网络综合安全管理.ppt

网络安全管理及实用技术,第3章 网络综合安全管理,教育部高校管理与工程教学指导委员会、机械工业出版社,主编贾铁军 副主编 嵩天 常艳编著 王雄 俞小怡 刘雪飞 苏庆刚 宋少婷,全国高校管理与工程类学科系列规划教材,目 录,目 录,本章要点 网络安全管理保障体系、法律法规、评估 准则和方法 网络安全管理规范及策略、原则及制度 网络安全规划的主要内容和原则 Web服务器的安全设置与管理实验教学目标 掌握网络安全管理保障体系、法律法规、评估 准则和方法 理解网络安全管理规范及策略、原则及制度 了解网络安全规划的主要内容和原则 掌握Web服务器的安全设置与管理实验,3.1 网络安全管理保障体系,网络安全管理保障体系 某银行网络安全管理的整体保障体系如图3-1所示。网络安全 管理整体保障作用体现在整个系统生命周期对风险进行整体的应对和控制。,图3-1 网络安全管理整体保障体系,案例3-1,1网络安全保障关键因素 网络安全保障包括4个方面：网络安全策略、网络安全管理、网络安全运作和网络安全技术，如图3-2所示。2网络安全保障总体框架 我国某金融机构网络信息安全保障体系总体框架如图3-3所示网络信息安全保障体系框架的外围是风险管理、法律法规、标准的符合性。,图3-2 网络安全保障因素,案例3-2,3.1 网络安全管理保障体系,图3-3 网络信息安全保障体系框架,风险管理是指在对风险的不确定性和可能性等因素进行考察、预测、收集、分析的基础上，制定的识别风险、衡量风险、积极管理风险、有效处置风险及妥善处理风险等一整套系统而科学的管理方法，以避免和减少风险损失，促进企业长期稳定发展。网络安全管理的本质是对信息安全风险的动态有效管理和控制。风险管理是企业运营管理的核心，风险分为信用风险、市场风险和操作风险，其中后者包括信息安全风险。,3.1 网络安全管理保障体系,实际上，在信息安全保障体系框架中充分体现了风险管理的理念，网络信息安全保障体系架构包括五个部分：,3.1 网络安全管理保障体系,3.1.2 网络安全管理及运作体系 1.TCP/IP网络安全管理体系 TCP/IP网络安全管理体系结构，如图3-4所示。包括三个方面：分层安全管理、安全服务与机制（认证、访问控制、数据完整性、抗抵赖性、可用可控性、审计）、系统安全管理（终端系统安全、网络系统、应用系统）。,图3-4 TCP/IP网络安全管理体系结构,3.1 网络安全管理保障体系,2.网络安全运作体系 目标是构建网络安全的核心运作模式。框架的基础是风险管理的理念和持续改进的模式。其模式要求动态地的管理信息安全相关的风险，遵循规划-实施-监控-改进的PDCA循环，不断地适应动态变化的环境。与传统的网络安全运作模式相比，基于风险管理理念和持续改进模式的信息安全运作模式是：一种全局的、全员参与的、事先预防、事中控制、事后纠正的、动态的运作管理模式；优点是避免、降低各类风险，能降低信息安全故障导致的综合损失。运作体系框架由两部分组成，如图3-5所示。上面的四个箭头代表了网络安全运作的目标模式和概念性流程。它以风险管理的四个环节作为运作的主线，描述了网络安全业务的基本运作模式。下面是概念性流程在具体对象层次上的实现。,某银行网络信息安全的运作方式案例。网络安全运作是实现信息安全目标的重要机制。网络安全技术只是实现信息安全控制的一个手段，必须依赖于有效的网络安全运作模式加以综合利用，以实现银行的信息安全目标。,案例3-3,3.1 网络安全管理保障体系,图3-5 网络信息安全运作体系框架,课堂讨论 1.网络信息安全保障包括哪四个方面？2.信息安全保障体系架构包括哪五个部分？3.网络信息安全业务的基本运作模式是什么？,3.1 网络安全管理保障体系,3.2网络安全的法律法规,国外的网络安全法律法规 1.国际合作立法打击网络犯罪 20世纪90年代以来，针对利用计算机网络从事刑事犯罪的数量,在许多国家都以法律手段打击网络犯罪。