网络综合安全管理.ppt

《网络综合安全管理.ppt》由会员分享，可在线阅读，更多相关《网络综合安全管理.ppt（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第第第3 3 3 3章章章章 网络综合安全管理网络综合安全管理网络综合安全管理网络综合安全管理教育部高校管理与工程教学指导委教育部高校管理与工程教学指导委员会、机械工业出版社员会、机械工业出版社全国高校管理与工程类全国高校管理与工程类全国高校管理与工程类全国高校管理与工程类学科系列规划教材学科系列规划教材学科系列规划教材学科系列规划教材 3.2 3.2 网络安全的法律法规网络安全的法律法规23.3 3.3 网络安全管理规范及策略网络安全管理规范及策略33.4 3.4 网络安全评估准则和方法网络安全评估准则和方法4目目 录录本章要点本章要点本章要点本章要点 网络安全管理保障体系、法律法规、评估

2、网络安全管理保障体系、法律法规、评估 准则和方法准则和方法 网络安全管理规范及策略、原则及制度网络安全管理规范及策略、原则及制度 网络安全规划的主要内容和原则网络安全规划的主要内容和原则 WebWeb服务器的安全设置与管理实验服务器的安全设置与管理实验教学目标教学目标教学目标教学目标 掌握网络安全管理保障体系、法律法规、评估掌握网络安全管理保障体系、法律法规、评估 准则和方法准则和方法 理解理解网络安全管理规范及策略、原则及制度网络安全管理规范及策略、原则及制度 了解了解网络安全规划的主要内容和原则网络安全规划的主要内容和原则 掌握掌握Web服务器的安全设置与管理实验服务器的安全设置与管理实验

3、 3.1 网络安全管理保障体系网络安全管理保障体系n网络安全管理保障体系网络安全管理保障体系n 某银行网络安全管理的整体保障体系某银行网络安全管理的整体保障体系如图如图3-13-1所示。网络安全所示。网络安全 管理整体保障作用体现在整个系统生命周期对风险进行整体的应对和控制。管理整体保障作用体现在整个系统生命周期对风险进行整体的应对和控制。图3-1 网络安全管理整体保障体系案例案例3-13-1n1 1网络安全保障关键因素网络安全保障关键因素n 网络安全保障网络安全保障包括包括4 4个方面：网络安全策略、网络安全管理、网络安全个方面：网络安全策略、网络安全管理、网络安全运作和网络安全技术，如图运

4、作和网络安全技术，如图3-23-2所示。所示。n2 2网络安全保障总体框架网络安全保障总体框架n 我国某金融机构我国某金融机构网络信息安全保障体系总体框架网络信息安全保障体系总体框架如图如图3-33-3所示所示网络信息安全保障体系框架的外围是风险管理、法律法规、标准的符合性。网络信息安全保障体系框架的外围是风险管理、法律法规、标准的符合性。图3-2 网络安全保障因素案例案例3-23-23.1 网络安全管理保障体系网络安全管理保障体系图3-3 网络信息安全保障体系框架 风险管理风险管理是指在对风险的不确定性和可能性等因素进行考察、预测、是指在对风险的不确定性和可能性等因素进行考察、预测、收集、分

5、析的基础上，收集、分析的基础上，制定制定的识别风险、衡量风险、积极管理风险、有效的识别风险、衡量风险、积极管理风险、有效处置风险及妥善处理风险等一整套系统而科学的处置风险及妥善处理风险等一整套系统而科学的管理方法管理方法，以，以避免避免和和减少减少风险损失，风险损失，促进促进企业长期稳定发展。企业长期稳定发展。网络安全管理的本质本质是对信息安全风是对信息安全风险的动态有效管理和控制。险的动态有效管理和控制。风险管理是企业运营管理的核心核心，风险分为风险分为信信用风险、市场风险和操作风险，其中后者包括信息安全风险。用风险、市场风险和操作风险，其中后者包括信息安全风险。3.1 网络安全管理保障体系

6、网络安全管理保障体系n 实际上，在信息安全保障体系框架中充分体现了风险管理的理实际上，在信息安全保障体系框架中充分体现了风险管理的理念，念，网络信息安全保障体系架构网络信息安全保障体系架构包括五个部分：包括五个部分：3.1 网络安全管理保障体系网络安全管理保障体系n3.1.2 3.1.2 网络安全管理及运作体系网络安全管理及运作体系 n1.TCP/IP1.TCP/IP网络安全管理体系网络安全管理体系 n TCP/IPTCP/IP网络安全管理体系结构网络安全管理体系结构，如图，如图3-43-4所示。所示。包括三个方面包括三个方面：分层安全管：分层安全管理、安全服务与机制（认证、访问控制、数据完整

