第3章-网络安全管理概述ppt课件.ppt

《第3章-网络安全管理概述ppt课件.ppt》由会员分享，可在线阅读，更多相关《第3章-网络安全管理概述ppt课件.ppt（42页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物第第3 3章章 网络安全管理概述网络安全管理概述我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物 3.2 网络安全的法律法规网络安全的法律法规2 3.3 网络安全评估准则和测评网络安全评估准则和测评 3 3.4 网络安全策略及规划网络安全策略及规划4 3.1 网络安全管理体系网络安全管理体系 1 3.5 网络安全管理原则及制度网络安全管理原则及制度5 3.6 本章小结本章小

2、结6我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物目目 录录 网络安全管理的概念、目标及内容网络安全管理的概念、目标及内容 网络面临的威胁及不安全因素网络面临的威胁及不安全因素 网络安全管理技术概念与模型网络安全管理技术概念与模型 构建虚拟局域网构建虚拟局域网VLANVLAN实验实验教学目标教学目标 掌握掌握网络安全管理与保障体系、网络安全管理与保障体系、 掌握掌握法律法规、评估准则和方法法律法规、评估准则和方法 理解理解网络安全管理规范及策略、原则及制度网络安全管理规范及策略、原则及制度 了解网络安全规

3、划的主要内容和原则了解网络安全规划的主要内容和原则 掌握掌握WebWeb服务器的安全设置与管理实验服务器的安全设置与管理实验 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.1 网络安全管理体系网络安全管理体系 3.1 3.1 网络安全管理体系网络安全管理体系 3.1.1 3.1.1 网络安全管理体系及过程网络安全管理体系及过程 1OSI网络安全体系网络安全体系 OSI参考模型参考模型是国际标准化组织是国际标准化组织（ISO）为解决异为解决异种机互联而制定的开放式计算机网络层次结构模型。种机互联而制定的

4、开放式计算机网络层次结构模型。OSI安全体系结构安全体系结构主要包括网络安全机制和网络安全服主要包括网络安全机制和网络安全服务两个方面。务两个方面。 1）网络安全机制）网络安全机制在在ISO7498-2网络安全体系结构网络安全体系结构文件中规定的文件中规定的网络网络安全机制安全机制有有8项：加密机制、数字签名机制、访问控制项：加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、信息量填充机制、数据完整性机制、鉴别交换机制、信息量填充机制、路由控制机制和公证机制。机制、路由控制机制和公证机制。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感

5、到愉快，证实我的猜测没有错：表里边有一个活的生物 3.1 网络安全管理体系 2 2）网络安全服务）网络安全服务 在在网络安全体系结构网络安全体系结构文件中规定的文件中规定的网络安全网络安全服务服务有有5 5项：项： （1 1）鉴别服务。）鉴别服务。 （2 2）访问控制服务。）访问控制服务。 （3 3）数据完整性服务。）数据完整性服务。 （4 4）数据保密性服务。）数据保密性服务。 （5 5）可审查性服务。）可审查性服务。 2. TCP/IP 2. TCP/IP网络安全管理体系网络安全管理体系 TCP/IP TCP/IP网络安全管理体系结构网络安全管理体系结构，如图，如图3-13-1所示。所示。

6、 包括三个方面：包括三个方面：分层安全管理、安全服务与机制、分层安全管理、安全服务与机制、系统系统 安全管理安全管理。 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.1 网络安全管理体系网络安全管理体系图图3-1 TCP/IP网络安全管理体系结构网络安全管理体系结构我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.1 网络安全管理体系网络安全管理体系3. 网络安全管理的基本过程网络安全管理的基本过程 网络安全管理

7、网络安全管理的的具体对象具体对象：包括涉及的机构、包括涉及的机构、人员、软件、设备、场地设施、介质、涉密信息、人员、软件、设备、场地设施、介质、涉密信息、技术文档、网络连接、门户网站、应急恢复、安技术文档、网络连接、门户网站、应急恢复、安全审计等。全审计等。 网络安全管理网络安全管理的的功能功能包括包括：计算机网络的运：计算机网络的运行、管理、维护、提供服务等所需要的各种活动，行、管理、维护、提供服务等所需要的各种活动，可概括为可概括为OAM&P。也有的专家或学者将安全管理。也有的专家或学者将安全管理功能仅限于考虑前三种功能仅限于考虑前三种OAM情形。情形。我吓了一跳，蝎子是多么丑恶和恐怖的东