到90年代末，这方面的国际合作也迅速发展起来。为保障网络安全，欧盟成为在刑事领域做出国际间规范的典型.于2000年初及12月底两次颁布了网络刑事公约。还有一些国家修订了原有刑法，以适应保障网络安全的需要。2.禁止破解数字化技术保护措施的法律 1996年12月，世界知识产权组织作出了禁止擅自破解他人数字化技术保护措施的规定。至今，欧盟、日本、美国等大多数国家都把它作为一种网络安全保护，规定在本国的法律中。,3.与“入世”有关的网络法律 在1996年12月联合国第51次大会上，通过了联合国贸易法委员会的电子商务示范法，1998年7月新加坡的电子交易法出台。1999年12月世贸组织西雅图外交会议上一个主要议题就是制定了对“电子商务”规范。4.其他相关立法 一些发展中国家，除了制定保障网络健康发展的部门法以外，还专门制定了综合性的、原则性的网络基本法。5.民间管理、行业自律及道德规范 各国在规范与管理网络行为方面，都很注重发挥民间组织的作用，尤其是行业的作用。德国、英国、澳大利亚等，学校中网络使用的“行业规范”均十分严格。大多数以法律规范网络行为的国家，先明确网络服务提供者的责任，基本都采用了“避风港”制度。,3.2网络安全的法律法规,我国的网络安全法律法规 从20世纪90年代初起，根据网络信息安全管理的需要，国家及相关部门、行业和地方政府相继制定了多项有关网络信息安全的法律法规。我国网络信息安全立法体系分为以下三个层面。第一个层面：法律。是由全国人民代表大会及其常委会通过的法律规范。第二个层面：行政法规.主要指国务院为执行宪法和法律而制定的法律规范.第三个层面：地方性法规、规章、规范性文档。主要指国务院各部、委根据法律和国务院行政法规，在本部门的权限范围内制定的法律规范，以及省、自治区、直辖市和较大的市人民政府根据法律、行政法规和本省、自治区、直辖市的地方性法规制定的法律规范性文档。,课堂讨论 1.为什么说法律法规是网络安全体系的重要保障和基石？2.国外的网络安全法律法规对我们有何启示？3.我国网络信息安全立法体系框架分为哪三个层面？,3.2网络安全的法律法规,3.3 网络安全管理规范及策略,3.3.1 网络信息安全管理规范 网络信息安全管理规范是为保障实现信息安全政策的各项目标，制定的一系列管理规定和规程，具有强制效力。涉及的领域较多，根据经验和参考多套标准、政策的基础上提出的安全管理规范涉及的各项内容如下：,12 3 4 5 6 7 89,3.3.2 网络安全管理的策略1.网络信息安全战略 网络信息安全战略分为网络信息安全战略概述、网络信息安全战略需求分析、网络信息安全战略目标、网络信息安全工作基本原则4个部分。,3.3 网络安全管理规范及策略,网络信息安全策略是企事业单位网络信息安全保障体系的核心，是网络信息安全工作的原则、宗旨、指导，可为网络信息安全工作指明方向。网络信息安全战略的制定3大原则：1）为业务发展需要提供支持和保障。2）在信息技术规划的基础上制定。3）坚持风险管理的理念。,(2)安全策略的实施,3.3 网络安全管理规范及策略,网络安全策略是指在某个特定的环境中，为达到一定级别的网络安全保护需求所遵循的各种规则和条例。安全策略是网络安全管理过程的重要内容和方法。网络安全策略包括3 个重要组成部分：安全立法、安全管理、安全技术。安全立法是第一层，有关网络安全的法律法规可分为社会规范和技术规范；安全管理是第二层，主要指一般的行政管理措施；安全技术是第三层，是网络安全的重要物质和技术基础。,2网络安全策略的制定与实施(1)网络安全策略的制定,3.3.3 网络信息安全政策体系1.网络信息安全有关政策(1)网络信息安全管理政策(2)网络信息安全功能性政策 在网络安全管理政策下，依据网络安全保障体系框架，针对特定管理需求制定的政策具体内容包括以下5个方面：,网络信息安全管理政策是企事业从管理层对有关网络安全的一整套管理规范和指导原则，是在信息安全战略下为组织管理、保护和信息资源使用制定的原则。