7、性、抗抵赖性、可用可控理、安全服务与机制（认证、访问控制、数据完整性、抗抵赖性、可用可控性、审计）、系统安全管理（终端系统安全、网络系统、应用系统）。性、审计）、系统安全管理（终端系统安全、网络系统、应用系统）。图3-4 TCP/IP网络安全管理体系结构3.1 网络安全管理保障体系网络安全管理保障体系n2.2.网络安全运作体系网络安全运作体系n 目标目标是是构建构建网络安全的网络安全的核心运作模式核心运作模式。框架的基础是风险管理的理念和。框架的基础是风险管理的理念和持续改进的模式。其模式要求动态地的管理信息安全相关的风险，遵循规划持续改进的模式。其模式要求动态地的管理信息安全相关的风险，遵循

8、规划-实施实施-监控监控-改进的改进的PDCAPDCA循环，不断地适应动态变化的环境。与传统的网络循环，不断地适应动态变化的环境。与传统的网络安全运作模式相比，基于风险管理理念和持续改进模式的安全运作模式相比，基于风险管理理念和持续改进模式的信息安全运作模式信息安全运作模式是：一种全局的、全员参与的、事先预防、事中控制、事后纠正的、动态的是：一种全局的、全员参与的、事先预防、事中控制、事后纠正的、动态的运作管理模式；优点是避免、降低各类风险，能降低信息安全故障导致的综运作管理模式；优点是避免、降低各类风险，能降低信息安全故障导致的综合损失。合损失。n 运作体系框架运作体系框架由两部分由两部分组

9、成组成，如图，如图3-53-5所示。上面的四个箭头代表了网所示。上面的四个箭头代表了网络安全运作的目标模式和概念性流程。它以风险管理的四个环节作为运作的络安全运作的目标模式和概念性流程。它以风险管理的四个环节作为运作的主线，描述了网络安全业务的基本运作模式。下面是概念性流程在具体对象主线，描述了网络安全业务的基本运作模式。下面是概念性流程在具体对象层次上的实现。层次上的实现。某银行某银行网络信息安全的运作方式案例网络信息安全的运作方式案例。网络安全运作是实现。网络安全运作是实现信息安全目标的重要机制。网络安全技术只是实现信息安全控制信息安全目标的重要机制。网络安全技术只是实现信息安全控制的一个

10、手段，必须依赖于有效的网络安全运作模式加以综合利用，的一个手段，必须依赖于有效的网络安全运作模式加以综合利用，以实现银行的信息安全目标。以实现银行的信息安全目标。案例案例3-33-33.1 网络安全管理保障体系网络安全管理保障体系图3-5 网络信息安全运作体系框架课堂讨论课堂讨论课堂讨论课堂讨论 1.1.网络信息安全保障包括哪四个方面？网络信息安全保障包括哪四个方面？2.2.信息安全保障体系架构包括哪五个部分？信息安全保障体系架构包括哪五个部分？3.3.网络信息安全业务的基本运作模式是什么？网络信息安全业务的基本运作模式是什么？3.1 网络安全管理保障体系网络安全管理保障体系3.2网络安全的法

11、律法规网络安全的法律法规n国外的网络安全法律法规国外的网络安全法律法规n 1.1.国际合作立法打击网络犯罪国际合作立法打击网络犯罪 2020世纪世纪9090年代以来，针对利用计算机网络从事刑事犯罪的数量年代以来，针对利用计算机网络从事刑事犯罪的数量,在许多国家都以法律手段打击网络犯罪。到在许多国家都以法律手段打击网络犯罪。到9090年代末，这方面的国际年代末，这方面的国际合作也迅速发展起来。合作也迅速发展起来。为保障网络安全，欧盟成为在刑事领域做出国际间规范的典型为保障网络安全，欧盟成为在刑事领域做出国际间规范的典型.于于20002000年初及年初及1212月底两次颁布了月底两次颁布了网络刑事

12、公约网络刑事公约。还有一些国家修。还有一些国家修订了原有刑法，以适应保障网络安全的需要。订了原有刑法，以适应保障网络安全的需要。n 2.2.禁止破解数字化技术保护措施的法律禁止破解数字化技术保护措施的法律 19961996年年1212月，世界知识产权组织作出了禁止擅自破解他人数字月，世界知识产权组织作出了禁止擅自破解他人数字化技术保护措施的规定。至今，欧盟、日本、美国等大多数国家都把化技术保护措施的规定。至今，欧盟、日本、美国等大多数国家都把它作为一种网络安全保护，规定在本国的法律中。它作为一种网络安全保护，规定在本国的法律中。n 3.3.与与“入世入世”有关的网络法律有关的网络法律 在在19

