1、第第3 3章章 网络安全管理概述网络安全管理概述 3.2 网络安全的法律法规网络安全的法律法规2 3.3 网络安全评估准则和测评网络安全评估准则和测评 3 3.4 网络安全策略及规划网络安全策略及规划4 3.1 网络安全管理体系网络安全管理体系 1 3.5 网络安全管理原则及制度网络安全管理原则及制度5 3.6 本章小结本章小结6目目 录录 网络安全管理的概念、目标及内容网络安全管理的概念、目标及内容 网络面临的威胁及不安全因素网络面临的威胁及不安全因素 网络安全管理技术概念与模型网络安全管理技术概念与模型 构建虚拟局域网构建虚拟局域网VLANVLAN实验实验教学目标教学目标 掌握掌握网络安全
2、管理与保障体系、网络安全管理与保障体系、掌握掌握法律法规、评估准则和方法法律法规、评估准则和方法 理解理解网络安全管理规范及策略、原则及制度网络安全管理规范及策略、原则及制度 了解网络安全规划的主要内容和原则了解网络安全规划的主要内容和原则 掌握掌握WebWeb服务器的安全设置与管理实验服务器的安全设置与管理实验 3.1 网络安全管理体系网络安全管理体系 3.1 3.1 网络安全管理体系网络安全管理体系 3.1.1 3.1.1 网络安全管理体系及过程网络安全管理体系及过程 1OSI网络安全体系网络安全体系 OSI参考模型参考模型是国际标准化组织是国际标准化组织(ISO)为解决异为解决异种机互联
3、而制定的开放式计算机网络层次结构模型。种机互联而制定的开放式计算机网络层次结构模型。OSI安全体系结构安全体系结构主要包括网络安全机制和网络安全服主要包括网络安全机制和网络安全服务两个方面。务两个方面。1)网络安全机制)网络安全机制在在ISO7498-2网络安全体系结构网络安全体系结构文件中规定的文件中规定的网络网络安全机制安全机制有有8项:加密机制、数字签名机制、访问控制项:加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、信息量填充机制、数据完整性机制、鉴别交换机制、信息量填充机制、路由控制机制和公证机制。机制、路由控制机制和公证机制。3.1 网络安全管理体系 2 2)网
4、络安全服务)网络安全服务 在在网络安全体系结构网络安全体系结构文件中规定的文件中规定的网络安全网络安全服务服务有有5 5项:项:(1 1)鉴别服务。)鉴别服务。(2 2)访问控制服务。)访问控制服务。(3 3)数据完整性服务。)数据完整性服务。(4 4)数据保密性服务。)数据保密性服务。(5 5)可审查性服务。)可审查性服务。2.TCP/IP 2.TCP/IP网络安全管理体系网络安全管理体系 TCP/IP TCP/IP网络安全管理体系结构网络安全管理体系结构,如图,如图3-13-1所示。所示。包括三个方面:包括三个方面:分层安全管理、安全服务与机制、分层安全管理、安全服务与机制、系统系统 安全
5、管理安全管理。3.1 网络安全管理体系网络安全管理体系图图3-1 TCP/IP网络安全管理体系结构网络安全管理体系结构3.1 网络安全管理体系网络安全管理体系3.网络安全管理的基本过程网络安全管理的基本过程 网络安全管理网络安全管理的的具体对象具体对象:包括涉及的机构、包括涉及的机构、人员、软件、设备、场地设施、介质、涉密信息、人员、软件、设备、场地设施、介质、涉密信息、技术文档、网络连接、门户网站、应急恢复、安技术文档、网络连接、门户网站、应急恢复、安全审计等。全审计等。网络安全管理网络安全管理的的功能功能包括包括:计算机网络的运:计算机网络的运行、管理、维护、提供服务等所需要的各种活动,行
6、、管理、维护、提供服务等所需要的各种活动,可概括为可概括为OAM&P。也有的专家或学者将安全管理。也有的专家或学者将安全管理功能仅限于考虑前三种功能仅限于考虑前三种OAM情形。情形。3.1 网络安全管理体系网络安全管理体系3.网络安全管理的基本过程网络安全管理的基本过程 网络安全管理工作网络安全管理工作的的程序程序,遵循如下,遵循如下PDCA循循环模式的环模式的4个个基本过程基本过程:(1)制定规划和计划()制定规划和计划(Plan)。)。(2)落实执行()落实执行(Do)。)。(3)监督检查()监督检查(Check)。)。(4)评价行动()评价行动(Action)。)。安全管理模型安全管理模
