Microsoft 的IT安全实践
白皮书
本页内容
 | 执行摘要 |
| 简介:Microsoft IT 的使命和首要任务 |
| Microsoft IT 如何管理风险 |
| Microsoft IT 风险和战术 |
| 结论 |
执行摘要
Microsoft 致力于共享其内部 IT 安全实践,以帮助其客户成功保障他们的环境安全。本白皮书描述了 Microsoft Corporate 安全小组为防止数字资产的恶意或未授权使用而采取的行动。资产保护通过正式的风险管理框架、风险管理过程和清晰的组织角色和职责得以实现。本方法的基础是认识到风险是任何环境中固有的部分,应该主动对风险进行管理。本白皮书中所描述的原则和技术可用于在任何组织的风险管理中。本文并不解决公司安全的其他领域的问题,如软件设计中的安全和物理安全。
Microsoft 所部署的相互独立的安全倡议、策略和技术分多个阶段进行实施。本白皮书中所描述的基本启用技术可在 Microsoft® Windows Server™ 2003 上运行。但是,多数技术都是在基础结构以Microsoft Windows® 2000 Server 为基础的时候开发的,而且可以在 Windows 2000 Server 上实现。在不断发展的安全需求、未来的策略规划以及产品测试和验证需求的基础上,所有的技术和部署都将不断成熟起来。
本文主要面向企业的技术决策者、安全运行人员和基础结构工程人员。本文不用作程序性的指南。每个企业环境的情况都是唯一的。因此,每个组织都应该对本文中描述的方法、设计、过程和最佳做法推荐进行更改以适应其特定的需要。注意,出于安全原因,本文所提供的资源名称只用作说明。
简介:Microsoft IT 的使命和首要任务
Microsoft 使命:
使全世界的人们和企业发挥出他们的全部潜能。
Microsoft IT 使命:
前瞻性地交付超出我们的客户、用户和合作伙伴的设计预期的 IT 基础结构和应用程序,使得它们可随时随地方便工作。
Microsoft Corporate 的安全小组 使命:
通过系统地评估、传递和减少风险,防止对数字资产恶意或未授权使用,否则会导致 Microsoft 知识产权损失或者工作效率下降。
公司安全小组向 Microsoft IT 组报告。在检查公司安全小组之前,先了解 Microsoft IT 组的使命是大有帮助的
Microsoft IT 是一个高度关注客户的组织,其相关的使命是 前瞻性交付超出我们的客户、用户和合作伙伴的设计预期的 IT 基础结构和应用程序,使得它们可随时随地方便地工作。
Microsoft IT 使命中的短语“超出设计预期”反映了对于服务评估和分析的重视。使命的这一部分基于不进行评估则无法管理这一原则。例如,在 IT 操作领域,预期设计以服务水平协议的形式记录。服务水平协议衡量标准可以每月在 CIO 记分卡中查看。
Microsoft IT 组的首要任务如下:
1. | 作为 Microsoft 的第一个也是最佳客户 |
2. | 提供知识领导 |
3. | 制定协调的 IT 策略 |
4. | 运行世界级的实用程序 |
作为 Microsoft 的第一个也是最佳客户
Microsoft 的主要业务是软件设计。因此,Microsoft IT 具有一个在全球企业中独一无二的使命。例如,除了运行企业 IT 实用程序,Microsoft IT 通过 Microsoft 软件发布给其客户之前对软件进行测试和部署,扮演了作为 Microsoft 的早期使用者之一的战略性角色。Microsoft 除了受益于在真实产品环境中测试产品的规模和负载而得出产品反馈,这些评估努力还必须为 Microsoft 带来切实的商业利益。例如,到 2004 年 3 月,Microsoft IT 在 Windows Server 2003 上运行公司基础结构,部署了 5,000 台服务器(其中包括 800 台基础机构服务器和关键的业务线应用程序)。此外,公司网站 www.microsoft.com 具有超过 2,000 台运行 Windows Server 2003 的服务器。其他 500 台运行 Beta 版 Windows Server 2003 SP1 的服务器正在生产中。内部的真实评估活动使得环境的更改比率非常高,而且至服务器和台式机的部署比相当规模企业的一般部署多许多。
提供知识领导
Microsoft IT 推动了技术的早期使用,这些技术有助于为前沿 IT 专业人员、开发人员和信息工作者确定 Microsoft 远景。Microsoft IT 还向 Microsoft 产品开发小组提供产品反馈。
制定协调的 IT 策略
Microsoft IT 领导用以定义并交付在业务单元级别和企业级别都具有高价值的 IT 解决方案的过程。制定策略是 Microsoft IT 的重要功能,因为 IT 基础结构得以集中设计,而业务线应用程序开发则分散进行。尽管应用程序开发独立地在每个业务单元中进行,但 Microsoft IT 对应用程序提供集中的支持、在数据中心中存放,并提供体系结构指南和标准(包括安全标准)。
运行世界级的实用程序
Microsoft IT 所面临的独特挑战是在全球环境中(其中包括高客户预期和技术熟练的用户)提供世界级的可用性、可靠性和成本效益的同时,还要完成前面提及的所有首要工作。
公司安全小组、Microsoft IT 和 Microsoft 的使命在某些方面进行了调整。例如,评估对于成功实现公司安全小组和 Microsoft IT 的使命来说至关重要。此外,公司安全小组注重支持强调人与业务的 Microsoft 公司使命所必需的工作效率和知识产权。
Microsoft IT 环境
了解公司安全小组的安全方法时需要考虑的另一个因素是 IT 环境。Microsoft IT 运作着一个庞大而动态的 IT 环境,此环境对于 Microsoft 的成功至关重要。Microsoft IT 负责连续不断地管理跨越全球 400 多个站点的 55,000 多名员工和 300,000 多台计算机的 IT 服务。300 多个站点分布于全球主要城市的销售和市场办公室内。这些站点中存在 200 多个通过 IT 管理的基础结构。