13、961996年年1212月联合国第月联合国第5151次大会上，通过了联合国贸易法委员次大会上，通过了联合国贸易法委员会的会的电子商务示范法电子商务示范法，19981998年年7 7月新加坡的月新加坡的电子交易法电子交易法出台。出台。19991999年年1212月世贸组织西雅图外交会议上一个主要议题就是制定了对月世贸组织西雅图外交会议上一个主要议题就是制定了对“电子商务电子商务”规范。规范。n 4.4.其他相关立法其他相关立法 一些发展中国家，除了制定保障网络健康发展的部门法以外，一些发展中国家，除了制定保障网络健康发展的部门法以外，还专门制定了综合性的、原则性的网络基本法。还专门制定了综合性的

14、、原则性的网络基本法。n 5.5.民间管理、行业自律及道德规范民间管理、行业自律及道德规范 各国在规范与管理网络行为方面，都很注重发挥民间组织的作各国在规范与管理网络行为方面，都很注重发挥民间组织的作用，尤其是行业的作用。德国、英国、澳大利亚等，学校中网络使用用，尤其是行业的作用。德国、英国、澳大利亚等，学校中网络使用的的“行业规范行业规范”均十分严格。均十分严格。大多数以法律规范网络行为的国家，先明确网络服务提供者的大多数以法律规范网络行为的国家，先明确网络服务提供者的责任，基本都采用了责任，基本都采用了“避风港避风港”制度。制度。3.2网络安全的法律法规网络安全的法律法规n我国的网络安全法

15、律法规我国的网络安全法律法规n 从从2020世纪世纪9090年代初起，根据网络信息安全管理的需要，国家及相关部门、年代初起，根据网络信息安全管理的需要，国家及相关部门、行业和地方政府相继制定了多项有关网络信息安全的法律法规。行业和地方政府相继制定了多项有关网络信息安全的法律法规。n 我国网络信息安全立法体系我国网络信息安全立法体系分为以下三个层面。分为以下三个层面。第一个层面第一个层面：法律法律。是由全国人民代表大会及其常委会通过的法律规范。是由全国人民代表大会及其常委会通过的法律规范。第二个层面第二个层面：行政法规行政法规.主要指国务院为执行宪法和法律而制定的法律规范主要指国务院为执行宪法和

16、法律而制定的法律规范.第三个层面第三个层面：地方性法规、规章、规范性文档地方性法规、规章、规范性文档。主要指国务院各部、委根据。主要指国务院各部、委根据法律和国务院行政法规，在本部门的权限范围内制定的法律规范，以及省、法律和国务院行政法规，在本部门的权限范围内制定的法律规范，以及省、自治区、直辖市和较大的市人民政府根据法律、行政法规和本省、自治区、自治区、直辖市和较大的市人民政府根据法律、行政法规和本省、自治区、直辖市的地方性法规制定的法律规范性文档。直辖市的地方性法规制定的法律规范性文档。课堂讨论课堂讨论课堂讨论课堂讨论 1.1.为什么说法律法规是网络安全体系的重要保障和基石？为什么说法律法

17、规是网络安全体系的重要保障和基石？2.2.国外的网络安全法律法规对我们有何启示？国外的网络安全法律法规对我们有何启示？3.3.我国网络信息安全立法体系框架分为哪三个层面？我国网络信息安全立法体系框架分为哪三个层面？3.2网络安全的法律法规网络安全的法律法规3.3 网络安全管理规范及策略网络安全管理规范及策略n3.3.3 3.1.1 网络信息安全管理规范网络信息安全管理规范n 网络信息安全管理规范网络信息安全管理规范是为保障实现信息安全政策的各项目标，制定的是为保障实现信息安全政策的各项目标，制定的一系列管理规定和规程，具有强制效力。涉及的领域较多，根据经验和参考一系列管理规定和规程，具有强制效

18、力。涉及的领域较多，根据经验和参考多套标准、政策的基础上提出的多套标准、政策的基础上提出的安全管理规范安全管理规范涉及的各项涉及的各项内容内容如下：如下：1 12 2 3 3 4 4 5 5 6 6 7 7 8 89 9n3.3.3 3.2 2 网络安全管理的策略网络安全管理的策略n1.1.网络信息安全战略网络信息安全战略 网络信息安全战略网络信息安全战略分为分为网络信息安全战略概述、网络信息安全战略需求网络信息安全战略概述、网络信息安全战略需求分析、网络信息安全战略目标、网络信息安全工作基本原则分析、网络信息安全战略目标、网络信息安全工作基本原则4 4个部分。个部分。3.3 网络安全管理规范

