Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.


Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Безопасность информационных систем в современном мире

Содержание

О чем мы сегодня поговоримПочему вопросам безопасности уделяется большое вниманиеОсновные источники угроз информационным системам и методы борьбы с нимиСтратегия Microsoft в области обеспечения безопасностиПродукты и технологии Microsoft для управления безопасностью
Безопасность информационных систем в современном миреАндрей КрючковMicrosoftandreykr@microsoft.com О чем мы сегодня поговоримПочему вопросам безопасности уделяется большое вниманиеОсновные источники угроз БезопасностьПочему вопросам безопасности уделяется большое внимание Когда-то очень давно жизнь была гораздо проще	«Большие ЭВМ»Доступ с терминалов“Стеклянный дом”Физическая безопасность, ограниченный доступ Потом стало чуть сложнее, но все равно достаточно просто…	Клиент-СерверКомпьютеры объединены в ЛВССерверы Но сегодня “Мы уже более не в Канзасе, Тото”*…Когда мир становится сложным Что говорят фактыХакеры44% Веб-узлов были атакованы при наличии межсетевых экрановВнутренние нарушителидо 80% Определение безопасности?Что защищено?От кого защищено?От чего защищено?Как долго защищено?Пример: Интернет-банк может быть Реальна ли угроза?По данным http://www.cert.org/stats* 2002 данные по третий кварталРост числа угроз Безопасность сегодняОбеспечение безопасности - это процесс управления рисками (через управление людьми и Круговорот не имеет концаДизайн продуктаНовые  угрозыПроцесс:  Обнаружить, РазработатьНа будущее:Включить в ЛюдиПроцессТехнологииНеверное распределение ролей и ответственностиОтсутствие аудита, мониторинга и реагированияОтсутствие процедур поддержания системы Уровень безопасности, цена или функционал?Всегда есть баланс между безопасностью, ценой решения и Объекты для защитыДанныеНомера кредитокМаркетинговые планыИсходные кодыФинансовую информациюСервисыВеб узлыДоступ в ИнтернетКонтроллеры доменовERP системыСетиЛогиныПлатежные транзакцииПочта Из чего состоит атакаУгроза + Мотив + Метод + Уязвимость = АТАКА! Рассмотрим по отдельностиОсновные источники угроз для информационных систем и как с ними бороться МотивыМетодыУязвимости Источники угрозОшибка обычного пользователя может быть фактором опасности и планировать защиту от Рассмотрим по отдельностиУгрозы Мотивы, которые толкают людей на преступлениеМетодыУязвимости Какие мотивы?ЛичныеСамоутверждениеПолитические заявления или терроризмШуткаПросто потому что могуКорыстныеУкрасть информациюШантажФинансовые махинацииХулиганствоИзменение, уничтожение или Портрет хакера?Типичный стереотип:Тинэйджер или молодой человек около двадцати летСобственная субкультура и сообществоМного Рассмотрим по отдельностиУгрозы МотивыМетоды используемые для осуществления атакУязвимости Методики атак (нарушений)Подбор/взлом паролейВирусыТроянские кониЧервиАтаки на отказ в обслуживанииПодмена адреса E-mail Перлюстрация Рассмотрим по отдельностиУгрозы МотивыМетодыУязвимости и из причины Что такое уязвимость?Ошибки проектирования (продукты не имеют встроенных защитных механизмов)Ошибки реализации Комплекс защитных мерПредупреждениеОбнаружениеТехнологииПлан-ие, политики & процедурыЧеловеческий фактор Комплекс защитных мер ПредупреждениеПредотвращение проблем до их проявленияПроактивный подход к работе над Комплекс защитных мер ОбнаружениеОбнаружить атаки через бреши в защите, которые не смогли Комплекс защитных мер  РеакцияОбнаружение без реагирования не имеет смысла!