凌云凌云计算机病毒分析师计算机病毒分析师安全商务及技术部安全商务及技术部微软有限公司微软有限公司

透视透视 MicrosoftMicrosoft 安全响应过安全响应过程程

微软安全反应中心微软安全反应中心

采取纵深防御措施采取纵深防御措施有效推出安全更新有效推出安全更新管理扩展型企业中的访问管理扩展型企业中的访问降低安全更新的频率降低安全更新的频率提供良好指导，确保系统安全提供良好指导，确保系统安全

主要安全挑战主要安全挑战

提供工具和指导确保客户安全，为安全软件和服务提供可信赖解决方案

技术投资技术投资 说明性指导说明性指导 业界合作业界合作伙伴关系伙伴关系

基础卓越基础卓越安全创新安全创新 基于方案的内容和工具基于方案的内容和工具权威性事件响应权威性事件响应 意识和教育意识和教育协作和合作伙伴关系协作和合作伙伴关系

Microsoft Microsoft 的安全焦点的安全焦点 远景远景

调查和解决调查和解决漏洞报告漏洞报告提供报告安全漏洞的渠道提供报告安全漏洞的渠道监视安全新闻组监视安全新闻组全公司单点协调与沟通全公司单点协调与沟通

Microsoft Microsoft 安全响应过程安全响应过程拥有并调整公司范围内安全响应过程拥有并调整公司范围内安全响应过程致力于通过安全工程和开发过程更新以避致力于通过安全工程和开发过程更新以避免出现同样问题免出现同样问题

建立关系和沟通建立关系和沟通 与执法人员和业界精英合作与执法人员和业界精英合作与漏洞发现者协作与漏洞发现者协作

Microsoft Microsoft 安全响应中心安全响应中心

安全公告发布过程安全公告发布过程构建更简单的可管理过程构建更简单的可管理过程

增强和改进公告内容 增强和改进公告内容

扩充资源和支持扩充资源和支持

安全事件响应过程安全事件响应过程提供及时的相关信息提供及时的相关信息

帮助缓解和保护帮助缓解和保护

提供解决方案提供解决方案

构建安全响应过程构建安全响应过程

甄别甄别评估报告以及可能对客户产生的影响了解漏洞的严重性根据漏洞的严重性和被利用的可能性评定漏洞等级，并分配优先级

管理发现者管理发现者关系关系建立沟通渠道快速响应定期更新构建社区鼓励负责的报告MSRC 通过以下方式接收传入的漏洞报告：

Secure@Microsoft.com – 直接与 MSRC 联系Microsoft TechNet 安全站点 – 匿名报告

MSRC 对所有报告作出响应： 对发现者提供全天二十四小时响应服务级别协议必要时可以立即作出内部响应

漏洞报告漏洞报告

内容创建内容创建安全公告：受影响的软件 / 组件技术说明变通办法和缓解方法常见问题解答鸣谢

安全公告 – 每月的第二个星期二调整所有内容和资源向客户提供信息和指导监视客户问题和新闻舆论

发布发布

创建修补程序创建修补程序SWI 和产品小组：调查漏洞影响找到变种调查对应源码和设计生成用于测试的修补程序

测试测试几种测试级别：安装程序和内部版本验证深度集成和广度

Microsoft 公司网络 受控的测试版本

更新开发工具更新开发工具和方法和方法更新最佳方法更新测试工具更新开发和设计过程

发布安全更新发布安全更新

Microsoft Microsoft 安全响应安全响应

执法人员执法人员

安全研究人员安全研究人员安全供应商安全供应商

业界精英业界精英

产品组产品组 全球现场和全球现场和支持支持

新闻界与新闻界与分析师分析师

Microsoft Microsoft 合作伙伴合作伙伴

Microsoft Microsoft 客户客户

政府机构政府机构

全球推广全球推广

由于默认配置、审核或难以利用等因素，该漏洞的可由于默认配置、审核或难以利用等因素，该漏洞的可利用性显著降低 利用性显著降低

严重严重

中等中等

低低

漏洞利用可能允许 漏洞利用可能允许 Internet Internet 蠕虫无需用户操作即蠕虫无需用户操作即可传播可传播

漏洞利用非常困难或影响很小漏洞利用非常困难或影响很小

重要重要 漏洞利用可能会危及用户数据的机密性、完整性或可漏洞利用可能会危及用户数据的机密性、完整性或可用性，或者危及处理资源的完整性或可用性用性，或者危及处理资源的完整性或可用性

