新计算机网络安全教程 教学课件 978 7 302 26962 5 第16章.ppt

计算机网络安全教程 在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址： 信息安全管理是以管理对象的安全为任务和目标的管理。安全管理的任务是保证管理对象的安全。安全管理的目标是达到管理对象所需的安全级别，将风险控制在可以接受的程度。 重点内容： 概述 安全管理标准 安全立法 第16章 计算机网络安全管理 一、计算机网络安全管理概述 管理、安全管理、网络信息安全管理的关系如下： 1、概述 2、网络安全管理的内容 一、身份认证 一、信息安全风险评估 静态的信息安全管理 1989年，ISO组织就发布了一个ISO 7498-2标准，即《信息处理系统——开放系统互连》，这个标准提供了安全服务与相关体制的一般描述，确定在信息网络安全管理中可以提供这些服务与机制的位置。 ISO 7498-2定义的安全服务包括： 认证（Authentication包括实体认证，来源认证） 访问控制（Access Control） 数据必威体育官网网址性（Data Confidentiality） 数据完整性（Data Integrity） 抗抵赖性（Non-repudiation） 2. 动态的信息安全管理 2、网络安全管理的内容 一、身份认证 一、信息安全风险评估 动态的信息安全管理 英国的BS 7799标准是一个很好的例子，BS 7799提出的PDCA信息安全管理模型是一个系统化、程序化和文档化的管理体系。 2、网络安全管理的内容 一、身份认证 一、信息安全风险评估 PDCA安全管理模型 计划阶段，需要完成以下几个工作： （1）确定信息安全方针； （2）确定信息安全管理系统的范围； （3）制定风险识别和评估计划； （4）制定风险控制计划。 实施阶段，主要任务是实施组织所选择的控制目标与控制措施： （1）风险治理； （2）保证资源、提供培训、提高安全意识。 2、网络安全管理的内容 一、身份认证 一、信息安全风险评估 PDCA安全管理模型 检查阶段，主要任务： （1）进行有关方针、程序、标准与法律法规的检查； （2）保证控制措施有效进行。 行动阶段： （1）对信息安全管理体系进行评价； （2）寻求改进的机会； （3）采取相应的措施。 3、网络安全管理的原则 一、身份认证 一、信息安全风险评估 常用的信息网络安全管理原则，有如下几种： 加密原则 使用原则 线路连接原则 反病毒原则 应用服务提供原则 审计原则 电子邮件使用原则 数据库原则 非武装区域原则 第三方的连接原则 3、网络安全管理的原则 一、身份认证 一、信息安全风险评估 常用的信息网络安全管理原则： 敏感信息原则 内部活动原则 Internet接入原则 口令防护原则 远程访问原则 路由器安全原则 服务器安全原则 VPN安全原则 无线通讯原则 一、身份认证 二、安全管理标准 2000年初，美国出台了电脑空间安全计划，旨在加强关键基础设施、计算机系统和网络免受威胁的防御能力。 2000年9月12日，俄罗斯批准了《国家信息安全构想》，明确保护信息安全应采取的措施。 目前国际上制订了大量的有关信息安全的国际标准，主要可分为： 互操作标准 技术与工程标准 信息安全管理与控制标准 信息安全管理标准（ISO/IEC 13335） 信息安全管理体系标准（BS7799，其中一部分成为ISO/IEC17799） 1、ISO 27000概述 信息安全管理体系（Information security management systems，简称ISMS）（即ISO/IEC?27000系列）是目前国际信息安全管理标准研究的重点。 ISO27000 系列共包括10个标准，当前已经发布和在研究的有6个： ISO?27000原理与术语Principles?and?vocabulary ISO?27001信息安全管理体系要求ISMS?Requirements? ISO?27002信息技术安全技术信息安全管理实践规范 ISO?27003信息安全管理体系风险管理ISMS?Risk?management ISO?27004信息安全管理指标与测量SMS?Metrics?and?measurement ISO?27005信息安全管理实施指南SMS?Implementation?guidelines 二、安全管理标准 网络立法，是建立和完善法律体系的需要，是调整网络犯罪所引起的社会冲突问题的需要，是保障网络健康发展的需要，是使人们懂得维护自己权益、同网络犯罪作斗争的需要，也是教育人守法、预防犯罪的需要。