7、型PDCA持续改进模式如图持续改进模式如图3-2所示。所示。3.1 网络安全管理体系网络安全管理体系图3-2 安全管理模型PDCA持续改进模式 3.1 网络安全管理体系网络安全管理体系4网络管理与安全技术的结合网络管理与安全技术的结合 国际标准化组织国际标准化组织ISO在在ISO/IEC7498-4文档定义开放系文档定义开放系统统网络管理网络管理的的五大功能五大功能:故障管理功能、配置管理功能、故障管理功能、配置管理功能、性能管理功能、安全管理功能和计费管理功能。目前,先性能管理功能、安全管理功能和计费管理功能。目前,先进的网络管理技术也已经成为人们关注的重点,先进的计进的网络管理技术也已经成
8、为人们关注的重点,先进的计算机技术、无线通信及交换技术、人工智能等先进技术正算机技术、无线通信及交换技术、人工智能等先进技术正在不断应用到具体的网络安全管理中,网络安全管理理论在不断应用到具体的网络安全管理中,网络安全管理理论及技术也在快速发展、不断完善。及技术也在快速发展、不断完善。网络安全是个系统工程网络安全是个系统工程,网络安全技术必须与安全管,网络安全技术必须与安全管理和保障措施紧密结合,才能真正有效地发挥作用。理和保障措施紧密结合,才能真正有效地发挥作用。3.1 网络安全管理体系3.1.2 网络安全保障体系网络安全保障体系 计算机计算机网络安全的整体保障体系网络安全的整体保障体系如图
9、如图3-3所示。网络安全的整体保障作所示。网络安全的整体保障作用,主要体现在整个系统生命周期对风险进行整体的应对和控制用,主要体现在整个系统生命周期对风险进行整体的应对和控制 图3-3 网络安全整体保障体系 3.1 网络安全管理体系网络安全管理体系1网络安全保障关键因素网络安全保障关键因素 网络安全保障网络安全保障包括四个方面:网络安全策略、网包括四个方面:网络安全策略、网 络安全管理、网络安全运作和网络安全技术络安全管理、网络安全运作和网络安全技术,如图如图3-4所示所示.“七分管理,三分技术,七分管理,三分技术,运作贯穿始终运作贯穿始终”,管理是关键,管理是关键,技术是保障技术是保障,其中
10、的管理应包其中的管理应包括管理技术。括管理技术。图图3-4网络安全保障因素网络安全保障因素 与美国与美国ISS公司提出的动态网络安全体系公司提出的动态网络安全体系的代表模型的雏形的代表模型的雏形P2DR相似。该模型包含相似。该模型包含4个个主要部分:主要部分:Policy(安全策略安全策略)、Protection(防防护护)、Detection(检测检测)和和 Response(响应响应)。如。如图图3-5所示所示 图图3-5 P2DR 模型示意图模型示意图 3.1 网络安全管理体系网络安全管理体系 2网络安全保障总体框架网络安全保障总体框架 网络安全保障体系总体框架网络安全保障体系总体框架如
11、图如图3-6所示。所示。此保障体系框架的外围是风险管理、法律法规、标准的此保障体系框架的外围是风险管理、法律法规、标准的符合性。符合性。3.1 网络安全管理体系网络安全管理体系 风险管理风险管理指在对风险的可能性和不确定性等因素指在对风险的可能性和不确定性等因素进行收集、分析、评估、预测的基础上,制定的识别、进行收集、分析、评估、预测的基础上,制定的识别、衡量、积极应对、有效处置风险及妥善处理风险等一整衡量、积极应对、有效处置风险及妥善处理风险等一整套系统而科学的管理方法,以避免和减少风险损失。套系统而科学的管理方法,以避免和减少风险损失。网网络安全管理的本质络安全管理的本质是对信息安全风险的
12、动态有效管理和是对信息安全风险的动态有效管理和控制控制.风险管理是企业运营管理风险管理是企业运营管理核心核心,风险分为风险分为信用风险信用风险市场风险和操作风险市场风险和操作风险,其中包括信息安全风险其中包括信息安全风险.实际上实际上,在在网络信息安全保障体系框架中网络信息安全保障体系框架中,充分体现了风险管理理念充分体现了风险管理理念.网络安全保障体系网络安全保障体系架构包括五个部分:架构包括五个部分:1)网络安全策略网络安全策略 2)网络安全政策和标准网络安全政策和标准 3)网络安全运作网络安全运作 4)网络安全管理网络安全管理 5)网络安全技术网络安全技术课堂讨论课堂讨论 1.网络安全保
13、障包括哪四个方面?网络安全保障包括哪四个方面?2.信息安全保障体系架构包括哪五个部分?信息安全保障体系架构包括哪五个部分?3.网络管理与安全技术的结合方式有哪些?网络管理与安全技术的结合方式有哪些?3.2 网络安全的法律法规网络安全的法律法规 1.1.国际合作立法打击网络犯罪国际合作立法打击网络犯罪 20 20世纪世纪9090年代以来,很多国家为了有效打击利用年代以来,很多国家为了有效打击利用计算机计算机网络网络进行的各种违反犯罪活动,都采取了法律进行的各种违反犯罪活动,都采取了法律手段。分别颁布手段。分别颁布网络刑事公约网络刑事公约,信息技术法信息技术法,计算机反欺诈与滥用法计算机反欺诈与滥