19、及策略网络安全管理规范及策略 网络信息安全策略是企事业单位网络信息安全保障体系的网络信息安全策略是企事业单位网络信息安全保障体系的核心核心，是网，是网络信息安全工作的原则、宗旨、指导，可为网络信息安全工作指明方向。络信息安全工作的原则、宗旨、指导，可为网络信息安全工作指明方向。网络信息安全战略的制定网络信息安全战略的制定3 3大原则：大原则：1 1）为业务发展需要提供支持和保障。）为业务发展需要提供支持和保障。2 2）在信息技术规划的基础上制定。）在信息技术规划的基础上制定。3 3）坚持风险管理的理念。）坚持风险管理的理念。n(2)(2)安全策略的实施安全策略的实施3.3 网络安全管理规范及策

20、略网络安全管理规范及策略 网络安全策略网络安全策略是指在某个特定的环境中，为达到一定级别的网络安全保是指在某个特定的环境中，为达到一定级别的网络安全保护需求所遵循的各种护需求所遵循的各种规则规则和和条例条例。安全策略安全策略是网络安全管理过程的重要内容是网络安全管理过程的重要内容和方法。和方法。网络安全策略网络安全策略包括包括3 3 个个重要组成部分重要组成部分：安全立法、安全管理、安全技术。：安全立法、安全管理、安全技术。安全立法是第一层，有关网络安全的法律法规可分为社会规范和技术规范；安全立法是第一层，有关网络安全的法律法规可分为社会规范和技术规范；安全管理是第二层，主要指一般的行政管理措

21、施；安全技术是第三层，是网安全管理是第二层，主要指一般的行政管理措施；安全技术是第三层，是网络安全的重要物质和技术基础。络安全的重要物质和技术基础。n2 2网络安全策略的制定与实施网络安全策略的制定与实施n(1)(1)网络安全策略的制定网络安全策略的制定n3.3.3 3.3 3 网络信息安全政策体系网络信息安全政策体系n1.1.网络信息安全有关政策网络信息安全有关政策n(1)(1)网络信息安全管理政策网络信息安全管理政策n(2)(2)网络信息安全功能性政策网络信息安全功能性政策n 在网络安全管理政策下，依据网络安全保障体系框架，针对特定管理需在网络安全管理政策下，依据网络安全保障体系框架，针对

22、特定管理需求制定的政策求制定的政策具体内容具体内容包括以下包括以下5 5个方面：个方面：网络信息安全管理政策网络信息安全管理政策是企事业从管理层对有关网络安全的是企事业从管理层对有关网络安全的一整套管理一整套管理规范规范和指导和指导原则原则，是在信息安全战略下为组织管理、，是在信息安全战略下为组织管理、保护和信息资源使用制定的原则。管理政策是信息安全政策与标保护和信息资源使用制定的原则。管理政策是信息安全政策与标准体系中准体系中最高层级最高层级的规范，表明领导管理层的目标和目的。的规范，表明领导管理层的目标和目的。1 1)网网络络安安全全风风险险管管理理2)2)网络安全认知网络安全认知3)3)

23、网络安全组织网络安全组织4)4)网络安全审计网络安全审计5)5)网络安全法律法规符合性网络安全法律法规符合性3.3 网络安全管理规范及策略网络安全管理规范及策略n2.2.网络信息安全政策体系网络信息安全政策体系 网络信息安全政策与标准体系网络信息安全政策与标准体系是安全管理、运作、技术体系标是安全管理、运作、技术体系标准化、制度化后形成的一整套管理规定，其体系框架可分为横向和纵向两个准化、制度化后形成的一整套管理规定，其体系框架可分为横向和纵向两个维度，如图维度，如图3-73-7所示。所示。图3-7 网络信息安全政策体系框架案例案例3-43-43.3 网络安全管理规范及策略网络安全管理规范及策

24、略课堂讨论课堂讨论课堂讨论课堂讨论1.1.安全管理规范所必需涉及的内容有哪些方面？安全管理规范所必需涉及的内容有哪些方面？2.2.网络信息安全功能性政策的内容有哪些？网络信息安全功能性政策的内容有哪些？3.3.如何进行网络安全策略的制定与实施？如何进行网络安全策略的制定与实施？3.4 网络安全评估准则和方法网络安全评估准则和方法n3.3.4 4.1.1 国外网络安全评估标准国外网络安全评估标准 网络信息安全标准网络信息安全标准是是确保确保信息安全的产品和系统，在设计、研发、生产、信息安全的产品和系统，在设计、研发、生产、建设、使用、测评过程中，建设、使用、测评过程中，解决解决产品和系统的一致性

25、、可靠性、可控性、先产品和系统的一致性、可靠性、可控性、先进性和符合性的技术进性和符合性的技术规范规范、技术、技术依据依据。n1 1美国美国TCSEC(TCSEC(橙皮书橙皮书)1983 1983年由美国国防部制定的年由美国国防部制定的5200.285200.28安全标准安全标准可信计算系统评价准可信计算系统评价准则则，即，即网络安全橙皮书网络安全橙皮书或或桔皮书桔皮书，将安全分为将安全分为4 4个方面个方面：安全政策、可说明：安全政策、可说明性、安全保障和文档，性、安全保障和文档，又分为又分为7 7个安全级别。个安全级别。从从19851985年橙皮书成为美国国防年橙皮书成为美国国防部的标准以