管理政策是信息安全政策与标准体系中最高层级的规范，表明领导管理层的目标和目的。,3.3 网络安全管理规范及策略,2.网络信息安全政策体系 网络信息安全政策与标准体系是安全管理、运作、技术体系标准化、制度化后形成的一整套管理规定，其体系框架可分为横向和纵向两个维度，如图3-7所示。,图3-7 网络信息安全政策体系框架,案例3-4,3.3 网络安全管理规范及策略,课堂讨论1.安全管理规范所必需涉及的内容有哪些方面？2.网络信息安全功能性政策的内容有哪些？3.如何进行网络安全策略的制定与实施？,3.4 网络安全评估准则和方法,3.4.1 国外网络安全评估标准 网络信息安全标准是确保信息安全的产品和系统，在设计、研发、生产、建设、使用、测评过程中，解决产品和系统的一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。1美国TCSEC(橙皮书)1983年由美国国防部制定的5200.28安全标准可信计算系统评价准则，即网络安全橙皮书或桔皮书，将安全分为4个方面：安全政策、可说明性、安全保障和文档，又分为7个安全级别。从1985年橙皮书成为美国国防部的标准以来，一直是评估多用户主机和小型操作系统的主要方法。如表3-1所示。可信任分布是指硬件和软件通过物理传输过程中的保护，防止破坏安全系统。2欧洲ITSEC ITSEC（Information Technology Security Evaluation Criteria）将保密作为安全增强功能，与TCSEC 不同，它将保密作为安全的重点。在欧洲，ITSEC BS7799列出了网络威胁的种类和管理要项，以及降低攻击危害的方法。,3美国联邦准则(FC)美国联邦准则(FC)标准参照了CTCPEC 与TCSEC，目的是提供TCSEC的升级版本，同时保护已有投资。FC是一个过渡标准，之后结合ITSEC发展为联合公共准则。4通用评估准则(CC)CC（Common Criteria）的目的是将已有的安全准则结合成一个统一的标准。此项计划从1993年开始执行，1996年推出第一版，但目前仍未实施。,表3-1 安全级别分类,3.4 网络安全评估准则和方法,5ISO 安全体系结构标准 ISO制定的国际标准ISO7498-2-1989信息处理系统开放系统互连、基本模型第2部分安全体系结构，为开放系统标准建立框架。用于提供安全服务与有关机制的一般描述，确定在参考模型内部可提供这些服务与机制。提供了5 种可选择的安全服务。如表3-2所示。,表3-2 ISO提供的安全服务,3.4 网络安全评估准则和方法,ISO17799/BS-779标准于2000年12月出版，成为强制性的安全标准。包括信息安全的所有准则，由信息安全方针、组织安全、财产分类和控制、人员安全、物理和环境安全、计算机通信和操作管理、访问控制、系统开发与维护、商务持续性管理、符合性等10个独立的部分组成，其中每一部分都覆盖不同的主题和区域。目前，国际上通行的与网络和信息安全有关的标准可分为3类，如图3-6所示。,图3-6 有关网络和信息安全标准种类,3.4 网络安全评估准则和方法,3.4.2 国内安全评估通用准则1信息系统安全保护等级划分准则 根据GB-17859计算机信息系统安全保护等级划分准则和GA-163计算机信息系统安全专用产品分类原则等，1999年10月经过国家质量技术监督局批准发布，将计算机安全保护划分为以下5个级别，如表3-3所示。,表3-3我国计算机安全保护等级划分,3.4 网络安全评估准则和方法,2006年3月公安部在原有条款基础上修改制订并开始实施了信息安全等级保护管理办法（试行）。将我国信息安全分五级防护，第一至五级分别为：自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。