14、用法等等 。2.2.禁止破解数字化技术保护措施的法律禁止破解数字化技术保护措施的法律 2019 2019年年1212月月,世界知识产权组织做出了世界知识产权组织做出了“禁止擅自禁止擅自破解他人数字化技术保护措施破解他人数字化技术保护措施”的规定。欧盟、日本的规定。欧盟、日本、美国等国家都作为一种网络安全保护规定,纳入本、美国等国家都作为一种网络安全保护规定,纳入本国法律。国法律。3.2.1国外网络安全的法律法规国外网络安全的法律法规 第第3.2 网络安全的法律法规网络安全的法律法规 3.与与“入世入世”有关的网络法律有关的网络法律 在在2019年年12月联合国第月联合国第51次大会上,通过了联
15、合国次大会上,通过了联合国贸易法委员会的贸易法委员会的电子商务示范法电子商务示范法,对于网络市场,对于网络市场中的数据电文、网上合同成立及生效的条件,传输等中的数据电文、网上合同成立及生效的条件,传输等专项领域的电子商务等,子商务专项领域的电子商务等,子商务”规范成为一个主规范成为一个主要议题。要议题。4.其他相关立法其他相关立法 5.民间管理、行业自律及道德规范民间管理、行业自律及道德规范 第第3.2 网络安全的法律法规网络安全的法律法规 我国我国从从网络安全管理网络安全管理的的需要出发需要出发,从,从20世纪世纪90年年代初开始,国家及相关部门、行业和地方政府相继制代初开始,国家及相关部门
16、、行业和地方政府相继制定了多项有关网络安全的法律法规。定了多项有关网络安全的法律法规。我国网络安全立法体系我国网络安全立法体系分为以下三个层面:分为以下三个层面:第一层面:第一层面:法律。为全国人民代表大会及其常委法律。为全国人民代表大会及其常委会通过的法律规范。会通过的法律规范。第二个层面:第二个层面:行政法规。主要指国务院为执行宪行政法规。主要指国务院为执行宪法和法律而制定的法律规范。法和法律而制定的法律规范。3.2.2我国网络安全的法律法规我国网络安全的法律法规 第第3.2 网络安全的法律法规网络安全的法律法规 第三个层面第三个层面:地方性法规、规章、规范性文件:地方性法规、规章、规范性
17、文件 公安部制公安部制定的定的计算机信息系统安全专用产品检测和销售许可证管理计算机信息系统安全专用产品检测和销售许可证管理办法办法、计算机病毒防治管理办法计算机病毒防治管理办法、金融机构计算机金融机构计算机信息系统安全保护工作暂行规定信息系统安全保护工作暂行规定、关于开展计算机安全关于开展计算机安全员培训工作的通知员培训工作的通知等。等。工业和信息化部制定的工业和信息化部制定的互联网电户公告服务管理规定互联网电户公告服务管理规定软件产品管理办法软件产品管理办法计算机信息系统集成资质管理办法计算机信息系统集成资质管理办法国际通信出入国际通信出入 口局管理办法口局管理办法、国际通信设施建设管理国际
18、通信设施建设管理 规定规定 、中国互联网络域名管理办法中国互联网络域名管理办法电信网间互联电信网间互联管理暂行规定等管理暂行规定等。3.2.2我国网络安全的法律法规我国网络安全的法律法规 第第3.2 网络安全的法律法规网络安全的法律法规课堂讨论课堂讨论 1.为什么说法律法规是网络安全体系的重要保障为什么说法律法规是网络安全体系的重要保障和基石?和基石?2.国外的网络安全法律法规对我们有何启示?国外的网络安全法律法规对我们有何启示?3.我国网络安全立法体系框架分为哪三个层面?我国网络安全立法体系框架分为哪三个层面?网络安全标准网络安全标准是确保网络信息安全的产品和系是确保网络信息安全的产品和系统
19、统,在设计、建设、生产、实施、使用、测评和管在设计、建设、生产、实施、使用、测评和管理维护过程中理维护过程中,解决产品和系统的一致性、可靠性解决产品和系统的一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据、可控性、先进性和符合性的技术规范、技术依据.3.3 网络安全评估准则和测评网络安全评估准则和测评 1.1.美国美国TCSEC(TCSEC(橙皮书橙皮书)1983 1983年由美国国防部制定的年由美国国防部制定的5200.285200.28安全安全标准标准可信可信计算系统评价准则计算系统评价准则TCSECTCSEC,即即网络安全橙皮书网络安全橙皮书或桔皮书,或桔皮书,主要利用计算机安