技术的早期部署和 Microsoft 的持续增长产生了一个高动态的环境。此环境具有 1,600 多个业务线应用程序,这些程序既有用于全球的单个 SAP R/3 实例,也有专用的部门甚或工作组应用程序(用于研究、产品支持和产品部署的组)。Microsoft IT 提供对所有业务线应用程序的支持和跟踪。此外,电子邮件在 Microsoft 是一个对使命至关重要的应用程序。大约每天有 8 百万封电子邮件通过 Internet 传输,而且每天有 6.5 百万封电子邮件在内部使用。
Microsoft 公司网络是世界上最大的实验性的计算机网络。尽管许多网络协议在 Microsoft 公司的网络上运行,用作开发和测试的目的,但是此环境主要是基于传输控制协议/Internet 协议 (TCP/IP)。它在同步光纤网络 (SONET) 上使用高速(每秒 170 千兆字节)异步传输模式 (ATM) 主干网,以传输大量的数字数据和语音信息。
安全环境
Microsoft 在一个活跃性极高而具有挑战性的安全环境中运作。这些挑战包括以下方面:
| • | 30,000 位合作伙伴具有连接需要 | ||||
| • | 常见的攻击目标
| ||||
| • | 大多数 Microsoft 员工都具有较高的技术知识,而且通常可以发现他们可用的工具的限制,以改进产品质量。例如 95% 以上的 Microsoft 员工都对他们的桌面系统具有本地管理员权限。某些员工甚至可以出于各种开发、测试和产品支持目的在他们的桌面计算机上运行服务器操作系统。 | ||||
| • | 移动客户端的较大用户群 | ||||
| • | 支持软件开发的独特的业务要求。Microsoft 维护用于产品开发、测试和支持的独特的 IT 环境,此环境需要特别的安全保护。 | ||||
| • | 最为“第一个和最佳的”客户在 N+1 平台上运行业务 |
这些因素的组合构成了在大型和动态 IT 环境中的充满潜在漏洞操作的不断发展的安全情况,从而为安全组织提出了大批有挑战性的不确定问题,需要安全组织来理解、组织和解决这些问题。公司安全小组开发了用于全面了解、交流安全问题和确定安全问题的优先顺序的机制,以便促进有效的决策支持能力。决策支持系统以安全原则为指导,努力确保 IT 环境的安全。
安全策略
Microsoft IT 安全策略包括四个主要组件,如图 1 所示。
| • | 公司安全使命和远景 |
| • | 清晰定义的安全操作原则 |
| • | 基于风险的决策模型 |
| • | 识别风险并划分其优先级后,对风险缓解活动进行战术性的划分优先级。 |
图 1. 安全策略
使命
公司安全小组的核心作用通过管理风险至可接受级别来支持 Microsoft IT 使命。
风险管理框架
对风险管理过程(具有坚固的框架和定义的角色和责任)的投资使组织准备好划分清晰的优先级、计划减少威胁和解决业务的下一个威胁或漏洞。为了更好地管理安全风险,公司安全小组遵循传统的风险管理方法,其中包括交互的四阶段过程:
| • | 评估风险。执行风险评估方法来评估风险。 |
| • | 定义策略。开发安全策略以减小风险。 |
| • | 监控。监控恶意或未授权使用的情况。 |
| • | 审核。审核有效性。 |
本白皮书“MICROSOFT IT 如何管理风险”一节进一步介绍了风险管理框架的细节。
使命
公司安全小组创建了“五个可信赖保证”,作为一种机制来获得 IT 环境中的每位成员对安全的期望。这些保证用于传递 Microsoft IT 能和不能承诺保护数字资产的各个方面。这些保证还允许组织对其成功历史进行评估,其成功在于达到了向公司用户提供可信赖的数字资产的目标。可信赖保证并不是决策支持系统的组成部分。这五个保证将可用性、隐私和安全视为风险分析的基本元素。
Microsoft IT 为 IT 环境提供的“五个可信赖保证”是:
1. | 我的身份不被泄漏。 | ||||
2. | 我需要的资源是安全并可用的,定义如下:
| ||||
3. | 我的数据和通信是保密的。 | ||||
4. | 我了解我的角色并且履行我的职责以确保安全环境。 | ||||
5. | 我及时收到了对影响我的风险的响应。 |
为了提供这些保证,公司安全小组使用风险管理方法。风险管理是在持续进行的基础上识别、评估和减小风险的过程。安全的风险管理方法认为安全成本必须与业务需要平衡。Microsoft 使用风险管理方法来系统地评估安全风险并确定安全风险的优先级,以支持有效的决策支持功能。
安全原则
安全原则是用于设计、开发和运行安全系统的基本概念。公司安全小组按照表 1 所示对安全原则进行了分类。表中的每类表示要在其中进行安全评估的关键区域。
表 1 安全原则
| 分类 | 安全原则 |
组织的: 致力于管理风险和安全意识 | 根据业务目标来管理风险 定义组织角色和职责 对安全设计投资 承诺安全运行 |
用户和数据: 包括身份验证、用户隐私和数据授权 | 管理最少权限的实现 对数据分类和合理使用的基本决策 强制隐私和个人身份信息保护 确保数据完整性 监视身份保证 内部版本可用性 |
应用程序和系统部署: 致力于安全系统的设计和部署 | 在整个生命周期内建立安全 深度的设计防御 减少攻击面 使其尽量简单 |
运行和维护: 包括构建、维护和运行安全系统的人、过程和技术 | 系统维护计划 强制安全配置和强化 监视和审核 实践事件响应 验证灾难恢复 |
公司安全小组使用安全原则来实现以下目标:
| • | 使客户和合作伙伴理解安全概念,并在其设计、开发和操作安全系统的过程中运用安全概念。 |
| • | 在 Microsoft 组织并交流安全策略、要求和指南。 |
| • | 改进在公司内部及对外与 Microsoft 客户之间交流安全问题的方式。 |
这些原则使公司安全小组开发了一致的过程来生成交付内容,例如风险评估、安全策略和功能性的安全需求,以便管理风险。
Microsoft IT 如何管理风险
本文的剩余部分主要介绍了公司安全小组如何管理风险、IT 环境如何划分为可管理组件,以及 Microsoft 为防止恶意或未授权使用数字资产而采取的内部措施。本文对适用的内容提供了指向详细信息的链接。
风险管理
风险管理为组织提供了一种一致的、清晰的途径来组织和优化有限的资源,从而管理业务的风险。通过开发将风险降低到可接受级别的具有成本效益的控制环境,可以认识到上述优点。
图 2 显示了通过使用风险管理框架应用程序整体风险减少的情况。
图 2. 风险管理摘要