8、西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.1 网络安全管理体系网络安全管理体系3. 网络安全管理的基本过程网络安全管理的基本过程 网络安全管理工作网络安全管理工作的的程序程序，遵循如下，遵循如下PDCA循循环模式的环模式的4个个基本过程基本过程： （1）制定规划和计划（）制定规划和计划（Plan）。）。 （2）落实执行（）落实执行（Do）。）。 （3）监督检查（）监督检查（Check）。）。 （4）评价行动（）评价行动（Action）。）。 安全管理模型安全管理模型PDCA持续改进模式如图持续改进模式如图3-2所示。所示。 我吓了一

9、跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.1 网络安全管理体系网络安全管理体系图3-2 安全管理模型PDCA持续改进模式 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.1 网络安全管理体系网络安全管理体系4网络管理与安全技术的结合网络管理与安全技术的结合 国际标准化组织国际标准化组织ISO在在ISO/IEC7498-4文档定义开放系文档定义开放系统统网络管理网络管理的的五大功能五大功能：故障管理功能、配置管理功能

10、、故障管理功能、配置管理功能、性能管理功能、安全管理功能和计费管理功能。目前，先性能管理功能、安全管理功能和计费管理功能。目前，先进的网络管理技术也已经成为人们关注的重点，先进的计进的网络管理技术也已经成为人们关注的重点，先进的计算机技术、无线通信及交换技术、人工智能等先进技术正算机技术、无线通信及交换技术、人工智能等先进技术正在不断应用到具体的网络安全管理中，网络安全管理理论在不断应用到具体的网络安全管理中，网络安全管理理论及技术也在快速发展、不断完善。及技术也在快速发展、不断完善。 网络安全是个系统工程网络安全是个系统工程，网络安全技术必须与安全管，网络安全技术必须与安全管理和保障措施紧密

11、结合，才能真正有效地发挥作用。理和保障措施紧密结合，才能真正有效地发挥作用。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.1 网络安全管理体系3.1.2 网络安全保障体系网络安全保障体系 计算机计算机网络安全的整体保障体系网络安全的整体保障体系如图如图3-3所示。网络安全的整体保障作所示。网络安全的整体保障作用，主要体现在整个系统生命周期对风险进行整体的应对和控制用，主要体现在整个系统生命周期对风险进行整体的应对和控制 图3-3 网络安全整体保障体系 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它

12、放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.1 网络安全管理体系网络安全管理体系1网络安全保障关键因素网络安全保障关键因素 网络安全保障网络安全保障包括四个方面：网络安全策略、网包括四个方面：网络安全策略、网 络安全管理、网络安全运作和网络安全技术络安全管理、网络安全运作和网络安全技术,如图如图3-4所示所示. “七分管理，三分技术，七分管理，三分技术，运作贯穿始终运作贯穿始终”，管理是关键，管理是关键，技术是保障技术是保障，其中的管理应包其中的管理应包括管理技术。括管理技术。 图图3-4网络安全保障因素网络安全保障因素 与美国与美国ISS公司提出

13、的动态网络安全体系公司提出的动态网络安全体系的代表模型的雏形的代表模型的雏形P2DR相似。该模型包含相似。该模型包含4个个主要部分：主要部分：Policy(安全策略安全策略)、Protection(防防护护)、Detection(检测检测)和和 Response(响应响应)。如。如图图3-5所示所示 图图3-5 P2DR 模型示意图模型示意图 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.1 网络安全管理体系网络安全管理体系 2网络安全保障总体框架网络安全保障总体框架 网络安全保障体系总体框架网络安全