2我国信息安全标准化现状,信息安全标准事关国家安全利益，各国只在借鉴国际标准的情况下，制订和发展各自的信息安全标准化组织和标准。其标准不仅是信息安全保障体系的重要组成部分，而且是政府进行宏观管理的重要依据。我国信息安全标准化工作起步晚发展快。从20世纪80年代开始，积极借鉴国际标准的原则，制定了一批符合中国国情的信息安全标准和行业标准。,3.4 网络安全评估准则和方法,3.4 网络安全评估准则和方法,3.4.3 网络安全评估方法1.评估目的和方法,(3)调研评估方法 在评估时，从3个基本信息源收集信息。包括对组织的员工调查、文本检查和物理检验。2评测标准和内容 主要根据前两节中介绍的ISO或GB有关“计算机网络安全管理”、“信息安全技术评估通用准则”和“计算机信息系统安全保护等级划分准则”等作为评估标准。对网络信息安全的评估内容主要包括：安全策略评估、网络实体（物理）全评估、网络体系安全评估、安全服务评估、病毒防护安全性评估、审计安全性评估、备份安全性评估、紧急事件响应评估和安全组织和管理评估等。,(1)评测前提,(2)依据标准,(3)评估内容,3.4 网络安全评估准则和方法,3.安全策略评估4.网络物理安全评估5.网络体系的安全性评测,3.4 网络安全评估准则和方法,6.安全服务的评测7.病毒防护安全性评估,3.4 网络安全评估准则和方法,8.审计的安全性评测9.备份的安全性评估,3.4 网络安全评估准则和方法,10.紧急事件响应评估11.安全组织和管理评估,课堂讨论1.橙皮书将安全的级别从低到高分成哪4个类别和7个级别？2.国家将计算机安全保护划分为哪5个级别？3.网络安全评估方法主要有哪些？,3.4 网络安全评估准则和方法,3.5 网络安全管理的原则及制度,网络安全管理的原则为了确保网络系统安全，网络安全管理必须坚持以下原则：,3.5.2 网络信息安全指导原则 网络信息安全指导原则主要包括以下4个方面：(1)适度公开原则(2)动态更新与逐步完善原则(3)通用性原则(4)合规性原则3.5.3 健全安全管理机构和制度 1完善管理机构和岗位责任制,计算机网络系统的安全涉及整个系统和单位安全、效益及声誉。系统安全保密工作由单位主要领导负责，必要时设置专门机构，协助主要领导管理。重要单位、要害部门的安全保密工作分别由安全、保密、保卫和技术部门分工负责。,3.5 网络安全管理的原则及制度,2健全安全管理规章制度 建立健全完善的安全管理规章制度，并认真贯彻落实非常重要。常用的网络安全管理规章制度包括以下7个方面：3坚持合作交流制度 加强与相关单位的合作与交流，及时获得必要的安全管理信息和技术支持与更新。,3.5 网络安全管理的原则及制度,课堂讨论1.网络安全管理必须坚持哪些原则？2.网络信息安全指导原则主要包括哪4个方面？3.建立健全网络安全管理机构和规章制度，需要做好哪些方面？,*3.6网络安全规划概述,网络安全规划的主要内容包括：网络安全规划的基本原则、安全管理控制策略、安全组网、安全防御和网络安全审计等方面。网络安全规划原则和策略 1.网络安全规划的基本原则2.网络安全控制策略方案3.6.2 安全组网和防御方案 1.实施安全组网方案2.网络安全防御方案,课堂讨论1.为何要进行网络安全规划？2.常用的网络安全规划主要包括哪些方面？3.在网络安全防御方面，主要规划有哪些？,3.7.1 实验目的 WEB服务器的安全设置与管理实验是网络安全管理的主要工作，通过实验使学生可以较好地掌握WEB服务器的安全设置与管理的内容、方法和过程，为理论联系实际，提高对服务器安全管理、分析问题和解决问题的实际能力，有助于更好地为未来就业从事网管员或信息安全员工作奠定基础。