更多信息： www.microsoft.com/technet/security/bulletin/rating.mspx

公告严重性等级公告严重性等级

发布前发布前

接受和甄别漏洞报告开发和测试修补程序创建安全公告内容提前通知即将发布安全公告 ( 发布之前的三个工作日 )

第二个第二个星期二星期二发布日发布日在下载中心、Windows Update 和 /或 Office Update 上发布更新发布公告RSS Feed客户电子邮件和即时消息通知社区推广MS 现场人员警报和呼吁

发布后发布后

安全公告网上广播（发布后的星期三，太平洋时间上午 11 点）补充性网上广播（如果需要）通过 PSS 和 Windows Update 监视公告使用情况和客户问题公告维护

推广与交流推广与交流

构建更简单的构建更简单的可管理过程可管理过程

增强和改进公告内容 增强和改进公告内容

扩充资源和支持扩充资源和支持

转向每月发布安全公告：转向每月发布安全公告：一个可预测、可管理的过程一个可预测、可管理的过程实现预先规划和准备实现预先规划和准备软件更新验证程序，帮助确保质量软件更新验证程序，帮助确保质量在发布之前的三个工作日提前通知在发布之前的三个工作日提前通知在 在 Microsoft.com Microsoft.com 上公开发布；可通过电子邮件发送上公开发布；可通过电子邮件发送警报警报经过修订的技术安全公告格式：经过修订的技术安全公告格式：

增加每月汇总公告，包括每个公告的受影响软件的汇总表增加每月汇总公告，包括每个公告的受影响软件的汇总表增加每个漏洞的缓解方法和变通办法增加每个漏洞的缓解方法和变通办法增加更多有关分发和部署的信息和指导增加更多有关分发和部署的信息和指导

改进 改进 TechNet TechNet 安全站点上的公告搜索工具安全站点上的公告搜索工具安全通报安全通报发布后的星期三进行技术网上广播发布后的星期三进行技术网上广播安全公告的 安全公告的 RSS FeedRSS Feed新通知服务，包括完整版本和即时消息警报新通知服务，包括完整版本和即时消息警报恶意软件删除工具恶意软件删除工具

客户过程改进客户过程改进

“Yankee Group 的调查显示，从安全角度看，企业对 Microsoft 安全级别的评价大幅提高，已接近 Linux 的安全级别。在得分为 1 至 10 分的评价中， Microsoft 安全性得到 7.6 分，比去年类似调查中的得分高一倍。 Linux 的得分为 8.3 分，和去年没有太大变化。 DiDio 表示， Microsoft 转向每月安全更新周期并加强在抗击安全问题方面所做的努力是安全评级大幅提高的主要原因。”

Yankee Group分析师 Laura DiDio（摘自 http://www.msnbc.msn.com/id/7383172/)

举例论证结果举例论证结果

补充 补充 Microsoft Microsoft 安全公告安全公告

内容内容

更多信息更多信息

提供与安全相关的软件更改或软件更新的指导和信息提供与安全相关的软件更改或软件更新的指导和信息以后的主题可能包括以下示例：以后的主题可能包括以下示例：

与安全漏洞无关的 “纵深防御” 安全增强或更改与安全漏洞无关的 “纵深防御” 安全增强或更改可能适用于已公开披露的漏洞的指导和缓解可能适用于已公开披露的漏洞的指导和缓解

最高级的摘要信息，详细描述发布通报的原因最高级的摘要信息，详细描述发布通报的原因常见问题解答常见问题解答建议措施建议措施当我们有新信息时可能随时更新当我们有新信息时可能随时更新

引用统一的知识库文章编号作为附加信息引用统一的知识库文章编号作为附加信息注册申请安全通知服务完整版本注册申请安全通知服务完整版本

www.microsoft.com/china/technet/security/advisory/default.mspx

介绍安全通报介绍安全通报

“ 这些改变代表了 Microsoft 安全推广的又一次升华”Jupiter高级分析师

Joe Wilcox

“如果可以获得更权威的信息，您会感到更加放心……而获得权威信息最理想的来源是创建软件的组织，因为他们最清楚问题所在。”