14、保障体系总体框架如图如图3-6所示。所示。 此保障体系框架的外围是风险管理、法律法规、标准的此保障体系框架的外围是风险管理、法律法规、标准的符合性。符合性。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.1 网络安全管理体系网络安全管理体系 风险管理风险管理指在对风险的可能性和不确定性等因素指在对风险的可能性和不确定性等因素进行收集、分析、评估、预测的基础上，制定的识别、进行收集、分析、评估、预测的基础上，制定的识别、衡量、积极应对、有效处置风险及妥善处理风险等一整衡量、积极应对、有效处置风险及妥善处理

15、风险等一整套系统而科学的管理方法，以避免和减少风险损失。套系统而科学的管理方法，以避免和减少风险损失。网网络安全管理的本质络安全管理的本质是对信息安全风险的动态有效管理和是对信息安全风险的动态有效管理和控制控制. .风险管理是企业运营管理风险管理是企业运营管理核心核心, ,风险分为风险分为信用风险信用风险市场风险和操作风险市场风险和操作风险, ,其中包括信息安全风险其中包括信息安全风险. .实际上实际上, ,在在网络信息安全保障体系框架中网络信息安全保障体系框架中, ,充分体现了风险管理理念充分体现了风险管理理念. .网络安全保障体系网络安全保障体系架构包括五个部分：架构包括五个部分： 1)

16、网络安全策略网络安全策略 2) 网络安全政策和标准网络安全政策和标准 3) 网络安全运作网络安全运作 4) 网络安全管理网络安全管理 5) 网络安全技术网络安全技术课堂讨论课堂讨论 1. 网络安全保障包括哪四个方面？网络安全保障包括哪四个方面？ 2. 信息安全保障体系架构包括哪五个部分？信息安全保障体系架构包括哪五个部分？ 3. 网络管理与安全技术的结合方式有哪些？网络管理与安全技术的结合方式有哪些？ 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.2 网络安全的法律法规网络安全的法律法规 1. 1.

17、国际合作立法打击网络犯罪国际合作立法打击网络犯罪 20 20世纪世纪9090年代以来，很多国家为了有效打击利用年代以来，很多国家为了有效打击利用计算机计算机网络网络进行的各种违反犯罪活动，都采取了法律进行的各种违反犯罪活动，都采取了法律手段。分别颁布手段。分别颁布网络刑事公约网络刑事公约, ,信息技术法信息技术法, ,计算机反欺诈与滥用法计算机反欺诈与滥用法等等 。2. 2. 禁止破解数字化技术保护措施的法律禁止破解数字化技术保护措施的法律 1996 1996年年1212月月, ,世界知识产权组织做出了世界知识产权组织做出了“禁止擅自禁止擅自破解他人数字化技术保护措施破解他人数字化技术保护措施

18、”的规定。欧盟、日本的规定。欧盟、日本、美国等国家都作为一种网络安全保护规定，纳入本、美国等国家都作为一种网络安全保护规定，纳入本国法律。国法律。3.2.1国外网络安全的法律法规国外网络安全的法律法规 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物第第3.2 网络安全的法律法规网络安全的法律法规 3. 与与“入世入世”有关的网络法律有关的网络法律 在在1996年年12月联合国第月联合国第51次大会上，通过了联合国次大会上，通过了联合国贸易法委员会的贸易法委员会的电子商务示范法电子商务示范法，对于网络市场，

19、对于网络市场中的数据电文、网上合同成立及生效的条件，传输等中的数据电文、网上合同成立及生效的条件，传输等专项领域的电子商务等，子商务专项领域的电子商务等，子商务”规范成为一个主规范成为一个主要议题。要议题。 4. 其他相关立法其他相关立法 5. 民间管理、行业自律及道德规范民间管理、行业自律及道德规范 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物第第3.2 网络安全的法律法规网络安全的法律法规 我国我国从从网络安全管理网络安全管理的的需要出发需要出发，从，从20世纪世纪90年年代初开始，国家及相关部门、

