网络安全管理概述PPT动态模板.pptx

1、网络安全管理概述畅 游 网 络-安全从你我做起O v e r v i e w o f n e t w o r k s e c u r i t y ma n a g e me n t汇报人：XXX 时间：XXXX.XX目 录C O N T E N T S网络安全管理体系 网络安全的法律法规网络安全评估准则和测评网络安全策略及规划网络管理原则及制度01.网络安全管理体系 Network security management system1.1 网络安全管理体系及过程 OSI网络安全体系OSI参考模型是国际标准化组织（ISO）为解决异种机互联而制定的开放式计算机网络层次结构模型。OSI安全体系结构

2、主要包括网络安全机制和网络安全服务两个方面。01在ISO7498-2网络安全体系结构文件中规定的网络安全机制有8项：加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、信息量填充机制、路由控制机制和公证机制。02网络安全机制在网络安全体系结构文件中规定的网络安全服务有5项：1）鉴别服务。2）访问控制服务。3）数据完整性服务。4）数据保密性服务。5）可审查性服务。网络安全服务1.1 网络安全管理体系及过程 TCP/IP网络安全管理体系TCP/IP网络安全管理体系结构，如图3-1所示。包括三个方面：分层安全管理安全服务与机制系统安全管理1.1 网络安全管理体系及过程 网络安全管理的

3、基本过程 网络安全管理的具体对象：包括涉及的机构、人员、软件、设备、场地设施、介质、涉密信息、技术文档、网络连接、门户网站、应急恢复、安全审计等。网络安全管理的功能包括：计算机网络的运行、管理、维护、提供服务等所需要的各种活动，可概括为OAM&P。也有的专家或学者将安全管理功能仅限于考虑前三种OAM情形。1.1 网络安全管理体系及过程 网络安全管理工作的程序，遵循如下PDCA循环模式的4个基本过程：01020304制定规划和计划（Plan）落实执行（Do）监督检查（Check）评价行动（Action）安全管理模型PDCA持续改进模式如图3-2所示1.1 网络安全管理体系及过程 网络管理与安全技

4、术的结合 国际标准化组织ISO在ISO/IEC7498-4文档定义开放系统网络管理的五大功能：故障管理功能、配置管理功能、性能管理功能、安全管理功能和计费管理功能。目前，先进的网络管理技术也已经成为人们关注的重点，先进的计算机技术、无线通信及交换技术、人工智能等先进技术正在不断应用到具体的网络安全管理中，网络安全管理理论及技术也在快速发展、不断完善。网络安全是个系统工程，网络安全技术必须与安全管理和保障措施紧密结合，才能真正有效地发挥作用。1.2 网络安全保障体系计算机网络安全的整体保障体系。网络安全的整体保障作用，主要体现在整个系统生命周期对风险进行整体的应对和控制。01020304网络安全

5、保障网络安全保障关键因素网络安全策略网络安全管理网络安全运作网络安全技术“七分管理，三分技术，运作贯穿始终”管理是关键，技术是保障，其中的管理应包括管理技术。1.2 网络安全保障体系与美国ISS公司提出的动态网络安全体系的代表模型的雏形P2DR相似。该模型包含4个主要部分：Policy(安全策略)、Protection(防护)、Detection(检测)和 Response(响应)。Policy 策略 Protection 防护Detection 检测 Response 响应1.2 网络安全保障体系此保障体系框架的外围是风险管理、法律法规、标准的符合性。网络安全保障总体框架网络安全管理体系风险

6、管理指在对风险的可能性和不确定性等因素进行收集、分析、评估、预测的基础上，制定的识别、衡量、积极应对、有效处置风险及妥善处理风险等一整套系统而科学的管理方法，以避免和减少风险损失。网络安全管理的本质是对信息安全风险的动态有效管理和控制。风险管理是企业运营管理核心，风险分为信用风险市场风险和操作风险，其中包括信息安全风险。实际上，在网络信息安全保障体系框架中，充分体现了风险管理理念。1.2 网络安全保障体系网络安全策略网络安全政策和标准网络安全运作网络安全管理网络安全技术网络安全保障体系010203040502.网络安全的法律法规Laws and regulations ofnetwork se

