第3章網(wǎng)絡(luò)安全管理技術(shù)

1、賈鐵軍 沈?qū)W東 蘇慶剛等編著機(jī)械工業(yè)出版社機(jī)械工業(yè)出版社第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù) 網(wǎng)絡(luò)安全管理概念、內(nèi)容及功能網(wǎng)絡(luò)安全管理概念、內(nèi)容及功能 安全管理的原則及制度、防護(hù)體系安全管理的原則及制度、防護(hù)體系規(guī)范和政策規(guī)范和政策 網(wǎng)絡(luò)安全管理技術(shù)、策略及主機(jī)網(wǎng)網(wǎng)絡(luò)安全管理技術(shù)、策略及主機(jī)網(wǎng)絡(luò)防護(hù)、網(wǎng)絡(luò)安全管理解決方案絡(luò)防護(hù)、網(wǎng)絡(luò)安全管理解決方案 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)掌握網(wǎng)絡(luò)安全管理概念、內(nèi)容及功能掌握網(wǎng)絡(luò)安全管理概念、內(nèi)容及功能 理解安全管理的原則及制度、防護(hù)體理解安全管理的原則及制度、防護(hù)體系規(guī)范和政策系規(guī)范和政策 掌握網(wǎng)絡(luò)安全管理技術(shù)、策略及主機(jī)

2、掌握網(wǎng)絡(luò)安全管理技術(shù)、策略及主機(jī)網(wǎng)絡(luò)防護(hù)、網(wǎng)絡(luò)安全管理解決方案網(wǎng)絡(luò)防護(hù)、網(wǎng)絡(luò)安全管理解決方案 了解實(shí)體安全防護(hù)有關(guān)技術(shù)了解實(shí)體安全防護(hù)有關(guān)技術(shù) 了解軟件安全有關(guān)技術(shù)了解軟件安全有關(guān)技術(shù) 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)3.1 網(wǎng)絡(luò)安全管理概述網(wǎng)絡(luò)安全管理概述1. 安全管理概念安全管理概念 安全管理安全管理（Security Management）是）是指以管理對(duì)象的安全為任務(wù)和目標(biāo)所進(jìn)行的指以管理對(duì)象的安全為任務(wù)和目標(biāo)所進(jìn)行的各種管理活動(dòng)。各種管理活動(dòng)。 開(kāi)放系統(tǒng)互連參考模型開(kāi)放系統(tǒng)互連參考模型OSI /RM（Open System Interconnection Refere

3、nce Model）中的安全管理主要是指對(duì)除通信安全服務(wù)之中的安全管理主要是指對(duì)除通信安全服務(wù)之外的、支持和控制網(wǎng)絡(luò)安全所必須的其他操外的、支持和控制網(wǎng)絡(luò)安全所必須的其他操作所進(jìn)行的管理。作所進(jìn)行的管理。 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù) 按照國(guó)際標(biāo)準(zhǔn)化組織（按照國(guó)際標(biāo)準(zhǔn)化組織（ISO）的定義，）的定義，網(wǎng)絡(luò)網(wǎng)絡(luò)管理管理是指規(guī)劃、監(jiān)督、控制網(wǎng)絡(luò)資源的使用和是指規(guī)劃、監(jiān)督、控制網(wǎng)絡(luò)資源的使用和網(wǎng)絡(luò)的各種活動(dòng)，以使網(wǎng)絡(luò)的性能達(dá)到最優(yōu)。網(wǎng)絡(luò)的各種活動(dòng)，以使網(wǎng)絡(luò)的性能達(dá)到最優(yōu)。 網(wǎng)絡(luò)管理的目的網(wǎng)絡(luò)管理的目的在于提供對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)在于提供對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行規(guī)劃、設(shè)計(jì)、操作運(yùn)行、管理、監(jiān)視、

4、分析、行規(guī)劃、設(shè)計(jì)、操作運(yùn)行、管理、監(jiān)視、分析、控制、評(píng)估和擴(kuò)展的手段，從而合理地組織和控制、評(píng)估和擴(kuò)展的手段，從而合理地組織和利用系統(tǒng)資源，提供安全、可靠、有效和友好利用系統(tǒng)資源，提供安全、可靠、有效和友好的服務(wù)。的服務(wù)。 網(wǎng)絡(luò)管理的實(shí)質(zhì)網(wǎng)絡(luò)管理的實(shí)質(zhì)是對(duì)各種網(wǎng)絡(luò)資源進(jìn)行監(jiān)是對(duì)各種網(wǎng)絡(luò)資源進(jìn)行監(jiān)測(cè)、控制、協(xié)調(diào)、報(bào)告故障等。測(cè)、控制、協(xié)調(diào)、報(bào)告故障等。第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù) 現(xiàn)代網(wǎng)絡(luò)管理的內(nèi)容現(xiàn)代網(wǎng)絡(luò)管理的內(nèi)容一般可以用一般可以用OAMP（Operation, Administration, Maintenance and Provisioning，運(yùn)行、管，運(yùn)行、管