26、来，一直是评估多用户主机和小型操作系统的主要方法。如表部的标准以来，一直是评估多用户主机和小型操作系统的主要方法。如表3-3-1 1所示。所示。可信任分布可信任分布是指硬件和软件通过物理传输过程中的保护，防止破坏是指硬件和软件通过物理传输过程中的保护，防止破坏安全系统。安全系统。n2 2欧洲欧洲ITSECITSECn ITSECITSEC（Information Technology Security Evaluation CriteriaInformation Technology Security Evaluation Criteria）将）将保密作为安全增强功能，与保密作为安全增强功能，

27、与TCSEC TCSEC 不同，它将保密作为安全的重点。在欧洲，不同，它将保密作为安全的重点。在欧洲，ITSEC BS7799ITSEC BS7799列出了网络威胁的种类和管理要项，以及降低攻击危害的方法。列出了网络威胁的种类和管理要项，以及降低攻击危害的方法。n3 3美国联邦准则美国联邦准则(FC)(FC)n 美国美国联联邦准邦准则则(FC)(FC)标标准准参照了参照了CTCPEC 与与TCSEC，目的是提供，目的是提供TCSEC的升的升级级版本，同版本，同时时保保护护已有投已有投资资。FC是一个是一个过过渡渡标标准，之后准，之后结结合合ITSEC发发展展为联为联合公共准合公共准则则。n4

28、4通用评估准则通用评估准则(CC)(CC)n CC（Common Criteria）的）的目的目的是将已有的安全准是将已有的安全准则则结结合合成一个成一个统统一的一的标标准。此准。此项计项计划从划从1993年开始年开始执执行，行，1996年推出第一版，但目前仍未年推出第一版，但目前仍未实实施。施。类别类别级别级别名名 称称主主 要要 特特 征征DD低级保护低级保护没有安全保护没有安全保护CC1自主安全保护自主安全保护自主存储控制自主存储控制C2受控存储控制受控存储控制单独的可查性，安全标识单独的可查性，安全标识BB1标识的安全保护标识的安全保护强制存取控制，安全标识强制存取控制，安全标识B2结

29、构化保护结构化保护面向安全的体系结构，较好的抗渗透能力面向安全的体系结构，较好的抗渗透能力B3安全区域安全区域存取监控、高抗渗透能力存取监控、高抗渗透能力AA验证设计验证设计形式化的最高级描述和验证形式化的最高级描述和验证表3-1 安全级别分类3.4 网络安全评估准则和方法网络安全评估准则和方法n5 5ISO ISO 安全体系结构标准安全体系结构标准n ISOISO制定的国际标准制定的国际标准ISO7498-2-1989ISO7498-2-1989信息处理系统信息处理系统开放系统互连、开放系统互连、基本模型第基本模型第2 2部分安全体系结构部分安全体系结构，为开放系统标准建立框架。用于提供安，

30、为开放系统标准建立框架。用于提供安全服务与有关机制的一般描述，确定在参考模型内部可提供这些服务与机制。全服务与有关机制的一般描述，确定在参考模型内部可提供这些服务与机制。提供了提供了5 5 种可选择的安全服务。如表种可选择的安全服务。如表3-23-2所示。所示。服服 务务用用 途途身份身份验证验证身份身份验证验证是是证证明用明用户户及服及服务务器身份的器身份的过过程程访问访问控制控制用用户户身份一身份一经过验证经过验证就就发发生生访问访问控制，控制，这这个个过过程决定用程决定用 户户可以使用、可以使用、浏览浏览或改或改变变系系统资统资源源数据保密数据保密这项这项服服务务通常使用加密技通常使用加

31、密技术术保保护护数据免于未授数据免于未授权权的泄露的泄露可避免被可避免被动动威威胁胁数据完整性数据完整性这项这项服服务务通通过检验过检验或或维护维护信息的一致性，避免主信息的一致性，避免主动动威威胁胁抗否抗否认认性性否否认认是指否是指否认认参加全部或部分事参加全部或部分事务务的能力，抗否的能力，抗否认认服服务务 提供关于服提供关于服务务、过过程或部分信息的起源程或部分信息的起源证证明或明或发发送送证证明明表3-2 ISO提供的安全服务3.4 网络安全评估准则和方法网络安全评估准则和方法n ISO17799/BS-779 ISO17799/BS-779标准于标准于20002000年年1212月出