7、curity2.1 国外网络安全的法律法规 20世纪90年代以来，很多国家为了有效打击利用计算机网络进行的各种违反犯罪活动，都采取了法律手段。分别颁布网络刑事公约,信息技术法,计算机反欺诈与滥用法等。1996年12月,世界知识产权组织做出了“禁止擅自破解他人数字化技术保护措施”的规定。欧盟、日本、美国等国家都作为一种网络安全保护规定，纳入本国法律。1、国际合作立法打击网络犯罪 2、禁止破解数字化技术保护措施的法律2.1 国外网络安全的法律法规 在1996年12月联合国第51次大会上，通过了联合国贸易法委员会的电子商务示范法，对于网络市场中的数据电文、网上合同成立及生效的条件，传输等专项领域的电

8、子商务等，子商务”规范成为一个主要议题。3、与“入世”有关的网络法律 4、其他相关立法 5、民间管理、行业自律及道德规范 2.2 我国网络安全的法律法规 我国从网络安全管理的需要出发，从20世纪90年代初开始，国家及相关部门、行业和地方政府相继制定了多项有关网络安全的法律法规。法律。为全国人民代表大会及其常委会通过的法律规范。行政法规。主要指国务院为执行宪法和法律而制定的法律规范。地方性法规、规章、规范性文件 公安部制定的计算机信息系统安全专用产品检测和销售许可证管理办法、计算机病毒防治管理办法、金融机构计算机信息系统安全保护工作暂行规定、关于开展计算机安全员培训工作的通知等。我国网络安全立法

9、体系分为以下三个层面：2.2 我国网络安全的法律法规 1.为什么说法律法规是网络安全体系的重要保障和基石？2.国外的网络安全法律法规对我们有何启示？我国网络安全立法体系框架分为哪三个层面？课堂讨论网络安全标准是确保网络信息安全的产品和系统,在设计、建设、生产、实施、使用、测评和管理维护过程中,解决产品和系统的一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。03.网络安全评估准则和测评Network security evaluation criteriaand evaluation一、国外网络安全评估标准 1983年由美国国防部制定的5200.28安全标准可信计算系统评价准则TCS

10、EC，即网络安全橙皮书或桔皮书，主要利用计算机安全级别评价计算机 系统的安全性。它将安全分为4个方面（类别）：安全政策、可说明性、安全 保障和文档。将这4个方面（类别）又分为7个安全级别，从低到高为D、C1、C2、B1、B2、B3和A级。数据库和网络其他子系统也一直用橙皮书来进行评估。橙皮书将安全的级别从低到高分成4个类别：D类、C类、B类和A类，并分为7个级别。如表3-1所示。美国TCSEC(橙皮书)一、国外网络安全评估标准 类别级 别名 称主 要 特 征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性，安全标识BB1标识的安全保护强制存取控制，安全标识B2

11、结构化保护面向安全的体系结构，较好的抗渗透能力B3安全区域存取监控、高抗渗透能力AA验证设计形式化的最高级描述和验证表3-1 安全级别分类 一、国外网络安全评估标准 信息技术安全评估标准ITSEC，俗称欧洲的白皮书，将保密作为安全增强功能，仅限于阐述技术安全要求，并未将保密措施直接与计算机功能相结合。ITSEC是欧洲的英国、法国、德国和荷兰等四国在借鉴橙皮书的基础上联合提出的。橙皮书将保密作为安全重点，而ITSEC则将首次提出的完整性、可用性与保密性作为同等重要的因素，并将可信计算机的概念提高到可信信息技术的高度。欧洲ITSEC 一、国外网络安全评估标准 通用评估准则CC主要确定了评估信息技术

12、产品和系统安全性的基本准则，提出了国际上公认的表述信息技术安全性的结构，将安全要求分为规范产品和系统安全行为的功能要求，以及解决如何正确有效的实施这些功能的保证要求。CC结合了FC及ITSEC的主要特征，强调将网络信息安全的功能与保障分离，将功能需求分为9类63族，将保障分为7类29族。CC的先进性体现在其结构的开放性、表达方式的通用性，以及结构及表达方式的内在完备性和实用性四个方面。目前，中国测评中心主要采用CC等进行测评，具体内容及应用可以查阅相关网站。通用评估准则(CC)美国联邦准则FC标准参照了加拿大的评价标准CTCPEC 与橙皮书TCSEC，目的是提供TCSEC的升级版本，同时保护已

