3網(wǎng)絡(luò)安全管理概述

第3章網(wǎng)絡(luò)安全管理概論3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第1頁。目1234567錄3.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)3.2網(wǎng)絡(luò)安全的法律法規(guī)及電子證據(jù)與取證3.3網(wǎng)絡(luò)安全準則和風(fēng)險評估*3.4網(wǎng)絡(luò)安全管理原則及制度*3.5網(wǎng)絡(luò)安全策略及規(guī)劃3.6統(tǒng)一威脅管理UTM實驗3.7本章小結(jié)3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第2頁。3.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)3.1.1

OSI網(wǎng)絡(luò)安全體系結(jié)構(gòu)中國非常重視網(wǎng)絡(luò)安全管理工作。2014年2月27日，中共中央總書記、國家主席、中央軍委主席、中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組組長習(xí)近平主持召開中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議并發(fā)表重要講話。指出：網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題，要從國際國內(nèi)大勢出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國建設(shè)成為網(wǎng)絡(luò)強國。會議審議通過了《中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組工作規(guī)則》、《中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室工作細則》、《中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組2014年重點工作》，并研究了近期工作。習(xí)近平強調(diào)，網(wǎng)絡(luò)安全和信息化對一個國家很多領(lǐng)域都是牽一發(fā)而動全身的，要認清我們面臨的形勢和任務(wù)，充分認識做好工作的重要性和緊迫性，因勢而謀，應(yīng)勢而動，順勢而為。案例3-13網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第3頁。3.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)3.1.1

OSI網(wǎng)絡(luò)安全體系結(jié)構(gòu)1．OSI網(wǎng)絡(luò)安全體系結(jié)構(gòu)OSI參考模型是國際標準化組織（ISO）為解決異種機互聯(lián)而制定的開放式計算機網(wǎng)絡(luò)層次結(jié)構(gòu)模型。OSI安全體系結(jié)構(gòu)主要包括網(wǎng)絡(luò)安全機制和網(wǎng)絡(luò)安全服務(wù)兩個方面。（1）網(wǎng)絡(luò)安全服務(wù)在《網(wǎng)絡(luò)安全體系結(jié)構(gòu)》文件中規(guī)定的網(wǎng)絡(luò)安全服表3-1防范典型網(wǎng)絡(luò)威脅的安全服務(wù)務(wù)有5項：網(wǎng)絡(luò)威脅安全服務(wù)假冒攻擊鑒別服務(wù)竊聽攻擊數(shù)據(jù)保密性服務(wù)完整性破壞數(shù)據(jù)完整性服務(wù)服務(wù)否認可審查性服務(wù)。

非授權(quán)侵犯訪問控制服務(wù)3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第4頁。3.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)（2）網(wǎng)絡(luò)安全機制在ISO7498-2《網(wǎng)絡(luò)安全體系結(jié)構(gòu)》文件中規(guī)定的網(wǎng)絡(luò)安全機制有8項：加密機制、數(shù)字簽名機制、訪問控制機制、數(shù)據(jù)完整性機制、鑒別交換機制、信息量填充機制、路由控制機制和公證機制。表3-3安全服務(wù)與安全機制的關(guān)系安全服務(wù)鑒別協(xié)議層加密√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√數(shù)字簽名訪問控制數(shù)據(jù)完整性√認證交換業(yè)務(wù)流填充公證對等實體鑒別數(shù)據(jù)源發(fā)鑒別訪問控制據(jù)數(shù)連接保密性保無連接保密性密性選擇字段保密性業(yè)務(wù)流保密性可恢復(fù)的連接完整性數(shù)據(jù)不可恢復(fù)的連接完整性完選擇字段的連接完整性整性無連接完整性選擇字段的無連接完整性可數(shù)據(jù)源發(fā)證明的可審查性審查交付證明的可審查性性3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第5頁。3.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)2.TCP/IP網(wǎng)絡(luò)安全管理體系TCP/IP網(wǎng)絡(luò)安全管理體系結(jié)構(gòu)，如圖3-1所示。包括三個方面：分層安全管理、安全服務(wù)與機制、系統(tǒng)安全管理。圖3-1TCP/IP網(wǎng)絡(luò)安全管理體系結(jié)構(gòu)3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第6頁。3.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)3.網(wǎng)絡(luò)安全管理體系及過程網(wǎng)絡(luò)安全管理是為保證網(wǎng)絡(luò)安全所采取的管理舉措和過程，其目的是保證網(wǎng)絡(luò)系統(tǒng)的可靠性、完整性和可用性，以及網(wǎng)絡(luò)系統(tǒng)中信息資源的保密性、完整性、可用性、可控性和可審查性達到用戶需求的規(guī)定要求和水平。網(wǎng)絡(luò)安全管理體系（NetworkSecurityManagementSystem，NSMS）是基于計算機網(wǎng)絡(luò)安全風(fēng)險管理的措施、策略和機制，以及建立、實施、運行、監(jiān)視、評審、保持和改進網(wǎng)絡(luò)安全的一套體系，是整個網(wǎng)絡(luò)管理體系的一部分，管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責、實踐、程序、過程和資源。網(wǎng)絡(luò)安全管理的具體對象：包括涉及的機構(gòu)、人員、軟件、設(shè)備、場地設(shè)施、介質(zhì)、涉密信息、技術(shù)文檔、網(wǎng)絡(luò)連接、門戶網(wǎng)站、應(yīng)急恢復(fù)、安全審計等。網(wǎng)絡(luò)安全管理的功能包括：計算機網(wǎng)絡(luò)的運行、管理、維護、提供服務(wù)等所需要的各種活動,可概括為OAM&P。3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第7頁。3.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)3.網(wǎng)絡(luò)安全管理體系及過程網(wǎng)絡(luò)安全管理工作的程序，遵循如下PDCA循環(huán)模式的4個基本過程：（1）制定規(guī)劃和計劃（Plan）。（2）落實執(zhí)行（Do）。（3）監(jiān)督檢查（Check）。（4）評價行動（Action）。安全管理模型——PDCA持續(xù)改進模式如圖3-2所示。圖3-2安全管理模型——PDCA持續(xù)改進模式3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第8頁。3.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)拓展閱讀：網(wǎng)絡(luò)安全技術(shù)必須與安全管理緊密結(jié)合。國際標準化組織ISO在ISO/IEC7498-4文檔中，定義了開放系統(tǒng)網(wǎng)絡(luò)管理的五大功能：故障管理功能、配置管理功能、性能管理功能、安全管理功能和審計與計費管理功能。案例3-2中國電信網(wǎng)絡(luò)安全管理平臺建設(shè)。為了提高中國電信網(wǎng)絡(luò)安全管理能力，實現(xiàn)中國電信網(wǎng)絡(luò)集中化、體系化、層次化的安全管理，中國電信集團已經(jīng)針對ChinaNet在集團公司和江蘇兩地完成了網(wǎng)絡(luò)安全管理平臺（SOC）的試點建設(shè)。主要針對全網(wǎng)近萬臺路由器、多個業(yè)務(wù)平臺、多個網(wǎng)管系統(tǒng)，而且這些系統(tǒng)的賬號管理分散，賬號及口令分配、回收、增加、刪除等操作較混亂且存在安全隱患，對外來用戶的賬號口令缺乏有效管理。需要對SOC平臺升級集中的用戶認證、口令管理功能，采用動態(tài)密碼技術(shù)，并加強密碼管理。根據(jù)工信部要求，還需要審計追溯功能。SOC平臺可在全局層面統(tǒng)一實現(xiàn)IP網(wǎng)安全策略，對全局資源進行統(tǒng)一調(diào)度，協(xié)同對各種網(wǎng)絡(luò)安全問題進行有效防范和處理,并實現(xiàn)對C網(wǎng)分組域和部分C網(wǎng)業(yè)務(wù)平臺的安全管理,有利于中國電信IP網(wǎng)的健康、穩(wěn)定、安全運營。3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第9頁。3.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)3.1.2網(wǎng)絡(luò)安全保障體系1．網(wǎng)絡(luò)安全整體保障體系計算機網(wǎng)絡(luò)安全的整體保障作用，主要體現(xiàn)在整個系統(tǒng)生命周期對風(fēng)險進行整體的管理、應(yīng)對和控制。網(wǎng)絡(luò)安全整體保障體系如圖3-3所示。圖3-3網(wǎng)絡(luò)安全整體保障體系3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第10頁。3.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全保障關(guān)鍵要素包括四個方面：網(wǎng)絡(luò)安全策略、網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全運作和網(wǎng)絡(luò)安全技術(shù),如圖3-4所示.“七分管理，三分技術(shù)，運作貫穿始終”，管理是關(guān)鍵，技術(shù)是保障,其中的管理應(yīng)包括管理技術(shù)。與美國ISS公司提出的動態(tài)網(wǎng)絡(luò)安全體系的代表模型的雛形P2DR相似。該模型包含4個主要部分：Policy(安全策略)、Protection(防護)、Detection(檢測)和Response(響應(yīng))。如圖3-5所示圖3-4網(wǎng)絡(luò)安全保障因素圖3-5P2DR模型示意圖3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第11頁。3.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)2．網(wǎng)絡(luò)安全保障總體框架結(jié)構(gòu)網(wǎng)絡(luò)安全保障體系總體框架結(jié)構(gòu)如圖3-6所示。此保障體系框架的外圍是風(fēng)險管理、法律法規(guī)、標準的符合性。圖3-6網(wǎng)絡(luò)安全保障體系框架結(jié)構(gòu)3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第12頁。3.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)風(fēng)險管理指在對風(fēng)險的可能性和不確定性等因素,進行收集、分析、評估、預(yù)測的基礎(chǔ)上，制定的識別、衡量、積極應(yīng)對、有效處置風(fēng)險及妥善處理風(fēng)險等一整套系統(tǒng)而科學(xué)的管理方法，以避免和減少風(fēng)險損失。網(wǎng)絡(luò)安全管理的本質(zhì)是對信息安全風(fēng)險的動態(tài)有效管理和控制.風(fēng)險管理是企業(yè)運營管理核心,風(fēng)險分為信用風(fēng)險市場風(fēng)險和操作風(fēng)險,其中包括信息安全風(fēng)險.實際上,在網(wǎng)絡(luò)信息安全保障體系框架中,充分體現(xiàn)了風(fēng)險管理理念.網(wǎng)絡(luò)安全保障體系架構(gòu)包括五個部分：1)網(wǎng)絡(luò)安全策略:核心理念-長遠規(guī)劃和戰(zhàn)略考慮網(wǎng)絡(luò)建設(shè)安全2)網(wǎng)絡(luò)安全政策和標準-對1)逐層細化落實-3個層面3)網(wǎng)絡(luò)安全運作-日常運作模式及其概念性流程4)網(wǎng)絡(luò)安全管理討論思考：5)網(wǎng)絡(luò)安全技術(shù)（1）網(wǎng)絡(luò)安全保障包括哪四個方面？（2）信息安全保障體系架構(gòu)包括哪五個部分？（3）網(wǎng)絡(luò)管理與安全技術(shù)的結(jié)合方式有哪些？3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第13頁。3.2網(wǎng)絡(luò)安全的法律法規(guī)3.2.1國外相關(guān)的法律法規(guī)1.國際合作立法打擊網(wǎng)絡(luò)犯罪20世紀90年代以來，很多國家為了有效打擊利用計算機網(wǎng)絡(luò)進行的各種違反犯罪活動，都采取了法律手段。分別頒布《網(wǎng)絡(luò)刑事公約》（歐盟）,《信息技術(shù)法》（印度）,《計算機反欺詐與濫用法》等。歐盟、印度、美國。2.保護數(shù)字化技術(shù)的法律1996年12月,世界知識產(chǎn)權(quán)組織做出了“禁止擅自破解他人數(shù)字化技術(shù)保護措施”的規(guī)定。歐盟、日本、美國等國家都作為一種網(wǎng)絡(luò)安全保護規(guī)定，納入本國法律。3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第14頁。3.2網(wǎng)絡(luò)安全的法律法規(guī)3.規(guī)范“電子商務(wù)”的法律在1996年12月聯(lián)合國第51次大會上，通過了聯(lián)合國貿(mào)易法委員會的《電子商務(wù)示范法》，對于網(wǎng)絡(luò)市場中的數(shù)據(jù)電文、網(wǎng)上合同成立及生效的條件，傳輸?shù)葘ｍ楊I(lǐng)域的電子商務(wù)等，“電子商務(wù)”規(guī)范成為一個主要議題。4.其他相關(guān)的法律法規(guī)-韓國實名制，西歐和日本-責任/簽名法5.民間管理、行業(yè)自律及道德規(guī)范-行業(yè)規(guī)范-網(wǎng)絡(luò)巡警3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第15頁。3.2網(wǎng)絡(luò)安全的法律法規(guī)3.2.2我國相關(guān)的法律法規(guī)網(wǎng)絡(luò)犯罪案件非常猖獗。瑞星公司曾在發(fā)布的《中國電腦病毒疫情互聯(lián)網(wǎng)安全報告》稱,黑客除了通過木馬程序竊取他人隱私外,更多的是謀求經(jīng)濟利益,木馬病毒背后所帶來的巨大的經(jīng)濟利益催生了病毒“工業(yè)化”入侵的進程，并形成了數(shù)億元的產(chǎn)業(yè)鏈?！靶茇垷恪钡某绦蛟O(shè)計者李俊,被警方抓獲后,承認自己每天入賬收入近萬元，共獲利上千萬元。騰訊QQ密碼被盜成為黑客的重災(zāi)區(qū),高峰時騰訊每天約有10萬人次反映QQ密碼被盜。一著名網(wǎng)絡(luò)游戲公司遭到長達10天網(wǎng)絡(luò)攻擊，服務(wù)器全面癱瘓,其經(jīng)營的網(wǎng)絡(luò)游戲被迫停止,損失高達3460萬元人民幣。案例3-3我國從網(wǎng)絡(luò)安全管理的需要出發(fā)，從20世紀90年代初開始，國家及相關(guān)部門、行業(yè)和地方政府相繼制定了多項有關(guān)的法律法規(guī)。我國網(wǎng)絡(luò)安全立法體系分為以下三個層面：第一層面:法律.全國人民代表大會及其常委會通過的法律規(guī)范。憲法-刑法-刑事訴訟法-治安管理處罰條例-國家安全法第二個層面：行政法規(guī)。主要指國務(wù)院為執(zhí)行憲法和法律而制定的法律規(guī)范。

-計算機信息系統(tǒng)安全保護條例，計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定、保護管理辦法、密碼管理條例、電信條例、互聯(lián)網(wǎng)信息服務(wù)管理辦法、計算機軟件保護條例等3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第16頁。3.2網(wǎng)絡(luò)安全的法律法規(guī)3.2.2我國相關(guān)的法律法規(guī)第三個層面：地方性法規(guī)、規(guī)章、規(guī)范性文件公安部制定的《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計算機病毒防治管理辦法》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《關(guān)于開展計算機安全員培訓(xùn)工作的通知》等。工業(yè)和信息化部制定的《互聯(lián)網(wǎng)電戶公告服務(wù)管理規(guī)定》《軟件產(chǎn)品管理辦法》《計算機信息系統(tǒng)集成資質(zhì)管理辦法》《國際通信出入口局管理辦法》、《國際通信設(shè)施建設(shè)管理規(guī)定》、《中國互聯(lián)網(wǎng)絡(luò)域名管理辦法》《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》等。討論思考：（1）為什么說法律法規(guī)是網(wǎng)絡(luò)安全體系的重要保障和基石？（2）國外的網(wǎng)絡(luò)安全法律法規(guī)對我們有何啟示？（3）我國網(wǎng)絡(luò)安全立法體系框架分為哪三個層面？3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第17頁。3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第18頁。3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第19頁。

3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第20頁。3.2網(wǎng)絡(luò)安全的法律法規(guī)1.電子證據(jù)的概念及種類

1）電子證據(jù)(DigitalEvidence)是指基于電子技術(shù)生成、以數(shù)字化形式存在于磁盤、光盤、存儲卡、手機等各種電子設(shè)備載體，其內(nèi)容可與載體分離，并可多次復(fù)制到其他載體的文件。概括了“電子證據(jù)”的三個基本特征：①數(shù)字化的存在形式；②不固定依附特定的載體；③可以多次原樣復(fù)制。并具有無形性、多樣性、客觀真實性、易破壞性等特征。2）電子證據(jù)的種類。分為:①字處理文件。利用文字處理系統(tǒng)形成的文件。各種生成的文件不能兼容，使用不同代碼規(guī)則形成的文件也不能直接讀取。所有這些軟件、系統(tǒng)、代碼連同文本內(nèi)容一起，構(gòu)成了字處理文件的基本要素。②圖形處理文件。由專門的軟件系統(tǒng)輔助設(shè)計或輔助制造的圖形數(shù)據(jù)，通過圖形可直觀了解非連續(xù)性數(shù)據(jù)間的關(guān)系，使復(fù)雜信息變得生動明晰。③數(shù)據(jù)庫文件。由原始數(shù)據(jù)記錄所組成的文件，只有經(jīng)過整理匯總后，才具有實際用途和價值。④程序文件。計算機是人機交流工具，軟件由若干個程序文件組成。⑤影音像文件。3.2.3電子證據(jù)與取證技術(shù)3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第21頁。3.2網(wǎng)絡(luò)安全的法律法規(guī)2.電子證據(jù)收集處理與提交1）電子證據(jù)收集。2）電于數(shù)據(jù)的監(jiān)測技術(shù)。3）保全技術(shù)。4）電子證據(jù)處理及鑒定技術(shù)。5）電子證據(jù)提交技術(shù)。3.計算機取證技術(shù)1）計算機取證的法律效力。2）電子證據(jù)的真實性。3）電子證據(jù)的證明力。4）計算機取證設(shè)備和工具。【注意】在計算機取證工具中可能存在兩類錯誤：工具執(zhí)行錯誤和提取錯誤。3.2.3電子證據(jù)與取證技術(shù)3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第22頁。3.3網(wǎng)絡(luò)安全準則和風(fēng)險評估3.3.1國外網(wǎng)絡(luò)安全評價標準1.美國TCSEC(橙皮書)1983年由美國國防部制定的5200.28安全標準——可信計算系統(tǒng)評價準則TCSEC，即網(wǎng)絡(luò)安全橙皮書或桔皮書，主要利用計算機安全級別評價計算機系統(tǒng)的安全性。它將安全分為4個方面（類別）：安全政策、可說明性、安全保障和文檔。將這4個方面（類別）又分為7個安全級別，從低到高為D、C1、C2、B1、B2、B3和A級。數(shù)據(jù)庫和網(wǎng)絡(luò)其他子系統(tǒng)也一直用橙皮書來進行評估。橙皮書將安全的級別從低到高分成4個類別：D類、C類、B類和A類，并分為7個級別。如表3-1所示。3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第23頁。3.3網(wǎng)絡(luò)安全準則和風(fēng)險評估3.3.1國外網(wǎng)絡(luò)安全評估標準表3-1安全級別分類類別DC級別DC1C2B1名稱低級保護自主安全保護受控存儲控制標識的安全保護結(jié)構(gòu)化保護安全區(qū)域驗證設(shè)計沒有安全保護自主存儲控制主要特征單獨的可查性，安全標識強制存取控制，安全標識面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力存取監(jiān)控、高抗?jié)B透能力形式化的最高級描述和驗證BB2B3AA3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第24頁。3.3網(wǎng)絡(luò)安全準則和風(fēng)險評估2．歐洲評價標準ITSEC信息技術(shù)安全評估標準ITSEC，俗稱歐洲的白皮書，將保密作為安全增強功能，僅限于闡述技術(shù)安全要求，并未將保密措施直接與計算機功能相結(jié)合。ITSEC是歐洲的英國、法國、德國和荷蘭等四國在借鑒橙皮書的基礎(chǔ)上聯(lián)合提出的。橙皮書將保密作為安全重點，而ITSEC則將首次提出的完整性、可用性與保密性作為同等重要的因素，并將可信計算機的概念提高到可信信息技術(shù)的高度。3．通用評價標準(CC)信息技術(shù)安全通用評價標準CC（CommonCriteriaforITSecurityEvaluation）由美國、加拿大、英國、法國、德國、荷蘭于1996年聯(lián)合提出，并逐漸形成國際標準ISO15408。網(wǎng)絡(luò)安全評價標準形成與發(fā)展過程，如圖3-7所示3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第25頁。3.3網(wǎng)絡(luò)安全準則和風(fēng)險評估3．通用評估準則(CC)通用評估準則CC主要確定了評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準則，提出了國際上公認的表述信息技術(shù)安全性的結(jié)構(gòu)，將安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求，以及解決如何正確有效的實施這些功能的保證要求。CC結(jié)合了FC及ITSEC的主要特征，強調(diào)將網(wǎng)絡(luò)信息安全的功能與保障分離，將功能需求分為9類63族，將保障分為7類29族。CC的先進性體現(xiàn)在其結(jié)構(gòu)的開放性、表達方式的通用性，以及結(jié)構(gòu)及表達方式的內(nèi)在完備性和實用性四個方面。目前，中國評估中心主要采用CC等進行評估，具體內(nèi)容及應(yīng)用可以查閱相關(guān)網(wǎng)站。圖3-7網(wǎng)絡(luò)安全評價標準發(fā)展過程3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第26頁。3.3網(wǎng)絡(luò)安全準則和風(fēng)險評估4．ISO安全體系結(jié)構(gòu)標準國際標準ISO7498-2-1989《信息處理系統(tǒng)·開放系統(tǒng)互連、基本模型第2部分安全體系結(jié)構(gòu)》，為開放系統(tǒng)標準建立框架。主要用于提供網(wǎng)絡(luò)安全服務(wù)與有關(guān)機制的一般描述，確定在參考模型內(nèi)部可提供這些服務(wù)與機制。提供了網(wǎng)絡(luò)安全服務(wù)，如表3-5所示。表3-5ISO提供的安全服務(wù)服務(wù)身份驗證訪問控制數(shù)據(jù)保密數(shù)據(jù)完整性抗否認性用途身份驗證是證明用戶及服務(wù)器身份的過程用戶身份一經(jīng)過驗證就發(fā)生訪問控制，這個過程決定用戶可以使用、瀏覽或改變哪些系統(tǒng)資源這項服務(wù)通常使用加密技術(shù)保護數(shù)據(jù)免于未授權(quán)的泄露，可避免被動威脅這項服務(wù)通過檢驗或維護信息的一致性，避免主動威脅否認是指否認參加全部或部分事務(wù)的能力，抗否認服務(wù)提供關(guān)于服務(wù)、過程或部分信息的起源證明或發(fā)送證明。3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第27頁。3.3網(wǎng)絡(luò)安全評估準則和測評

目前，國際上通行的與網(wǎng)絡(luò)信息安全有關(guān)標準可分為3類，如圖所示。圖

有關(guān)網(wǎng)絡(luò)和信息安全標準種類

3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第28頁。3.3網(wǎng)絡(luò)安全準則和風(fēng)險評估3.3.2國內(nèi)網(wǎng)絡(luò)安全評價準則1．系統(tǒng)安全保護等級劃分準則1999年國家質(zhì)量技術(shù)監(jiān)督局批準發(fā)布系統(tǒng)安全保護等級劃分準則,依據(jù)GB-17859《計算機信息系統(tǒng)安全保護等級劃分準則》和GA-163《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》等文件,將系統(tǒng)安全保護劃分為5個級別,如表3-6所示。表3-6我國計算機系統(tǒng)安全保護等級劃分描等級第一級第二級第三級第四級名稱用戶自我保護級系統(tǒng)審計保護級安全標記保護級結(jié)構(gòu)化保護級述安全保護機制可以使用戶具備安全保護的能力，保護用戶信息免受非法的讀寫破壞。除具備第一級所有的安全保護功能外，要求創(chuàng)建和維護訪問的審計跟蹤記錄，使所有用戶對自身行為的合法性負責除具備前一級所有的安全保護功能外，還要求以訪問對象標記的安全級別限制訪問者的權(quán)限，實現(xiàn)對訪問對象的強制訪問除具備前一級所有的安全保護功能外，還將安全保護機制劃分為關(guān)鍵部分和非關(guān)鍵部分，對關(guān)鍵部分可直接控制訪問者對訪問對象的存取，從而加強系統(tǒng)的抗?jié)B透能力除具備前一級所有的安全保護功能外，還特別增設(shè)了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問第五級訪問驗證保護級3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第29頁。3.3網(wǎng)絡(luò)安全準則和風(fēng)險評估我國實施信息安全等級保護。中國從2002年以來，提出有關(guān)信息安全實施等級保護問題，經(jīng)過專家多次反復(fù)論證研究，相關(guān)制度得到不斷細化和完善。

2006年公安部修改制訂并實施《信息安全等級保護管理辦法（試行）》。將我國信息安全分五級防護，第一至五級分別為：自主保護級、指導(dǎo)保護級、監(jiān)督保護級、強制保護級和專控保護級案例3-42．我國信息安全標準化情況中國信息安全標準化建設(shè)，主要按照國務(wù)院授權(quán)，在國家質(zhì)量監(jiān)督檢驗檢疫總局管理下，由國家標準化管理委員會統(tǒng)一管理標準化工作，下設(shè)有255個專業(yè)技術(shù)委員會。從20世紀80年代開始，積極借鑒國際標準，制定了一批中國信息安全標準和行業(yè)標準。從1985年發(fā)布第一個有關(guān)信息安全方面的標準以來，已制定、報批和發(fā)布近百個有關(guān)信息安全技術(shù)、產(chǎn)品、評估和管理的國家標準，并正在制定和完善新的標準。3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第30頁。3.3網(wǎng)絡(luò)安全準則和風(fēng)險評估3.3.3網(wǎng)絡(luò)安全的風(fēng)險評估1.網(wǎng)絡(luò)安全風(fēng)險評估目的和方法1)網(wǎng)絡(luò)安全評估目的網(wǎng)絡(luò)安全評估目的包括：(1)搞清企事業(yè)機構(gòu)具體信息資產(chǎn)的實際價值及狀況；(2)確定機構(gòu)具體信息資源的安全風(fēng)險程度；(3)通過調(diào)研分析搞清網(wǎng)絡(luò)系統(tǒng)存在的漏洞隱患及狀況;(4)明確與該機構(gòu)信息資產(chǎn)有關(guān)的風(fēng)險和需要改進之處;(5)提出改變現(xiàn)狀的建議和方案，使風(fēng)險降到可最低；(6)為構(gòu)建合適的安全計劃和策略做好準備。圖3-9網(wǎng)絡(luò)系統(tǒng)風(fēng)險評估要素關(guān)系圖3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第31頁。3.3網(wǎng)絡(luò)安全準則和風(fēng)險評估2)網(wǎng)絡(luò)安全風(fēng)險評估類型一般通用的評估類型分為5個：(1)系統(tǒng)級漏洞評估。(2)網(wǎng)絡(luò)級風(fēng)險評估。(3)機構(gòu)的風(fēng)險評估。

(4)實際入侵測試。(5)審計。3)評估方法、過程及工具收集信息有3個基本信息源：調(diào)研對象、文本查閱和物理檢驗。調(diào)研對象主要是與現(xiàn)有系統(tǒng)安全和組織實施相關(guān)人員，重點是熟悉情況和管理者。評估方法：網(wǎng)絡(luò)安全威脅隱患與態(tài)勢評估方法、模糊綜合風(fēng)險評估法、基于弱點關(guān)聯(lián)和安全需求的網(wǎng)絡(luò)安全評估方法、基于失效樹分析法的網(wǎng)絡(luò)安全風(fēng)險狀態(tài)評估方法、貝葉斯網(wǎng)絡(luò)安全評估方法等，具體方法可通過網(wǎng)絡(luò)查閱。風(fēng)險評估與管理工具。大部分是基于某種標準方法或某組織自行開發(fā)的評估方法，可以有效地通過輸入數(shù)據(jù)來分析風(fēng)險，給出對風(fēng)險的評價并推薦控制風(fēng)險的安全措施。3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第32頁。3.3網(wǎng)絡(luò)安全準則和風(fēng)險評估2．網(wǎng)絡(luò)安全評估標準和內(nèi)容(1)

2．評估標準和內(nèi)容依據(jù)和標準。

(3)評估內(nèi)容。評估因素-設(shè)備環(huán)境-質(zhì)量安全可靠性-運行環(huán)境-管理員3.網(wǎng)絡(luò)安全策略評估

(1)評估事項。

(2)評估方法。

(3)評估結(jié)論。4.網(wǎng)絡(luò)實體安全評估

(1)評估項目。

(2)評估方法。

(3)評估結(jié)論。5.網(wǎng)絡(luò)體系的安全性評估1)網(wǎng)絡(luò)隔離的安全性評估

(1)評估項目。

(2)評估方法。

(3)評估結(jié)論。

2)網(wǎng)絡(luò)系統(tǒng)配置安全性評估

(1)評估項目

(2)評估方法和工具.(3)評估結(jié)論。3)網(wǎng)絡(luò)防護能力評估

4)服務(wù)的安全性評估

5)應(yīng)用系統(tǒng)的安全性評估網(wǎng)絡(luò)設(shè)施-配電-服務(wù)器-交換機-路由-主機房-工作站-運行環(huán)境用網(wǎng)絡(luò)規(guī)劃及設(shè)計報告-安全需求分析報告,風(fēng)險評估報告,安全目標-策略有效性圖3-10網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險評估流程圖3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第33頁。3.3網(wǎng)絡(luò)安全準則和風(fēng)險評估6.網(wǎng)絡(luò)安全服務(wù)的評估

(1)評估項目。(2)評估方法。(3)評估結(jié)論。

7.病毒防護安全性評估

(1)評估項目。(2)評估方法。(3)評估結(jié)論。

8.審計的安全性評估

(1)評估項目.(2)評估方法。(3)評估結(jié)論。

9.備份的安全性評估

(1)評估項目。(2)評估方法。(3)評估結(jié)論。

10.緊急事件響應(yīng)評估

(1)評估項目。(2)評估方法。(3)評估結(jié)論。11.網(wǎng)絡(luò)安全組織和管理評估

(1)評估項目(2)評估方法(3)評估結(jié)論討論思考：（1）橙皮書將安全的級別從低到高分成哪4個類別和7個級別？（2）國家將計算機安全保護劃分為哪5個級別？（3）網(wǎng)絡(luò)安全評估方法主要有哪些？3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第34頁。*3.4網(wǎng)絡(luò)安全管理原則及制度3.4.1網(wǎng)絡(luò)安全管理的基本原則為了加強網(wǎng)絡(luò)系統(tǒng)安全,網(wǎng)絡(luò)安全管理應(yīng)堅持基本原則:l）多人負責原則2)有限任期原則3)職責分離原則4)嚴格操作規(guī)程5）系統(tǒng)安全監(jiān)測和審計制度6）建立健全系統(tǒng)維護制度7）完善應(yīng)急措施另將網(wǎng)絡(luò)安全指導(dǎo)原則概括為4個方面：適度公開原則、動態(tài)更新與逐步完善原則、通用性原則、合規(guī)性原則。3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第35頁。3.4網(wǎng)絡(luò)安全管理原則及制度3.4.2網(wǎng)絡(luò)安全管理制度網(wǎng)絡(luò)安全管理的制度：人事資源管理、資產(chǎn)物業(yè)管理、教育培訓(xùn)、資格認證、人事考核鑒定制度、動態(tài)運行機制、日常工作規(guī)范、崗位責任制度等。1．建立健全管理機構(gòu)和責任制計算機網(wǎng)絡(luò)系統(tǒng)的安全涉及整個系統(tǒng)和機構(gòu)的安全、效益及聲譽.系統(tǒng)安全保密工作最好由單位主要領(lǐng)導(dǎo)負責,必要時設(shè)置專門機構(gòu).重要單位、要害部門安全保密工作分別由安全、保密、保衛(wèi)和技術(shù)部門分工負責.2．完善安全管理規(guī)章制度常用的網(wǎng)絡(luò)安全管理規(guī)章制度包括7個方面：（1）系統(tǒng)運行維護管理制度。（2）計算機處理控制管理制度。（3）文檔資料管理。（4）操作及管理人員的管理制度。（5)機房安全管理規(guī)章制度。（6）其他的重要管理制度。（7）風(fēng)險分析及安全培訓(xùn)。3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第36頁。3.4網(wǎng)絡(luò)安全管理原則及制度所有領(lǐng)導(dǎo)機構(gòu)、重要計算機系統(tǒng)的安全組織機構(gòu)，包括安全審查機構(gòu)、安全決策機構(gòu)、安全管理機構(gòu)，都要建立和健全各項規(guī)章制度。完善專門的安全防范組織和人員。制定人員崗位責任制，嚴格紀律、管理和分工。專職安全管理員負責安全策略的實施與更新。安全審計員監(jiān)視系統(tǒng)運行情況，收集對系統(tǒng)資源的各種非法訪問事件，并進行記錄、分析、處理和上報。保安人員負責非技術(shù)性常規(guī)安全工作，如系統(tǒng)場所的警衛(wèi)、辦公安全、出入門驗證等。3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第37頁。3.5網(wǎng)絡(luò)安全管理原則及制度3．堅持合作交流制度互聯(lián)網(wǎng)安全人人責任，網(wǎng)絡(luò)商更負有重要責任。應(yīng)加強與相關(guān)業(yè)務(wù)往來單全機構(gòu)的合作與交流，密切配合共同維護網(wǎng)絡(luò)安全，及時獲得必要的安全管理信息和專業(yè)技術(shù)支持與更新。國內(nèi)外也應(yīng)進一步加強交流與合作，拓寬國際合作渠道，建立政府、網(wǎng)絡(luò)安全機構(gòu)、行業(yè)組織及企業(yè)之間多層次、多渠道、齊抓共管的合作機制。討論思考：（1）網(wǎng)絡(luò)安全管理必須堅持哪些原則？（2）網(wǎng)絡(luò)安全指導(dǎo)原則主要包括哪4個方面？（3）建立健全網(wǎng)絡(luò)安全管理機構(gòu)和規(guī)章制度，需要做好哪些方面？3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第38頁。*3.5網(wǎng)絡(luò)安全策略及規(guī)劃3.5.1網(wǎng)絡(luò)安全策略概述網(wǎng)絡(luò)安全策略是在指定安全區(qū)域內(nèi)，與安全活動有關(guān)的一系列規(guī)則和條例，包括對企業(yè)各種網(wǎng)絡(luò)服務(wù)的安全層次和權(quán)限的分類，確定管理員的安全職責，主要涉及4個方面：實體安全策略、訪問控制策略、信息加密策略和網(wǎng)絡(luò)安全管理策略。1．網(wǎng)絡(luò)安全策略總則網(wǎng)絡(luò)安全策略包括總體安全策略和具體安全管理實施細則。1）均衡性原則2）時效性原則3）最小限度原則3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第39頁。*3.5網(wǎng)絡(luò)安全策略及規(guī)劃2．安全策略的內(nèi)容根據(jù)不同的安全需求和對象，可以確定不同的安全策略。主要包括入網(wǎng)訪問控制策略、操作權(quán)限控制策略、目錄安全控制策略、屬性安全控制策略、網(wǎng)絡(luò)服務(wù)器安全控制策略、網(wǎng)絡(luò)監(jiān)測、鎖定控制策略和防火墻控制策略等8個方面的內(nèi)容。同時側(cè)重：1）實體與運行環(huán)境安全2）網(wǎng)絡(luò)連接安全3）操作系統(tǒng)安全4）網(wǎng)絡(luò)服務(wù)安全5）數(shù)據(jù)安全6）安全管理責任7）網(wǎng)絡(luò)用戶安全責任3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第40頁。*3.5網(wǎng)絡(luò)安全策略及規(guī)劃3．網(wǎng)絡(luò)安全策略的制定與實施1)網(wǎng)絡(luò)安全策略的制定安全策略是網(wǎng)絡(luò)安全管理過程的重要內(nèi)容和方法。網(wǎng)絡(luò)安全策略包括3個重要組成部分：安全立法、安全管理、安全技術(shù)。2)安全策略的實施(1)存儲重要數(shù)據(jù)和文件。(2)及時更新加固系統(tǒng)。(3)加強系統(tǒng)檢測與監(jiān)控。(4)做好系統(tǒng)日志和審計。3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第41頁。*3.5網(wǎng)絡(luò)安全策略及規(guī)劃3.5.2網(wǎng)絡(luò)安全規(guī)劃基本原則網(wǎng)絡(luò)安全規(guī)劃的主要內(nèi)容：規(guī)劃基本原則、安全管理控制策略、安全組網(wǎng)、安全防御措施、審計和規(guī)劃實施等。規(guī)劃種類較多，其中，網(wǎng)絡(luò)安全建設(shè)規(guī)劃可以包括：指導(dǎo)思想、基本原則、現(xiàn)狀及需求分析、建設(shè)政策依據(jù)、實體安全建設(shè)、運行安全策略、應(yīng)用安全建設(shè)和規(guī)劃實施等。制定網(wǎng)絡(luò)安全規(guī)劃的基本原則,重點考慮6個方面:（1）統(tǒng)籌兼顧;（2）全面考慮;（3）整體防御與優(yōu)化;（4）強化管理;（5）兼顧性能;（6）分步制定與實施.討論思考：（1）網(wǎng)絡(luò)安全的策略有哪些？如何制定和實施？（2）網(wǎng)絡(luò)安全規(guī)劃的基本原則有哪些？3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第42頁。3.6統(tǒng)一威脅管理UTM實驗3.6.1實驗?zāi)康慕y(tǒng)一威脅管理UTM（UnifiedThreatManagement）平臺，實際上類似一多功能安全網(wǎng)關(guān)，與路由器和三層交換機不同的是，UTM不僅可以連接不同的網(wǎng)段，在數(shù)據(jù)通信過程中還提供了豐富的網(wǎng)絡(luò)安全管理功能。掌握UTM功能、設(shè)置與管理方法和過程，增強利用UTM進行網(wǎng)絡(luò)安全管理、分析問題和解決問題的實際能力，有助于以后更好地從事網(wǎng)絡(luò)安全管理員或信息安全員工作奠定基礎(chǔ)。3.6.2實驗要求及方法通過對UTM平臺的功能、設(shè)置與管理方法和過程的實驗，應(yīng)當先做好實驗的準備工作，實驗時注意掌握具體的操作界面、實驗內(nèi)容、實驗方法和實驗步驟，重點是UTM功能、設(shè)置與管理方法和實驗過程中的具體操作要領(lǐng)、順序和細節(jié)。3網(wǎng)絡(luò)安全管理概述全文共48頁，當前為第43頁。3.6統(tǒng)一威脅管理UTM實驗3.6.3實驗內(nèi)容及步驟1.UTM集成的主要功能不同的UTM平臺對“多功能”定義有所不同。H3C的UTM產(chǎn)品在功能上最全面，特別是具備應(yīng)用層識別用戶的網(wǎng)絡(luò)應(yīng)用，控制網(wǎng)絡(luò)中各種應(yīng)用的流量，并記錄用戶上網(wǎng)行為的上網(wǎng)行為審計功能，相當于更高集成度的多功能安全網(wǎng)關(guān)。不同的UTM平臺比較，如表3-7所示。表3-7不同的UTM平臺比較品牌功能列表防火墻功能VPN功能防病毒功能防垃圾郵件功能網(wǎng)站過濾功能防入侵功能應(yīng)用層流量識別和控制用戶上網(wǎng)行為審計H3C√（H3C）√（H3C）√（卡巴斯基）√（Commtouch）√（SecureComputing）√（H3C）√（H3C）√（H3C）Cisco√（Cisco）√（Cisco）√（趨勢科技）√（趨勢科技）√（WebSense）√（Cisco）××Juniper√（Juniper）√（Ju