32、版，成为月出版，成为强制性强制性的的安全标准安全标准。包。包括信息安全的所有准则，由信息安全方针、组织安全、财产分类和控制、人括信息安全的所有准则，由信息安全方针、组织安全、财产分类和控制、人员安全、物理和环境安全、计算机通信和操作管理、访问控制、系统开发与员安全、物理和环境安全、计算机通信和操作管理、访问控制、系统开发与维护、商务持续性管理、符合性等维护、商务持续性管理、符合性等1010个独立的部分组成，其中每一部分都覆个独立的部分组成，其中每一部分都覆盖不同的主题和区域。盖不同的主题和区域。n 目前，目前，国际上通行的与网络和信息安全有关的标准国际上通行的与网络和信息安全有关的标准可分为可

33、分为3 3类，如图类，如图3-63-6所示。所示。图3-6 有关网络和信息安全标准种类3.4 网络安全评估准则和方法网络安全评估准则和方法n3.3.4 4.2.2 国内安全评估通用准则国内安全评估通用准则n1 1信息系统安全保护等级划分准则信息系统安全保护等级划分准则n 根据根据GB-17859GB-17859计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则和和GA-163GA-163计计算机信息系统安全专用产品分类原则算机信息系统安全专用产品分类原则等，等，19991999年年1010月经过国家质量技术监月经过国家质量技术监督局批准发布，将计算机安全保护划分为以下督局批准

34、发布，将计算机安全保护划分为以下5 5个级别，如表个级别，如表3-33-3所示。所示。等等 级级名名 称称描描 述述第一级第一级用户自我用户自我保护级保护级安安全全保保护护机机制制可可以以使使用用户户具具备备安安全全保保护护的的能能力力，保保护护用用户户信信息息免免受受非法的读写破坏。非法的读写破坏。第二级第二级系统审计系统审计保护级保护级除除具具备备第第一一级级所所有有的的安安全全保保护护功功能能外外，要要求求创创建建和和维维护护访访问问的的审审计计跟踪记录，使所有用户对自身行为的合法性负责跟踪记录，使所有用户对自身行为的合法性负责第三级第三级安全标记安全标记保护级保护级除具备前一级所有的安

35、全保护功能外，还要求以访问对象标记的安除具备前一级所有的安全保护功能外，还要求以访问对象标记的安全级别限制访问者的权限，实现对访问对象的强制访问全级别限制访问者的权限，实现对访问对象的强制访问第四级第四级结构化保结构化保护级护级除除具具备备前前一一级级所所有有的的安安全全保保护护功功能能外外，还还将将安安全全保保护护机机制制划划分分为为关关键键部部分分和和非非关关键键部部分分，对对关关键键部部分分可可直直接接控控制制访访问问者者对对访访问问对对象象的的存取，从而加强系统的抗渗透能力存取，从而加强系统的抗渗透能力第五级第五级访问验证访问验证保护级保护级除除具具备备前前一一级级所所有有的的安安全全

36、保保护护功功能能外外，还还特特别别增增设设了了访访问问验验证证功功能能，负责仲裁访问者对访问对象的所有访问负责仲裁访问者对访问对象的所有访问表3-3我国计算机安全保护等级划分3.4 网络安全评估准则和方法网络安全评估准则和方法n 2006 2006年年3 3月公安部在原有条款基础上修改制订并开始实施了月公安部在原有条款基础上修改制订并开始实施了信息安全信息安全等级保护管理办法（试行）等级保护管理办法（试行）。将我国。将我国信息安全信息安全分五级防护，第一至五级分分五级防护，第一至五级分别为：自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。别为：自主保护级、指导保护级、监督保护级、强

37、制保护级和专控保护级。n2 2我国信息安全标准化现状我国信息安全标准化现状 信息安全标准信息安全标准事关事关国家安全利益，各国只在借鉴国际标准的情况下，国家安全利益，各国只在借鉴国际标准的情况下，制订和发展各自的信息安全标准化组织和标准。其标准不仅是信息安全制订和发展各自的信息安全标准化组织和标准。其标准不仅是信息安全保障体系的保障体系的重要组成部分重要组成部分，而且是政府进行宏观管理的，而且是政府进行宏观管理的重要依据重要依据。我国信息安全标准化工作起步晚发展快。从我国信息安全标准化工作起步晚发展快。从2020世纪世纪8080年代开始，积年代开始，积极借鉴国际标准的原则，制定了一批符合中国国

38、情的信息安全标准和行极借鉴国际标准的原则，制定了一批符合中国国情的信息安全标准和行业标准。业标准。3.4 网络安全评估准则和方法网络安全评估准则和方法3.4 网络安全评估准则和方法网络安全评估准则和方法3.4.3 网络安全评估方法网络安全评估方法1.评估目的和方法评估目的和方法 (3)(3)调研调研评估方法评估方法n 在评估时，从在评估时，从3 3个基本信息源收集信息。包括对组织的员工调查、文本个基本信息源收集信息。包括对组织的员工调查、文本检查和物理检验。检查和物理检验。n2 2评测标准和内容评测标准和内容 主要根据前两节中介绍的主要根据前两节中介绍的ISOISO或或GBGB有关有关“计算机