可接受风险的定义和管理风险的方法因各个业务而异。没有正确或错误的答案,现在有很多风险管理模型在使用。每个模型都在准确性、资源、时间、复杂性和主观性之间进行权衡。公司安全小组风险管理模型是综合采用各种方法形成的模型,例如纯定量分析、安全投资回报分析、质量分析和最佳实践方法。
业务所有者负责识别利用漏洞攻击的影响。业务所有者在认清运行其功能所需的资产的业务价值方面处于最佳位置。
公司安全小组负责识别利用漏洞攻击发生的可能性。该风险评估将当前控制考虑在内。如果利用漏洞进行攻击的可能性使得风能够险评估置于入幻灯片所示的曲线的右边(在“不可接受风险”区域),安全小组则负责对控制实施进行决
Microsoft 公司安全小组风险管理框架
对风险管理过程(具有坚固的框架和定义的角色和责任)的投资使组织准备好划分清晰的优先级、计划减少威胁和解决业务的下一个威胁或漏洞。为了更好地管理安全风险,公司安全小组遵循风险管理方法,其中包括交互的四阶段过程:
1. | 评估风险。执行风险评估方法来评估风险。 |
2. | 定义策略。开发安全策略以减小风险。 |
3. | 实施控制。根据成本/效益分析组织人员、过程和设计的技术来减小风险。 |
4. | 审核和评估。监视、审核、评估并控制环境以提高效率。 |
图 3 显示了公司安全小组风险管理框架的步骤。
图 3. 风险管理框架
此框架中的第一阶段是通过执行风险评估来评定风险。为了执行风险评估,公司安全小组对每个分类均使用安全原则作为指导。
第二和第三阶段定义并实施安全控制。安全控制可以是技术实施(智能卡或通过 Ipsec 的网段),也可以是行为策略(禁止使用未授权的调制解调器)。
第四阶段和最后一个阶段在对测量有效性实施安全控制之后,进行风险评估。这个衡量标准用于在对实际获得的风险级别实施安全控制后,将其与预期的风险级别进行比较。这个新的风险级别用作下一个风险评估周期的输入内容。
为了更好地了解“影响”,并根据资产价值和风险的组合来应用逐渐提高级别的安全控制,公司安全小组开发了一套分类系统以将资产按价值进行分组。
数据分类
并非所有的数字资产对于业务而言都具有相同级别的价值。一些资产价值很低,并且可能没有理由为获得“五个可信赖保证”支付成本。而其他资产具有相当的价值,因而有足够的理由为获得“五个可信赖保证”的附加控制支付成本。Microsoft 的大部分数字资产要求由“五个可信赖保证”表示风险减少级别。
为了以经济高效的方式将风险减少到可接受的级别,公司安全小组将数字资产分成数据类。数据类有助于确保保护数字资产的计划既经济高效,又具有正确的优先顺序。此外,它们还提供了对资产影响的深入了解,这是评估总体风险的关键不确定因素。
尽管存在几种卓越数据分类法,但公司安全小组所使用的分类适用于以下三个领域:
| • | 最高价值类。包括最有价值的 Microsoft 数字资产。公司安全小组承诺提供多种强有力的措施来超越“五个可信赖保证”。在此类中,根据业务需要判定附加控制的成本,以将资产风险的总体级别降至很低的级别。例如,存放有价值的知识产权的 Windows 源代码服务器。源代码泄漏会给公司带来非常严重的负面影响。因而可以去定增加其安全控制的级别和成本。 |
| • | 高价值类。包括绝大多数台式机和服务器,以及大多数 Microsoft IT 提供的服务。例如,文件共享服务器、电子邮件基础结构和 Microsoft 操作和规划数据都是此类资产。公司安全小组承诺实现“五个可信赖保证”,而对资产所有者部分不施加任何特殊举措。 |
| • | 低价值类。包括风险相对较低的资产的和判定为不值得花成本进行安全控制的资产。例如,一些测试实验室具有价值较低的数据,并且可以接受潜在的数据丢失造成的风险。在此情况下,可通过基本网络控制、扫描安全漏洞和安装防毒软件充分地降低风险级别。公司安全小组并不对此类资产提供“五个可信赖保证”,但可基于业务需要帮助提供较低级别的 IT 服务和的减小风险的措施,以确保此类资产不会为较高价值的资产带来风险。 |
威胁向量
风险评估涉及评估五种攻击对资产的威胁。然后在安全策略的“战术性划分优先级”部分为策略和缓解战术评估最高优先级的风险。
为了帮助识别漏洞并确定安全控制的目标,公司安全小组将组件分组到五个向量,它们定义为:
| • | 网络。数据传输和基础结构设备。 |
| • | 主机。操作系统和核心服务(例如,数据库服务器、Web 服务器、邮件服务器、文件共享)。 |
| • | 应用程序。内部开发和外部开发的应用程序。 |
| • | 帐户。与身份相关的设备或用户凭证。 |
| • | 信任。管理模型映射到 Active Directory® 目录服务和基于凭证的信任 |
图 4 中表示了生态系统的一个单独组件和这五个向量。
图 4. 五个向量
生态系统和五个向量的概念允许公司安全小组组织安全问题空间。正确使用风险管理框架,可单独评估生态系统各组件的风险,而且可为每个组件单独确定适当的安全控制。
生态系统、五个向量和风险管理方法的结合给出了适用于单个生态系统组件业务要求的风险评估。例如,在评估连接到公司网络的远程用户的风险时,经五个向量评估后会使用数个控制。这五个向量的四个向量中识别到了威胁,包括:
| • | 主机: 未授权访问其他计算机上的数据 |
| • | 应用程序: 未授权通过远程计算机访问内部应用程序 |
| • | 帐户: 未授权访问用于增加或扩展权限的凭证 |
| • | 网络: 通过来自远程计算机的网络数据冲击而拒绝可用性 |
风险评估组件
风险管理过程的第一阶段(即风险评估)是了解业务的安全问题并在可用资源中将减少风险的任务划分优先级的一个重要步骤。图 5 表示风险评估的基本组件。
图 5. 风险评估的组件
通过交流用于评估风险组件的一致结构,数字资产所有者和 Microsoft IT 具备了共同的分类法来跟踪进度和评估过程。注意,要充分解决每个组件需要很多风险承担者,这一点很重要。这对于多个业务影响成本的较为主观区域、漏洞可能出现的区域和在评估新的控制解决方案的大型成本/效益分析尤其重要。风险承担者可以包括参与风险计算的风险管理专家、了解特定的漏洞和威胁可能性的安全分析员、了解所考虑的数字资产价值的数据所有者,以及能够识别潜在的安全控制以减小风险的安全架构师和工程师。
风险管理过程和角色
公司安全小组在确定风险的优先级和评测是否符合要求方面起到了关键作用。但是,认识到其他操作小组和风险承担者的贡献和所有权是很重要的。为了保持公司安全小组和操作功能之间的独立性,Microsoft IT 定义了角色,以实现独立职责与鼓励跨组合作的最优平衡。