5、理、維護(hù)和提供）來(lái)概括，主要指一組系統(tǒng)理、維護(hù)和提供）來(lái)概括，主要指一組系統(tǒng)或網(wǎng)絡(luò)管理功能，其中包括：故障指示、性或網(wǎng)絡(luò)管理功能，其中包括：故障指示、性能監(jiān)控、安全管理、診斷功能、網(wǎng)絡(luò)和用戶能監(jiān)控、安全管理、診斷功能、網(wǎng)絡(luò)和用戶配置等。配置等。 OSI/RM的安全管理需要處理有關(guān)安全服的安全管理需要處理有關(guān)安全服務(wù)和安全機(jī)制操作的管理信息，這些信息存務(wù)和安全機(jī)制操作的管理信息，這些信息存儲(chǔ)在安全管理信息庫(kù)中，可以是一個(gè)數(shù)據(jù)表儲(chǔ)在安全管理信息庫(kù)中，可以是一個(gè)數(shù)據(jù)表或是一個(gè)文件，又或是一個(gè)文件，又稱為安全管理數(shù)據(jù)庫(kù)。稱為安全管理數(shù)據(jù)庫(kù)。 OSI/RM的安全管理包括：的安全管理包括：系統(tǒng)安全管理系統(tǒng)

6、安全管理、安全服務(wù)管理和安全機(jī)制管理。、安全服務(wù)管理和安全機(jī)制管理。第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)2. 安全管理的內(nèi)容安全管理的內(nèi)容(1)（1）硬件資源的安全管理）硬件資源的安全管理 1) 硬件設(shè)備的使用管理硬件設(shè)備的使用管理 2) 常用硬件設(shè)備維護(hù)和保養(yǎng)。常用硬件設(shè)備維護(hù)和保養(yǎng)。（2）信息資源的安全與管理）信息資源的安全與管理 1) 信息存儲(chǔ)的安全管理。信息存儲(chǔ)的安全管理。 2) 信息的使用管理。信息的使用管理。（3）其他管理。主要包括鑒別管理、訪問(wèn)控）其他管理。主要包括鑒別管理、訪問(wèn)控制管理和密鑰管理等。制管理和密鑰管理等。 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技

7、術(shù)2. 安全管理的內(nèi)容安全管理的內(nèi)容(2) 網(wǎng)絡(luò)安全管理、安全策略、安全技術(shù)的內(nèi)網(wǎng)絡(luò)安全管理、安全策略、安全技術(shù)的內(nèi)容和關(guān)系如圖所示。容和關(guān)系如圖所示。 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)1. 安全管理的步驟和方法安全管理的步驟和方法(1)(1) 信息安全管理工作的程序，遵循如下信息安全管理工作的程序，遵循如下PDCA循環(huán)模式的循環(huán)模式的4個(gè)基本步驟：個(gè)基本步驟： （1）制定計(jì)劃（）制定計(jì)劃（Plan） （2）落實(shí)執(zhí)行（）落實(shí)執(zhí)行（Do） （3）監(jiān)督檢查（）監(jiān)督檢查（Check） （4）評(píng)價(jià)行動(dòng)（）評(píng)價(jià)行動(dòng)（Action） 信息安全管理的方法：信息安全管理的方法：信息安全管理根信

8、息安全管理根據(jù)具體管理對(duì)象的不同，可以采用不同的具據(jù)具體管理對(duì)象的不同，可以采用不同的具體管理方法。體管理方法。 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)1. 安全管理的步驟和方法安全管理的步驟和方法(2)(2) 安全管理模型安全管理模型PDCA持續(xù)改進(jìn)模式持續(xù)改進(jìn)模式如圖所示。如圖所示。 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)2. 網(wǎng)絡(luò)安全管理的主要功能網(wǎng)絡(luò)安全管理的主要功能 安全管理功能包括：安全管理功能包括：計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行（計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行（Operation）、處理（）、處理（Administration）、維護(hù)）、維護(hù)（Maintenance）、提供服務(wù)（）、提供

9、服務(wù)（Provisioning）等所需要的各種活動(dòng)可概括為）等所需要的各種活動(dòng)可概括為OAM&P。有時(shí)。有時(shí)也限定考慮前三種的情形，即安全管理功能指也限定考慮前三種的情形，即安全管理功能指OAM。 國(guó)際標(biāo)準(zhǔn)化組織（國(guó)際標(biāo)準(zhǔn)化組織（ISO）在）在ISOIEC 7498-4文檔中定義了文檔中定義了開(kāi)放系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)管理的五大開(kāi)放系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)管理的五大功能：功能：故障管理功能、配置管理功能、性能管理故障管理功能、配置管理功能、性能管理功能、安全管理功能和計(jì)費(fèi)管理功能。而沒(méi)有包功能、安全管理功能和計(jì)費(fèi)管理功能。而沒(méi)有包括網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)管理者的管理等功能。括網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)管理者的管理等功能。 第第