Пресечение нарушенияВосстановление данных Как планировать рискиДля каждой системыДля каждого фактора/ мотива и методаРазработка планов предотвращения, Эшелонированная оборонаВсегда планируйте как минимум два уровня защитыЗащита должна работать последовательно, а Оборона Крепости ПротиводействиеПрименяйте все способы противодействия – технологические, организационные, человеческий факторПроцессыЛюдиБиблиотеки антивирусного ПО постоянно Стратегия Microsoftв области обеспечения безопасности информационных систем Microsoft и безопасность – слухи и мифыIIS «полон дыр в безопасности»Microsoft не IIS (сам сервер) не более уязвим чем любая другая платформа ОС или CERT Advisories* Больше уязвимостей в UNIX-серверах чем в IIS Две уязвимости в Уязвимости в разных ОСНедостаточно хорошоИсточник: Security Focus http://www.securityfocus.com/vulns/stats.shtml Почему вопросы безопасности так важны для Microsoft?Атаки становятся все более частымиПростои и Стратегия Microsoft        по обеспечению безопасности Обязательство Microsoft перед заказчиками:Делать все возможное, чтобы быть уверенными, что каждый заказчик Инициатива «обеспечение безопасности Windows» “Создано с мыслью о безопасности”Цель: Устранить уязвимости системы до начала продаж продуктаЛюдиПроцессТехнологии Инициатива «обеспечение безопасности Windows»ЛюдиКурсы повышения квалификации в области безопасности для каждого разработчика, Инициатива «обеспечение безопасности Windows»  Сертификация безопасностиИспытания по FIPS 140-1 для подсистемы Инициатива «обеспечение безопасности Windows»  Сертификация Windows 2000  по Common Criteria Government Security Program14 января 2003 года корпорация Microsoft объявила новую программу GSP Программа GSP в РоссииРоссия – первая страна, в которой подписано Соглашение в Инициатива «обеспечение безопасности Windows»  В настоящее времяФокус на безопасности WindowsМобилизованы ВСЕОбязательные Цель: Помочь заказчикам обезопасить их системы на базе Windows ЛюдиПроцессТехнологииСтратегическая программа защиты технологий Стратегическая программа защиты технологий – Заказчикам нужна помощьЯ не знаю какие заплатки Стратегическая программа защиты технологий ЛюдиПроцессТехнологии Enterprise Security ToolsMicrosoft Baseline Security AnalyzerSMS security patch rollout toolWindows Update Auto-update Защищаем Microsoft Security ToolkitПовышает безопасность систем на Windows NT и 2000, даже Стратегическая программа защиты технологий Улучшение защиты в продуктахВсе новые продукты, включая Windows Защищенные информационные системы (Trustworthy Computing)Цель: Сделать компьютеры и программное обеспечение столь же надежными, как бытовые электроприборы Задачи концепции «Защищенные информационные системы»В краткосрочном периодеулучшенный дизайнреализация технологийполитик безопасностиСреднесрочная перспективановые механизмы Продукты и технологии MicrosoftДля управления безопасностью Доступные инструменты ДемонстрацияIIS Lockdown Tool MBSAЕдиное приложение для Windows 2000 и  Windows XPОбеспечивает локальное и удаленное MBSAСтандартная и консольная версииПоказывает контрольную карточку-отчетОбщая оценка системыСдан/Не сдан для каждой проверкиПояснения MBSA Сценарий примененияАдминистраторы могут проводить сканирование своей сети на предмет обнаружения уязвимостей Использование  консольной версии MBSA ДемонстрацияMBSA MBSA подводя итогиMBSA обеспечивает…Самый простой способ проверить один или несколько компьютеров на Corporate Update Server Источники информацииСайт по безопасностиhttp://msdn.microsoft.com/security/Officehttp://office.microsoft.com/SQL Serverhttp://www.microsoft.com/sqlserver/Exchange Serverhttp://www.microsoft.com/exchange/ Безопасная инфраструктураISA Server:Брандмауэр уровня предприятия и фильтрация на уровне приложений Безопасность это путь… А не конечная станция	Обучение и подготовка персоналаПройдите обучение на Квартальная маркетинговая программа «Безопасность информационных систем»Срок действия 1 января – 31 мартаРаздел Вопросы?Microsofthttp://www.microsoft.com/rusАндрей Крючков	andreykr@microsoft.comТелефон: 	(095) 967-8585
Слайды презентации