表 2 概述了在 Microsoft IT 中管理风险的角色和职责。此表的交付内容基于 IPsec 项目示例。
表 2. 风险管理角色
| 任务 | 组织所有权(角色) | IPsec 项目交付内容 |
1. 识别整个组织的 IT 风险并确定其优先级。 | 公司安全小组具有主要的所有权。 | 公司安全小组交付一个列表,它列出未管理的计算机带给管理的计算机的已识别并已确定优先级的风险。 |
2. 定义安全策略以将风险降至可接受级别。 | 公司安全小组具有主要的所有权,领导整个 Microsoft IT 和业务所有者的合作过程以定义相应的策略。 | 公司安全小组交付了安全要求文档,此文档指定了管理的和未管理的计算机之间的分段,从而降低已识别的风险。 |
3. 开发能减少风险的解决方案。 | 工程和 Microsoft IT 操作部门是主要的所有者,还有公司安全小组的贡献。 | 基础结构架构师和网络工程师基于 IPsec 技术设计了一套解决项目。操作部门实施、部署和监视 IPsec 项目。 |
4. 有效操作解决方案。 | Microsoft IT 操作部门具有主要的所有权。 | 所有的支持层都已得到训练,支持过程也已就位。 |
5. 审核并监视以评测符合要求的情况。 | 公司安全小组实施策略。 | 在部署阶段进行过程中和部署完成后,公司安全小组审核并评估解决方案的有效性。 |
公司安全小组是策略设定和符合的组织。安全策略的实施是跨组织的工作,由 IT 组的其他组件提供解决方案。
风险管理过程受益于清晰度定义的角色和职责,因为将安全风险转化为相应的控制解决方案是很复杂的。许多组织和小组都参与进来,而且每个参与者都认识到在获得并保持有效的安全控制过程中自身的贡献所起的作用,这是非常重要的。通常需要安全专家来评估并交流业务的风险。
Microsoft 有一个安全筹划指导委员会,它由很多 CIO 的直接报告组成。该组确保业务需求与风险适当地平衡。例如,该组决定使用智能卡对远程访问进行双因素身份验证,保护无线网络的安全并保护处于最高风险优先级中的源代码的安全。
图 6 显示了在风险管理过程示例的每个步骤中,组织角色到交付内容之间的映射。
图 6. 风险管理过程中的任务和组织角色
安全环境
总体而言,企业 IT 环境是难以操纵的。企业 IT 环境的特点是经常更改,而且不利于采用一种“一刀切式”的安全解决方案。公司安全小组解决此问题的方法是将 Microsoft 企业分解成可管理的安全组件,这些组件组成了整个安全生态系统。该生态系统包括相互之间交互的以及与外部环境交互的不同组件。Microsoft 的生态系统中的环境的主要类别包括:
| • | 数据中心 |
| • | 托管客户端 |
| • | 未托管客户端 |
| • | 远程访问客户端 - 仅通过 VPN 使用家庭系统连接到 Microsoft 网络的客户端 |
| • | 移动客户端 - 一部分时间直接连接到 Microsoft 的 LAN,一部分时间通过 VPN 进行连接的笔记本电脑客户端 |
定义单个环境的元素包括共享通用业务目的的数据、计算机、人员和功能。将企业 IT 环境划分为这些组件,使 Microsoft 得以将安全策略和风险缓解战术组织在更小、更有目标的区域中,如图 7 所示。
图 7. 按环境进行的战术性优先级划分
将根据五个攻击向量(主机、应用程序、帐户、信任和网络)评估每个环境中数字资产的威胁。然后在“战术性划分优先级”阶段为策略和缓解战术评估最高优先级的风险。
风险和控制
风险管理的核心原则是使数字资产可接受的风险数量与策略和控制相匹配。表 3 显示了如何基于数据类应用控制。随着数据类价值的减少,控制的数量和成本也减少。
表 3 数据类相对安全控制的实例。
| 数据类 | Microsoft IT 服务示例 | 安全控制示例 | ||||
最高价值 | Microsoft IT 管理的最高价值服务
| 用户:要求双因素身份验证、显式用户授权 设备:需要 Ipsec,同时显式用户授权和计算机授权 | ||||
高价值 | Microsoft IT 管理的服务
| 用户:单因素身份验证、授权的用户定义组 设备:要求 IPsec | ||||
低价值 | 基本 Microsoft IT 网络服务
| 身份验证:单因素、受限制的服务(例如,服务限于 Outlook Web 访问) |
任何数量的控制也无法完全消除风险。对一些风险的假设是“有意提出的”。了解在哪里添加控制可将风险降至可接受的级别是获得安全的 IT 环境的关键。
安全小组组织
公司安全小组的使命是通过进行系统评估、通信和减少 Microsoft 数字资产的风险防止对其资产恶意或未授权使用,否则会导致 Microsoft 知识产权损失或者工作效率下降。需要经过培训的专业人员小组来管理企业 IT 安全风险。公司安全小组按照图 8 所示定义了其组织角色。
图 8. Microsoft 公司安全小组和角色
威胁、风险分析和策略
威胁、风险分析和策略小组是服务于风险管理框架的安全策略、风险评估和所有权的独立的、权威的来源。
该小组跨当前各个环境评估并且按优先次序区分 IT 资产、风险和缓解。该小组还运用过程以分析和管理未来风险和缓解。小组的主要职责包括:
| • | 为安全策略和需求开发独立的、权威的原始资料。确保所有策略能映射到已识别的风险缓解。 |
| • | 通过早期采用 Microsoft 和第三方安全产品,成为 Microsoft 最好的安全客户。 |
| • | 提供一致的、可伸缩的安全设计查看过程,以提供威胁评估和安全设计咨询,包括贯穿公司安全小组的主题事件专家。 |
| • | 为高风险区域推动安全标准。 |
评估和符合
评估和符合小组由涉及安全审核和真实世界威胁评估的各个方面的主题事件专家组成。该小组负责持续进行的扫描和补救工作以及基于项目的审核工作。该小组也使用“安全服务管理器”作为单点联系来管理关键环境的安全接合模型。
例如,该小组包括攻击和渗透小组,它对整个生态系统的所有层提供真实世界威胁评估审核和咨询服务,包括在网络、主机、应用程序、信任和帐户级别上进行控制。小组目标是衡量 Microsoft IT 安全控制对高熟练度的内部和外部威胁的效力,然后帮助开发有成本效益的风险缓解方案。.
