微软安全解决方案v05.docx

微软安全解决方案v05.docx

《微软安全解决方案v05.docx》由会员分享，可在线阅读，更多相关《微软安全解决方案v05.docx（12页珍藏版）》请在冰豆网上搜索。

微软安全解决方案v05

微软安全解决方案（Security）

安全解决方案–防微于杜渐，防犯于未然

⏹

问题和挑战

介绍解决方案覆盖范围的客户面临的问题和挑战，可以包括的内容有：

●为适应未来的发展，客户需要解决的问题

●为响应市场的竞争，客户面临的挑战

●解决方案提出的必要性

安全是系统基础结构的重要组成部分。

具有薄弱的安全基础的信息系统最终会遭受安全破坏。

安全破坏的示例包括数据丢失、数据公开、系统失去可用性、数据破坏等。

根据信息系统和破坏的严重程度，其结果可能会从陷于困境到损失收入，甚至到丧失生命。

微软有限公司是世界上最大的独立软件供应商，在支持企业关键应用，如：

办公自动化、邮件系统、知识管理系统、ERP、CRM、EIP、EAI等实现企业效益的同时；也在系统安全、管理方面提供众多的产品、技术和解决方案，为企业信息系统安全保驾护航。

微软的安全管理解决方案主要从以下三个方面加强客户信息系统的安全性和高可管理性，帮助客户解决问题和面临的挑战，并为客户带来直接或间接的可观收益：

⏹关键应用系统、服务器系统的安全：

企业的关键业务、数据都保存在服务器上，服务器一旦出现系统故障、数据丢失或黑客入侵等问题，对企业正常业务造成的影响最大、最严重，因此对关键服务器的保护是整个运维建设的核心和重点。

⏹客户机的安全运营及维护：

企业IT系统中客户机数据相对较多，使用人员计算机水平较低，支持人员数量很少。

支持人员主要的时间和精力都花费在对客户机的支持上。

所以维护好客户机系统，减轻支持人员工作量是当务之急。

⏹安全、高效的网络系统：

企业的网络系统较为简单，往往以一个小型局域网为主，连接一些远程办公室，一般具有Internet接口。

众所周知，Internet是各种黑客、病毒的大本营，是计算机系统安全的重要威胁来源。

所以加强对网络的管理和防护也是不可缺少的。

本文结合企业IT系统的特点和不同层面的管理需要，整合微软及合作伙伴的相关产品，推出了保障企业IT运维的总体安全解决方案。

⏹

解决方案概述

概括介绍解决方案，包括：

●解决方案的定义和简要描述

●解决方案的典型用户使用场景

●解决方案的总体定位或与客户原有系统间的关系

为确保信息系统的安全、可靠、稳定运行，微软公司与业界众多的信息安全机构（国家、部委、学术研究单位）、安全产品研究/生产单位/厂商紧密合作；在充分研究了国家的相应法律、法规和指导性文件，并结合以往在电子政务、商务系统中涉及的各个安全薄弱环节进行了安全性设计，形成了如下图所示的：

系统安全统一架构；力争从信息安全的各个层面为各信息系统提供全方位、多层面的“立体化的”安全保障体系。

微软的安全管理解决方案使用于广泛的企业和事业单位客户，对那些把信息安全看做企业IT架构重要地位的客户尤为适用。

微软的安全管理解决方案可以帮助用户加强信息系统的安全性和高可管理性，帮助客户解决实际IT管理中出现的问题和面临的挑战，并为客户带来直接或间接的可观收益。

微软的安全管理解决方案是客户原有系统的安全保护和日常安全管理的维护，确保客户信息系统和IT环境正常运行。

以下我们将对微软总体安全架构体系的各个环节进行详细描述.

⏹

方案优势和业务收益

介绍解决方案的优势，以及这些优势所解决的客户问题或者为客户带来的业务收益

安全问题不可能依靠某种单一的安全技术就能得到解决，必须在综合分析企业IT环境和应用系统整体安全需求的基础上构筑一个统一完整的安全保障体系。

Microsoft安全解决方案为为客户提供了一个完整覆盖各安全层面的成熟解决方案。

软件园的整个公共服务体系建立在底层安全的MicrosoftWindows操作系统平台之上，作为企业IT环境重要的安全支撑服务，实现从物理安全、数据安全、登录和访问安全、操作系统安全、应用安全、管理安全和审计等多层次全方位立体化的企业级安全服务。

Microsoft在Windows平台上的安全范围如下图所表示：

⏹

总体架构和主要功能模块特色

应该包含的内容有：

●方案总体架构，应该包含功能架构图（其他架构图可以酌情考虑）

●主要功能模块定义和功能特色简介

为确保信息系统的安全、可靠、稳定运行，微软公司与业界众多的信息安全机构（国家、部委、学术研究单位）、安全产品研究/生产单位/厂商紧密合作；在充分研究了国家的相应法律、法规和指导性文件，并结合以往在电子政务、商务系统中涉及的各个安全薄弱环节进行了安全性设计，形成了如下图所示的：