Слайд 2 О чем мы сегодня поговорим
Почему вопросам безопасности уделяется

О чем мы сегодня поговоримПочему вопросам безопасности уделяется большое вниманиеОсновные источники

большое внимание
Основные источники угроз информационным системам и методы борьбы

с ними
Стратегия Microsoft в области обеспечения безопасности
Продукты и технологии Microsoft для управления безопасностью

Слайд 3 Безопасность
Почему вопросам безопасности уделяется большое внимание

БезопасностьПочему вопросам безопасности уделяется большое внимание

Слайд 4 Когда-то очень давно жизнь была гораздо проще
«Большие ЭВМ»
Доступ

Когда-то очень давно жизнь была гораздо проще	«Большие ЭВМ»Доступ с терминалов“Стеклянный дом”Физическая безопасность, ограниченный доступ

с терминалов
“Стеклянный дом”
Физическая безопасность, ограниченный доступ


Слайд 5 Потом стало чуть сложнее, но все равно достаточно

Потом стало чуть сложнее, но все равно достаточно просто…	Клиент-СерверКомпьютеры объединены в

просто…
Клиент-Сервер
Компьютеры объединены в ЛВС
Серверы печати и файлы
Ограниченный доступ извне


Слайд 6 Но сегодня “Мы уже более не в Канзасе,

Но сегодня “Мы уже более не в Канзасе, Тото”*…Когда мир становится

Тото”*…
Когда мир становится сложным и большим…
Пришел Интернет
Всегда включено
Почта, сообщения
Веб
Интернет
*Прошу

прощения у L. Frank Baum “The Wizard of Oz”

Слайд 7 Что говорят факты
Хакеры
44% Веб-узлов были атакованы при наличии

Что говорят фактыХакеры44% Веб-узлов были атакованы при наличии межсетевых экрановВнутренние нарушителидо

межсетевых экранов
Внутренние нарушители
до 80% взломов происходит “изнутри”
Отказ в обслуживании
2000

г.: Yahoo, CNN, Amazon
Вирусные атаки
I love You: ущерб составил до 1 млрд. дол.

Source : CSC Peat Marwick
Published October 2000.


Слайд 8 Определение безопасности?
Что защищено?
От кого защищено?
От чего защищено?
Как долго

Определение безопасности?Что защищено?От кого защищено?От чего защищено?Как долго защищено?Пример: Интернет-банк может

защищено?
Пример: Интернет-банк может быть защищен от подложенной бомбы, но

насколько он защищен от работающего в нем программиста с криминальными наклонностями?
Нельзя говорить о безопасности не определяя контекст самого слова защита

Слайд 9 Реальна ли угроза?

По данным http://www.cert.org/stats
* 2002 данные по

Реальна ли угроза?По данным http://www.cert.org/stats* 2002 данные по третий кварталРост числа угроз

третий квартал
Рост числа угроз


Слайд 10 Безопасность сегодня
Обеспечение безопасности - это процесс управления рисками

Безопасность сегодняОбеспечение безопасности - это процесс управления рисками (через управление людьми

(через управление людьми и средствами защиты)
Системы безопасности включают:
Людей (культура

и знания)
Процессы (процедуры, регламенты, правила)
Технологии (технические средства защиты)
Надежность одного элемента защиты не обеспечивает безопасности системы в целом
Технологии не являются единственным и достаточным решением

Слайд 11 Круговорот не имеет конца
Дизайн
продукта
Новые угрозы
Процесс: Обнаружить, Разработать
На

Круговорот не имеет концаДизайн продуктаНовые угрозыПроцесс: Обнаружить, РазработатьНа будущее:Включить в новый продуктОбновление: Доставить

будущее:
Включить в новый продукт
Обновление: Доставить


Слайд 12 Люди
Процесс
Технологии
Неверное распределение ролей и ответственности
Отсутствие аудита, мониторинга и реагирования
Отсутствие

ЛюдиПроцессТехнологииНеверное распределение ролей и ответственностиОтсутствие аудита, мониторинга и реагированияОтсутствие процедур поддержания

процедур поддержания системы в актуальном состоянии
Недостаток знаний
Недостаток ответственности
Человеческие ошибки


Слайд 13 Уровень безопасности, цена или функционал?
Всегда есть баланс между безопасностью, ценой

Уровень безопасности, цена или функционал?Всегда есть баланс между безопасностью, ценой решения

решения и функционалом (удобство использования, производительность)
Определите адекватную степень безопасности:
Угрозы с которыми

вы сталкиваетесь
Степень риска с которой можно жить
Стоимость ваших данных
Не забудьте посчитать стоимость административных затрат и стоимость потерь от потери удобства использования и производительности
Абсолютная безопасность недостижима
В идеале:
Только те, кому это положено получают доступ к нужной им информации в любое время с максимальной производительностью с минимальными затратами



Слайд 14
Объекты для защиты


Данные
Номера кредиток
Маркетинговые планы
Исходные коды
Финансовую информацию
Сервисы
Веб узлы
Доступ

Объекты для защитыДанныеНомера кредитокМаркетинговые планыИсходные кодыФинансовую информациюСервисыВеб узлыДоступ в ИнтернетКонтроллеры доменовERP системыСетиЛогиныПлатежные транзакцииПочта

в Интернет
Контроллеры доменов
ERP системы
Сети
Логины
Платежные транзакции
Почта


Слайд 15 Из чего состоит атака
Угроза + Мотив + Метод

Из чего состоит атакаУгроза + Мотив + Метод + Уязвимость = АТАКА!

+ Уязвимость = АТАКА!