监视,入侵检测和事件响应
监视、入侵检测和事件响应小组的主要职责包括:
| • | 入侵检测:在整个环境下检测活动和事件。 | ||||
| • | 紧急事件响应:整个环境下对网络入侵的响应及补救。 | ||||
| • | 层 1 安全支持:对较小的病毒/网络攻击问题提供快速响应/解决方案。 | ||||
| • | 侦破:为主机提供数字证据恢复服务。 | ||||
| • | IT 调查和符合监测如下:
|
共享服务操作
共享服务操作小组负责支持安全基础结构和访问管理。主要职责包括:
| • | 远程网络访问(使用智能卡)以及物理访问的访问管理 | ||||||||||
| • | 证书服务包括对 Microsoft 的自主公钥基础结构进行维护,包括:
| ||||||||||
| • | 对支持安全业务进程的工具和应用程序进行产品管理 | ||||||||||
| • | “具体化可信计算”倡议的全面程序管理 |
Microsoft IT 风险和战术
公司安全小组参与多年的称作“具体化可信计算”的计划,该计划包括一个筹划指导委员会,它使用本书中说明的框架为风险缓解战术设定优先级。
Microsoft IT 横跨五个生态系统环境和五个向量评估风险,并且组织风险缓解策略成为四个执行小组,如下所示:
| • | 保护网络周边安全。堵塞网络周边漏洞,以使入侵者和恶意代码不能轻易访问网络。 |
| • | 保护网络内部安全。在网络内部管理用户帐户、策略、客户端和服务器安全配置。 |
| • | 保护重要资产。确保这些重要资产安全,并且定期检查漏洞。 |
| • | 监视和审核。在持续不断的基础之上执行符合。 |
执行小组的形成导致几个项目和策略的识别和实施,如 Ipsec 项目的网络分段。Microsoft IT 方法与项目和策略相结合,以获取全面的深度防护安全。
2000 年,公司安全小组创建了 PKI,它建立了许多项目使用的基础。使用 Microsoft IT 构建的 PKI 层级由三层组成:脱机企业根授权、脱机从属授权和多种在线企业颁发授权。脱机根授权是自行签名实体,并且是所有 PKI 信任的定位点。该授权单独用于从属的其他中间授权。然后,在整个 Microsoft 的多重网络和 Active Directory 环境下,这些中间授权用于从属在线颁发授权。颁发授权与 Active Directory 相互作用,并且负责对用户和系统的所有证书的颁发。
保护网络周边安全
保护网络周边安全的目标是在攻击能够获取网络访问权限之前,阻止尽可能多的攻击。为了达到这个目标,Microsoft IT 使用目标策略和倡议来部署解决方案,以下段落对这些方案进行了描述。
远程访问智能卡
世界各地超过 65,000 位 Microsoft 工作人员可以通过远程访问来访问 Microsoft 公司电子邮件帐户、文件和计算机网络资源,例如,通过使用直接拨号和 VPN。Microsoft IT 每周管理超过 250,000 次的远程访问连接。为了管理来自恶意用户的威胁,Microsoft IT 使用智能卡实现双因素用户身份验证。双因素身份验证明显增加了远程连接由有效用户发起的可信度。超过 65,000 个智能卡已经发放给世界各地的工作人员。有关远程访问智能卡实施的详细信息,请查看 http://www.microsoft.com/china/technet/itsolutions/msit/security/smartcrd.mspx。
保护远程用户的安全
从远程位置通过未管理的计算机连接到网络可能危害公司的整个网络的安全。未管理的的计算机是指那些组织 IT 专业人员不能控制其操作系统安全设置,不能安装安全修补程序,或者不能安装专门的安全软件的计算机。组织的组策略不能延伸到这些计算机。因此,他们经常错过关键安全修补程序或者不按照 IT 安全策略和标准进行配置,在保护远程用户(SRU)倡议下,只有当设备符合安全需求的有效验证,才能远程访问连接到公司网络。组策略设置要求远程用户通过使用连接管理器连接,并同时具备自定义配置文件和脚本来执行系统配置检查,更新防病毒软件和签名文件,启用 Internet 连接防火墙,禁用 Internet 连接共享,并且加强了最小 Windows 版本(编写本文时是 Microsoft Windows XP Professional Service Pack 1)的使用。
保护无线访问的安全
Microsoft IT 在世界各地部署了超过 4,000 个无线接入点 (AP),包括 Puget Sound 地区的 2,100 多个。AP 为 30,000 多名员工启用无线访问连接。在每个用户能够访问无线网络之前,他或她必须通过 802.1X 客户端认证协议进行唯一身份验证,该协议内置于 Windows XP Professional 和 Windows Server 2003 系列中。此外,使用选择的无线局域网 (WLAN) 硬件,Pocket PC 2002 具有 802.1X 能力。编写本文档时,已开始实施将带证书的可扩展身份验证协议 (EAP)/传输层安全 (TLS) 用作身份验证的方法。使用计算机帐户证书和/或用户帐户证书。用户和/或设备与无线网络之间的无线会话必须单独加密。在一个无线会话期间,用户和设备都必须定期重新认证。根据策略,在公司网络上禁止非 Microsoft IT 管理的无线接入点,也称为欺诈 AP。与许多企业相同,Microsoft IT 扫描欺诈 AP,并且评估自动检测和管理技术。有关 Microsoft 保护 WLAN 的详细信息,请参考技术案例研究“移动性:在以下站点为用户授权通过无线网络的权利”: http://www.microsoft.com/china/technet/itsolutions/msit/default.mspx。
周边信息防火墙
通过如 Outlook Web Access (OWA) 和 Outlook Mobile Access (OMA) 之类的服务使移动员工能够通过 Internet 访问电子邮件,这要求服务器可以同时访问 Internet 和公司网络。为了减少入侵者获取未授权访问的风险,Microsoft IT 在运行这些消息服务的前端服务器之前配置 Microsoft Internet Security 和 Acceleration (ISA) Server 2000 功能数据包 1。前端服务器位于公司网络,不能连接到 Internet。作为代替,运行 ISA Server 的服务器同时连接到 Internet 和公司网络。用户连接到 ISA Server 的外部接口上,但是其行为就像它们直接连接到前端服务器上一样。这种方法提供对系统的深度防护,在 Internet 之上连接到公司网络,通过把它们放置在防火墙之后排除这些系统直接面对 Internet 攻击的风险。配置包括稳固的防火墙安全设置、网络隔离、应用程序过滤和协议过滤。有关 ISA Server 的详细信息,请查看 http://www.microsoft.com/china/isaserver。