10、3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)(1) 故障管理故障管理 故障管理故障管理（Fault Management）是網(wǎng)絡(luò)）是網(wǎng)絡(luò)管理中管理中最基本的功能之一最基本的功能之一，指對(duì)網(wǎng)絡(luò)非正常，指對(duì)網(wǎng)絡(luò)非正常的操作引起的故障進(jìn)行檢查、診斷和排除處的操作引起的故障進(jìn)行檢查、診斷和排除處理等工作。理等工作。 主要目的主要目的是保證網(wǎng)絡(luò)系統(tǒng)能夠提供持續(xù)是保證網(wǎng)絡(luò)系統(tǒng)能夠提供持續(xù)可靠的服務(wù)?？煽康姆?wù)。故障管理的功能有故障管理的功能有5個(gè)：個(gè)： 1) 對(duì)管理對(duì)象進(jìn)行差錯(cuò)檢測(cè)，或?qū)芾韺?duì)管理對(duì)象進(jìn)行差錯(cuò)檢測(cè)，或?qū)芾韺?duì)象接收錯(cuò)誤檢測(cè)報(bào)告并作出響應(yīng)。對(duì)象接收錯(cuò)誤檢測(cè)報(bào)告并作出響應(yīng)。第第3 3章章 網(wǎng)絡(luò)

11、安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)(1) 故障管理故障管理 2) 當(dāng)設(shè)備出現(xiàn)空閑或迂回路由時(shí)，提供當(dāng)設(shè)備出現(xiàn)空閑或迂回路由時(shí)，提供新的網(wǎng)絡(luò)資源和服務(wù)。新的網(wǎng)絡(luò)資源和服務(wù)。 3) 創(chuàng)建和維護(hù)差錯(cuò)日志庫(kù)，并對(duì)差錯(cuò)日創(chuàng)建和維護(hù)差錯(cuò)日志庫(kù)，并對(duì)差錯(cuò)日志進(jìn)行分析。志進(jìn)行分析。 4) 進(jìn)行診斷和測(cè)試，以追蹤和確定故障進(jìn)行診斷和測(cè)試，以追蹤和確定故障位置和性質(zhì)。位置和性質(zhì)。 5) 糾正錯(cuò)誤，通過(guò)資源更換、維護(hù)和及糾正錯(cuò)誤，通過(guò)資源更換、維護(hù)和及其他恢復(fù)措施使網(wǎng)絡(luò)重新開(kāi)始服務(wù)。其他恢復(fù)措施使網(wǎng)絡(luò)重新開(kāi)始服務(wù)。故障管理功能是利用標(biāo)準(zhǔn)協(xié)議故障管理功能是利用標(biāo)準(zhǔn)協(xié)議SNMP和和RMON進(jìn)行實(shí)現(xiàn)的。進(jìn)行實(shí)現(xiàn)的。第第3 3章

12、章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)(2) 配置管理配置管理 配置管理配置管理（Configuration Management）是指定義、收集、監(jiān)測(cè)和管理系統(tǒng)的配置參）是指定義、收集、監(jiān)測(cè)和管理系統(tǒng)的配置參數(shù)，使得網(wǎng)絡(luò)性能達(dá)到最優(yōu)的操作活動(dòng)。數(shù)，使得網(wǎng)絡(luò)性能達(dá)到最優(yōu)的操作活動(dòng)。 配置參數(shù)包括網(wǎng)絡(luò)設(shè)備資源、容量、安全配置參數(shù)包括網(wǎng)絡(luò)設(shè)備資源、容量、安全性和屬性，及其之間的關(guān)系等。性和屬性，及其之間的關(guān)系等。 配置管理的目的配置管理的目的是為了隨時(shí)了解系統(tǒng)網(wǎng)絡(luò)是為了隨時(shí)了解系統(tǒng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和各種交換信息，包括連接前靜態(tài)的拓?fù)浣Y(jié)構(gòu)和各種交換信息，包括連接前靜態(tài)設(shè)定的和連接后動(dòng)態(tài)更新的信息；實(shí)現(xiàn)指

13、定的設(shè)定的和連接后動(dòng)態(tài)更新的信息；實(shí)現(xiàn)指定的特定功能、使網(wǎng)絡(luò)性能達(dá)到最佳。特定功能、使網(wǎng)絡(luò)性能達(dá)到最佳。 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)(2) 配置管理配置管理 配置管理功能需要監(jiān)視和控制的內(nèi)容主要有配置管理功能需要監(jiān)視和控制的內(nèi)容主要有: 1) 設(shè)置網(wǎng)絡(luò)設(shè)備參數(shù)、初始化網(wǎng)絡(luò)資源及關(guān)設(shè)置網(wǎng)絡(luò)設(shè)備參數(shù)、初始化網(wǎng)絡(luò)資源及關(guān)閉不安全端口；閉不安全端口； 2) 收集系統(tǒng)當(dāng)前狀態(tài)的有關(guān)信息，如網(wǎng)絡(luò)資收集系統(tǒng)當(dāng)前狀態(tài)的有關(guān)信息，如網(wǎng)絡(luò)資源及其活動(dòng)狀態(tài)、網(wǎng)絡(luò)資源之間的關(guān)系；源及其活動(dòng)狀態(tài)、網(wǎng)絡(luò)資源之間的關(guān)系； 3) 根據(jù)請(qǐng)求向網(wǎng)絡(luò)管理中心反饋特定的數(shù)據(jù)根據(jù)請(qǐng)求向網(wǎng)絡(luò)管理中心反饋特定的數(shù)據(jù);