Слайд 16 Рассмотрим по отдельности
Основные источники угроз для информационных систем

Рассмотрим по отдельностиОсновные источники угроз для информационных систем и как с ними бороться МотивыМетодыУязвимости

и как с ними бороться
Мотивы
Методы
Уязвимости


Слайд 17 Источники угроз
Ошибка обычного пользователя может быть фактором опасности

Источники угрозОшибка обычного пользователя может быть фактором опасности и планировать защиту

и планировать защиту от ошибок нужно так же, как

и защиту от хакеров
Существуют подходы к решению задач борьбы с отказами технических средств и природными катаклизмами, но данные вопросы лежат вне сегодняшней темы



Слайд 18 Рассмотрим по отдельности
Угрозы
Мотивы, которые толкают людей на

Рассмотрим по отдельностиУгрозы Мотивы, которые толкают людей на преступлениеМетодыУязвимости

преступление
Методы
Уязвимости


Слайд 19 Какие мотивы?
Личные
Самоутверждение
Политические заявления или терроризм
Шутка
Просто потому что могу
Корыстные
Украсть

Какие мотивы?ЛичныеСамоутверждениеПолитические заявления или терроризмШуткаПросто потому что могуКорыстныеУкрасть информациюШантажФинансовые махинацииХулиганствоИзменение, уничтожение

информацию
Шантаж
Финансовые махинации
Хулиганство
Изменение, уничтожение или повреждение информации
Отказ в обслуживании
Порча общественного

имиджа компании





Слайд 20 Портрет хакера?
Типичный стереотип:
Тинэйджер или молодой человек около двадцати

Портрет хакера?Типичный стереотип:Тинэйджер или молодой человек около двадцати летСобственная субкультура и

лет
Собственная субкультура и сообщество
Много времени, но мало денег
Узкий крут

настоящих специалистов -- разработчиков утилит, знаний и руководств по взлому
Большинство пользуются готовыми скриптами «script kiddies»
Престиж среди своих
Мотивация скорее личное любопытство нежели корысть
Плюс к этому хакером может стать: «обиженный» сотрудник, конкурент, обычный преступник, кибер-террорист

Слайд 21 Рассмотрим по отдельности
Угрозы
Мотивы
Методы используемые для осуществления атак
Уязвимости

Рассмотрим по отдельностиУгрозы МотивыМетоды используемые для осуществления атакУязвимости

Слайд 22 Методики атак (нарушений)
Подбор/взлом паролей
Вирусы
Троянские кони
Черви
Атаки на отказ в

Методики атак (нарушений)Подбор/взлом паролейВирусыТроянские кониЧервиАтаки на отказ в обслуживанииПодмена адреса E-mail

обслуживании
Подмена адреса E-mail
Перлюстрация E-mail
Проигрывание записи сетевых пакетов
Модификация

перехваченных сетевых пакетов
Просмотр сетевого трафика
Методы социальной инженерии
Атаки по сети
Подмена сетевых адресов
Перехват сессий

Существует огромное количество разно- образных методов осуществления атак. На слайде наиболее часто встречающиеся.


Слайд 23 Рассмотрим по отдельности
Угрозы
Мотивы
Методы
Уязвимости и из причины

Рассмотрим по отдельностиУгрозы МотивыМетодыУязвимости и из причины

Слайд 24 Что такое уязвимость?
Ошибки проектирования (продукты не имеют встроенных защитных механизмов)
Ошибки

Что такое уязвимость?Ошибки проектирования (продукты не имеют встроенных защитных механизмов)Ошибки реализации

реализации (программы содержат ошибки)
Ошибки при эксплуатации (многие бреши не

могут быть закрыты с помощью технологии

«Трещины в крепостной стене»

Уязвимость (слабость) – любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы


Слайд 25 Комплекс защитных мер

Предупреждение

Обнаружение
Технологии
План-ие, политики
& процедуры
Человеческий фактор

Комплекс защитных мерПредупреждениеОбнаружениеТехнологииПлан-ие, политики & процедурыЧеловеческий фактор

Слайд 26 Комплекс защитных мер Предупреждение
Предотвращение проблем до их проявления
Проактивный

Комплекс защитных мер ПредупреждениеПредотвращение проблем до их проявленияПроактивный подход к работе

подход к работе над проблемами
Защита от атак (нарушений), которые

можно предсказать
Технологии (средства защиты) наиболее полезны на данном этапе защиты
Пример: Пользователь должен пользоваться магнитной карточкой чтобы попасть в офис


Предупреждение


Слайд 27 Комплекс защитных мер Обнаружение
Обнаружить атаки через бреши в

Комплекс защитных мер ОбнаружениеОбнаружить атаки через бреши в защите, которые не

защите, которые не смогли заранее перекрыть
Оценка известных и неизвестных

проблем и брешей в безопасности
Может работать как реакция на событие или быть проактивной Технологии обнаружения атак могут сильно помочь, но этот этап требует повышенного интеллектуального потенциала
Важно документировать все действия, чтобы в дальнейшем обоснованно привлекать к ответственности
Пример: Сотрудники должны носить бедж с фотографией поверх одежды все время, пока они находятся в офисе


Обнаружение


Слайд 28 Комплекс защитных мер Реакция
Обнаружение без реагирования не имеет

Комплекс защитных мер РеакцияОбнаружение без реагирования не имеет смысла!Пресечение нарушенияВосстановление данных

смысла!
Пресечение нарушения
Восстановление данных и/или сервисов в штатный режим
Выявление и

наказание виновного
Изучение опыта и улучшение безопасности
Пример: Каждого, кого обнаружат без беджа в офисе охрана выводит из офиса для выяснения личности и т.п.