电子邮件防病毒
管理病毒风险的 Microsoft IT 方法超出单独运行过滤软件的方法。分层防护包括在所有台式机、服务器、电子邮件网关、Internet 网关和个人数字助理 (PDA) 上部署防病毒软件。除了网关运行 Trend Micro InterScan Viruswall 和 Brightmail 软件之外,所有台式机和完全管理服务器上都使用 Computer Associates eTrust。每天扫描大约 5 百万入站电子邮件。平均每天剥落 800 个病毒,并且平均每天过滤大约 2.4 百万垃圾电子邮件信息。
保护外部网络和合作伙伴连接
Microsoft IT 维护连接到不同商业伙伴的外部网络环境。Microsoft 不能保证内部强制执行的物理和 IT 设备安全标准在外部合作伙伴所拥有和使用的设备上同样强制执行。因此,这些一般用来执行业务和与 Microsoft 交换信息的设备可用于发现漏洞,攻击 Microsoft,并使 Microsoft 资产和知识产权受到威胁。因此,Microsoft IT 致力于下列四种倡议以保护外部网络:
| • | 管理员智能卡。域管理员凭据的被盗会危害到整个域的完整性。可通过要求在外部网络的域控制器和选定的“高安全”成员服务器上使用智能卡来降低与此威胁相关的风险。(“高安全”服务器定义为因为其所含数据重要和由泄漏导致的危害相当严重而要求附加控制的服务器。)智能卡读取器安装在域控制器和这些服务器上。管理员帐户上设置了一个标志以要求使用智能卡进行交互登录。 |
| • | 供应商网络要求/移植/补救。供应商网络中的网络和服务器安全不符合安全标准,并且由于环境数量和供应商网络的体系结构使得管理充满挑战。因此,那些网络上的服务会受到审核,并对服务器所有者进行识别。从而导致目前多数业务合作伙伴应用程序保存在外部网络上。供应商连接或者重新返至外部网络或者移植到 Internet。因为已不再使用网络和供应商连接,所以所有的合作伙伴连接均归 Microsoft IT 所有并由其进行管理。这就使得 Microsoft IT 可在任何时间立即结束任一 Microsoft 所有的合作伙伴环境中的连接。 |
| • | 合作伙伴帐户安全。外部网络上的 Microsoft 资产因为外部暴露和用户管理任务的委派而存在着极大的风险。这个项目所带来的结果就是,目前所有合作伙伴帐户必须归 Microsoft IT 所有并由其进行管理,同时还有应用于公司网络上的帐户的所有帐户和密码策略。此外,在合作伙伴环境中不能再创建本地成员服务器帐户。通过要求本地管理员帐户使用唯一密码和要求 Microsoft IT 维护人员使用单一本地帐户,将在 Microsoft IT 管理的服务器上的所有合作伙伴本地管理员帐户进行合并。通过限制使用服务的共享域帐户和限制使用了域管理员权限的服务,减少了共享帐户的漏洞。30 天未使用的新帐户将被删除,并禁用非活动帐户。禁用的帐户受限于交互登录、作为服务或批作业进行的登录和网络登录功能。它们登录权利的凭据受到限制,并将删除非活动合作伙伴帐户和共享合作伙伴帐户。 |
| • | 删除直接的供应商连接。目前要求合作伙伴在访问 Microsoft 公司网络之前在周边接入点进行身份验证。限制并强制访问仅限于那些供应商为与 Microsoft 处理业务所要求的系统和网络资源。周边接入控制点通过与 Internet 身份验证服务 (IAS) 可用的远程访问策略 (RAP) 限制相结合的 ISA 服务器防火墙来实施。 |
保护网络内部安全
保护网络内部安全的目的是为公司网络上的用户和计算机确保强身份验证和授权。为了保护网络内部安全,Microsoft IT 部署了以下段落中说明的解决方案。
减少共享服务帐户的漏洞
应用程序使用服务(一种后台处理)在服务器上执行工作,或从服务器获取信息。在 Windows 2000 发布之前,服务访问每台远程服务器上的网络资源时要求使用域用户帐户进行身份验证。
Microsoft IT 实施了一个项目以将多数服务转换为使用 Windows 2000 和更新的操作系统中的 LocalSystem 操作系统所有的帐户。应用程序使用了要求域级管理权限或不支持使用另外配置的计算机帐户身份验证的服务。这些配置包括在每台计算机上使用唯一的帐户和密码,处理其上的服务是作为“高安全”服务器来运行的计算机,或通过使用多个计算机上的服务来配置应用程序以逐个将管理费用降至最低。
合并本地管理员帐户
当 Microsoft IT 管理的服务器的域成员身份受损或无法核实时,必须通过使用本地管理员帐户直接在服务器上执行管理活动。Microsoft IT 为这个目的在每台 Microsoft IT 管理的服务器上至少保留四个这样的帐户。这种情形会产生出一个漏洞,由此单个本地管理员帐户就可能暴露于多数其他 Microsoft IT 管理的服务器中。为了降低这个风险,强制要求所有本地管理员帐户均使用唯一的密码。此外,强制使用单一管理员级帐户(对每台服务器和每个域而言),同时删除这些服务器上附加的本地管理员帐户。
清除不严格的密码
入侵者通过使用密码破译技术利用不严格的密码和空白密码(例如“administrator、“admin”、“password”、计算机名称或空值)使其可轻易进行未授权的访问。入侵者获得某用户(或系统)帐户的访问权后,会不受限制地访问网络资源。使用扫描的方法来识别这些帐户并通知所有者对缓慢(36 小时进行一次扫描)和低效(仅解决了一半的帐户)做出修正。
为了改善结果,公司安全小组部署了一种内部开发的扫描工具,该工具可引导一个自动且预设的进程,此进程可持续识别具有不严格或空白密码的帐户,然后为这些帐户生成一个新的严格的密码并同时重置密码。公司安全小组还为管理的严格密码选择和使用的 Microsoft IT 管理的服务器创建了一个服务器配置要求。通过不允许用户在本地管理员帐户密码字段为空值时远程连接至系统,Windows XP 广泛的部署将有助于该安全暴露的降低。
此外,为确保严格密码管理,Microsoft IT 在域管理员帐户的域级上运行了一个自定义密码过滤器,Passfilt.dll。有关 Passfilt.dll 的详细信息,请在以下站点查看安装和注册密码过滤器 DLL http://msdn.microsoft.com/library/default.asp?url=/library/en-us/security/security/installing_and_registering_a_password_filter_dll.asp。在Windows 2000 Server 和 Windows XP Professional 的操作系统安全组件中安装了该密码过滤器。通过系统管理工具,可在 Windows 2000 Server、Windows Server 2003 和 Windows XP Professional 上启用严格密码强制执行。
