微软安全级别策略_第1页
微软安全级别策略_第2页
微软安全级别策略_第3页
微软安全级别策略_第4页
微软安全级别策略_第5页
已阅读5页,还剩7页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、微软安全级别策略1微软风险管理流程已过期的风险风险陈述文档Top 103. 计划 5. 控制2. 分析1. 确认风险陈述4. 跟踪微软IT操作框架(Microsoft Operation Framework)Condition-consequence risk statements help to clearly articulate risk2为了得到每个风险可能造成的危害的量化结果基于可能性(Probability)和影响(Impact)可能性:该风险发生的几率影响:该风险发生后的损失或影响probability x impact = exposureExample: 75% x $500

2、,000 = $375,000目的是可以比较各风险,以得到风险处理的优先级计算风险的危害性(Exposure)3风险管理策略减少风险 Example: Minimize the probability (likelihood of the condition)Example: Minimize the impact (level of the consequence)风险转移Example: Move to different hardware Example: Subcontract to a third party风险规避Example: Dont undertake certain pr

3、ojectsExample: Rely on proven, not cutting-edge, technology4微软安全响应中心位于Redmond的160人的微软安全响应中心(MSRC Microsoft Security Response Center)目标:帮助微软用户安全的使用微软系统和网络既是管理员又是黑客Subcontract to 3rd party (Foundstone, ISS)制定严格的安全规范和操作手则风险评估5微软安全通告的级别微软安全通告级别Critical 紧急该缺陷可能导致无需用户操作的互联网蠕虫病毒的传播Important 重要该缺陷可能导致用户数据的机

4、密性、完整性、或有效性受到伤害,或导致相关处理流程资源的完整性或有效性受到伤害Moderate. Exploitability is mitigated to a significant degree by factors such as default configuration, auditing, or difficulty of exploitationLow. A vulnerability whose exploitation is extremely difficult, or whose impact is minimal.微软安全策略的目标开发安全的产品(Get Secure

5、)使用户能方便的保持安全(Stay Secure)6微软建议的安全流程设计与开发信息安全策略制定详细的信息安全规范信息安全规范的有效实施管理员培训和普通用户的教育持续不间断的安全管理风险评估的标准与风险管理流程紧急处理机制灾难恢复机制自动安全通告机制7中国企业所常有的安全问题没有实施严格的账号和口令管理,或者需管理的账号和口令太多没有实时监测恶意的攻击行为不清楚系统的完整状况难以快速部署软件更新(Hot-fix)及服务包(Service Pack)内部用户任意安装软件,或随意修改系统配置“有法不依,执法不严”8我们的建议系统安全的前提是管理安全统一的信息安全风险评估的管理体制与管理方法Exam

6、ple: independent security group inside Microsoft R&D, including Microsoft employee & 3rd party统一的信息安全风险评估的技术标准及相关工作流程统一的建议性的信息安全管理策略和管理方法“有法必依,执法必严”9谢谢!10微软Windows安全目标提供稳定的、健壮的、基于对象的系统安全模型是Windows系统架构中的基础模块安全必须考虑在前,很难事后添加满足DoD C2安全认证的要求满足商业用户的要求多用户能安全的使用和共享系统资源进程、内存、设备、文件、网络11Windows & SecurityScena

7、rioRisksSolutionsMobile Users Encrypted (EFS) PPTP, IPSEC, L2TP Lost/Stolen LaptopDial-up AttacksE-commerceFalse Identity/ImpostorTheft data/moneyTransaction modification Public Key Infrastructure (PKI) Integrated CA SSL/TLSHome Office PPTP, IPSEC, L2TP NTLMv2, Kerberos, PKI SSL/TLS, S/MIMEOn-wire I

8、nternet AttacksDial-up AttacksFalse Identity/ImpostorLAN / WANFalse Identity/ImpostorPassword Sharing/GuessingAdds/Moves/Changes Kerberos, NTLMv2 Smart Cards, Biometrics Group Policy, Delegated AdminApplicationsFalse Identity/ImpostorPassword passingPath of least resistance codingMalicious Code (Tro

9、jan horse) Kerberos, NTLMv2, Smart Cards Impersonation, Auditing SSPI, CryptoAPI Code Signing and PolicyPublic Key Infrastructure (PKI)Integrated CAIPSEC, L2TP, SSL/TSL, S/MIMEExtranetsFalse Identity/ImpostorData TheftOn-wire Internet Attacks Active Directory Integration Delegated Administration Auditing I

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论