Слайд 29 Как планировать риски
Для каждой системы
Для каждого фактора/ мотива

Как планировать рискиДля каждой системыДля каждого фактора/ мотива и методаРазработка планов

и метода
Разработка планов предотвращения, обнаружения и реагирования
Анализ результатов для

повышения уровня безопасности



Слайд 30 Эшелонированная оборона
Всегда планируйте как минимум два уровня защиты
Защита

Эшелонированная оборонаВсегда планируйте как минимум два уровня защитыЗащита должна работать последовательно,

должна работать последовательно, а не параллельно; атакующий должен преодолеть

A и B – а не A или B

Безопасность коммуникаций

К банковской системе нельзя подключиться по Интернет/модему

Физическая безопасность

Система требует ключа/смарт-карты для работы

Безопасность логики

Список доступа ограничивает кто может переводить деньги

Организацион-ная безопас-ть

Все переводы более 100000 рублей должны подтверждаться менеджером

Пример:


Слайд 31 Оборона Крепости

Оборона Крепости

Слайд 32 Противодействие
Применяйте все способы противодействия – технологические, организационные, человеческий

ПротиводействиеПрименяйте все способы противодействия – технологические, организационные, человеческий факторПроцессыЛюдиБиблиотеки антивирусного ПО

фактор
Процессы
Люди
Библиотеки антивирусного ПО постоянно обновляются. Трафик и производительность постоянно

анализируются

Сотрудники обучены безопасной работе с почтовыми клиентами и уведомлены о риске, связанном с открытием вложенных файлов

Технологии

На почтовых серверах и клиентах установлено антивирусное ПО. На клиентах реализован запрет запуска исполняемых файлов-вложений и доступ к адресной книге


Слайд 33 Стратегия Microsoft
в области обеспечения безопасности информационных систем

Стратегия Microsoftв области обеспечения безопасности информационных систем

Слайд 34 Microsoft и безопасность – слухи и мифы
IIS «полон

Microsoft и безопасность – слухи и мифыIIS «полон дыр в безопасности»Microsoft

дыр в безопасности»
Microsoft не занимается безопасностью
Другие платформы лучше

Поэтому:
Если

мы уйдем от IIS, все проблемы с безопасностью решаться сами собой

Gartner FirstTake, 9/19/01, John Pescatore “Enterprises …should start to investigate less-vulnerable Web server products.”


Слайд 35 IIS (сам сервер) не более уязвим чем любая

IIS (сам сервер) не более уязвим чем любая другая платформа ОС

другая платформа ОС или веб-сервер
CERT advisories for 2001
DataReturn “proof

point”
Microsoft занимается безопасностью
Ничего не скрывает
Поправки выпускаются максимально быстро
Другие не обязательно лучше
Почитаем прессу: кто помнит “sadmind”или CARKO? Недавний вирус под Apache показал, что на 75% серверов под UNIX не были установлены поправки, Два известных брандмауэра и такой продукт как OpenView имели проблемы с безопасностью
Это системная, а не «платформенная» проблема
И это то, на что нацелена программа Программа Стратегической Защиты Технологий

Microsoft и безопасность – реальность


Слайд 36 CERT Advisories*
Больше уязвимостей в UNIX-серверах чем в

CERT Advisories* Больше уязвимостей в UNIX-серверах чем в IIS Две уязвимости

IIS
Две уязвимости в брандмауэрах
Выдержки из списка ошибок Bugtraq

в 2001
Mandrake Linux 7.2 – 33 (v7.1 еще 27)
Red Hat Linux 7.0 – 28
Sun Solaris 8.0 – 24 (v7.0 еще 24)
Windows 2000 – 24
Отчет Netcraft uptime

*For more info/details see http://cert.org
**(as of 10/01)

“CERT-ифицированные” факты


Слайд 37 Уязвимости в разных ОС
Недостаточно хорошо
Источник: Security Focus http://www.securityfocus.com/vulns/stats.shtml

Уязвимости в разных ОСНедостаточно хорошоИсточник: Security Focus http://www.securityfocus.com/vulns/stats.shtml

Слайд 38 Почему вопросы безопасности так важны для Microsoft?
Атаки становятся

Почему вопросы безопасности так важны для Microsoft?Атаки становятся все более частымиПростои