移植 Windows NT 4.0 Domains 至 Windows 2000 Active Directory
尽管大量公司域已移植至 Windows 2000,但是还是有许多与公司网络有信任关系的 Microsoft Windows NT®版本 4.0 域存在。因为 Windows NT 4.0 不支持 Active Directory,所以 Microsoft IT 不能对那些 Windows NT 4.0 域中的计算机和用户帐户进行有效管理。
Microsoft IT 执行了一个项目来将 Windows NT 4.0 域升级至 Windows 2000 或更新的版本,不再使用 Windows NT 4.0 域,或删除公司网络的域信任。通过启用 Microsoft IT 来部署并支持所有运行 Windows 2000 及更新版本的计算机和 Microsoft IT 管理的域信任的域中的用户帐户上的 Microsoft IT 安全策略、设置、配置和软件,加强了基础结构。这些行为确保了所有计算机和用户帐户中安全指示的一致性,并可精确识别唯一用户和计算机以及可识别的用户和计算机组。
管理员智能卡
正在执行一个项目来通过智能卡执行双因素身份验证来缓解对高权限帐户和重要基础结构服务器(例如域级管理员帐户、域控制器和源代码库服务器)的安全威胁。该项目中有两件必须齐头并进、努力完成的事情。第一件是努力使目标服务器可以支持使用智能卡(包括必要的硬件和证书工具的部署)的帐户进行交互登录。第二件是努力识别必须拥有智能卡启用的、域级管理员帐户的管理员并创建和部署此类帐户。第二件事中包括深度分析以精确制作管理员模型,降低此类帐户数量而不会对操作造成负面影响,然后识别哪个帐户需要智能卡。
使用 IPsec 分段网络
Microsoft IT 使用 IPsec 将 Microsoft 网络上的设备分为两大类:管理的计算机和未管理的计算机。通过确保仅允许符合安全要求的设备进行网络级访问,而在默认情况下拒绝来自未管理的计算机的访问,该逻辑分段以此来降低 Microsoft IT 管理的计算机的风险。Microsoft IT 将其管理的计算机定义为加入 Microsoft IT 管理的域并服从 Microsoft IT 监视和修补机制的计算机。多数未管理的设备主要用于产品测试、调试和/或专门实验室。
通过使用 IPsec 分段网络的项目分为两个阶段。第一个阶段中,大约配置 150,000 台管理的台式计算机和服务器来使用 IPsec,其间不会阻塞任何来自未管理计算机的通信。分阶段部署允许实施者集中关注第一阶段的 IPsec 技术问题。现在开始第二阶段的部署,Microsoft IT 逐步更改 IPsec 策略以实施分段并阻止来自任何未管理的计算机的入站连接。IPsec 策略指定 Kerberos 为其首选身份验证机制,并且也接受基于计算机的数字证书作为身份验证的辅助形式。
保证关键资产的安全
为了确保关键资产的安全并定期检查漏洞,Microsoft IT 部署了以下段落中说明的解决方案和要求。
管理源代码
Microsoft 源代码是高价值的数字资产。但是,却没有管理源代码安全的正式目标企业级服务。除过程不一致外,还存在多余的基础结构和人员。
Microsoft IT 已实施了一个旨在为 Microsoft 的每个业务小组的源代码安全管理创建公用、集中且专业的管理的企业级服务项目。该项目的目标是降低由未授权用户导致的源代码完整性和机密性的泄露风险。该项目的组件如下所示:
| • | 创建单独、安全的网络林 |
| • | 限制源代码库服务器上的本地管理员帐户权限 |
| • | 从授权源代码库帐户清除服务和批作业 |
| • | 使用数据中心修补程序管理和防毒进程以强制执行未修补漏洞的补救 |
| • | 为源代码库服务器附加事件管理软件和入侵检测软件 |
| • | 将源代码库服务器放在安全数据中心设备中 |
源代码服务器分段
在某个点时刻,公司网络上的任一计算机都可能访问网络层的源代码库服务器。这种情形会产生一个漏洞,公司网络上的单台计算机泄漏可能导致潜在的一台或多台源代码库服务器渗透。
Microsoft IT 实施一个项目以限制仅需要访问的用户的计算机能够访问源代码库服务器。IPsec 技术用于身份验证和授权访问源代码服务器。需要源代码库服务器访问的开发者的计算机帐户(与 IPsec、Kerberos 保持一致和从网络本地策略用户权利分配访问该计算机)受到限制,并被添加至安全组。该安全组可得到要求的源代码库服务器的控制访问权。
安全域控制器
在公司环境中,有很多将基础结构、终端用户和工具合并至单台服务器上的服务器。Microsoft IT 进行了一个项目,该项目中定期对用作域控制器的服务器进行审核以确认合适的配置,即限制其提供基础结构服务,例如域控制器和全局目录服务器、DNS、DHCP 和 Microsoft Systems Management Server (SMS)。允许域控制器运行服务以提供监视功能(例如 SeNTry 和 Microsoft Operations Manager),并可以提供域控制器状态信息的备份。任何用于备份域控制器状态信息的远程服务器,均要求较高程度的安全性。在遵守最小服务配置的安全原则时,允许终端用户将文件置于服务器上的服务,禁止作为域控制器启用。在遵守最小服务配置的另一个最佳做法时,作为域控制器启用的服务器不配置 Internet 信息服务 (IIS)。
监视和审核
攻击者持续威胁着计算机网络。但是,多数组织较注重在攻击者出现时资源对其的反抗,而不是身份验证和防止攻击。安全策略、服务和倡议的正在进行中的成功依赖于强制执行的符合。Microsoft IT 的监视和审核策略注重改善工具以使符合监视和审核更为有效。为了实现这个策略,Microsoft IT 部署了以下段落中描述的解决方案和要求。
网络入侵检测
黑客入侵企图的持续增加促使对公司公司安全小组网络入侵检测系统 (NIDS) 进行扩展和改善,以监视公司网络上的周边攻击。该倡议之后使用了双入侵检测层战略。外层 (NIDS) 允许公司网络安全小组跟踪并监视来自外部网络的攻击和连接企图,同时内层,主机入侵检测系统 (HIDS),检测来自外层的违背。