14、 4) 更改系統(tǒng)的配置，如引入新資源和刪除舊更改系統(tǒng)的配置，如引入新資源和刪除舊資源等。資源等。 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)(2) 配置管理配置管理 配置管理需要進(jìn)行的配置管理需要進(jìn)行的操作操作包括：包括： 1) 鑒別被管理對(duì)象，標(biāo)識(shí)被管理對(duì)象；鑒別被管理對(duì)象，標(biāo)識(shí)被管理對(duì)象； 2) 設(shè)置被管理對(duì)象的參數(shù)，如初始化被設(shè)置被管理對(duì)象的參數(shù)，如初始化被管理對(duì)象，路由操作的參數(shù)；管理對(duì)象，路由操作的參數(shù)； 3) 改變被管理對(duì)象的操作特性，報(bào)告被改變被管理對(duì)象的操作特性，報(bào)告被管理對(duì)象的狀態(tài)變化；管理對(duì)象的狀態(tài)變化； 4) 關(guān)閉、刪除被管理對(duì)象。關(guān)閉、刪除被管理對(duì)象。 第第3 3

15、章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)(3) 性能管理性能管理 性能管理性能管理（(Performance Management）主要用于收集分析有關(guān)網(wǎng)絡(luò)當(dāng)前狀況的數(shù)據(jù)）主要用于收集分析有關(guān)網(wǎng)絡(luò)當(dāng)前狀況的數(shù)據(jù)信息，并維護(hù)和分析性能日志。典型的網(wǎng)絡(luò)性信息，并維護(hù)和分析性能日志。典型的網(wǎng)絡(luò)性能管理分為能管理分為性能檢測(cè)性能檢測(cè)和和網(wǎng)絡(luò)控制網(wǎng)絡(luò)控制兩部分。兩部分。 性能管理以網(wǎng)絡(luò)性能為準(zhǔn)則收集、分析和性能管理以網(wǎng)絡(luò)性能為準(zhǔn)則收集、分析和調(diào)整被管理對(duì)象的狀態(tài)，其目的是保證網(wǎng)絡(luò)可調(diào)整被管理對(duì)象的狀態(tài)，其目的是保證網(wǎng)絡(luò)可以提供可靠、連續(xù)的通信能力并使用最少的網(wǎng)以提供可靠、連續(xù)的通信能力并使用最少的網(wǎng)絡(luò)資源

16、和具有最少的時(shí)延。絡(luò)資源和具有最少的時(shí)延。 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)(3) 性能管理性能管理 網(wǎng)絡(luò)性能管理的網(wǎng)絡(luò)性能管理的功能功能包括：包括： 1）收集、分發(fā)、統(tǒng)計(jì)與性能有關(guān)的數(shù)據(jù)）收集、分發(fā)、統(tǒng)計(jì)與性能有關(guān)的數(shù)據(jù)信息；信息； 2）維護(hù)系統(tǒng)性能的歷史記錄；）維護(hù)系統(tǒng)性能的歷史記錄； 3）模擬各種操作的系統(tǒng)模型；）模擬各種操作的系統(tǒng)模型； 4）分析當(dāng)前的統(tǒng)計(jì)數(shù)據(jù)，以檢測(cè)性能故）分析當(dāng)前的統(tǒng)計(jì)數(shù)據(jù)，以檢測(cè)性能故障，產(chǎn)生性能告警、報(bào)告性能事件；障，產(chǎn)生性能告警、報(bào)告性能事件； 5）確定自然和人工狀況下系統(tǒng)的性能；）確定自然和人工狀況下系統(tǒng)的性能； 6）改變系統(tǒng)操作模式以便進(jìn)行

17、系統(tǒng)性能）改變系統(tǒng)操作模式以便進(jìn)行系統(tǒng)性能管理的操作。管理的操作。 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)(4) 安全管理安全管理 安全管理安全管理主要是指監(jiān)視、審查和控制用主要是指監(jiān)視、審查和控制用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)，并產(chǎn)生安全日志以保證合戶對(duì)網(wǎng)絡(luò)的訪問(wèn)，并產(chǎn)生安全日志以保證合法用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)。在內(nèi)聯(lián)網(wǎng)中，安全管法用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)。在內(nèi)聯(lián)網(wǎng)中，安全管理與防護(hù)功能一般是由專門(mén)的系統(tǒng)軟件承擔(dān)理與防護(hù)功能一般是由專門(mén)的系統(tǒng)軟件承擔(dān)，如防火墻軟件、入侵檢測(cè)系統(tǒng)、訪問(wèn)控制，如防火墻軟件、入侵檢測(cè)系統(tǒng)、訪問(wèn)控制與審計(jì)等。與審計(jì)等。 網(wǎng)絡(luò)安全性能是用戶最為關(guān)心的問(wèn)題，網(wǎng)絡(luò)安全性能是用戶最為關(guān)心的問(wèn)