все более частыми
Простои и потери данных обходятся все дороже
Microsoft

играет важную роль в электронной коммерции (более 50% сайтов с SSL в Интернет), а это требует инвестиций и действий
Microsoft хочет быть лидером
“Code Red” и “Nimda” дорого обошлись заказчикам, которые не были к ним готовы
Заказчики ждут руководства к действию от Microsoft
Установка из коробки нацелена на удобство использования, а не на высокую безопасность
Это уязвимость номер один
Важно донести эту идею до заказчиков и помочь им исправить положение

Слайд 39 Стратегия Microsoft

Стратегия Microsoft    по обеспечению безопасности

по обеспечению безопасности


Слайд 40 Обязательство Microsoft перед заказчиками:
Делать все возможное, чтобы быть

Обязательство Microsoft перед заказчиками:Делать все возможное, чтобы быть уверенными, что каждый

уверенными, что каждый заказчик может безопасно работать и обмениваться

информацией через Интернет

Слайд 41 Инициатива «обеспечение безопасности Windows» “Создано с мыслью о безопасности”
Цель:

Инициатива «обеспечение безопасности Windows» “Создано с мыслью о безопасности”Цель: Устранить уязвимости системы до начала продаж продуктаЛюдиПроцессТехнологии

Устранить уязвимости системы до начала продаж продукта
Люди
Процесс
Технологии


Слайд 42 Инициатива «обеспечение безопасности Windows»
Люди
Курсы повышения квалификации в области

Инициатива «обеспечение безопасности Windows»ЛюдиКурсы повышения квалификации в области безопасности для каждого

безопасности для каждого разработчика, тестера и менеджера для создания

более безопасных продуктов

Процесс

Выделение проблем безопасности в качестве критического фактора при разработке, кодировании и тестировании любого продукта Microsoft
Просмотр кода и дизайна другими людьми
Анализ угроз по каждой спецификации на разработку
Специальная «Красная Команда» тестирует код
Не только поиск переполнения буферов
Цикл работы над ошибками и подписания кода
Изучение кода и тестирование сторонними консультантами

Технологии

Разработка автоматизированных инструментов для улучшения качества кода там, где это возможно
Гарантированное обнаружение переполнение буферов
Новые компиляторы и отладчики
Стресс-тесты


Слайд 43 Инициатива «обеспечение безопасности Windows» Сертификация безопасности
Испытания по FIPS 140-1

Инициатива «обеспечение безопасности Windows» Сертификация безопасностиИспытания по FIPS 140-1 для подсистемы

для подсистемы криптографии Cryptographic Service Provider (CSP) – Завершены
Реализация

базовых крипто алгоритмов в Windows проверено государственными органами США
Международная сертификация Common Criteria– Завершена!
Исследование исходного кода Windows по международным критериям безопасности кода для получения международного сертификата
Передача ключевых компонент третьим лицам для исследования, изучения
Исходные коды лицензированы более чем для 80 университетов, лабораторий и правительственных агентств

Слайд 44 Инициатива «обеспечение безопасности Windows» Сертификация Windows 2000 по

Инициатива «обеспечение безопасности Windows» Сертификация Windows 2000 по Common Criteria for

Common Criteria for Information Technology Security Evaluation (ISO-IEC 15408)
Сертификацией Windows 2000

занималась специализирующаяся в области тестирования независимая компания Science Applications International Corporation (SAIC)
Соответствие по профилю защиты Controlled Access Protection Profile уровню Evaluation Assurance Level 4 (EAL4) + ALC FLR 3  (Systematic Flaw Remediation)
В России стандарт ГОСТ Р ИСО/МЭК 15408–2002

Слайд 45 Government Security Program
14 января 2003 года корпорация Microsoft

Government Security Program14 января 2003 года корпорация Microsoft объявила новую программу

объявила новую программу GSP (Government Security Program)
Задача программы –

повышения доверия к технологиям Microsoft с точки зрения информационной безопасности
Программа адресована национальным правительствам и международным организациям
В рамках программы GSP Microsoft предоставляет доступ к исходному коду Windows и другой технической информации, необходимой для создания защищенных систем на платформе Microsoft Windows




Слайд 46 Программа GSP в России
Россия – первая страна, в

Программа GSP в РоссииРоссия – первая страна, в которой подписано Соглашение

которой подписано Соглашение в рамках программы GSP
Программа GSP предполагает

долгосрочное сотрудничество в области информационной безопасности
В Соглашении учтены все требования российской стороны


Слайд 47 Инициатива «обеспечение безопасности Windows» В настоящее время
Фокус на

Инициатива «обеспечение безопасности Windows» В настоящее времяФокус на безопасности WindowsМобилизованы ВСЕОбязательные

безопасности Windows
Мобилизованы ВСЕ
Обязательные курсы по безопасности
Фокусировка на все источники

