网络安全管理概述.ppt

3.3网络安全准则和风险评估我国实施信息安全等级保护。中国从2002年以来，提出有关信息安全实施等级保护问题，经过专家多次反复论证研究，相关制度得到不断细化和完善。2006年公安部修改制订并实施《信息安全等级保护管理办法（试行）》。将我国信息安全分五级防护，第一至五级分别为：自主保护级、指导保护级、监督保护级、强制保护级和专控保护级案例3-42．我国信息安全标准化情况中国信息安全标准化建设，主要按照国务院授权，在国家质量监督检验检疫总局管理下，由国家标准化管理委员会统一管理标准化工作，下设有255个专业技术委员会。从20世纪80年代开始，积极借鉴国际标准，制定了一批中国信息安全标准和行业标准。从1985年发布第一个有关信息安全方面的标准以来，已制定、报批和发布近百个有关信息安全技术、产品、评估和管理的国家标准，并正在制定和完善新的标准。3.3网络安全准则和风险评估3.3.3网络安全的风险评估1.网络安全风险评估目的和方法1)网络安全评估目的网络安全评估目的包括：(1)搞清企事业机构具体信息资产的实际价值及状况；(2)确定机构具体信息资源的安全风险程度；(3)通过调研分析搞清网络系统存在的漏洞隐患及状况;(4)明确与该机构信息资产有关的风险和需要改进之处;(5)提出改变现状的建议和方案，使风险降到可最低；(6)为构建合适的安全计划和策略做好准备。3.3网络安全准则和风险评估2)网络安全风险评估类型一般通用的评估类型分为5个：(1)系统级漏洞评估。(2)网络级风险评估。(3)机构的风险评估。(4)实际入侵测试。(5)审计。3)评估方法、过程及工具收集信息有3个基本信息源：调研对象、文本查阅和物理检验。调研对象主要是与现有系统安全和组织实施相关人员，重点是熟悉情况和管理者。评估方法：网络安全威胁隐患与态势评估方法、模糊综合风险评估法、基于弱点关联和安全需求的网络安全评估方法、基于失效树分析法的网络安全风险状态评估方法、贝叶斯网络安全评估方法等，具体方法可通过网络查阅。风险评估与管理工具。大部分是基于某种标准方法或某组织自行开发的评估方法，可以有效地通过输入数据来分析风险，给出对风险的评价并推荐控制风险的安全措施。3.3网络安全准则和风险评估2．网络安全评估标准和内容(1)2．评估标准和内容依据和标准。(3)评估内容。评估因素-设备环境-质量安全可靠性-运行环境-管理员3.网络安全策略评估(1)评估事项。(2)评估方法。(3)评估结论。4.网络实体安全评估(1)评估项目。(2)评估方法。(3)评估结论。5.网络体系的安全性评估1)网络隔离的安全性评估(1)评估项目。(2)评估方法。(3)评估结论。2)网络系统配置安全性评估(1)评估项目(2)评估方法和工具.(3)评估结论。3)网络防护能力评估4)服务的安全性评估5)应用系统的安全性评估网络设施-配电-服务器-交换机-路由-主机房-工作站-运行环境用网络规划及设计报告-安全需求分析报告,风险评估报告,安全目标-策略有效性图3-10网络系统安全风险评估流程图6.网络安全服务的评估3.3网络安全准则和风险评估(1)评估项目。(2)评估方法。(3)评估结论。7.病毒防护安全性评估(1)评估项目。(2)评估方法。(3)评估结论。8.审计的安全性评估(1)评估项目.(2)评估方法。(3)评估结论。9.备份的安全性评估(1)评估项目。(2)评估方法。(3)评估结论。10.紧急事件响应评估(1)评估项目。(2)评估方法。(3)评估结论。11.网络安全组织和管理评估(1)评估项目(2)评估方法(3)评估结论?讨论思考：（1）橙皮书将安全的级别从低到高分成哪4个类别和7个级别？（2）国家将计算机安全保护划分为哪5个级别？（3）网络安全评估方法主要有哪些？3.4网络安全管理原则及制度3.4.1网络安全管理的基本原则职责分离原则严格操作规程系统安全监测和审计制度建立健全系统维护制度另将网络安全指导原则概括为4个方面：适度公开原则、动态更新与逐步完善原则、通用性原则、合规性原则。7）完善应急措施2)有限任期原则为了加强网络系统安全,网络安全管理应坚持基本原则:多人负责原则*第3章网络安全管理概论目1234567录3.1网络安全体系结