39、网络安全管理计算机网络安全管理”、“信信息安全技术评估通用准则息安全技术评估通用准则”和和“计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则”等等作为评估标准。作为评估标准。对网络信息安全的评估内容主要包括：安全策略评估、网络实体（物理）对网络信息安全的评估内容主要包括：安全策略评估、网络实体（物理）全评估、网络体系安全评估、安全服务评估、病毒防护安全性评估、审计安全评估、网络体系安全评估、安全服务评估、病毒防护安全性评估、审计安全性评估、备份安全性评估、紧急事件响应评估和安全组织和管理评估等。全性评估、备份安全性评估、紧急事件响应评估和安全组织和管理评估等。(1)(1)评

40、测前提评测前提(2)(2)依据标准依据标准 (3)(3)评估内容评估内容3.4 网络安全评估准则和方法网络安全评估准则和方法n3.3.安全策略评估安全策略评估n4.4.网络物理安全评估网络物理安全评估n5.5.网络体系的安全性评测网络体系的安全性评测3.4 网络安全评估准则和方法网络安全评估准则和方法n6.6.安全服务的评测安全服务的评测n7.7.病毒防护安全性评估病毒防护安全性评估3.4 网络安全评估准则和方法网络安全评估准则和方法n8.8.审计的安全性评测审计的安全性评测n9.9.备份的安全性评估备份的安全性评估3.4 网络安全评估准则和方法网络安全评估准则和方法n10.10.紧急事件响应

41、评估紧急事件响应评估n11.11.安全组织和管理评估安全组织和管理评估课堂讨论课堂讨论课堂讨论课堂讨论1.1.橙皮书将安全的级别从低到高分成哪橙皮书将安全的级别从低到高分成哪4 4个类别和个类别和7 7个级别个级别？2.2.国家将计算机安全保护划分为哪国家将计算机安全保护划分为哪5 5个级别？个级别？3.3.网络安全评估方法主要有哪些？网络安全评估方法主要有哪些？3.4 网络安全评估准则和方法网络安全评估准则和方法3.5 网络安全管理的原则及制度网络安全管理的原则及制度n 网络安全管理的原则网络安全管理的原则n为了确保网络系统安全，为了确保网络系统安全，网络安全管理网络安全管理必须坚持以下必须

42、坚持以下原则原则：n3.5.2 3.5.2 网络信息安全指导原则网络信息安全指导原则n 网络信息安全指导原则网络信息安全指导原则主要包括以下主要包括以下4 4个方面：个方面：(1)(1)适度公开原则适度公开原则 (2)(2)动态更新与逐步完善原则动态更新与逐步完善原则 (3)(3)通用性原则通用性原则 (4)(4)合规性原则合规性原则n3.5.3 3.5.3 健全安全管理机构和制度健全安全管理机构和制度n 1 1完善管理机构和岗位责任制完善管理机构和岗位责任制 计算机网络系统的安全涉及整个系统和单位安全、效益及声誉。计算机网络系统的安全涉及整个系统和单位安全、效益及声誉。系统安全保密工作由单位

43、主要领导负责，必要时设置专门机构，协系统安全保密工作由单位主要领导负责，必要时设置专门机构，协助主要领导管理。重要单位、要害部门的安全保密工作分别由安全、助主要领导管理。重要单位、要害部门的安全保密工作分别由安全、保密、保卫和技术部门分工负责。保密、保卫和技术部门分工负责。3.5 网络安全管理的原则及制度网络安全管理的原则及制度n2 2健全安全管理规章制度健全安全管理规章制度 建立健全完善的安全管理规章制度，并认真贯彻落实非常重要。建立健全完善的安全管理规章制度，并认真贯彻落实非常重要。常用的网络安全管理规章制度常用的网络安全管理规章制度包括以下包括以下7 7个方面：个方面：n3 3坚持合作交

44、流制度坚持合作交流制度 加强与相关单位的合作与交流，及时获得必要的安全管理信息和技术支加强与相关单位的合作与交流，及时获得必要的安全管理信息和技术支持与更新。持与更新。3.5 网络安全管理的原则及制度网络安全管理的原则及制度课堂讨论课堂讨论课堂讨论课堂讨论1.1.网络安全管理必须坚持哪些原则？网络安全管理必须坚持哪些原则？2.2.网络信息安全指导原则主要包括哪网络信息安全指导原则主要包括哪4 4个方面？个方面？3.3.建立健全网络安全管理机构和规章制度，需要做好哪些方面建立健全网络安全管理机构和规章制度，需要做好哪些方面？1 1）系系统统运运行行维维护护管管理理制制度度2 2）计算机处理控制管