20、全级别评价计算机主要利用计算机安全级别评价计算机 系统的安全性。它将系统的安全性。它将安全分为安全分为4 4个方面(类别):安全政策、可说明性、安全个方面(类别):安全政策、可说明性、安全 保障和文档。将这保障和文档。将这4 4个个方面方面(类别)又分为(类别)又分为7 7个个安全级别安全级别,从低到高为从低到高为D D、C1C1、C2 C2、B1B1、B2B2、B3B3和和A A级。级。数据库和网络其他子系统也一直用橙皮书来进行数据库和网络其他子系统也一直用橙皮书来进行评估。橙皮书将安全的级别从低到高分成评估。橙皮书将安全的级别从低到高分成4 4个类别:个类别:D D类、类、C C类、类、B
21、 B类和类和A A类,并分为类,并分为7 7个级别。如表个级别。如表3-13-1所示。所示。3.3.1 国外网络安全评估标准国外网络安全评估标准 3.3 网络安全评估准则和测评网络安全评估准则和测评 3.3.1 国外网络安全评估标准国外网络安全评估标准 类别类别级级 别别名名 称称主主 要要 特特 征征DD低级保护低级保护没有安全保护没有安全保护CC1自主安全保护自主安全保护自主存储控制自主存储控制C2受控存储控制受控存储控制单独的可查性,安全标识单独的可查性,安全标识BB1标识的安全保护标识的安全保护强制存取控制,安全标识强制存取控制,安全标识B2结构化保护结构化保护面向安全的体系结构,较好
22、的抗渗透能力面向安全的体系结构,较好的抗渗透能力B3安全区域安全区域存取监控、高抗渗透能力存取监控、高抗渗透能力AA验证设计验证设计形式化的最高级描述和验证形式化的最高级描述和验证表3-1 安全级别分类 3.3 网络安全评估准则和测评网络安全评估准则和测评2欧洲欧洲ITSEC 信息技术安全评估标准信息技术安全评估标准ITSECITSEC,俗称,俗称欧洲的白皮书欧洲的白皮书,将保密作为安全增强功能,仅限于阐述技术安全要求,并将保密作为安全增强功能,仅限于阐述技术安全要求,并未将保密措施直接与计算机功能相结合。未将保密措施直接与计算机功能相结合。ITSECITSEC是欧洲的是欧洲的英国、法国、德国
23、和荷兰等四国在借鉴橙皮书的基础上联英国、法国、德国和荷兰等四国在借鉴橙皮书的基础上联合提出的。橙皮书将保密作为安全重点,而合提出的。橙皮书将保密作为安全重点,而ITSECITSEC则将首则将首次提出的完整性、可用性与保密性作为同等重要的因素,次提出的完整性、可用性与保密性作为同等重要的因素,并将可信计算机的概念提高到可信信息技术的高度。并将可信计算机的概念提高到可信信息技术的高度。美国联邦准则美国联邦准则FC标准参照了加拿大的评价标准标准参照了加拿大的评价标准CTCPEC 与橙皮书与橙皮书TCSEC,目的是提供目的是提供TCSEC的升级的升级版本,同时保护已有建设和投资。版本,同时保护已有建设
24、和投资。FC是一个过渡标准,是一个过渡标准,之后结合之后结合ITSEC发展为联合公共准则。发展为联合公共准则。3美国联邦准则美国联邦准则(FC)3.3 网络安全评估准则和测评网络安全评估准则和测评4通用评估准则通用评估准则(CC)通用评估准则通用评估准则CC主要确定了评估信息技术产品和系统主要确定了评估信息技术产品和系统安全性的基本准则,提出了国际上公认的表述信息技术安安全性的基本准则,提出了国际上公认的表述信息技术安全性的结构,将安全要求分为规范产品和系统安全行为的全性的结构,将安全要求分为规范产品和系统安全行为的功能要求,以及解决如何正确有效的实施这些功能的保证功能要求,以及解决如何正确有
25、效的实施这些功能的保证要求。要求。CC结合了结合了FC及及ITSEC的主要特征,强调将网络信息的主要特征,强调将网络信息安全的功能与保障分离,将功能需求分为安全的功能与保障分离,将功能需求分为9类类63族,将保障族,将保障分为分为7类类29族。族。CC的先进性体现在其结构的开放性、表达的先进性体现在其结构的开放性、表达方式的通用性,以及结构及表达方式的内在完备性和实用方式的通用性,以及结构及表达方式的内在完备性和实用性四个方面。目前,中国测评中心主要采用性四个方面。目前,中国测评中心主要采用CC等进行测评,等进行测评,具体内容及应用可以查阅相关网站。具体内容及应用可以查阅相关网站。3.3 网络