SANS Institute研究总监Alan Paller

“这显然是一件好事。关于如何保护 Windows 的安全建议越充分，效果就越好……坦白说，软件供应商必须按照这种方式运作。”

Gartner副总裁和市场研究员 John Pescatore

“这是我们乐于见到的。对于我们来说，这将在很多方面让事情变得更容易”Secunia首席技术官

Thomas Kristensen

业界评价业界评价

SSIRPSSIRP - - 软件安全事件响应计划软件安全事件响应计划处理严重安全威胁的公司范围内过程处理严重安全威胁的公司范围内过程调动 调动 Microsoft Microsoft 全球资源全球资源目标：目标：

快速全面地了解问题快速全面地了解问题向客户提供及时、相关和一致的信息向客户提供及时、相关和一致的信息提供工具、安全更新和其他帮助，恢复正常操作提供工具、安全更新和其他帮助，恢复正常操作

安全事件响应安全事件响应概述概述

关注关注

观察环境，检测观察环境，检测任何潜在问题任何潜在问题利用与以下各方利用与以下各方的现有关系：的现有关系：

合作伙伴合作伙伴安全研究人员和安全研究人员和发现者发现者

监视客户请求和监视客户请求和新闻舆论调查新闻舆论调查

警报警报与调动与调动召集会议，评估严召集会议，评估严重性重性将安全响应小组和将安全响应小组和支持组调动为两个支持组调动为两个主组：主组：紧急事件工程小组紧急事件工程小组紧急事件沟通小组紧急事件沟通小组

开始监视全球新闻开始监视全球新闻舆论焦点和此问题舆论焦点和此问题的客户支持线的客户支持线

评估评估与稳定与稳定评估情况和可用评估情况和可用的技术信息的技术信息开始致力于解决开始致力于解决方案方案向客户、合作伙向客户、合作伙伴以及新闻界传伴以及新闻界传达初步指导和变达初步指导和变通办法通办法通知 通知 Microsoft Microsoft 现场销售和支持现场销售和支持人员人员

解决 解决

提供用于恢复正提供用于恢复正常操作的信息和常操作的信息和工具工具向客户提供适当向客户提供适当的解决方案，例的解决方案，例如安全更新、工如安全更新、工具或修补程序具或修补程序执行内部过程审执行内部过程审查，总结获得的查，总结获得的经验教训经验教训

响应安全事件响应安全事件

Microsoft 4 Microsoft 4 月发布安全公告（包括 月发布安全公告（包括 MS04-011MS04-011 ））解决 解决 LSASS LSASS 中的漏洞中的漏洞开始监视客户帮助线、新闻组和社区活动以及新闻舆论调查 开始监视客户帮助线、新闻组和社区活动以及新闻舆论调查

第一次报告即将爆发 第一次报告即将爆发 SasserSasser警报安全响应小组召集人员进入紧急事件工程和沟通工作室警报安全响应小组召集人员进入紧急事件工程和沟通工作室

Windows Update Windows Update 上发布 上发布 Sasser Sasser 蠕虫删除工具 蠕虫删除工具 2.0 2.0 版版与客户和合作伙伴进行大量沟通，帮助清理系统：与客户和合作伙伴进行大量沟通，帮助清理系统：

Sasser Sasser 技术网上广播技术网上广播联机支持聊天联机支持聊天更新 更新 Microsoft Microsoft 网站网站

持续更新删除工具，清理新变种持续更新删除工具，清理新变种

关注关注（（ 2004 2004 年 年 4 4 月 月 13 13 日日至 至 28 28 日） 日）

警报与调动警报与调动（（ 2004 2004 年 年 4 4 月 月 29 29 日） 日）

解决解决（（ 2004 2004 年 年 5 5 月 月 4 4 日至 日至 10 10 日）日）

评估与稳定评估与稳定（（ 2004 2004 年 年 5 5 月 月 30 30 日）日）

开始分析技术详细资料，致力于解决方案（清理工具）开始分析技术详细资料，致力于解决方案（清理工具）向客户传达初步指导向客户传达初步指导

Sasser Sasser 登陆页面：登陆页面： www.microsoft.com/china/security通过安全通知服务发送电子邮件警报通过安全通知服务发送电子邮件警报