20、行业和地方政府相继制代初开始，国家及相关部门、行业和地方政府相继制定了多项有关网络安全的法律法规。定了多项有关网络安全的法律法规。 我国网络安全立法体系我国网络安全立法体系分为以下三个层面：分为以下三个层面： 第一层面：第一层面：法律。为全国人民代表大会及其常委法律。为全国人民代表大会及其常委会通过的法律规范。会通过的法律规范。 第二个层面：第二个层面：行政法规。主要指国务院为执行宪行政法规。主要指国务院为执行宪法和法律而制定的法律规范。法和法律而制定的法律规范。3.2.2我国网络安全的法律法规我国网络安全的法律法规 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢

21、？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物第第3.2 网络安全的法律法规网络安全的法律法规 第三个层面第三个层面：地方性法规、规章、规范性文件：地方性法规、规章、规范性文件 公安部制公安部制定的定的计算机信息系统安全专用产品检测和销售许可证管理计算机信息系统安全专用产品检测和销售许可证管理办法办法、计算机病毒防治管理办法计算机病毒防治管理办法、金融机构计算机金融机构计算机信息系统安全保护工作暂行规定信息系统安全保护工作暂行规定、关于开展计算机安全关于开展计算机安全员培训工作的通知员培训工作的通知等。等。 工业和信息化部制定的工业和信息化部制定的互联网电户公告服务管理规定互联网

22、电户公告服务管理规定软件产品管理办法软件产品管理办法计算机信息系统集成资质管理办法计算机信息系统集成资质管理办法国际通信出入国际通信出入 口局管理办法口局管理办法、国际通信设施建设管理国际通信设施建设管理 规定规定 、中国互联网络域名管理办法中国互联网络域名管理办法电信网间互联电信网间互联管理暂行规定等管理暂行规定等 。3.2.2我国网络安全的法律法规我国网络安全的法律法规 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物第第3.2 网络安全的法律法规网络安全的法律法规课堂讨论课堂讨论 1. 为什么说法律法

23、规是网络安全体系的重要保障为什么说法律法规是网络安全体系的重要保障和基石？和基石？ 2. 国外的网络安全法律法规对我们有何启示？国外的网络安全法律法规对我们有何启示？ 3. 我国网络安全立法体系框架分为哪三个层面？我国网络安全立法体系框架分为哪三个层面？ 网络安全标准网络安全标准是确保网络信息安全的产品和系是确保网络信息安全的产品和系统统, , 在设计、建设、生产、实施、使用、测评和管在设计、建设、生产、实施、使用、测评和管理维护过程中理维护过程中, , 解决产品和系统的一致性、可靠性解决产品和系统的一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据、可控性、先进性和符合性的技术规范、

24、技术依据. . 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.3 网络安全评估准则和测评网络安全评估准则和测评 1.1.美国美国TCSEC(TCSEC(橙皮书橙皮书) ) 1983 1983年由美国国防部制定的年由美国国防部制定的5200.285200.28安全安全标准标准可信可信计算系统评价准则计算系统评价准则TCSECTCSEC，即即网络安全橙皮书网络安全橙皮书或桔皮书，或桔皮书，主要利用计算机安全级别评价计算机主要利用计算机安全级别评价计算机 系统的安全性。它将系统的安全性。它将安全分为安全分为

25、4 4个方面（类别）：安全政策、可说明性、安全个方面（类别）：安全政策、可说明性、安全 保障和文档。将这保障和文档。将这4 4个个方面方面（类别）又分为（类别）又分为7 7个个安全级别安全级别，从低到高为从低到高为D D、C1C1、 C2 C2、B1B1、B2B2、B3B3和和A A级。级。 数据库和网络其他子系统也一直用橙皮书来进行数据库和网络其他子系统也一直用橙皮书来进行评估。橙皮书将安全的级别从低到高分成评估。橙皮书将安全的级别从低到高分成4 4个类别：个类别：D D类、类、C C类、类、B B类和类和A A类，并分为类，并分为7 7个级别。如表个级别。如表3-13-1所示。所示。3.3