26、安全评估准则和测评网络安全评估准则和测评5ISO 安全体系结构标准安全体系结构标准 国际标准国际标准ISO7498-2-1989信息处理系统信息处理系统开放系统互开放系统互连、基本模型第连、基本模型第2部分安全体系结构部分安全体系结构,为开放系统标准,为开放系统标准建立框架。主要用于提供网络安全服务与有关机制的一般建立框架。主要用于提供网络安全服务与有关机制的一般描述,确定在参考模型内部可提供这些服务与机制。提供描述,确定在参考模型内部可提供这些服务与机制。提供了网络安全服务,如表了网络安全服务,如表3-2所示。所示。服服 务务用用 途途身份验证身份验证身份验证是证明用户及服务器身份的过程身份
27、验证是证明用户及服务器身份的过程访问控制访问控制用户身份一经过验证就发生访问控制,这个过程决定用户可以使用、浏览或用户身份一经过验证就发生访问控制,这个过程决定用户可以使用、浏览或改变哪些系统资源改变哪些系统资源数据保密数据保密这项服务通常使用加密技术保护数据免于未授权的泄露,可避免被动威胁这项服务通常使用加密技术保护数据免于未授权的泄露,可避免被动威胁数据完整性数据完整性这项服务通过检验或维护信息的一致性,避免主动威胁这项服务通过检验或维护信息的一致性,避免主动威胁抗否认性抗否认性否认是指否认参加全部或部分事务的能力,抗否认服务提供关于服务、过程否认是指否认参加全部或部分事务的能力,抗否认服
28、务提供关于服务、过程或部分信息的起源证明或发送证明。或部分信息的起源证明或发送证明。表表3-2 ISO提供的安全服务提供的安全服务3.3 网络安全评估准则和测评网络安全评估准则和测评 目前,国际上通行的与网络信息安全有关的标准国际上通行的与网络信息安全有关的标准可分为3类,如图3-7所示 图图3-7 有关网络和信息安全标准种类有关网络和信息安全标准种类 3.3 网络安全评估准则和测评网络安全评估准则和测评3.3.2 国内网络安全评估通用准则国内网络安全评估通用准则 1系统安全保护等级划分准则系统安全保护等级划分准则 2019年国家质量技术监督局批准发布系统安全保护等级年国家质量技术监督局批准发
29、布系统安全保护等级划分准则划分准则,依据依据GB-17859计算机信息系统安全保护等级划计算机信息系统安全保护等级划分准则分准则和和GA-163计算机信息系统安全专用产品分类原计算机信息系统安全专用产品分类原则则等文件等文件,将系统安全保护划分为将系统安全保护划分为5个级别个级别,如表如表3-3所示。所示。等等 级级名名 称称描描 述述第一级第一级用户自我保护级用户自我保护级安全保护机制可以使用户具备安全保护的能力,保护用户信息免安全保护机制可以使用户具备安全保护的能力,保护用户信息免受非法的读写破坏。受非法的读写破坏。第二级第二级系统审计保护级系统审计保护级除具备第一级所有的安全保护功能外,
30、要求创建和维护访问的审除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有用户对自身行为的合法性负责计跟踪记录,使所有用户对自身行为的合法性负责第三级第三级安全标记保护级安全标记保护级除具备前一级所有的安全保护功能外,还要求以访问对象标记的除具备前一级所有的安全保护功能外,还要求以访问对象标记的安全级别限制访问者的权限,实现对访问对象的强制访问安全级别限制访问者的权限,实现对访问对象的强制访问第四级第四级结构化保护级结构化保护级除具备前一级所有的安全保护功能外,还将安全保护机制划分为除具备前一级所有的安全保护功能外,还将安全保护机制划分为关键部分和非关键部分,对关键部分可
31、直接控制访问者对访问对关键部分和非关键部分,对关键部分可直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力象的存取,从而加强系统的抗渗透能力第五级第五级访问验证保护级访问验证保护级除具备前一级所有的安全保护功能外,还特别增设了访问验证功除具备前一级所有的安全保护功能外,还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问能,负责仲裁访问者对访问对象的所有访问3.3 网络安全评估准则和测评网络安全评估准则和测评 20192019年公安部修改制订并实施年公安部修改制订并实施信息安全等级保护管信息安全等级保护管理办法(试行)理办法(试行)。将我国信息安全分五级防护,第一至。将我国信息安