向合作伙伴以及全球现场人员发出警报向合作伙伴以及全球现场人员发出警报下载中心上发布 下载中心上发布 Sasser Sasser 蠕虫删除工具 蠕虫删除工具 1.0 1.0 版版

案例研究：案例研究： SasserSasser

Microsoft 2005 Microsoft 2005 年 年 2 2 月发布安全公告（包括 月发布安全公告（包括 MS05-009MS05-009））解决影响 解决影响 MSN Messenger 6.1 MSN Messenger 6.1 和 和 6.2 6.2 的 的 PNG PNG 处理漏洞处理漏洞开始监视客户帮助线、新闻组和社区活动以及新闻舆论调查 开始监视客户帮助线、新闻组和社区活动以及新闻舆论调查

第一次报告 第一次报告 MSN Messenger MSN Messenger 的公共漏洞检测的公共漏洞检测警报安全响应小组召集人员进入紧急事件工程和沟通工作室警报安全响应小组召集人员进入紧急事件工程和沟通工作室

决定开始强制升级 决定开始强制升级 MSN MessengerMSN Messenger将强制升级决定通知客户和合作伙伴：将强制升级决定通知客户和合作伙伴：

更新 更新 Microsoft Microsoft 网站网站合作伙伴和全球现场人员警报合作伙伴和全球现场人员警报

主动转向强制升级，最大程度地减小蠕虫的影响和传播范围主动转向强制升级，最大程度地减小蠕虫的影响和传播范围

关注关注（（ 2005 2005 年 年 2 2 月 月 8 8 日日至 至 9 9 日）日）

警报与调动警报与调动（（ 2005 2005 年 年 2 2 月 月 9 9 日） 日）

解决解决（（ 2005 2005 年 年 2 2 月 月 10 10 日至 日至 11 11 日）日）

评估与稳定评估与稳定（（ 2005 2005 年 年 2 2 月 月 9 9 日日））

开始分析技术详细资料开始分析技术详细资料向客户传达初步指导，建议客户升级到最新版本的 向客户传达初步指导，建议客户升级到最新版本的 MSN MessengerMSN Messenger（包含修补程序）（包含修补程序）登陆页面：登陆页面： www.microsoft.com/china/security/ 通过安全通知服务发送电子邮件警报通过安全通知服务发送电子邮件警报向合作伙伴以及全球现场人员发出警报向合作伙伴以及全球现场人员发出警报

案例研究：案例研究： MSN MessengerMSN Messenger

提供及时的提供及时的相关信息相关信息

帮助缓解和保护帮助缓解和保护

提供解决方案提供解决方案

创建的特定于事件的登陆页面： 创建的特定于事件的登陆页面： www.microsoft.com/china/securitywww.microsoft.com/china/security

SasserSasser、、 MyDoomMyDoom、、 ASP.NETASP.NET仅 仅 5 5 月份，月份， Sasser Sasser 页面的访问量就超过 页面的访问量就超过 8990 8990 万人次，访问客户超过 万人次，访问客户超过 1900 1900 万万声明紧急事件的 声明紧急事件的 2 2 小时内发布客户指导小时内发布客户指导

特定于事件的技术网上广播，提供指导和回答问题特定于事件的技术网上广播，提供指导和回答问题对于 对于 SasserSasser ，在 ，在 2 2 天之内发布网上广播；对于 天之内发布网上广播；对于 BlasterBlaster（冲击波），在 （冲击波），在 10 10 天之内发布网上广播天之内发布网上广播

严重安全事件期间增加支持资源，包括 “回送传真” 严重安全事件期间增加支持资源，包括 “回送传真” 选项以及网上聊天选项以及网上聊天发布清理工具的加速过程（对于 发布清理工具的加速过程（对于 SasserSasser ，在 ，在 3 3 天之天之内；对于 内；对于 BlasterBlaster ，在 ，在 38 38 天之内）天之内）向合作伙伴提供企业联合内容，帮助通知广大计算机用向合作伙伴提供企业联合内容，帮助通知广大计算机用户户