26、.1 国外网络安全评估标准国外网络安全评估标准 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.3 网络安全评估准则和测评网络安全评估准则和测评 3.3.1 国外网络安全评估标准国外网络安全评估标准 类别类别级级 别别名名 称称主主 要要 特特 征征DD低级保护低级保护没有安全保护没有安全保护CC1自主安全保护自主安全保护自主存储控制自主存储控制C2受控存储控制受控存储控制单独的可查性，安全标识单独的可查性，安全标识BB1标识的安全保护标识的安全保护强制存取控制，安全标识强制存取控制，安全标识B2结构化

27、保护结构化保护面向安全的体系结构，较好的抗渗透能力面向安全的体系结构，较好的抗渗透能力B3安全区域安全区域存取监控、高抗渗透能力存取监控、高抗渗透能力AA验证设计验证设计形式化的最高级描述和验证形式化的最高级描述和验证表3-1 安全级别分类 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.3 网络安全评估准则和测评网络安全评估准则和测评2欧洲欧洲ITSEC 信息技术安全评估标准信息技术安全评估标准ITSECITSEC，俗称，俗称欧洲的白皮书欧洲的白皮书，将保密作为安全增强功能，仅限于阐述技术安全要求，并

28、将保密作为安全增强功能，仅限于阐述技术安全要求，并未将保密措施直接与计算机功能相结合。未将保密措施直接与计算机功能相结合。 ITSECITSEC是欧洲的是欧洲的英国、法国、德国和荷兰等四国在借鉴橙皮书的基础上联英国、法国、德国和荷兰等四国在借鉴橙皮书的基础上联合提出的。橙皮书将保密作为安全重点，而合提出的。橙皮书将保密作为安全重点，而ITSECITSEC则将首则将首次提出的完整性、可用性与保密性作为同等重要的因素，次提出的完整性、可用性与保密性作为同等重要的因素，并将可信计算机的概念提高到可信信息技术的高度。并将可信计算机的概念提高到可信信息技术的高度。 美国联邦准则美国联邦准则FC标准参照了

29、加拿大的评价标准标准参照了加拿大的评价标准CTCPEC 与橙皮书与橙皮书TCSEC，目的是提供目的是提供TCSEC的升级的升级版本，同时保护已有建设和投资。版本，同时保护已有建设和投资。FC是一个过渡标准，是一个过渡标准，之后结合之后结合ITSEC发展为联合公共准则。发展为联合公共准则。3美国联邦准则美国联邦准则(FC ) 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.3 网络安全评估准则和测评网络安全评估准则和测评4通用评估准则通用评估准则(CC) 通用评估准则通用评估准则CC主要确定了评估信息技术

30、产品和系统主要确定了评估信息技术产品和系统安全性的基本准则，提出了国际上公认的表述信息技术安安全性的基本准则，提出了国际上公认的表述信息技术安全性的结构，将安全要求分为规范产品和系统安全行为的全性的结构，将安全要求分为规范产品和系统安全行为的功能要求，以及解决如何正确有效的实施这些功能的保证功能要求，以及解决如何正确有效的实施这些功能的保证要求。要求。CC结合了结合了FC及及ITSEC的主要特征，强调将网络信息的主要特征，强调将网络信息安全的功能与保障分离，将功能需求分为安全的功能与保障分离，将功能需求分为9类类63族，将保障族，将保障分为分为7类类29族。族。CC的先进性体现在其结构的开放性

31、、表达的先进性体现在其结构的开放性、表达方式的通用性，以及结构及表达方式的内在完备性和实用方式的通用性，以及结构及表达方式的内在完备性和实用性四个方面。目前，中国测评中心主要采用性四个方面。目前，中国测评中心主要采用CC等进行测评，等进行测评，具体内容及应用可以查阅相关网站。具体内容及应用可以查阅相关网站。 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.3 网络安全评估准则和测评网络安全评估准则和测评5ISO 安全体系结构标准安全体系结构标准 国际标准国际标准ISO7498-2-1989信息处理系统信