13、有建设和投资。FC是一个过渡标准，之后结合ITSEC发展为联合公共准则。美国联邦准则(FC)二、国内网络安全评估通用准则 1999年国家质量技术监督局批准发布系统安全保护等级划分准则,依据GB-17859计算机信息系统安全保护等级划分准则和GA-163计算机信息系统安全专用产品分类原则等文件，将系统安全保护划分为5个级别，如表3-3所示。系统安全保护等级划分准则等 级名 称描 述第一级用户自我保护级安全保护机制可以使用户具备安全保护的能力，保护用户信息免受非法的读写破坏。第二级系统审计保护级除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有用户对自身行为的合法性负责第三

14、级安全标记保护级除具备前一级所有的安全保护功能外，还要求以访问对象标记的安全级别限制访问者的权限，实现对访问对象的强制访问第四级结构化保护级除具备前一级所有的安全保护功能外，还将安全保护机制划分为关键部分和非关键部分，对关键部分可直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力第五级访问验证保护级除具备前一级所有的安全保护功能外，还特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问自主保护级指导保护级监督保护级强制保护级专控保护级 我国信息安全分五级防护0102030405二、国内网络安全评估通用准则 2006年公安部修改制订并实施信息安全等级保护管理办法（试行）。二、国内网络

15、安全评估通用准则 我国信息安全标准化现状中国信息安全标准化建设，主要按照国务院授权，在国家质量监督检验检疫总局管理下，由国家标准化管理委员会统一管理标准化工作，下设有255个专业技术委员会。从20世纪80年代开始，积极借鉴国际标准，制定了一批中国信息安全标准和行业标准。从1985年发布第一个有关信息安全方面的标准以来，已制定、报批和发布近百个有关信息安全技术、产品、测评和管理的国家标准，并正在制定和完善新的标准。三、网络安全的测评 网络安全测评目的搞清企事业机构具体信息资产的实际价值及状况；确定机构具体信息资源的安全风险程度；通过调研分析搞清网络系统存在的漏洞隐患及状况;明确与该机构信息资产有

16、关的风险和需要改进之处;提出改变现状的建议和方案，使风险降到可最低；为构建合适的安全计划和策略做好准备。1测评目的和方法0403010205三、网络安全的测评 网络安全测评类型系统级漏洞测评。网络级风险测评。机构的风险测评。实际入侵测试。审计。三、网络安全的测评 调研与测评方法收集信息有3个基本信息源：调研对象、文本查阅和物理检验。调研对象主要是与现有系统安全和组织实施相关人员，重点是熟悉情况和管理者。测评方法：网络安全威胁隐患与态势测评方法、模糊综合风险测评法、基于弱点关联和安全需求的网络安全测评方法、基于失效树分析法的网络安全风险状态测评方法、贝叶斯网络安全测评方法等，具体方法可以通过网络

17、进行查阅。2测评标准和内容(1)测评前提，(2)依据和标准。(3)测评内容。三、网络安全的测评 3安全策略测评(1)测评事项。(2)测评方法。(3)测评结论。5网络体系的安全性测评1)网络隔离的安全性测评(1)测评项目。(2)测评方法。(3)测评结论。4网络实体安全测评 (1)测评项目。(2)测评方法。(3)测评结论。2)网络系统配置安全性测评 (1)测评项目。(2)测评方法和工具。(3)测评结论。3)网络防护能力测评 4)服务的安全性测评 5)应用系统的安全性测评 6安全服务的测评(1)测评项目。(2)测评方法。(3)测评结论。三、网络安全的测评 7病毒防护安全性测评(1)测评项目。(2)测