18、題，主要有主要有5個(gè)方面的網(wǎng)絡(luò)安全問(wèn)題：個(gè)方面的網(wǎng)絡(luò)安全問(wèn)題： 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)(4) 安全管理安全管理 1）網(wǎng)絡(luò)數(shù)據(jù)的專有機(jī)密性，保護(hù)網(wǎng)絡(luò)數(shù)）網(wǎng)絡(luò)數(shù)據(jù)的專有機(jī)密性，保護(hù)網(wǎng)絡(luò)數(shù)據(jù)不被侵入者非法獲取和察看；據(jù)不被侵入者非法獲取和察看； 2）用戶授權(quán)使用，防止侵入者在網(wǎng)絡(luò)上）用戶授權(quán)使用，防止侵入者在網(wǎng)絡(luò)上發(fā)送錯(cuò)誤信息；發(fā)送錯(cuò)誤信息； 3）進(jìn)行訪問(wèn)控制，有限制地對(duì)網(wǎng)絡(luò)不同）進(jìn)行訪問(wèn)控制，有限制地對(duì)網(wǎng)絡(luò)不同資源進(jìn)行訪問(wèn)；資源進(jìn)行訪問(wèn)； 4）數(shù)據(jù)完整性，確保原有數(shù)據(jù)保持完整）數(shù)據(jù)完整性，確保原有數(shù)據(jù)保持完整不變地傳輸；不變地傳輸； 5）不可抵賴性，發(fā)出者無(wú)法抵賴所發(fā)送）

19、不可抵賴性，發(fā)出者無(wú)法抵賴所發(fā)送的原有數(shù)據(jù)內(nèi)容真實(shí)性。的原有數(shù)據(jù)內(nèi)容真實(shí)性。 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)(4) 安全管理安全管理 網(wǎng)絡(luò)安全管理還應(yīng)當(dāng)包括對(duì)授權(quán)機(jī)制、訪網(wǎng)絡(luò)安全管理還應(yīng)當(dāng)包括對(duì)授權(quán)機(jī)制、訪問(wèn)控制、加密和密鑰的管理，還要維護(hù)和檢查問(wèn)控制、加密和密鑰的管理，還要維護(hù)和檢查安全日志。安全日志。安全管理的功能包括：安全管理的功能包括： 1）支持系統(tǒng)的安全服務(wù)；）支持系統(tǒng)的安全服務(wù)； 2）維護(hù)系統(tǒng)的安全日志；）維護(hù)系統(tǒng)的安全日志； 3）向其他開(kāi)放系統(tǒng)傳送有關(guān)安全方面的）向其他開(kāi)放系統(tǒng)傳送有關(guān)安全方面的信息和相關(guān)事件的通報(bào)；信息和相關(guān)事件的通報(bào)； 4）創(chuàng)建、刪除、控制安

20、全服務(wù)和機(jī)制。）創(chuàng)建、刪除、控制安全服務(wù)和機(jī)制。 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)(5) 計(jì)費(fèi)管理計(jì)費(fèi)管理 計(jì)費(fèi)管理計(jì)費(fèi)管理(Accounting Management)主要是主要是指記錄、控制和調(diào)整網(wǎng)絡(luò)資源的使用。目的是監(jiān)指記錄、控制和調(diào)整網(wǎng)絡(luò)資源的使用。目的是監(jiān)測(cè)和控制網(wǎng)絡(luò)操作的費(fèi)用和成本代價(jià)，以便估算測(cè)和控制網(wǎng)絡(luò)操作的費(fèi)用和成本代價(jià)，以便估算出用戶所使用的網(wǎng)絡(luò)資源及其所需的費(fèi)用和代價(jià)出用戶所使用的網(wǎng)絡(luò)資源及其所需的費(fèi)用和代價(jià)、合理分配網(wǎng)絡(luò)資源、降低網(wǎng)絡(luò)故障。、合理分配網(wǎng)絡(luò)資源、降低網(wǎng)絡(luò)故障。 計(jì)費(fèi)管理的目標(biāo)計(jì)費(fèi)管理的目標(biāo)是衡量網(wǎng)絡(luò)的利用率，以便是衡量網(wǎng)絡(luò)的利用率，以便單個(gè)

21、或每組用戶可以按規(guī)則利用網(wǎng)絡(luò)資源，這些單個(gè)或每組用戶可以按規(guī)則利用網(wǎng)絡(luò)資源，這些規(guī)則可以使網(wǎng)絡(luò)故障降低到最小，也可使所有用規(guī)則可以使網(wǎng)絡(luò)故障降低到最小，也可使所有用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)更加公平。戶對(duì)網(wǎng)絡(luò)的訪問(wèn)更加公平。 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)1. 安全管理的原則安全管理的原則 為了確保網(wǎng)絡(luò)系統(tǒng)安全，安全管理必須為了確保網(wǎng)絡(luò)系統(tǒng)安全，安全管理必須堅(jiān)持以下原則：堅(jiān)持以下原則： （1）多人負(fù)責(zé)原則）多人負(fù)責(zé)原則 （2）有限任期原則）有限任期原則 （3）職責(zé)分離原則）職責(zé)分離原則 （4）嚴(yán)格操作規(guī)程）嚴(yán)格操作規(guī)程 （5）系統(tǒng)安全監(jiān)測(cè)和審計(jì)制度）系統(tǒng)安全監(jiān)測(cè)和審計(jì)制度 （6）建立健全