32、全分五级防护,第一至五级分别为:自主保护级、指导保护级、监督保护级、强五级分别为:自主保护级、指导保护级、监督保护级、强制保护级和专控保护级制保护级和专控保护级 2 2我国信息安全标准化现状我国信息安全标准化现状 中国信息安全标准化建设,主要按照国务院授权,在中国信息安全标准化建设,主要按照国务院授权,在国家质量监督检验检疫总局管理下,由国家标准化管理委国家质量监督检验检疫总局管理下,由国家标准化管理委员会统一管理标准化工作,下设有员会统一管理标准化工作,下设有255个专业技术委员会。个专业技术委员会。从从20世纪世纪80年代开始,积极借鉴国际标准,制定了一年代开始,积极借鉴国际标准,制定了一
33、批中国信息安全标准和行业标准。从批中国信息安全标准和行业标准。从1985年发布第一个有年发布第一个有关信息安全方面的标准以来,已制定、报批和发布近百个关信息安全方面的标准以来,已制定、报批和发布近百个有关信息安全技术、产品、测评和管理的国家标准,并正有关信息安全技术、产品、测评和管理的国家标准,并正在制定和完善新的标准。在制定和完善新的标准。3.3 网络安全评估准则和测评网络安全评估准则和测评3.3.3 网络安全的测评网络安全的测评 1.测评目的和方法测评目的和方法 1)网络安全测评目的网络安全测评目的 网络安全测评目的包括:网络安全测评目的包括:(1)搞清企事业机构具体信息资产的实际价值及状
34、况;搞清企事业机构具体信息资产的实际价值及状况;(2)确定机构具体信息资源的安全风险程度;确定机构具体信息资源的安全风险程度;(3)通过调研分析搞清网络系统存在的漏洞隐患及状通过调研分析搞清网络系统存在的漏洞隐患及状况况;(4)明确与该机构信息资产有关的风险和需要改进之明确与该机构信息资产有关的风险和需要改进之处处;(5)提出改变现状的建议和方案,使风险降到可最低;提出改变现状的建议和方案,使风险降到可最低;(6)为构建合适的安全计划和策略做好准备为构建合适的安全计划和策略做好准备。3.3 网络安全评估准则和测评网络安全评估准则和测评 2)网络安全测评类型网络安全测评类型 一般一般通用的测评类
35、型通用的测评类型分为分为5个:个:(1)系统级漏洞测评。系统级漏洞测评。(2)网络级风险测评。网络级风险测评。(3)机构机构的风险测评的风险测评。(4)实际入侵测试。实际入侵测试。(5)审计。审计。3)调研与测评方法调研与测评方法 收集信息收集信息有有3 3个个基本信息源基本信息源:调研对象、文本查阅:调研对象、文本查阅和物理检验。调研对象主要是与现有系统安全和组织和物理检验。调研对象主要是与现有系统安全和组织实施相关人员,重点是熟悉情况和管理者。实施相关人员,重点是熟悉情况和管理者。测评方法测评方法:网络安全威胁隐患与态势测评方法、:网络安全威胁隐患与态势测评方法、模糊综合风险测评法、基于弱
36、点关联和安全需求的网模糊综合风险测评法、基于弱点关联和安全需求的网络安全测评方法、基于失效树分析法的网络安全风险络安全测评方法、基于失效树分析法的网络安全风险状态测评方法、贝叶斯网络安全测评方法等,具体方状态测评方法、贝叶斯网络安全测评方法等,具体方法可以通过网络进行查阅。法可以通过网络进行查阅。3.3 网络安全评估准则和测评网络安全评估准则和测评2测评标准和内容 2测评标准和内容测评标准和内容 (1)测评前提,测评前提,(2)依据和标准。依据和标准。(3)测评内容。测评内容。3.安全策略测评安全策略测评 (1)测评事项。测评事项。(2)测评方法。测评方法。(3)测评结论。测评结论。4.网络实
37、体安全测评网络实体安全测评 (1)测评项目。测评项目。(2)测评方法。测评方法。(3)测评结论。测评结论。5.网络体系的安全性测评网络体系的安全性测评 1)网络隔离的安全性测评网络隔离的安全性测评(1)测评项目。测评项目。(2)测评方法。测评方法。(3)测评结论。测评结论。2)网络系统配置安全性测评网络系统配置安全性测评(1)测评项目。测评项目。(2)测评方法和工具。测评方法和工具。(3)测评结论测评结论。3)网络防护能力测评网络防护能力测评 4)服务的安全性测评服务的安全性测评 5)应用系统的安全性测评应用系统的安全性测评 3.3 网络安全评估准则和测评网络安全评估准则和测评课堂讨论;课堂讨