18、评方法。(3)测评结论。8审计的安全性测评 (1)测评项目。(2)测评方法。(3)测评结论。9备份的安全性测评(1)测评项目。(2)测评方法。(3)测评结论。10紧急事件响应测评(1)测评项目。(2)测评方法。(3)测评结论。11安全组织和管理测评 (1)测评项目。(2)测评方法。(3)测评结论。04.网络安全策略及规划 Network security strategy and planning4.1 网络安全策略概述 网络安全策略是在指定安全区域内，与安全活动有关的一系列规则和条例，包括对企业各种网络服务的安全层次和权限的分类，确定管理员的安全职责。主要涉及4个方面：实体安全策略 访问控制

19、策略 信息加密策略 网络安全管理策略01网络安全策略总则网络安全策略包括总体安全策略和具体安全管理实施细则。1）均衡性原则2）时效性原则3）最小限度原则 4.1 网络安全策略概述 02安全策略的内容根据不同的安全需求和对象，可以确定不同的安全策略。主要包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等7个方面的内容。1）实体与运行环境安全 2）网络连接安全 3）操作系统安全 4）网络服务安全 5）数据安全 6）安全管理责任 7）网络用户安全责任03网络安全策略的制定与实施1)网络安全策略的制定安全策略是网

20、络安全管理过程的重要内容和方法。网络安全策略包括3个重要组成部分：安全立法、安全管理、安全技术。2)安全策略的实施(1)存储重要数据和文件。(2)及时更新加固系统。(3)加强系统检测与监控。(4)做好系统日志和审计。4.1 网络安全策略概述 4.2 网络安全规划基本原则 网络安全规划的主要内容：规划基本原则、安全管理控制策略、安全组网、安全防御措施、审计和规划实施等。规划种类较多，其中，网络安全建设规划可以包括：指导思想、基本原则、现状及需求分析、建设政策依据、实体安全建设、运行安全策略、应用安全建设和规划实施等。03030 040 050 060101020201制定网络安全规划的基本原则,

21、重点考虑6个方面:0203040506统筹兼顾；全面考虑;整体防御与优化;强化管理;兼顾性能;分步制定与实施.05.网络安全管理原则及制度Network security management principles and systems5.1 网络安全管理的基本原则 为了加强网络系统安全,网络安全管理应坚持基本原则:1.多人负责原则2.有限任期原则3.职责分离原则4.严格操作规程5.系统安全监测和审计制度6.建立健全系统维护制度7.完善应急措施另有将网络安全指导原则概括为4个方面：适度公开原则、动态更新与逐步完善原则、通用性原则、合规性原则。5.2 网络安全管理机构和制度 网络安全管理的制度

22、：人事资源管理、资产物业管理、教育培训、资格认证、人事考核鉴定制度、动态运行机制、日常工作规范、岗位责任制度等。1完善管理机构和岗位责任制计算机网络系统的安全涉及整个系统和机构的安全、效益及声誉.系统安全保密工作最好由单位主要领导负责，必要时设置专门机构.重要单位、要害部门安全保密工作分别由安全、保密、保卫和技术部门分工负责.常用的网络安全管理规章制度包括7个方面：系统运行维护管理制度。计算机处理控制管理制度。文档资料管理。操作及管理人员的管理制度。机房安全管理规章制度。其他的重要管理制度。风险分析及安全培训。5.2 网络安全管理机构和制度 所有领导机构、重要计算机系统的安全组织机构，包括安全

23、审查机构、安全决策机构、安全管理机构，都要建立和健全各项规章制度。完善专门的安全防范组织和人员。制定人员岗位责任制，严格纪律、管理和分工。专职安全管理员负责安全策略的实施与更新。安全审计员监视系统运行情况，收集对系统资源的各种非法访问事件，并进行记录、分析、处理和上报。保安人员负责非技术性常规安全工作，如系统场所的警卫、办公安全、出入门验证等。5.3 坚持合作交流制度 互联网安全人人责任，网络商更负有重要责任。应加强与相关业务往来单全机构的合作与交流，密切配合共同维护网络安全，及时获得必要的安全管理信息和专业技术支持与更新。国内外也应当进一步加强交流与合作，拓宽国际合作渠道，建立政府、网络安全机构、行业组织及企业之间多层次、多渠道、齐抓共管的合作机制。网络安全管理概述畅 游 网 络-安全从你我做起O v e r v i e w o f n e t w o r k s e c u r i t y ma n a g e me n t汇报人：XXX 时间：XXXX.XX