3.7.2 实验要求及方法 在WEB服务器的安全设置与管理实验过程中，应当先做好实验的准备工作，实验时注意掌握具体的操作界面、实验内容、实验方法和实验步骤，重点是服务器的安全设置（网络安全设置、安全模板设置、WEB服务器的安全设置等）与服务器日常管理实验过程中的具体操作要领、顺序和细节。3.7.3 实验内容及步骤1.服务器准备工作 通常需要先对服务器硬盘进行格式化和分区，格式化类型为NTFS。安装操作系统Windows Server 2008。系统安装过程中应本着最小服务原则，不选择无用的服务，达到系统的最小安装，在安装IIS的过程中，只安装必要的最基本功能。,3.7 WEB服务器的安全设置与管理实验,2.网络安全配置网络安全最基本的设置是端口。在“本地连接属性”，选择“Internet协议（TCP/IP）”，再先后单击“高级”、“选项”及“TCP/IP筛选”。只打开网站服务所需要使用的端口，配置界面如图3-8所示。在进行设置后，从服务器将不能使用域名解析，可以防止一般规模的DDOS攻击，使蛮重外部上网的安全访问。,图3-8 配置打开网站服务所需端口,3.7 WEB服务器的安全设置与管理实验,3.安全模板设置 运行MMC,添加独立管理单元“安全配置与分析”,导入模板basicsv.inf 或securedc.inf，然后选“立刻配置计算机”，系统就会自动配置“帐户 策略”、“本地策略”、“系统服务”等信息，但这些配置可能会导 致某些“被限制”软 件无法运行或运行出 错。如查看设置的IE 禁用网站，则可将该 网站添加到“本地 Intranet”或“受信 任的站点”区域包含 列表中。如图3-9所示。,图3-9 安全配置和分析界面,3.7 WEB服务器的安全设置与管理实验,4.WEB服务器的设置以IIS为例，一定不要使用IIS默认安装的WEB目录，而需要在E盘新建立一个目录。然后在IIS管理器中右击“主机”，选择“属性”和“WWW服务”，在“编辑”中选择“主目录配置”及“应用程序映射”，只保留asp和asa，其余全部删除。5.ASP的安全由于大部分木马都是ASP编写的，因此，在IIS系统上的ASP组件的安全非常重要。ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件实现其功能，除了文件系统对象（File System Object，FSO）之外，其他的大部分可以直接禁用。使用微软提供的URL Scan Tool过滤非法URL访问的工具，可以起到一定防范作用。,3.7 WEB服务器的安全设置与管理实验,6.服务器日常管理服务器管理工作必须规范，特别是多个管理员时，日常管理工作包括：,3.7 WEB服务器的安全设置与管理实验,3.8 本章小结,本章简要地介绍了网络安全管理保障体系，包括网络信息安全保障体系和网络安全管理的运作体系。网络信息安全保障包括：信息安全策略、信息安全管理、信息安全运作和信息安全技术，管理是企业管理行为，主要包括安全意识、组织结构和审计监督；运作是日常管理的行为（包括运作流程和对象管理）；技术是信息系统的行为（包括安全服务和安全基础设施）。网络信息安全是在企业管理机制下，通过运作机制借助技术手段实现的。信息安全运作是信息安全管理和信息安全技术手段在日常工作中的执行，是信息安全工作的关键，即“七分管理，三分技术，运作贯穿始终”，管理是关键，技术是保障。本章概述了国外的网络安全法律法规和我国的网络安全法律法规。介绍了网络安全评估准则和方法，包括国外网络安全评估准则、国内安全评估通用准则及功能、安全管理的原则及网络安全评估方法。结合案例概述了网络安全管理规范及策略，包括网络信息安全管理规范、网络信息安全政策体系和网络安全管理的策略，还介绍了网络安全管理的原则及网络信息安全指导制度，以及健全安全管理机构和制度；在网络安全规划概述中，介绍了网络安全规划原则和策略，安全组网和防御方案；最后，理论联系实际，概述了Web服务器的安全设置与管理实验目的、要求、内容和步骤。,诚挚谢意！,