38、论;1.橙皮书将安全的级别从低到高分成哪橙皮书将安全的级别从低到高分成哪4个类别和个类别和7个级别?个级别?2.国家将计算机安全保护划分为哪国家将计算机安全保护划分为哪5个级别?个级别?3.网络安全测评方法主要有哪些?网络安全测评方法主要有哪些?11.安全组织和管理测评安全组织和管理测评(1)测评项目测评项目 (2)测评方法测评方法 (3)测评结论测评结论 6.安全服务的测评安全服务的测评 (1)测评项目。测评项目。(2)测评方法。测评方法。(3)测评结论。测评结论。7.病毒防护安全性测评病毒防护安全性测评 (1)测评项目。测评项目。(2)测评方法。测评方法。(3)测评结论。测评结论。8.审计
39、的安全性测评审计的安全性测评 (1)测评项目测评项目.(2)测评方法。测评方法。(3)测评结论。测评结论。9.备份的安全性测评备份的安全性测评 (1)测评项目。测评项目。(2)测评方法。测评方法。(3)测评结论。测评结论。10.紧急事件响应测评紧急事件响应测评 (1)测评项目。测评项目。(2)测评方法。测评方法。(3)测评结论。测评结论。3.4 网络安全策略及规划网络安全策略及规划 3.4.1 网络安全策略概述网络安全策略概述 网络安全策略网络安全策略是在指定安全区域内,与安全活动有是在指定安全区域内,与安全活动有关的一系列规则和条例,包括对企业各种网络服务的关的一系列规则和条例,包括对企业各
40、种网络服务的安全层次和权限的分类,确定管理员的安全职责,主安全层次和权限的分类,确定管理员的安全职责,主要要涉及涉及4个方面个方面:实体安全策略、访问控制策略、信息:实体安全策略、访问控制策略、信息加密策略和网络安全管理策略。加密策略和网络安全管理策略。网络安全策略网络安全策略包括包括总体安全策略和具体安全管理总体安全策略和具体安全管理实施细则。实施细则。1)均衡性原则)均衡性原则 2)时效性原则)时效性原则 3)最小限度原则)最小限度原则 1网络安全策略总则网络安全策略总则3.4 网络安全策略及规划网络安全策略及规划 2 2安全策略的内容安全策略的内容 根据不同的安全需求和对象,可以确定不同
41、的根据不同的安全需求和对象,可以确定不同的安全策安全策略略。主要。主要包括包括入网访问控制策略、操作权限控制策略、目入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等制策略、网络监测、锁定控制策略和防火墙控制策略等7 7个方面的内容。个方面的内容。1 1)实体与运行环境安全)实体与运行环境安全 2 2)网络连接安全)网络连接安全 3 3)操作系统安全)操作系统安全 4 4)网络服务安全)网络服务安全 5 5)数据安全)数据安全 6 6)安全管理责任)安全管理责
42、任 7 7)网络用户安全责任)网络用户安全责任 3.4 网络安全策略及规划网络安全策略及规划 3网络安全策略的制定与实施网络安全策略的制定与实施 1)网络安全策略的制定网络安全策略的制定 安全策略安全策略是网络安全管理过程的重要内容和方是网络安全管理过程的重要内容和方法。网络安全策略法。网络安全策略包括包括3个重要组成部分:安全立个重要组成部分:安全立法、安全管理、安全技术。法、安全管理、安全技术。2)安全策略的实施安全策略的实施 (1)存储重要数据和文件。存储重要数据和文件。(2)及时更新加固系统。及时更新加固系统。(3)加强系统检测与监控。加强系统检测与监控。(4)做好系统日志和审计做好系
43、统日志和审计。3.4 网络安全策略及规划网络安全策略及规划 3.4.2 网络安全规划基本原则网络安全规划基本原则 网络安全规划网络安全规划的主要的主要内容内容:规划基本原则、安全:规划基本原则、安全管理控制策略、安全组网、安全防御措施、审计和规管理控制策略、安全组网、安全防御措施、审计和规划实施等。规划种类较多,其中,网络安全建设规划划实施等。规划种类较多,其中,网络安全建设规划可以包括:指导思想、基本原则、现状及需求分析、可以包括:指导思想、基本原则、现状及需求分析、建设政策依据、实体安全建设、运行安全策略、应用建设政策依据、实体安全建设、运行安全策略、应用安全建设和规划实施等。安全建设和规
44、划实施等。制定制定网络安全规划的基本原则网络安全规划的基本原则,重点考虑重点考虑6个方面个方面:(1)统筹兼顾)统筹兼顾;(2)全面考虑)全面考虑;(3)整体防御与优化)整体防御与优化;(4)强化管理)强化管理;(5)兼顾性能)兼顾性能;(6)分步制定与实施)分步制定与实施.课堂讨论课堂讨论 1.1.网络安全的策略有哪些?如何制定和实施?网络安全的策略有哪些?如何制定和实施?2.2.网络安全规划的基本原则有哪些?网络安全规划的基本原则有哪些?3.5 网络安全管理原则及制度网络安全管理原则及制度 为了加强网络系统安全为了加强网络系统安全,网络安全管理网络安全管理应坚持应坚持基本原则基本原则:l)