22、系統(tǒng)維護(hù)制度）建立健全系統(tǒng)維護(hù)制度 （7）完善應(yīng)急措施）完善應(yīng)急措施 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)2. 健全安全管理機(jī)構(gòu)和制度健全安全管理機(jī)構(gòu)和制度 安全管理的制度安全管理的制度包括人事資源管理、資包括人事資源管理、資產(chǎn)物業(yè)管理、教育培訓(xùn)、資格認(rèn)證、人事考產(chǎn)物業(yè)管理、教育培訓(xùn)、資格認(rèn)證、人事考核鑒定制度、動(dòng)態(tài)運(yùn)行機(jī)制、日常工作規(guī)范核鑒定制度、動(dòng)態(tài)運(yùn)行機(jī)制、日常工作規(guī)范、崗位責(zé)任制度等。、崗位責(zé)任制度等。 建立健全網(wǎng)絡(luò)安全管理機(jī)構(gòu)和各項(xiàng)規(guī)章建立健全網(wǎng)絡(luò)安全管理機(jī)構(gòu)和各項(xiàng)規(guī)章制度，需要做好以下幾個(gè)方面：制度，需要做好以下幾個(gè)方面： （1）完善管理機(jī)構(gòu)和崗位責(zé)任制）完善管理機(jī)構(gòu)和

23、崗位責(zé)任制 （2）健全安全管理規(guī)章制度）健全安全管理規(guī)章制度 （3）堅(jiān)持合作交流制度）堅(jiān)持合作交流制度第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)3.1.4 安全管理防護(hù)體系及規(guī)范安全管理防護(hù)體系及規(guī)范1. 信息安全管理防護(hù)體系信息安全管理防護(hù)體系 信息安全管理體系是信息安全保障體系的信息安全管理體系是信息安全保障體系的一個(gè)重要組成部分。一個(gè)重要組成部分。信息安全管理體系框架是信息安全管理體系框架是從企事業(yè)單位業(yè)務(wù)系統(tǒng)安全管理的層面出發(fā)，從企事業(yè)單位業(yè)務(wù)系統(tǒng)安全管理的層面出發(fā)，按照多層防護(hù)的思想，為實(shí)現(xiàn)信息安全戰(zhàn)略而按照多層防護(hù)的思想，為實(shí)現(xiàn)信息安全戰(zhàn)略而搭建的。搭建的。2. 信息安全管理

24、規(guī)范信息安全管理規(guī)范 信息安全管理規(guī)范是為保障實(shí)現(xiàn)信息安全信息安全管理規(guī)范是為保障實(shí)現(xiàn)信息安全政策的各項(xiàng)目標(biāo)，制定的一系列管理規(guī)定和規(guī)政策的各項(xiàng)目標(biāo)，制定的一系列管理規(guī)定和規(guī)程，具有強(qiáng)制效力。程，具有強(qiáng)制效力。第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)2. 信息安全管理規(guī)范信息安全管理規(guī)范 信息安全管理規(guī)范所必需涉及的各項(xiàng)內(nèi)容信息安全管理規(guī)范所必需涉及的各項(xiàng)內(nèi)容包括：包括： (1) 信息安全人員管理信息安全人員管理 (2) 信息資產(chǎn)安全管理信息資產(chǎn)安全管理 (3) 第三方信息安全第三方信息安全 (4) 信息安全政策與標(biāo)準(zhǔn)管理信息安全政策與標(biāo)準(zhǔn)管理 (5) 數(shù)據(jù)文檔安全管理數(shù)據(jù)文檔安全管理

25、 (6) 應(yīng)用開(kāi)發(fā)維護(hù)安全管理應(yīng)用開(kāi)發(fā)維護(hù)安全管理 (7) 系統(tǒng)安全管理系統(tǒng)安全管理 (8) 網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理 (9) 物理安全管理物理安全管理第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)3.1.51. 信息安全管理政策信息安全管理政策 信息安全管理政策是企事業(yè)單位信息安全信息安全管理政策是企事業(yè)單位信息安全從管理層面對(duì)信息安全的一整套包含規(guī)定和常從管理層面對(duì)信息安全的一整套包含規(guī)定和常規(guī)的最高指導(dǎo)原則，是在信息安全戰(zhàn)略下為組規(guī)的最高指導(dǎo)原則，是在信息安全戰(zhàn)略下為組織管理、保護(hù)、和信息資源分派制定的原則。織管理、保護(hù)、和信息資源分派制定的原則。 信息安全管理政策是信息安全政策與標(biāo)準(zhǔn)