32、息处理系统开放系统互开放系统互连、基本模型第连、基本模型第2部分安全体系结构部分安全体系结构，为开放系统标准，为开放系统标准建立框架。主要用于提供网络安全服务与有关机制的一般建立框架。主要用于提供网络安全服务与有关机制的一般描述，确定在参考模型内部可提供这些服务与机制。提供描述，确定在参考模型内部可提供这些服务与机制。提供了网络安全服务，如表了网络安全服务，如表3-2所示。所示。 服服 务务用用 途途身份验证身份验证身份验证是证明用户及服务器身份的过程身份验证是证明用户及服务器身份的过程访问控制访问控制用户身份一经过验证就发生访问控制，这个过程决定用户可以使用、浏览或用户身份一经过验证就发生访

33、问控制，这个过程决定用户可以使用、浏览或改变哪些系统资源改变哪些系统资源数据保密数据保密这项服务通常使用加密技术保护数据免于未授权的泄露，可避免被动威胁这项服务通常使用加密技术保护数据免于未授权的泄露，可避免被动威胁数据完整性数据完整性这项服务通过检验或维护信息的一致性，避免主动威胁这项服务通过检验或维护信息的一致性，避免主动威胁抗否认性抗否认性否认是指否认参加全部或部分事务的能力，抗否认服务提供关于服务、过程否认是指否认参加全部或部分事务的能力，抗否认服务提供关于服务、过程或部分信息的起源证明或发送证明。或部分信息的起源证明或发送证明。表表3-2 ISO提供的安全服务提供的安全服务我吓了一跳

34、，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.3 网络安全评估准则和测评网络安全评估准则和测评 目前，国际上通行的与网络信息安全有关的标准国际上通行的与网络信息安全有关的标准可分为3类，如图3-7所示 图图3-7 有关网络和信息安全标准种类有关网络和信息安全标准种类 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.3 网络安全评估准则和测评网络安全评估准则和测评3.3.2 国内网络安全评估通用准则国内网络安全评估通用准则

35、 1系统安全保护等级划分准则系统安全保护等级划分准则 1999年国家质量技术监督局批准发布系统安全保护等级年国家质量技术监督局批准发布系统安全保护等级划分准则划分准则,依据依据GB-17859计算机信息系统安全保护等级划计算机信息系统安全保护等级划分准则分准则和和GA-163计算机信息系统安全专用产品分类原计算机信息系统安全专用产品分类原则则等文件等文件,将系统安全保护划分为将系统安全保护划分为5个级别个级别,如表如表3-3所示。所示。等等 级级名名 称称描描 述述第一级第一级用户自我保护级用户自我保护级安全保护机制可以使用户具备安全保护的能力，保护用户信息免安全保护机制可以使用户具备安全保护

36、的能力，保护用户信息免受非法的读写破坏。受非法的读写破坏。第二级第二级系统审计保护级系统审计保护级除具备第一级所有的安全保护功能外，要求创建和维护访问的审除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有用户对自身行为的合法性负责计跟踪记录，使所有用户对自身行为的合法性负责第三级第三级安全标记保护级安全标记保护级除具备前一级所有的安全保护功能外，还要求以访问对象标记的除具备前一级所有的安全保护功能外，还要求以访问对象标记的安全级别限制访问者的权限，实现对访问对象的强制访问安全级别限制访问者的权限，实现对访问对象的强制访问第四级第四级结构化保护级结构化保护级除具备前一级所

37、有的安全保护功能外，还将安全保护机制划分为除具备前一级所有的安全保护功能外，还将安全保护机制划分为关键部分和非关键部分，对关键部分可直接控制访问者对访问对关键部分和非关键部分，对关键部分可直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力象的存取，从而加强系统的抗渗透能力第五级第五级访问验证保护级访问验证保护级除具备前一级所有的安全保护功能外，还特别增设了访问验证功除具备前一级所有的安全保护功能外，还特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问能，负责仲裁访问者对访问对象的所有访问我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快

38、，证实我的猜测没有错：表里边有一个活的生物3.3 网络安全评估准则和测评网络安全评估准则和测评 20062006年公安部修改制订并实施年公安部修改制订并实施信息安全等级保护管信息安全等级保护管理办法（试行）理办法（试行）。将我国信息安全分五级防护，第一至。将我国信息安全分五级防护，第一至五级分别为：自主保护级、指导保护级、监督保护级、强五级分别为：自主保护级、指导保护级、监督保护级、强制保护级和专控保护级制保护级和专控保护级 2 2我国信息安全标准化现状我国信息安全标准化现状 中国信息安全标准化建设，主要按照国务院授权，在中国信息安全标准化建设，主要按照国务院授权，在国家质量监督检验检疫总局管