45、多人负责原则)多人负责原则 2)有限任期原则有限任期原则 3)职责分离原则职责分离原则 4)严格操作规程严格操作规程 5)系统安全监测和审计制度)系统安全监测和审计制度 6)建立健全系统维护制度)建立健全系统维护制度 7)完善应急措施)完善应急措施 另有将网络安全指导原则概括为另有将网络安全指导原则概括为4个方面:适度公开原则个方面:适度公开原则、动态更新与逐步完善原则、通用性原则、合规性原则。、动态更新与逐步完善原则、通用性原则、合规性原则。3.5.1网络安全管理的基本原则网络安全管理的基本原则 3.5 网络安全管理原则及制度网络安全管理原则及制度 网络安全管理的制度:网络安全管理的制度:人
46、事资源管理、资产物业管理、人事资源管理、资产物业管理、教育培训、资格认证、人事考核鉴定制度、动态运行机制、教育培训、资格认证、人事考核鉴定制度、动态运行机制、日常工作规范、岗位责任制度等。日常工作规范、岗位责任制度等。1完善管理机构和岗位责任制完善管理机构和岗位责任制 计算机网络系统的安全涉及整个系统和机构的安全、效益计算机网络系统的安全涉及整个系统和机构的安全、效益及声誉及声誉.系统安全保密工作最好由单位主要领导负责系统安全保密工作最好由单位主要领导负责,必要时必要时设置专门机构设置专门机构.重要单位、要害部门安重要单位、要害部门安全保密工作全保密工作分别由安全、分别由安全、保密、保卫和保密
47、、保卫和技术技术部门分工负责部门分工负责.常用的网络安全管理规章制度常用的网络安全管理规章制度包括包括7个方面:个方面:(1)系统运行维护管理制度。)系统运行维护管理制度。(2)计算机处理控制管理制度。)计算机处理控制管理制度。(3)文档资料管理。)文档资料管理。(4)操作及管理人员的管理制度。)操作及管理人员的管理制度。(5)机房安全管理规章制度。机房安全管理规章制度。(6)其他的重要管理制度。)其他的重要管理制度。(7)风险分析及安全培训。)风险分析及安全培训。3.5.2 网络安全管理机构和制度网络安全管理机构和制度 3.5 网络安全管理原则及制度网络安全管理原则及制度 所有领导机构、重要
48、计算机系统的安全组织机构,包所有领导机构、重要计算机系统的安全组织机构,包括安全审查机构、安全决策机构、安全管理机构,都要建括安全审查机构、安全决策机构、安全管理机构,都要建立和健全各项规章制度。立和健全各项规章制度。完善专门的安全防范组织和人员。制定人员岗位责任完善专门的安全防范组织和人员。制定人员岗位责任制,严格纪律、管理和分工。专职安全管理员负责安全策制,严格纪律、管理和分工。专职安全管理员负责安全策略的实施与更新。略的实施与更新。安全审计员监视系统运行情况,收集对系统资源的各安全审计员监视系统运行情况,收集对系统资源的各种非法访问事件,并进行记录、分析、处理和上报。种非法访问事件,并进
49、行记录、分析、处理和上报。保安人员负责非技术性常规安全工作,如系统场所的保安人员负责非技术性常规安全工作,如系统场所的警卫、办公安全、出入门验证等。警卫、办公安全、出入门验证等。3.5 网络安全管理原则及制度网络安全管理原则及制度 互联网安全人人责任,网络商更负有重要责任。应加互联网安全人人责任,网络商更负有重要责任。应加强与相关业务往来单全机构的合作与交流,密切配合共强与相关业务往来单全机构的合作与交流,密切配合共同维护网络安全,及时获得必要的安全管理信息和专业同维护网络安全,及时获得必要的安全管理信息和专业技术支持与更新。国内外也应当进一步加强交流与合作技术支持与更新。国内外也应当进一步加
50、强交流与合作,拓宽国际合作渠道,建立政府、网络安全机构、行业,拓宽国际合作渠道,建立政府、网络安全机构、行业组织及企业之间多层次、多渠道、齐抓共管的合作机制。组织及企业之间多层次、多渠道、齐抓共管的合作机制。课堂讨论课堂讨论 1.网络安全管理必须坚持哪些原则?网络安全管理必须坚持哪些原则?2.网络安全指导原则主要包括哪网络安全指导原则主要包括哪4个方面?个方面?3.建立健全网络安全管理机构和规章制度,需要做建立健全网络安全管理机构和规章制度,需要做 好哪些方面?好哪些方面?3坚持合作交流制度坚持合作交流制度 3.6 本章小结本章小结 网络安全管理保障与安全技术的紧密结合网络安全管理保障与安全技