系统安全统一架构；力争从信息安全的各个层面为各信息系统提供全方位、多层面的“立体化的”安全保障体系。

其功能架构图如下所示：

物理及数据安全

物理安全的重要性不言而喻，如果没有屋里隔离或防护，最安全的系统也无法保证安全和可靠。

而数据安全指的是信息在企业内部网上传输时的安全，防止企业内部不怀好意的员工对敏感信息的窃取。

网络安全

为了解决网络的整体安全，帮助企业组织控制在因特网及其内部网络间流通的信息，同时帮助企业加快网络的速度，微软公司设计、开发了MicrosoftInternetSecurityandAcceleration（ISA）Server2004。

Microsoft®ISAServer2004是Windows2003Server平台上同时具有防火墙与网站缓存的服务器软件。

Microsoft®ISAServer2004提供多层次的企业级防火墙，并结合专用的防毒软件，在企业Internet推出的第一道关卡，保护网络资源，避免病毒、黑客及未获授权的存取行为，同时加速公司内部对内与对外的存取速度，节省Internet网络带宽，并且向使用者提供更快的Web存取速度，进而进行统一Internet资源管理。

Microsoft®ISAServer2004具备高度扩展能力的防火墙与网站缓存服务器，它与Windows®2003整合，提供了基于策略（policy-based）的安全性，同时也具备快速存取与易于管理的网络功能。

Microsoft®ISAServer2004提供了两个高度整合的模式：

一个多层次的防火墙（firewall）与一个高效率的网站缓存服务器（Webcacheserver）。

防火墙提供了下列的功能：

包（packet）、链路（circuit）与应用（Application）的过滤功能；检查通过防火墙的资料的功能：

存取策略（accesspolicy）的控制（如图1）：

信息流量的路由（routing）。

缓存功能通过将最常存取的网站内容储存起来的方式，来改善网络的效率与使用者存取的速度。

防火墙与缓存可以分别被布署在不同的服务器上，也可布署在同一台服务器上。

操作系统安全

新推出的WindowsServer2003的三大主要目标是让整个系统总体具有更高的可靠性、更高的可用性和更高的扩展性。

WindowsServer2003消除了那些导致计划内和计划外停工的主要因素，满足了可靠性和可用性目标。

✓操作系统强化。

强化是一个工业名词，用来指可靠的操作系统。

对操作系统的核心所做的几项重要改进使整个系统更加地可靠。

✓减少了系统重启的要求和时间。

大大减少了需要系统重新启动的管理操作的数量，并且做了一些改进来提高重新启动系统所需的时间。

这样就减少了服务器计划内重启的次数。

✓可靠的中间件和负载平衡服务。

WindowsServer2003集成了全套的中间件和负载平衡服务，能够在多层式环境内执行可扩展的核心商务软件。

✓抵抗预防网络、应用软件、硬件和环境的故障。

WindowsServer2003系列集成了整套的高可用性功能，例如支持多宿主网络、群集和UPS电源管理。

即使某个计算机或设备发生了故障，也能够保障系统对使用者进行正常的服务。

✓增强的系统和应用软件扩展性。

WindowsServer2003和Windows2000AdvancedServer增强的扩展性能够让多种应用软件，例如OLTP、邮件和消息服务以及电子商务等，支持不断增加的大数量的用户群体。

扩展的手段包括采用对称多处理器（SMP）系统或将任务复制、分配给多个主机的方式。

✓可扩展的储存子系统。

WindowsServer2003可以支持很庞大的储存子系统。

NTFS文件系统作了改进，具有以下特性：

更好的性能；可为每个用户设定磁盘占用配额；可跟踪分布式链接；内含重分列点可以进行层次化的存储管理；取消了驱动器盘符。

此外还支持高级的存储控制器，如光纤通道设备和基于I20的设备。

并提供强大且一致的安全服务，这对企业网络而言是必不可少的。

管理用户验证和访问控制的工作往往单调乏味且容易出错。

活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。

例如，对多身份验证协议（如Kerberos，X.509认证以及由灵活的访问控制模型组成的智能卡）的支持实现了对于内部桌面系统用户、远程拨号用户和外部电子商务客户强大且一致的安全服务。

活动目录使用以下方法增强安全性：

●改进了密码的安全性和管理：

通过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。

●保证桌面系统的功能性：

通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问，例如软件安装或注册项编辑。

●加速电子商务的部署：

通过提供对安全的Internet标准协议和身份验证机制的内建支持，如KerberosV5，公开密钥基础设施（PKI）和安全套接字协议层（SSL）之上的轻便目录访问协议（LDAP）。

紧密的控制安全性：

通过对目录对象和构成他们的单独数据元素设置访问控制特权。

登录及访问控制安全之一:

统一的目录服务体系

目录服务在网络操作系统中扮演着一个接线总机的角色。

它是通过对一致性进行管理，并调度那些分布式资源间关联，从而使它们共同工作的中心授权机构。

由于目录服务提供这些基础的网络操作系统功能，它必须与用于管理和提供安全性的操作系统机制紧密结合在一起，从而保证网络的完整性和保密性。

同时，目录服务也在组织机构的下列能力中发挥至关重要的作用，这些能力包括：

定义和维护网络基础构件的能力，执行系统管理的能力以及控制一家公司信息系统中全部用户经验的能力。

强大且一致的安全服务对企业网络而言是必不可少的。

管理用户验证和访问控制的工作往往单调乏味且容易出错。

活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。

例如，对多身份验证协议（如Kerberos，X.509认证以及由灵活的访问控制模型组成的智能卡）的支持实现了对于内部桌面系统用户、远程拨号用户和外部电子商务客户强大且一致的安全服务。