уязвимостей, снижение возможностей для атак, установка всех параметров по умолчанию и функций в безопасное состояние
Первоочередное исправление ошибок и уязвимостей

Слайд 48 Цель: Помочь заказчикам обезопасить их системы на базе

Цель: Помочь заказчикам обезопасить их системы на базе Windows ЛюдиПроцессТехнологииСтратегическая программа защиты технологий

Windows
Люди
Процесс
Технологии
Стратегическая программа защиты технологий


Слайд 49 Стратегическая программа защиты технологий – Заказчикам нужна помощь
Я

Стратегическая программа защиты технологий – Заказчикам нужна помощьЯ не знаю какие

не знаю какие заплатки мне нужны
Я не знаю где

взять заплатки
Я не знаю какие машины латать
Мы обновили наши «боевые» сервера, но сервера разработки и тестовые были инфицированы

Более 50% пораженных червем Code Red не установили заплатки и пострадали от червя Nimda


Слайд 50 Стратегическая программа защиты технологий
Люди
Процесс
Технологии

Стратегическая программа защиты технологий ЛюдиПроцессТехнологии

Слайд 51
Enterprise Security Tools
Microsoft Baseline Security Analyzer
SMS security patch

Enterprise Security ToolsMicrosoft Baseline Security AnalyzerSMS security patch rollout toolWindows Update

rollout tool
Windows Update Auto-update client
Microsoft Security Toolkit
Материалы по настройке

серверов
Новые инструменты и исправления, Windows Update клиент для Windows 2000

Курсы по безопасности
Партнеры, готовые провести аудит

Стратегическая программа защиты технологий


Слайд 52 Защищаем Microsoft Security Toolkit
Повышает безопасность систем на Windows NT

Защищаем Microsoft Security ToolkitПовышает безопасность систем на Windows NT и 2000,

и 2000, даже если они не подключены к Интернет
Автоматизирует

обновление серверов
Программы «мастер» для установки одной кнопкой и скрипты для SMS
Обновления и заплатки
Включает все Сервис Паки и критические исправления для ОС и IIS
HFNetchk: программа проверки уровня установки заплаток
IIS Lockdown & URLScan

Слайд 53
Стратегическая программа защиты технологий
Улучшение защиты в продуктах
Все новые

Стратегическая программа защиты технологий Улучшение защиты в продуктахВсе новые продукты, включая

продукты, включая Windows 2003 Server имеют гораздо более строгие

политики защиты

Corporate Windows Update Program
Позволяет компаниям разместить внутри сервер для Windows Update

Windows 2000 Service Pack (SP3)/Windows XP SP1
Устанавливает все исправления с одной перезагрузкой


Слайд 54 Защищенные информационные системы (Trustworthy Computing)
Цель: Сделать компьютеры и программное обеспечение

Защищенные информационные системы (Trustworthy Computing)Цель: Сделать компьютеры и программное обеспечение столь же надежными, как бытовые электроприборы

столь же надежными, как бытовые электроприборы


Слайд 55 Задачи концепции «Защищенные информационные системы»
В краткосрочном периоде
улучшенный дизайн
реализация технологий
политик

Задачи концепции «Защищенные информационные системы»В краткосрочном периодеулучшенный дизайнреализация технологийполитик безопасностиСреднесрочная перспективановые

безопасности
Среднесрочная перспектива
новые механизмы управления системами
новые стратегии предоставления услуг
В долгосрочном

плане
десятилетие фундаментальных исследований

Слайд 56 Продукты и технологии Microsoft
Для управления безопасностью

Продукты и технологии MicrosoftДля управления безопасностью

Слайд 57 Доступные инструменты

Доступные инструменты        (бесплатно!)IIS Lockdown

(бесплатно!)
IIS

Lockdown Tool
Настраивает параметры IIS 4.0/5.0 на противодействие различным типам атак
Выключает ненужные системные сервисы
Закрывает доступ к системным командам
URLscan Tool
Фильтр ISAPI, который работает в IIS 4.0/5.0
Блокирует потенциально опасные URL
Полностью настраивается
Microsoft Baseline Security Analyzer
Проводит комплексный анализ безопасности серверов и рабочих станций в сети
http://www.microsoft.com/security

Слайд 58 Демонстрация
IIS Lockdown Tool

ДемонстрацияIIS Lockdown Tool

Слайд 59 MBSA
Единое приложение для Windows 2000 и Windows XP
Обеспечивает

MBSAЕдиное приложение для Windows 2000 и Windows XPОбеспечивает локальное и удаленное

локальное и удаленное сканирование Windows NT 4, Windows 2000,

и Windows XP
Проверка основных «плохих» конфигураций и не установленных обновлений
Windows
Internet Information Server 4.0 и Internet Information Server 5.0
SQL 7.0 и SQL 2000
Настольные приложения
Internet Explorer
Office
Outlook™