26、信息安全管理政策是信息安全政策與標(biāo)準(zhǔn)體系中最高層級(jí)的聲明，提供較廣泛的領(lǐng)導(dǎo)方體系中最高層級(jí)的聲明，提供較廣泛的領(lǐng)導(dǎo)方向以及說(shuō)明管理階層的目標(biāo)和目的。向以及說(shuō)明管理階層的目標(biāo)和目的。 信息安全管理政策通常以信息安全管理政信息安全管理政策通常以信息安全管理政策總則的形式發(fā)布，在信息安全戰(zhàn)略的基礎(chǔ)上策總則的形式發(fā)布，在信息安全戰(zhàn)略的基礎(chǔ)上確定單位信息安全管理的結(jié)構(gòu)、各項(xiàng)目標(biāo)和細(xì)確定單位信息安全管理的結(jié)構(gòu)、各項(xiàng)目標(biāo)和細(xì)化原則?；瓌t。 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)2. 信息安全功能性政策信息安全功能性政策 信息安全功能性政策是比較特定事項(xiàng)的信息安全功能性政策是比較特定事項(xiàng)的聲明，是

27、在信息安全管理政策下針對(duì)某特定聲明，是在信息安全管理政策下針對(duì)某特定管理需求建立的政策。管理需求建立的政策。 針對(duì)管理的特定需求給出明確的規(guī)定，針對(duì)管理的特定需求給出明確的規(guī)定，具體內(nèi)容包括：具體內(nèi)容包括： (1) 信息安全風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)管理 (2) 信息安全認(rèn)知信息安全認(rèn)知 (3) 信息安全組織信息安全組織 (4) 信息安全審計(jì)信息安全審計(jì) (5) 信息安全法律法規(guī)符合性信息安全法律法規(guī)符合性第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)3.2 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)1. 網(wǎng)絡(luò)安全管理技術(shù)概念網(wǎng)絡(luò)安全管理技術(shù)概念 網(wǎng)絡(luò)安全管理技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)安全管理技術(shù)是實(shí)現(xiàn)網(wǎng)

28、絡(luò)安全管理和維護(hù)的技術(shù)，需要利用多種網(wǎng)絡(luò)安全技術(shù)和設(shè)維護(hù)的技術(shù)，需要利用多種網(wǎng)絡(luò)安全技術(shù)和設(shè)備，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全、合理、有效和高效備，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全、合理、有效和高效的管理和維護(hù)。的管理和維護(hù)。 網(wǎng)絡(luò)安全管理技術(shù)一般需要實(shí)施一個(gè)基于網(wǎng)絡(luò)安全管理技術(shù)一般需要實(shí)施一個(gè)基于多層次多層次安全防護(hù)的策略和管理協(xié)議，將網(wǎng)絡(luò)訪安全防護(hù)的策略和管理協(xié)議，將網(wǎng)絡(luò)訪問(wèn)控制、入侵檢測(cè)、病毒檢測(cè)和網(wǎng)絡(luò)流量管理問(wèn)控制、入侵檢測(cè)、病毒檢測(cè)和網(wǎng)絡(luò)流量管理等安全技術(shù)應(yīng)用于內(nèi)網(wǎng)，進(jìn)行統(tǒng)一的管理和控等安全技術(shù)應(yīng)用于內(nèi)網(wǎng)，進(jìn)行統(tǒng)一的管理和控第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)制，各種安全技術(shù)彼此補(bǔ)充、相互配合，對(duì)

29、網(wǎng)制，各種安全技術(shù)彼此補(bǔ)充、相互配合，對(duì)網(wǎng)絡(luò)行為進(jìn)行檢測(cè)和控制，形成一個(gè)安全策略集絡(luò)行為進(jìn)行檢測(cè)和控制，形成一個(gè)安全策略集中管理、安全檢查機(jī)制分散布置的中管理、安全檢查機(jī)制分散布置的分布式安全分布式安全防護(hù)體系結(jié)構(gòu)防護(hù)體系結(jié)構(gòu)，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)進(jìn)行安全保護(hù)和管，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)進(jìn)行安全保護(hù)和管理。理。 監(jiān)控監(jiān)控和和審計(jì)審計(jì)與網(wǎng)絡(luò)管理密切相關(guān)的技術(shù)。與網(wǎng)絡(luò)管理密切相關(guān)的技術(shù)。監(jiān)控和審計(jì)是通過(guò)對(duì)網(wǎng)絡(luò)通信過(guò)程中可疑、有監(jiān)控和審計(jì)是通過(guò)對(duì)網(wǎng)絡(luò)通信過(guò)程中可疑、有害信息或行為進(jìn)行記錄為事后處理提供依據(jù)，害信息或行為進(jìn)行記錄為事后處理提供依據(jù)，從而對(duì)黑客形成一個(gè)強(qiáng)有力的威懾和最終達(dá)到從而對(duì)黑客形成一個(gè)強(qiáng)有力的威懾和最終

30、達(dá)到提高網(wǎng)絡(luò)整體安全性的目的。提高網(wǎng)絡(luò)整體安全性的目的。 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)2. 網(wǎng)絡(luò)管理新技術(shù)網(wǎng)絡(luò)管理新技術(shù) 目前，網(wǎng)絡(luò)正在向智能化、綜合化、標(biāo)準(zhǔn)化目前，網(wǎng)絡(luò)正在向智能化、綜合化、標(biāo)準(zhǔn)化發(fā)展，網(wǎng)絡(luò)管理技術(shù)也正在不斷發(fā)生新的變化，發(fā)展，網(wǎng)絡(luò)管理技術(shù)也正在不斷發(fā)生新的變化，新的網(wǎng)絡(luò)管理理念及技術(shù)正在不斷涌現(xiàn)。新的網(wǎng)絡(luò)管理理念及技術(shù)正在不斷涌現(xiàn)。 (1) 基于基于Web的網(wǎng)絡(luò)管理模式的網(wǎng)絡(luò)管理模式 （Web-Based Management，WBM） (2) 遠(yuǎn)程遠(yuǎn)程IT管理的整合式應(yīng)用管理的整合式應(yīng)用 (3) CORBA網(wǎng)絡(luò)安全管理技術(shù)（通用對(duì)象請(qǐng)網(wǎng)絡(luò)安全管理技術(shù)（