39、理下，由国家标准化管理委国家质量监督检验检疫总局管理下，由国家标准化管理委员会统一管理标准化工作，下设有员会统一管理标准化工作，下设有255个专业技术委员会。个专业技术委员会。从从20世纪世纪80年代开始，积极借鉴国际标准，制定了一年代开始，积极借鉴国际标准，制定了一批中国信息安全标准和行业标准。从批中国信息安全标准和行业标准。从1985年发布第一个有年发布第一个有关信息安全方面的标准以来，已制定、报批和发布近百个关信息安全方面的标准以来，已制定、报批和发布近百个有关信息安全技术、产品、测评和管理的国家标准，并正有关信息安全技术、产品、测评和管理的国家标准，并正在制定和完善新的标准。在制定和完

40、善新的标准。 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.3 网络安全评估准则和测评网络安全评估准则和测评3.3.3 网络安全的测评网络安全的测评 1. 测评目的和方法测评目的和方法 1) 网络安全测评目的网络安全测评目的 网络安全测评目的包括：网络安全测评目的包括： (1) 搞清企事业机构具体信息资产的实际价值及状况；搞清企事业机构具体信息资产的实际价值及状况； (2) 确定机构具体信息资源的安全风险程度；确定机构具体信息资源的安全风险程度； (3) 通过调研分析搞清网络系统存在的漏洞隐患及状通过

41、调研分析搞清网络系统存在的漏洞隐患及状况况; (4) 明确与该机构信息资产有关的风险和需要改进之明确与该机构信息资产有关的风险和需要改进之处处; (5) 提出改变现状的建议和方案，使风险降到可最低；提出改变现状的建议和方案，使风险降到可最低； (6) 为构建合适的安全计划和策略做好准备为构建合适的安全计划和策略做好准备。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.3 网络安全评估准则和测评网络安全评估准则和测评 2) 网络安全测评类型网络安全测评类型 一般一般通用的测评类型通用的测评类型分为分为5个

42、：个： (1) 系统级漏洞测评。系统级漏洞测评。(2) 网络级风险测评。网络级风险测评。(3) 机构机构的风险测评的风险测评。 (4) 实际入侵测试。实际入侵测试。(5) 审计。审计。 3) 调研与测评方法调研与测评方法 收集信息收集信息有有3 3个个基本信息源基本信息源：调研对象、文本查阅：调研对象、文本查阅和物理检验。调研对象主要是与现有系统安全和组织和物理检验。调研对象主要是与现有系统安全和组织实施相关人员，重点是熟悉情况和管理者。实施相关人员，重点是熟悉情况和管理者。 测评方法测评方法：网络安全威胁隐患与态势测评方法、：网络安全威胁隐患与态势测评方法、模糊综合风险测评法、基于弱点关联和

43、安全需求的网模糊综合风险测评法、基于弱点关联和安全需求的网络安全测评方法、基于失效树分析法的网络安全风险络安全测评方法、基于失效树分析法的网络安全风险状态测评方法、贝叶斯网络安全测评方法等，具体方状态测评方法、贝叶斯网络安全测评方法等，具体方法可以通过网络进行查阅。法可以通过网络进行查阅。 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.3 网络安全评估准则和测评网络安全评估准则和测评2测评标准和内容 2测评标准和内容测评标准和内容 (1) 测评前提，测评前提， (2) 依据和标准。依据和标准。 (3)

44、 测评内容。测评内容。3. 安全策略测评安全策略测评 (1) 测评事项。测评事项。 (2) 测评方法。测评方法。 (3) 测评结论。测评结论。4. 网络实体安全测评网络实体安全测评 (1) 测评项目。测评项目。 (2) 测评方法。测评方法。 (3) 测评结论。测评结论。5. 网络体系的安全性测评网络体系的安全性测评 1) 网络隔离的安全性测评网络隔离的安全性测评 (1) 测评项目。测评项目。 (2) 测评方法。测评方法。 (3) 测评结论。测评结论。 2) 网络系统配置安全性测评网络系统配置安全性测评 (1) 测评项目。测评项目。 (2) 测评方法和工具。测评方法和工具。 (3) 测评结论测评