从沟通到解决从沟通到解决

注册申请通过电子邮件、即时消息、移动设备或 注册申请通过电子邮件、即时消息、移动设备或 RSS RSS 接接收安全更新通知收安全更新通知下载和部署安全更新（下载和部署安全更新（ Microsoft Microsoft 下载中下载中心、心、 Windows UpdateWindows Update））

留意每月的 留意每月的 TechNet TechNet 安全公告网上广播安全公告网上广播查看 查看 Microsoft TechNet Microsoft TechNet 安全站点上的信息和指南安全站点上的信息和指南

www.microsoft.com/china/www.microsoft.com/china/technet/security/default.mspxtechnet/security/default.mspx

通过 通过 secure@microsoft.comsecure@microsoft.com 报告安全漏洞报告安全漏洞

遵循保护您的 遵循保护您的 PC PC 的 的 3 3 个步骤：个步骤： ((www.microsoft.com/china/security/protect/www.microsoft.com/china/security/protect/))

查看 查看 MSRC BlogMSRC Blog：：http://blogs.technet.com/msrchttp://blogs.technet.com/msrc

应该怎么办应该怎么办

安全开发生命周期 安全开发生命周期 (SDL)(SDL)

过程过程

教育教育

责任责任

定义软件开发过程每个阶段的安全要求和里程碑 定义软件开发过程每个阶段的安全要求和里程碑 对于存在重大安全风险的产品来说是必需的对于存在重大安全风险的产品来说是必需的包括最终安全审核 包括最终安全审核 (FSR)(FSR) ，确定产品是否客户就绪，确定产品是否客户就绪型产品型产品为开发人员、测试人员、项目经理、用户教育人员以为开发人员、测试人员、项目经理、用户教育人员以及及架构师提供必需的年度培训架构师提供必需的年度培训通过 通过 Microsoft Microsoft 研究部门投资学术课程开发研究部门投资学术课程开发发布关于编写安全代码、威胁建模和 发布关于编写安全代码、威胁建模和 SDL SDL 的指导以的指导以及课程及课程进行中衡量标准，提供早期警告进行中衡量标准，提供早期警告发布后衡量标准，评估最终收益（漏洞数）发布后衡量标准，评估最终收益（漏洞数）适合团体和个人的培训适合团体和个人的培训

严重或重要漏洞在前面严重或重要漏洞在前面……

SDL SDL 结果结果

……635 635 天天 ……725 725 天天 TwC TwC 发布？发布？

2727 3535

6464 6666

是是否否

自发布 自发布 TwC TwC 起的公告起的公告2003 2003 年 年 1 1 月交付 月交付

33Service Pack 3Service Pack 3

发布前的 发布前的 2 2 年内的年内的公告公告

1616

自发布 自发布 TwC TwC 起的公告起的公告2002 2002 年 年 7 7 月交付月交付

发布前的 发布前的 2 2 年内的年内的公告公告

88 Service Pack 3Service Pack 3

55

安全事件更新安全事件更新和其他安全新和其他安全新闻闻

安全公告安全公告和网上广和网上广播播立即访问立即访问 www.microsoft.com/china/www.microsoft.com/china/

technet/security/default.mspxtechnet/security/default.mspx！！

MicrosoftMicrosoft的的 TechNetTechNet 安全网站安全网站

立即访问立即访问 www.microsoft.com/china/securitywww.microsoft.com/china/security!!

