9-网络安全管理与评估-new分析报告.ppt

9、计算机网络安全管理与安全评估 2 教学目标 主要介绍与计算机网络信息安全有关的法律法规，网络安全评估的思路，信息安全制度的建设，以及上网行为控制与管理等 对网络安全法规以及制度有所了解，能更好地遵循网络规定 利用上网行为管控及安全评估，提供网络安全管理水平 3 要点内容 信息安全相关法规 安全评估 制度建设 上网行为管理 4 能力要求 了解并能使用法律法规管理信息安全 5 9.1 计算机网络安全管理 在整个网络安全事件的发生原因中，管理约占60%，应此必须花大力气加强网络的安全管理，因为诸多的不安全因素恰恰反映在组织管理和人员方面 OSI安全体系结构中的安全管理是指支持和控制网络安全所必需进行的管理 6 网络安全管理—内容 系统安全管理、安全服务管理和安全机制管理三个方面 系统安全管理是整个OSI安全体系结构的环境安全管理 安全服务管理是指特定安全服务的管理 安全机制管理包括了密钥管理、数字签名、访问控制、认证和数据完整性管理等，其实质是对各种网络资源进行监测、控制、协调和故障报告等 7 网络安全管理—实际操作 安全设备管理：指对网络中所有的安全产品，如防火墙、VPN、防病毒软件、入侵检测系统、漏洞扫描等产品和系统的统一管理与监控 安全策略管理：指管理、保护及自动分发全局性的安全策略，包括对安全设备、操作系统及应用系统的安全管理策略 安全风险控制：指确定、控制并消除或减轻系统资源不确定事件的总过程，包括分析分析、选择、实现、测试、评估及所有的安全检查等 安全审计：对网络中的安全设备、操作系统、应用系统运行过程的日志信息的收集汇总，实现对这些信息的查询与统计，并通过进一步分析，得出更深层次的安全分析报告 8 网络安全管理--措施 根据工作的重要程度，确定该系统的安全等级和管理范围。 制定相应的机房出入管理制度：对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统，采用磁卡、身份卡等手段，对人员进行识别、登记管理。 制定严格的操作规程：操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。 制定完备的系统维护制度：对系统进行维护时，应采取数据保护措施。维护时要首先经主管部门批准，并有安全管理人员在场，故障原因、维护内容和维护前后的情况要详细记录。 制定应急措施：要制定系统在紧急情况下如何尽快恢复的应急措施，使损失减至最小。 9 安全管理的--行政原则 多人负责原则 任期有限原则 职责分离原则 计算机操作与编程 机密资料的接收和传送 安全管理和系统管理 应用程序和系统程序的编制 访问证件的管理与其他工作 操作与信息系统媒介保管 10 9.2 计算机网络安全法规 法规是法律、法令、条例、规则、章程、办法等法定文件的总称 瑞典1973年4月4日的《数据法》 11 我国计算机网络安全法规 12 我国计算机网络安全法规 13 我国计算机网络安全法规 14 内部计算机网络安全制度 除了国家及地方的法律法规外，各单位也应依据法律法规，针对本单位网络及系统的实际情况，制定维护系统安全运行的各种规章制度。以规范信息系统的运行，威慑和打击网络犯罪，保障单位业务的顺利运行。 15 内部计算机网络安全制度 物理设备安全管理制度 网络系统运行安全制度 信息系统运行安全制度 业务安全管理制度 16 9.3 计算机网络的安全评估 17 计算机网络安全评估的意义 指导用户建立符合安全需求的网络 建立系统内其他部件的安全评估标准 18 计算机网络安全评估的内容 管理型安全评估 过程性安全评估 技术性安全评估 风险评估 电子信息处理审计 安全评估 19 美国计算机网络安全评估的标准 将计算机系统安全分为A、B、C、D四等八个级别，共27条评估准则。从最低等级D等到A等，随着安全等级的提高，系统的可信度随之增加，风险逐渐减少 20 美国计算机网络安全评估的标准 21 美国计算机网络安全评估的标准 22 美国计算机网络安全评估的标准 D-非保护级 即不符合要求的系统，这类系统不能用于多用户环境下处理敏感信息 C-自主保护级 具有一定的保护功能，采用的措施主要是自主访问控制和审计跟踪，适用于具有一定等级的多用户环境。它具有对主体的责任和对其动作进行审计的能力，分C1和C2两级 23 美国计算机网络安全评估的标准 C1级称为自主安全保护级，通过用户与数据隔离，满足可信计算基（Trusted Computing Base，TCB）自动安全要求。TCB在命名主体和命名客体之间实施访问控制。目前生产的大多数系统都能达到这一等级。 C2级称为可控安全保护级，系统提供比C1级有更细致的自主访问控制。它通过注册