31、通用對(duì)象請(qǐng)求代理體系結(jié)構(gòu)，求代理體系結(jié)構(gòu)， CORBA） 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)1. 安全策略的制定與實(shí)施安全策略的制定與實(shí)施(1) 安全策略的制定安全策略的制定 安全策略安全策略是指在某個(gè)特定的環(huán)境中，為達(dá)是指在某個(gè)特定的環(huán)境中，為達(dá)到一定級(jí)別的安全保護(hù)需求所必須遵守的各種到一定級(jí)別的安全保護(hù)需求所必須遵守的各種規(guī)則和條例。安全策略是網(wǎng)絡(luò)安全管理過(guò)程的規(guī)則和條例。安全策略是網(wǎng)絡(luò)安全管理過(guò)程的重要內(nèi)容和方法。重要內(nèi)容和方法。 安全策略包括安全策略包括3 個(gè)重要組成部分：個(gè)重要組成部分：安全立安全立法、安全管理、安全技術(shù)法、安全管理、安全技術(shù)。 安全立法是第一層，有關(guān)網(wǎng)

32、絡(luò)安全的法律安全立法是第一層，有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)可以分為社會(huì)規(guī)范和技術(shù)規(guī)范；法規(guī)可以分為社會(huì)規(guī)范和技術(shù)規(guī)范； 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù) 安全管理是第二層，主要指一般的行政管安全管理是第二層，主要指一般的行政管理措施；理措施； 安全技術(shù)是第三層，是網(wǎng)絡(luò)安全的重要安全技術(shù)是第三層，是網(wǎng)絡(luò)安全的重要物質(zhì)技術(shù)基礎(chǔ)。物質(zhì)技術(shù)基礎(chǔ)。 (2) 安全策略的實(shí)施安全策略的實(shí)施 1) 重要的商務(wù)信息和軟件的安全存儲(chǔ)。重要的商務(wù)信息和軟件的安全存儲(chǔ)。 2) 對(duì)網(wǎng)絡(luò)系統(tǒng)及時(shí)安裝最新補(bǔ)丁軟件。對(duì)網(wǎng)絡(luò)系統(tǒng)及時(shí)安裝最新補(bǔ)丁軟件。 3) 安裝入侵檢測(cè)系統(tǒng)并實(shí)施監(jiān)視。安裝入侵檢測(cè)系統(tǒng)并實(shí)施監(jiān)視。 4

33、) 啟動(dòng)系統(tǒng)事件日志。啟動(dòng)系統(tǒng)事件日志。 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)2. 主機(jī)網(wǎng)絡(luò)安全防護(hù)主機(jī)網(wǎng)絡(luò)安全防護(hù)(1)(1) 與網(wǎng)絡(luò)安全采用安全防火墻、安全路由與網(wǎng)絡(luò)安全采用安全防火墻、安全路由器等在被保護(hù)主機(jī)之外的技術(shù)手段不同，器等在被保護(hù)主機(jī)之外的技術(shù)手段不同，主主機(jī)網(wǎng)絡(luò)安全所采用的技術(shù)手段通常在被保護(hù)機(jī)網(wǎng)絡(luò)安全所采用的技術(shù)手段通常在被保護(hù)的主機(jī)內(nèi)實(shí)現(xiàn)，并且一般為軟件形式。的主機(jī)內(nèi)實(shí)現(xiàn)，并且一般為軟件形式。因?yàn)橐驗(yàn)橹挥性诒槐Ｗo(hù)主機(jī)之上運(yùn)行的軟件，才能同只有在被保護(hù)主機(jī)之上運(yùn)行的軟件，才能同時(shí)獲得外部訪問(wèn)的網(wǎng)絡(luò)特性以及所訪問(wèn)資源時(shí)獲得外部訪問(wèn)的網(wǎng)絡(luò)特性以及所訪問(wèn)資源的操作系統(tǒng)特性。的操作系統(tǒng)特性。 第第3 3章章 網(wǎng)絡(luò)安全管理技術(shù)網(wǎng)絡(luò)安全管理技術(shù)2. 主機(jī)網(wǎng)絡(luò)安全防護(hù)主機(jī)網(wǎng)絡(luò)安全防護(hù)(2)(2) 應(yīng)用最為廣泛的此類產(chǎn)品有應(yīng)用最為廣泛的此類產(chǎn)品有Wietse Venema 開(kāi)開(kāi)發(fā)的共享軟件發(fā)的共享軟件TCP Wrapper。