遵循保护 遵循保护 PC PC 的的三个步骤三个步骤

MicrosoftMicrosoft 的安全网站的安全网站

Microsoft Security Microsoft Security 网站：网站： www.microsoft.comwww.microsoft.com/china/security/china/security 和 和 www.microsoft.com/china/www.microsoft.com/china/technet/security/default.mspxtechnet/security/default.mspx

注册申请安全公告网上广播： 注册申请安全公告网上广播： www.microsoft.com/www.microsoft.com/technet/security/bulletin/summary.mspxtechnet/security/bulletin/summary.mspx安全公告的 安全公告的 RSS FeedRSS Feed ： ： www.microsoft.com/www.microsoft.com/technet/security/bulletin/secrssinfo.mspxtechnet/security/bulletin/secrssinfo.mspx

从 从 Microsoft Microsoft 安全响应中心获得更多信息： 安全响应中心获得更多信息：网站：网站： www.microsoft.com/china/security/msrcwww.microsoft.com/china/security/msrc//BlogBlog：： http://http://blogs.technet.com/msrcblogs.technet.com/msrc 安全公告搜索：安全公告搜索：

www.microsoft.com/www.microsoft.com/china/technet/security/current.aspxchina/technet/security/current.aspx www.microsoft.com/technet/security/current.aspxwww.microsoft.com/technet/security/current.aspx安全通报：安全通报： www.microsoft.com/china/technet/security/www.microsoft.com/china/technet/security/advisory/default.mspxadvisory/default.mspx 为企业打造的安全指南中心：为企业打造的安全指南中心： www.microsoft.com/china/www.microsoft.com/china/security/guidance/default.mspxsecurity/guidance/default.mspx

保护您的 保护您的PCPC：： www.microsoft.com/china/security/protect/www.microsoft.com/china/security/protect/

资源资源

网络进攻时序线 网络进攻时序线 发现漏洞发现漏洞 完成补丁完成补丁 公布补丁公布补丁 黑客破解补丁黑客破解补丁 开发病毒开发病毒 //蠕虫蠕虫释放病毒释放病毒 //蠕虫蠕虫

No Exploit

只有微软及发只有微软及发现者知道漏洞现者知道漏洞存在存在

No Exploit

只有微软及发只有微软及发现者知道漏洞现者知道漏洞存在存在

No ExploitNo Exploit

公众知道漏洞存公众知道漏洞存在，但不知道怎在，但不知道怎样攻击样攻击

No ExploitNo Exploit

知道怎样攻击，知道怎样攻击，但病毒但病毒 //蠕虫尚蠕虫尚未出现未出现

No ExploitNo Exploit

病毒病毒 //蠕虫尚未蠕虫尚未出现，但未被出现，但未被释放释放

Exploit

病毒病毒 //蠕虫被蠕虫被释放释放 ; ; 感染未感染未被修补系统被修补系统

用户与黑客赛跑用户与黑客赛跑

实例分析：实例分析： Blaster Blaster 蠕虫蠕虫微软被通知漏洞微软被通知漏洞存在存在 公布补丁公布补丁 进攻样板程序出进攻样板程序出现现 蠕虫出现蠕虫出现七月 1日 七月 16日 七月 25日 八月 11日

通知漏洞通知漏洞 RPC/DDOM RPC/DDOM 漏洞漏洞被发现被发现 微软启动最高级别微软启动最高级别快速反应程序快速反应程序

安全公告安全公告 公布公布 MS03-026 MS03-026

(7/16/03)(7/16/03) 继续与安全分析家，继续与安全分析家，媒体，媒体， ITIT 社区，合社区，合作伙伴，政府部门保作伙伴，政府部门保持联系持联系

进攻样板程序进攻样板程序 X-focus (X-focus ( 中国黑客中国黑客

组组 ) ) 出版进攻样板程出版进攻样板程序序 微软警告用户尽快安微软警告用户尽快安装补丁装补丁

蠕虫蠕虫 Blaster Blaster 蠕虫蠕虫出现出现 ; ; 变种及其它病毒同时变种及其它病毒同时出现 出现 ((例如例如 . .

“SoBig”)“SoBig”)

Blaster Blaster 展现了安全分析师，展现了安全分析师，软件公司，以及黑客之间的软件公司，以及黑客之间的复杂的互动关系复杂的互动关系

补丁越来越多补丁越来越多进攻样板程序出现时间缩短进攻样板程序出现时间缩短进攻样板程序进攻样板程序越来越多越来越多精巧精巧

151180

331

BlasterBlasterWelchia/ Welchia/ NachiNachi

NimdaNimda

25SQL SQL

SlammerSlammer

补丁补丁至进攻样板程序之间的天数至进攻样板程序之间的天数

网络进攻网络进攻趋势趋势