45、结论 。 3) 网络防护能力测评网络防护能力测评 4) 服务的安全性测评服务的安全性测评 5) 应用系统的安全性测评应用系统的安全性测评 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.3 网络安全评估准则和测评网络安全评估准则和测评课堂讨论；课堂讨论；1. 橙皮书将安全的级别从低到高分成哪橙皮书将安全的级别从低到高分成哪4个类别和个类别和7个级别？个级别？2. 国家将计算机安全保护划分为哪国家将计算机安全保护划分为哪5个级别？个级别？3. 网络安全测评方法主要有哪些？网络安全测评方法主要有哪些？11.

46、 安全组织和管理测评安全组织和管理测评(1) 测评项目测评项目 (2) 测评方法测评方法 (3) 测评结论测评结论 6. 安全服务的测评安全服务的测评 (1) 测评项目。测评项目。 (2) 测评方法。测评方法。(3) 测评结论。测评结论。 7. 病毒防护安全性测评病毒防护安全性测评 (1) 测评项目。测评项目。 (2) 测评方法。测评方法。(3) 测评结论。测评结论。 8. 审计的安全性测评审计的安全性测评 (1) 测评项目测评项目. (2) 测评方法。测评方法。(3) 测评结论。测评结论。 9. 备份的安全性测评备份的安全性测评 (1) 测评项目。测评项目。 (2) 测评方法。测评方法。(3

47、) 测评结论。测评结论。 10. 紧急事件响应测评紧急事件响应测评 (1) 测评项目。测评项目。 (2) 测评方法。测评方法。(3) 测评结论。测评结论。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.4 网络安全策略及规划网络安全策略及规划 3.4.1 网络安全策略概述网络安全策略概述 网络安全策略网络安全策略是在指定安全区域内，与安全活动有是在指定安全区域内，与安全活动有关的一系列规则和条例，包括对企业各种网络服务的关的一系列规则和条例，包括对企业各种网络服务的安全层次和权限的分类，确定管理员的安全

48、职责，主安全层次和权限的分类，确定管理员的安全职责，主要要涉及涉及4个方面个方面：实体安全策略、访问控制策略、信息：实体安全策略、访问控制策略、信息加密策略和网络安全管理策略。加密策略和网络安全管理策略。 网络安全策略网络安全策略包括包括总体安全策略和具体安全管理总体安全策略和具体安全管理实施细则。实施细则。 1）均衡性原则）均衡性原则 2）时效性原则）时效性原则 3）最小限度原则）最小限度原则 1网络安全策略总则网络安全策略总则我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.4 网络安全策略及规划网络

49、安全策略及规划 2 2安全策略的内容安全策略的内容 根据不同的安全需求和对象，可以确定不同的根据不同的安全需求和对象，可以确定不同的安全策安全策略略。主要。主要包括包括入网访问控制策略、操作权限控制策略、目入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等制策略、网络监测、锁定控制策略和防火墙控制策略等7 7个方面的内容。个方面的内容。 1 1）实体与运行环境安全）实体与运行环境安全 2 2）网络连接安全）网络连接安全 3 3）操作系统安全）操作系统安全 4

50、4）网络服务安全）网络服务安全 5 5）数据安全）数据安全 6 6）安全管理责任）安全管理责任 7 7）网络用户安全责任）网络用户安全责任 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.4 网络安全策略及规划网络安全策略及规划 3网络安全策略的制定与实施网络安全策略的制定与实施 1) 网络安全策略的制定网络安全策略的制定 安全策略安全策略是网络安全管理过程的重要内容和方是网络安全管理过程的重要内容和方法。网络安全策略法。网络安全策略包括包括3个重要组成部分：安全立个重要组成部分：安全立法、安全管理、安