45、理制度）计算机处理控制管理制度3 3）文档资料管理制度）文档资料管理制度4)4)操作及管理人员的管理制度操作及管理人员的管理制度5)5)机房安全管理规章制度机房安全管理规章制度6)6)其他的重要管理制度。其他的重要管理制度。7 7）风险分析及安全培训）风险分析及安全培训*3.6网络安全规划概述网络安全规划概述 网络安全规划的主要内容网络安全规划的主要内容包括：网络安全规划的基本原则、安全包括：网络安全规划的基本原则、安全管理控制策略、安全组网、安全防御和网络安全审计等方面。管理控制策略、安全组网、安全防御和网络安全审计等方面。n 网络安全规划原则和策略网络安全规划原则和策略 n1.1.网络安全

46、规划的基本原则网络安全规划的基本原则n2.2.网络安全控制策略方案网络安全控制策略方案n3.6.2 3.6.2 安全组网和防御方案安全组网和防御方案 n1.1.实施安全组网方案实施安全组网方案n2.2.网络安全防御方案网络安全防御方案 课堂讨论课堂讨论课堂讨论课堂讨论1.1.为何要进行网络安全规划？为何要进行网络安全规划？2.2.常用的网络安全规划主要包括哪些方面？常用的网络安全规划主要包括哪些方面？3.3.在网络安全防御方面，主要规划有哪些？在网络安全防御方面，主要规划有哪些？n3.7.1 3.7.1 实验目的实验目的n WEB WEB服务器的安全设置与管理实验是网络安全管理的主要工作，通过

47、实验使服务器的安全设置与管理实验是网络安全管理的主要工作，通过实验使学生可以较好地掌握学生可以较好地掌握WEBWEB服务器的安全设置与管理的内容、方法和过程，为理论服务器的安全设置与管理的内容、方法和过程，为理论联系实际，提高对服务器安全管理、分析问题和解决问题的实际能力，有助于更联系实际，提高对服务器安全管理、分析问题和解决问题的实际能力，有助于更好地为未来就业从事网管员或信息安全员工作奠定基础。好地为未来就业从事网管员或信息安全员工作奠定基础。n3.7.2 3.7.2 实验要求及方法实验要求及方法n 在在WEBWEB服务器的安全设置与管理实验过程中，应当先做好实验的准备工作，服务器的安全设

48、置与管理实验过程中，应当先做好实验的准备工作，实验时注意掌握具体的操作界面、实验内容、实验方法和实验步骤，重点是服务实验时注意掌握具体的操作界面、实验内容、实验方法和实验步骤，重点是服务器的安全设置（网络安全设置、安全模板设置、器的安全设置（网络安全设置、安全模板设置、WEBWEB服务器的安全设置等）与服服务器的安全设置等）与服务器日常管理实验过程中的具体操作要领、顺序和细节。务器日常管理实验过程中的具体操作要领、顺序和细节。n3.7.3 3.7.3 实验内容及步骤实验内容及步骤n1.1.服务器准备工作服务器准备工作 通常需要先对服务器硬盘进行格式化和分区，格式化类型为通常需要先对服务器硬盘进

49、行格式化和分区，格式化类型为NTFSNTFS。安装操作系统安装操作系统Windows Server 2008Windows Server 2008。系统安装过程中应本着最小服务原则，。系统安装过程中应本着最小服务原则，不选择无用的服务，达到系统的最小安装，在安装不选择无用的服务，达到系统的最小安装，在安装IISIIS的过程中，只安装必要的的过程中，只安装必要的最基本功能。最基本功能。3.7 WEB服务器的安全设置与管理实验服务器的安全设置与管理实验n2.2.网络安全配置网络安全配置n网络安全最基本的设置是端口。在网络安全最基本的设置是端口。在“本地连接属性本地连接属性”，选择，选择“Inter

50、netInternet协议（协议（TCP/IPTCP/IP）”，再先后单击，再先后单击“高级高级”、“选项选项”及及“TCP/IPTCP/IP筛选筛选”。只。只打开网站服务所需要使用的端口，配置界面如图打开网站服务所需要使用的端口，配置界面如图3-83-8所示。所示。n 在进行设置后，从服务器将不能使用域名解析，可以防止一般规模的在进行设置后，从服务器将不能使用域名解析，可以防止一般规模的DDOSDDOS攻击，使蛮重外部上网的安全访问。攻击，使蛮重外部上网的安全访问。图图3-8 配置打开网站服务所需端口配置打开网站服务所需端口3.7 WEB服务器的安全设置与管理实验服务器的安全设置与管理实验n