Слайд 60 MBSA
Стандартная и консольная версии
Показывает контрольную карточку-отчет
Общая оценка системы
Сдан/Не

MBSAСтандартная и консольная версииПоказывает контрольную карточку-отчетОбщая оценка системыСдан/Не сдан для каждой

сдан для каждой проверки
Пояснения и инструкции по устранению обнаруженных

уязвимостей
Утилита “read-only” – нет возможности удаленного управления компьютером
Пользователь должен обладать правами local administrator на каждом компьютере

Слайд 61 MBSA Сценарий применения
Администраторы могут проводить сканирование своей сети

MBSA Сценарий примененияАдминистраторы могут проводить сканирование своей сети на предмет обнаружения

на предмет обнаружения уязвимостей OS и приложений с одного

компьютера
Индивидуальные отчеты с каждого компьютера сохраняются централизованно
Домашние пользователи могут самостоятельно проверить свои компьютеры
Администраторы могут использовать консольную версию для регулярных (по расписанию) проверок безопасности компьютеров в организации

Слайд 62 Использование консольной версии MBSA

Использование консольной версии MBSA

Слайд 63 Демонстрация
MBSA

ДемонстрацияMBSA

Слайд 64 MBSA подводя итоги
MBSA обеспечивает…
Самый простой способ проверить один

MBSA подводя итогиMBSA обеспечивает…Самый простой способ проверить один или несколько компьютеров

или несколько компьютеров на наличие уязвимостей и не установленные

hotfix’ы
Легкий в использовании графический интерфейс для помощи как обычным пользователям, так и ИТ-профи
Работа из командной строки (mbsacli.exe) –для регулярных проверок безопасности по расписанию

Слайд 65 Corporate Update Server

Corporate Update Server        (бесплатно!)Клиент

(бесплатно!)
Клиент

автоматического обновления
Автоматически сгружает и устанавливает критические заплатки
Заплатки для: безопасности, особо серьезных ошибок и драйвера для устройств, когда никаких драйверов не установлено для этого устройства
Проверяет сайт Windows Update или сервер Corporate Update каждый день
Устанавливает обновления по расписанию после загрузки
Настройка через политику безопасности
Поддерживаются Windows .NET Server, Windows XP и Windows 2000
Сервер обновлений - Update server
Вы можете разместить свой собственный Windows Update Server внутри предприятия
Сервер самостоятельно синхронизируется с сервером Windows Update и локально хранит все обновления для тех версий, которые есть на предприятии
Простой интерфейс управления через IE
Обновления становятся доступны только после разрешения администратора
Работает на Windows .NET Server и Windows 2000 Server

Слайд 66 Источники информации
Сайт по безопасности
http://msdn.microsoft.com/security/
Office
http://office.microsoft.com/
SQL Server
http://www.microsoft.com/sqlserver/
Exchange Server
http://www.microsoft.com/exchange/

Источники информацииСайт по безопасностиhttp://msdn.microsoft.com/security/Officehttp://office.microsoft.com/SQL Serverhttp://www.microsoft.com/sqlserver/Exchange Serverhttp://www.microsoft.com/exchange/

Слайд 67 Безопасная инфраструктура
ISA Server:
Брандмауэр уровня предприятия и фильтрация на

Безопасная инфраструктураISA Server:Брандмауэр уровня предприятия и фильтрация на уровне приложений

уровне приложений


Слайд 68 Безопасность это путь… А не конечная станция
Обучение и подготовка

Безопасность это путь… А не конечная станция	Обучение и подготовка персоналаПройдите обучение

персонала
Пройдите обучение на курсах
Возможность противостоять
Проанализируйте политики безопасности и измените

их для соответствия реалиям сегодняшнего дня
Изучите и используйте Microsoft Operations Framework
Технологии, чтобы работать проще
STPP для вас
Microsoft продолжает инвестировать в свои продукты, а также в разработку новых методик их использования
Используйте инструменты и новые технологии

Слайд 69 Квартальная маркетинговая программа «Безопасность информационных систем»
Срок действия 1

Квартальная маркетинговая программа «Безопасность информационных систем»Срок действия 1 января – 31

января – 31 марта
Раздел на сайте:
http://www.microsoft.com/rus/promotion/security/
Специальные предложения:
При покупке ПО

по программе MYO – USB карта памяти Verbatim Personal Storage емкостью 64 Мб в подарок
SA за полцены покупателям Windows 2000 Server или Small Business Server 2000

  • Имя файла: bezopasnost-informatsionnyh-sistem-v-sovremennom-mire.pptx
  • Количество просмотров: 116
  • Количество скачиваний: 0