连个检测层的使用充分地提高了识别、跟踪、隔离和停止网络入侵的效率。但是,1999 年实施的一个 NIDS 系统为了与公司网络的扩展保持步调一致而苦苦挣扎。之后的倡议以以下方式对 Microsoft IT NIDS 功能进行了改善:
| • | 近乎实时查看所有外部网络攻击企图,存储网络攻击信息以识别攻击模式和趋势,并收集攻击证据。 |
| • | 为网络入侵检测定义并使用自定义签名。 |
| • | 创建了网络入侵检测传感器的集中命令和控制。 |
Microsoft IT 使用许多第三方和内部开发的程序和工具来管理入侵检测,其中包括 BlackICE、来自 Internet 安全系统的 RealSecure、代理通信量监视和防病毒软件。
漏洞管理
Microsoft IT 的计算机漏洞管理的方法以定期活动的漏洞扫描和审核开始。已开发系统的漏洞管理解决方案以确保所有 Microsoft 环镜中的符合和管理补救,其中包括网络设备、主机、应用程序、信任和帐户。其使用所涉及的工具、过程,内部称为安全环境补救 (SER)。Microsoft IT 的解决方案审核环境并使其至风险承受度的可接受级。在允许每个新环境访问网络前,承受度限制 随环境所有者一同发展。新环境服从于严格的、一致的符合和补救操作。成功量度和非一致报告给 Microsoft IT 管理和环境所有者交付。
安全修补程序管理
Microsoft 定期发布修补程序以更正操作系统和用户程序中的漏洞。Microsoft IT 设备管理包括安全修补程序管理。所有的计算机必须保持安全修补程序的符合级别,公司安全小组认为这是非常关键的。为了确保该符合,公司安全小组监视并确保操作系统和应用修补程序一致并及时地安装,强制执行安全修补程序的应用程序,而不受终端用户或操作的干涉,同时防止来自禁用安全修补程序的终端用户没有许可的免除。Microsoft IT 将 Microsoft SMS 2003 作为其主要工具来跟踪并强制执行符合。Microsoft IT 使用 SMS 2003 在那些超过符合最终期限的台式计算机和服务器上悄无声息地安装修补程序。附加的工具包括 Windows Update,用于提醒服务器管理员和台式计算机用户手动安装修补程序并登录脚本以加快紧急修补程序的部署。有关 SMS 2003 的详细信息,请查看 http://www.microsoft.com/downloads/details.aspx?FamilyId=959EE7D6-7DDF-409A-9522-7D270BDCF12A&displaylang=en 和 http://www.microsoft.com/china/smserver/。
结论
Microsoft 公司安全小组的战略取得了彻底成功,该战略由正式的风险管理框架、过程和清晰的角色和职责来指导。该框架是了解 Microsoft IT 所采取的提供安全保护行动的基础。Microsoft IT 所做的降低风险的实例清楚说明了用于保护 Microsoft 安全的核心控制。公司安全小组已经逐步开发出一个有效框架来保证 Windows 环境的安全,尽管该方法只是众多可能有效保护 Windows 环境方法中的一种。通过亲身经历,公司安全小组明确了正式风险管理框架和过程对于有效降低数字资产的风险是非常必要的。
公司安全小组根据风险管理方法组织起来。公司安全小组使用正式化的风险管理框架来持续评估当前风险剖析,即识别风险、按优先级区分风险及再次评估风险,而非在事件出现后执行漏洞评估。风险的持续评估为决策制订者提供了必要的数据,使其可做出平衡风险和安全控制成本的有效业务决策。
在正式的风险框架内,公司安全小组力图开发一个经济高效的控制环境,以达到可接受的风险级别。可接受的风险是特定于组织的决定:组织可接受风险的级别可能与 Microsoft 的级别有所不同,这取决于组织的独特特性。
作为组织和按优先级区分风险的一部分,公司安全小组使用了数据分类系统。该系统可有助于注重优先最高级别的风险,最后考虑最低级别的风险。虽然数据分类系统根据组织而有所不同,但却是风险优先区分过程的重要组件。
公司安全小组创建了“五个可信赖保证”来传达它承诺保护数字资产安全的地方,以及不将或不能够提供安全保证的地方。“五个可信赖保证”是每个数据分类中风险分析的基础。对于任何组织而言,风险管理程序的关键部分就是定义保证及这些保证的接受方。
过去几年中,技术变化一直苛求对保护网络周边安全、保护网络内部、保护关键资产以及监视和审核进行传统安全区分。随着技术的发展以及“内部”网络和“外部”网络之间的界限因为业务关系而模糊,这四个区分变得不太重要了。因此,公司安全小组也逐步不重视这些区分,而使用 Microsoft 风险管理过程取获得一个新的安全保护方式。
随着进一步发展,公司安全小组的安全风险管理方法将会建立在基于 Windows 的安全控制上(适当时以基于网络的安全控制作为补充)。策略强制执行技术(例如 Windows Rights Management),有望在增加的安全控制(如 Windows XP Professional 和防毒软件中的 Internet 连接防火墙)中扮演越来越重要的角色。使用如 IPsec 和 Internet 连接防火墙技术创建一个虚拟安全周边将有助于保护公司设备(不用考虑设备的放置位置)安全。随着时间推移,公司安全保护小组将会移除使用基于不严格密码的身份验证的身份验证基础结构,而使用通过智能卡的强双因素身份验证。例如,VPN 和管理员访问“高安全”服务器资产时必须通过智能卡身份验证。
计算机资源不可能完全没有漏洞。风险是网络的固有部分。因此,重要的是,实施能够识别具有经济效益的安全控制的风险管理过程以降低这些风险。风险管理提供给组织一条一致的、清晰的途径来组织并按照优先级区分限制的资源,以此管理业务的风险。任何一个组织都可以使用 Microsoft 公司安全小组使用的风险管理方法。有效风险管理程序的最终结果就是得出一套可将整个风险降至组织认为可接受级别的安全控制。
更多信息
要查看其他的 IT Showcase 材料,请访问 http://www.microsoft.com/china/technet/itsolutions/msit。
有关 安全指南中心的信息,请访问
http://www.microsoft.com/china/technet/security/guidance/default.mspx。
Microsoft 安全通知服务 是一个免费服务,新的安全公告发布时,它会通过电子邮件通知订阅者。本服务提供的准确信息可帮助您保护系统不受恶意攻击。若要注册,请登录 http://register.microsoft.com/regsys/pic.asp。
关于本文档的任何疑问、意见或建议,或获取有关 Microsoft IT Showcase 的其他信息,请发电子邮件至: showcase@microsoft.com。