活动目录使用以下方法增强安全性，如下图所示：

⏹登录及访问控制安全之二:

单一口令认证

单一口令认证是指企业用户在企业内部网络中只需登陆一次，就决定了其可能允许的操作，和可能存取的信息。

单一口令认证有助于系统管理员集中管理和技术资源，例如：

系统管理员可以在企业内部实现指纹登录或智能卡（SmartCard）登录。

智能卡是一种硬件电子卡，可配合那些以纯软件方式实现的安全机制，构成更强的安全解决方案，例如客户身份认证、登录上网和安全电子邮件。

Windows2000/2003Professional提供了内置的、对智能卡——即公共密钥体系的一个核心组件——的支持。

智能卡拓宽了纯软件的解决方案，如客户机身份验证、登录和保证电子邮件的安全等。

⏹应用系统安全

微软在Web服务器及应用服务器上，都充分的考虑到了企业的需求，通过NLB，CLB,WorkerProcessIsolation，ApplicationPool，WindowsServerResourceManager（WSRM）等技术，实现应用的隔离，资源的分配以及负载均衡等要求。

系统隔离机制保证应用程序不会干扰底层的系统内核，应用程序与应用程序之间也不会相互干扰。

⏹安全管理和审计

标准化规范和结构使得企业的IT运营可以在一个固有的高层次上实现管理的规范，并可以在以后的子系统中保持一个固有的标准水平。

这个规范和结构给程序整合，生命期管理，角色和责任的映射，和包括一切的管理命令提供参考及控制。

它也给操作的自动化和技术相关的操作提供基础。

在微软安全解决方案中的安全管理和审计部分，微软系统管理服务器（SystemsManagementServer）、操作管理服务器（OperationManagementServer）等管理产品和企业IT运营实践标准化框架MOF相结合，佐以WindowsServer2000/2003操作系统本身的审计功能，可以很好地确保客户的管理安全。

⏹

案例列表和重点客户案例分析

解决方案客户案例列表（国内和国外）

典型的1-2个客户案例分析，至少包括的信息有：

●客户名称

●客户需要解决的问题

●解决方案实施情况

●客户反馈（客户的CIO/ITManager所说的表扬话）

详见：

广东省交通集团有限公司实施信息安全AD+SmartCard-Casestudy.doc（\\guz-ts-01\Temp\Security\Kelvin）

⏹

解决方案微软产品实现

●方案产品实现图

●产品在方案中的主要功能和产品列表

技术保障体系是安全保障的重要环节，也是涉及面最广的环节，包括：

●物理层安全

●网络层安全

●操作系统平台的安全

●安全、统一的目录服务机制

●数据服务器的安全

●应用服务器的安全

●安全的系统资源管理

●安全补丁管理

以下罗列了微软安全解决方案在各层面涉及的主要产品列表：

微软安全解决方案网络安全涉及相关产品图

微软安全解决方案操作系统安全涉及相关产品图

微软安全解决方案登录和访问控制涉及相关产品图

微软安全解决方案数据安全涉及相关产品图

微软安全解决方案应用系统安全涉及相关产品图

微软安全解决方案安全审计涉及相关产品图

1.CDContents

⏹CustomerFAQ

微软安全产品常用FAQ：

安全配置向导FAQ:

ISA2004FAQ：

\\guz-ts-01\Temp\Security\Kelvin\ISA

ISA2004性能最佳实践.doc

ISA2004中文帮助手册.chm

⏹Demo（界面操作的录屏，可以转成Flash自动操作）

暂略

⏹Video（部分重点方案可以对客户案例录像，需要大家反馈那些客户案例可以录像）

\\guz-ts-01\Temp\Windows2003R2\VOC\CaseStudyVideo\中原地产

安全管理（SMS/MOM/MOF）：

中原地产黄非（ITManager）VIDEO

⏹技术资料（可以提供给客户的方案技术资料或产品技术资料，包括产品白皮书）

\\guz-ts-01\Temp\Security\Kelvin

1.微软IT资产安全管理解决方案V1.0.doc

2.MSSecurityInfrastructureV1.0（CHS）.doc

3.EntertpriseSecurityBattleCard.doc

4.使用智能卡进行安全访问规划白皮书.doc

⏹同类解决方案，不同厂商的行业使用情况分析报告

\\guz-ts-01\Temp\Security\Kelvin

1．安全性对比分析-Windows-UNIX.doc

⏹BDM/TDMSolutionSlides

\\guz-ts-01\Temp\Security\Kelvin

1.微软安全体系架构简介.ppt

2.企业安全.ppt

⏹PartnerSolutionInformationandMaterials

北京信安世纪-安全解决方案: