搜索
贾铁军沈学东苏庆刚等编著机械工业出版社本章要点●网络安全管理概念、内容及功能●安全管理的原则及制度、防护体系规范和政策●网络安全管理技术、策略及主机网络防护、网络安全管理解决方案教学目标●掌握网络安全管理概念、内容及功能●理解安全管理的原则及制度、防护体系规范和政策●掌握网络安全管理技术、策略及主机网络防护、网络安全管理解决方案●了解实体安全防护有关技术●了解软件安全有关技术3.1网络安全管理概述3.1.1安全管理概念和内容1.安全管理概念安全管理(SecurityManagement)是指以管理对象的安全为任务和目标所进行的各种管理活动。开放系统互连参考模型OSI/RM(OpenSystemInterconnectionReferenceModel)中的安全管理主要是指对除通信安全服务之外的、支持和控制网络安全所必须的其他操作所进行的管理。按照国际标准化组织(ISO)的定义,网络管理是指规划、监督、控制网络资源的使用和网络的各种活动,以使网络的性能达到最优。网络管理的目的在于提供对计算机网络进行规划、设计、操作运行、管理、监视、分析、控制、评估和扩展的手段,从而合理地组织和利用系统资源,提供安全、可靠、有效和友好的服务。网络管理的实质是对各种网络资源进行监测、控制、协调、报告故障等。现代网络管理的内容一般可以用OAM&P(Operation,Administration,MaintenanceandProvisioning,运行、管理、维护和提供)来概括,主要指一组系统或网络管理功能,其中包括:故障指示、性能监控、安全管理、诊断功能、网络和用户配置等。OSI/RM的安全管理需要处理有关安全服务和安全机制操作的管理信息,这些信息存储在安全管理信息库中,可以是一个数据表或是一个文件,又称为安全管理数据库。OSI/RM的安全管理包括:系统安全管理、安全服务管理和安全机制管理。2.安全管理的内容(1)(1)硬件资源的安全管理1)硬件设备的使用管理2)常用硬件设备维护和保养。(2)信息资源的安全与管理1)信息存储的安全管理。2)信息的使用管理。(3)其他管理。主要包括鉴别管理、访问控制管理和密钥管理等。图3-1TCP/IP网络安全管理体系结构2.安全管理的内容(2)网络安全管理、安全策略、安全技术的内容和关系如图所示。3.1.2安全管理步骤及功能1.安全管理的步骤和方法(1)信息安全管理工作的程序,遵循如下PDCA循环模式的4个基本步骤:(1)制定计划(Plan)(2)落实执行(Do)(3)监督检查(Check)(4)评价行动(Action)信息安全管理的方法:信息安全管理根据具体管理对象的不同,可以采用不同的具体管理方法。1.安全管理的步骤和方法(2)安全管理模型——PDCA持续改进模式如图所示。2.网络安全管理的主要功能安全管理功能包括:计算机网络的运行(Operation)、处理(Administration)、维护(Maintenance)、提供服务(Provisioning)等所需要的各种活动可概括为OAM&P。有时也限定考虑前三种的情形,即安全管理功能指OAM。国际标准化组织(ISO)在ISO∕IEC7498-4文档中定义了开放系统的计算机网络管理的五大功能:故障管理功能、配置管理功能、性能管理功能、安全管理功能和计费管理功能。而没有包括网络规划、网络管理者的管理等功能。(1)故障管理故障管理(FaultManagement)是网络管理中最基本的功能之一,指对网络非正常的操作引起的故障进行检查、诊断和排除处理等工作。主要目的是保证网络系统能够提供持续可靠的服务。故障管理的功能有5个:1)对管理对象进行差错检测,或对管理对象接收错误检测报告并作出响应。(1)故障管理2)当设备出现空闲或迂回路由时,提供新的网络资源和服务。3)创建和维护差错日志库,并对差错日志进行分析。4)进行诊断和测试,以追踪和确定故障位置和性质。5)纠正错误,通过资源更换、维护和及其他恢复措施使网络重新开始服务。故障管理功能是利用标准协议SNMP和RMON进行实现的。(2)配置管理配置管理(ConfigurationManagement)是指定义、收集、监测和管理系统的配置参数,使得网络性能达到最优的操作活动。配置参数包括网络设备资源、容量、安全性和属性,及其之间的关系等。配置管理的目的是为了随时了解系统网络的拓扑结构和各种交换信息,包括连接前静态设定的和连接后动态更新的信息;实现指定的特定功能、使网络性能达到最佳。(2)配置管理配置管理功能需要监视和控制的内容主要有:1)设置网络设备参数、初始化网络资源及关闭不安全端口;2)收集系统当前状态的有关信息,如网络资源及其活动状态、网络资源之间的关系;3)根据请求向网络管理中心反馈特定的数据;4)更改系统的配置,如引入新资源和删除旧资源等。(2)配置管理配置管理需要进行的操作包括:1)鉴别被管理对象,标识被管理对象;2)设置被管理对象的参数,如初始化被管理对象,路由操作的参数;3)改变被管理对象的操作特性,报告被管理对象的状态变化;4)关闭、删除被管理对象。(3)性能管理性能管理((PerformanceManagement)主要用于收集分析有关网络当前状况的数据信息,并维护和分析性能日志。典型的网络性能管理分为性能检测和网络控制两部分。性能管理以网络性能为准则收集、分析和调整被管理对象的状态,其目的是保证网络可以提供可靠、连续的通信能力并使用最少的网络资源和具有最少的时延。(3)性能管理网络性能管理的功能包括:1)收集、分发、统计与性能有关的数据信息;2)维护系统性能的历史记录;3)模拟各种操作的系统模型;4)分析当前的统计数据,以检测性能故障,产生性能告警、报告性能事件;5)确定自然和人工状况下系统的性能;6)改变系统操作模式以便进行系统性能管理的操作。(4)安全管理安全管理主要是指监视、审查和控制用户对网络的访问,并产生安全日志以保证合法用户对网络的访问。在内联网中,安全管理与防护功能一般是由专门的系统软件承担,如防火墙软件、入侵检测系统、访问控制与审计等。网络安全性能是用户最为关心的问题,主要有5个方面的网络安全问题:(4)安全管理1)网络数据的专有机密性,保护网络数据不被侵入者非法获取和察看;2)用户授权使用,防止侵入者在网络上发送错误信息;3)进行访问控制,有限制地对网络不同资源进行访问;4)数据完整性,确保原有数据保持完整不变地传输;5)不可抵赖性,发出者无法抵赖所发送的原有数据内容真实性。(4)安全管理网络安全管理还应当包括对授权机制、访问控制、加密和密钥的管理,还要维护和检查安全日志。安全管理的功能包括:1)支持系统的安全服务;2)维护系统的安全日志;3)向其他开放系统传送有关安全方面的信息和相关事件的通报;4)创建、删除、控制安全服务和机制。(5)计费管理计费管理(AccountingManagement)主要是指记录、控制和调整网络资源的使用。目的是监测和控制网络操作的费用和成本代价,以便估算出用户所使用的网络资源及其所需的费用和代价、合理分配网络资源、降低网络故障。计费管理的目标是衡量网络的利用率,以便单个或每组用户可以按规则利用网络资源,这些规则可以使网络故障降低到最小,也可使所有用户对网络的访问更加公平。3.1.3安全管理的原则及制度1.安全管理的原则为了确保网络系统安全,安全管理必须坚持以下原则:(1)多人负责原则(2)有限任期原则(3)职责分离原则(4)严格操作规程(5)系统安全监测和审计制度(6)建立健全系统维护制度(7)完善应急措施2.健全安全管理机构和制度安全管理的制度包括人事资源管理、资产物业管理、教育培训、资格认证、人事考核鉴定制度、动态运行机制、日常工作规范、岗位责任制度等。建立健全网络安全管理机构和各项规章制度,需要做好以下几个方面:(1)完善管理机构和岗位责任制(2)健全安全管理规章制度(3)坚持合作交流制度3.1.4安全管理防护体系及规范1.信息安全管理防护体系信息安全管理体系是信息安全保障体系的一个重要组成部分。信息安全管理体系框架是从企事业单位业务系统安全管理的层面出发,按照多层防护的思想,为实现信息安全战略而搭建的。2.信息安全管理规范信息安全管理规范是为保障实现信息安全政策的各项目标,制定的一系列管理规定和规程,具有强制效力。2.信息安全管理规范信息安全管理规范所必需涉及的各项内容包括:(1)信息安全人员管理(2)信息资产安全管理(3)第三方信息安全(4)信息安全政策与标准管理(5)数据文档安全管理(6)应用开发维护安全管理(7)系统安全管理(8)网络安全管理(9)物理安全管理3.1.5网络信息安全政策1.信息安全管理政策信息安全管理政策是企事业单位信息安全从管理层面对信息安全的一整套包含规定和常规的最高指导原则,是在信息安全战略下为组织管理、保护、和信息资源分派制定的原则。信息安全管理政策是信息安全政策与标准体系中最高层级的声明,提供较广泛的领导方向以及说明管理阶层的目标和目的。信息安全管理政策通常以信息安全管理政策总则的形式发布,在信息安全战略的基础上确定单位信息安全管理的结构、各项目标和细化原则。2.信息安全功能性政策信息安全功能性政策是比较特定事项的声明,是在信息安全管理政策下针对某特定管理需求建立的政策。针对管理的特定需求给出明确的规定,具体内容包括:(1)信息安全风险管理(2)信息安全认知(3)信息安全组织(4)信息安全审计(5)信息安全法律法规符合性3.2网络安全管理技术3.2.1网络安全管理技术及发展势1.网络安全管理技术概念网络安全管理技术是实现网络安全管理和维护的技术,需要利用多种网络安全技术和设备,对网络系统进行安全、合理、有效和高效的管理和维护。网络安全管理技术一般需要实施一个基于多层次安全防护的策略和管理协议,将网络访问控制、入侵检测、病毒检测和网络流量管理等安全技术应用于内网,进行统一的管理和控制,各种安全技术彼此补充、相互配合,对网络行为进行检测和控制,形成一个安全策略集中管理、安全检查机制分散布置的分布式安全防护体系结构,实现对内网进行安全保护和管理。监控和审计与网络管理密切相关的技术。监控和审计是通过对网络通信过程中可疑、有害信息或行为进行记录为事后处理提供依据,从而对黑客形成一个强有力的威慑和最终达到提高网络整体安全性的目的。2.网络管理新技术目前,网络正在向智能化、综合化、标准化发展,网络管理技术也正在不断发生新的变化,新的网络管理理念及技术正在不断涌现。(1)基于Web的网络管理模式(Web-BasedManagement,WBM)(2)远程IT管理的整合式应用(3)CORBA网络安全管理技术(通用对象请求代理体系结构,CORBA)3.2.2网络安全策略及主机网络防护1.安全策略的制定与实施(1)安全策略的制定安全策略是指在某个特定的环境中,为达到一定级别的安全保护需求所必须遵守的各种规则和条例。安全策略是网络安全管理过程的重要内容和方法。安全策略包括3个重要组成部分:安全立法、安全管理、安全技术。安全立法是第一层,有关网络安全的法律法规可以分为社会规范和技术规范;安全管理是第二层,主要指一般的行政管理措施;安全技术是第三层,是网络安全的重要物质技术基础。(2)安全策略的实施1)重要的商务信息和软件的安全存储。2)对网络系统及时安装最新补丁软件。3)安装入侵检测系统并实施监视。4)启动系统事件日志。2.主机网络安全防护(1)与网络安全采用安全防火墙、安全路由器等在被保护主机之外的技术手段不同,主机网络安全所采用的技术手段通常在被保护的主机内实现,并且一般为软件形式。因为只有在被保护主机之上运行的软件,才能同时获得外部访问的网络特性以及所访问资源的操作系统特性。2.主机网络安全防护(2)应用最为广泛的此类产品有WietseVenema开发的共享软件TCPWrapper。TCPWrapper是一种对进入的网络服务请求进行监视与过滤的工具,可以截获Systat、Finger、FTP、Telnet、Rlo