprobability(likelihoodofthecondition)Example:Minimizetheimpact(leveloftheconsequence)风险转移Example:MovetodifferenthardwareExample:Subcontracttoathirdparty风险规避Exa
3、mple:Don’tundertakecertainprojectsExample:Relyonproven,notcutting-edge,technology微软安全响应中心位于Redmond的160人的微软安全响应中心(MSRC–MicrosoftSecurityResponseCenter)目标:帮助微软用户安全的使用微软系统和网络既是管理员又是黑客Subcontractto3rdparty(Foundstone,ISS…)制定严格的安全规范和操作手则风险评估微软安全通告的级别微软安全通告级别Critical紧急——该缺陷可能导致无需用户
4、操作的互联网蠕虫病毒的传播Important重要——该缺陷可能导致用户数据的机密性、完整性、或有效性受到伤害,或导致相关处理流程资源的完整性或有效性受到伤害Moderate.Exploitabilityismitigatedtoasignificantdegreebyfactorssuchasdefaultconfiguration,auditing,ordifficultyofexploitationLow.Avulnerabilitywhoseexploitationisextremelydifficult,orwhoseimpactismi
5、nimal.微软安全策略的目标开发安全的产品(GetSecure)使用户能方便的保持安全(StaySecure)微软建议的安全流程设计与开发信息安全策略制定详细的信息安全规范信息安全规范的有效实施管理员培训和普通用户的教育持续不间断的安全管理风险评估的标准与风险管理流程紧急处理机制灾难恢复机制自动安全通告机制中国企业所常有的安全问题没有实施严格的账号和口令管理,或者需管理的账号和口令太多没有实时监测恶意的攻击行为不清楚系统的完整状况难以快速部署软件更新(Hot-fix)及服务包(ServicePack)内部用户任意安装软件,或随意修改系统配置“有
6、法不依,执法不严”我们的建议系统安全的前提是管理安全统一的信息安全风险评估的管理体制与管理方法Example:independentsecuritygroupinsideMicrosoftR&D,includingMicrosoftemployee&3rdparty统一的信息安全风险评估的技术标准及相关工作流程统一的建议性的信息安全管理策略和管理方法“有法必依,执法必严”谢谢!微软Windows安全目标提供稳定的、健壮的、基于对象的系统安全模型是Windows系统架构中的基础模块安全必须考虑在前,很难事后添加满足DoDC2安全认证的要求满足商业用
7、户的要求多用户能安全的使用和共享系统资源进程、内存、设备、文件、网络Windows&SecurityScenarioRisksSolutionsMobileUsersEncryptedFileSystem(EFS)PPTP,IPSEC,L2TPLost/StolenLaptopDial-upAttacksE-commerceFalseIdentity/ImpostorTheftdata/moneyTransactionmodificationPublicKeyInfrastructure(PKI)IntegratedCASSL/TLSHomeOf
8、ficePPTP,IPSEC,L2TPNTLMv2,Kerberos,PKISSL/TLS,S/MIMEOn-wireInternetA