电子政务安全管理与监控技术(ppt 46)

来自www.cnshu.cn中国最大的资料库下载电子政务安全管理与监控技术来自www.cnshu.cn中国最大的资料库下载网络安全管理网络安全管理是传统网络管理的一项重要的扩展，将依托于传统网络管理体系结构和通信协议，以网络安全设备为管理对象，在安全管理策略指导下实现检测、防护和响应的过程来自www.cnshu.cn中国最大的资料库下载网络安全管理目标安全管理主要是为了降低企业的财政风险和由各种情况带来的损失，如入侵、系统误操作、特权滥用、数据篡改、欺骗以及服务中断等安全管理体系结构可以提供对所需的安全组件的管理，同其它安全元素协同工作以保护信息的机密性，并保证所有对计算机资源的访问都是授权和认证安全管理体系结构的具体目标是提高分布式应用和信息的完整性、一致性以及机密性安全管理体系结构能帮助指导系统和平台的选择，并保证所有系统都符合一个标准的最低安全级别来自www.cnshu.cn中国最大的资料库下载网络安全管理含义网络的安全管理：通过对网络主机或网络设备进行特殊的访问配置来控制整个计算机网络的访问点，保障整个网络设备的安全及他们之间的数据通信的安全；对涉及网络安全的访问点进行定期的检查，维护网络安全性；提供访问控制、入侵告警事件分析和安全漏洞扫描安全的网络管理：保护网络管理系统本身的安全。对网络管理用户分组管理和访问控制，网络管理系统管理员按任务将用户分成若干组，不同的用户组有不同的权限范围，对用户的操作由访问控制检查；系统日志信息分析来自www.cnshu.cn中国最大的资料库下载网络设备主机系统防火墙、隔离设备等攻击监测病毒监视内容分析安全审计漏洞扫描战略预警风险评估安全综合管理与控制应急反应系统恢复来自www.cnshu.cn中国最大的资料库下载安全威胁与安全服务安全威胁包括窃听、篡改与重发、假冒、抵赖及其他恶意攻击；包括计算机病毒、计算机蠕虫和特洛伊木马等安全服务包括：认证服务、访问控制服务、保密服务、数据完整性服务、和抗抵赖服务。主要的安全机制包括：加密机制、数字签名机制、数据完整性机制、访问控制机制、认证交换机制、通信业务流填充机制、路由选择控制机制和公正机制来自www.cnshu.cn中国最大的资料库下载网络安全管理目标1.防止未授权存取：防止未授权用户访问系统资源。用户意识、良好的口令管理、登录活动记录和报告、用户和网络活动的周期检查2.防止泄密：防止已授权或未授权的用户相互存取重要信息。文件系统查帐，su登录和报告，用户意识和加密都是防止泄密的关键3.防止用户拒绝系统的管理：这一方面的安全应由操作系统来完成，一个系统不应被一个有意试图使用过多资源的用户损坏4.防止丢失系统的完整性：周期备份文件系统，系统崩溃后运行fsck检查，修复文件系统，当有新用户时，检测该用户是否能使系统崩溃来自www.cnshu.cn中国最大的资料库下载网络安全管理体系结构信任安全访问控制机密性完整性认证认可可用性恢复持续性持久性一致性性能物理访问网络访问管理测量监视和探查变动管理审计基础安全策略安全原则安全标准和规范教育控制来自www.cnshu.cn中国最大的资料库下载安全管理要求在物理安全上能防止因链路故障引起的通信中断，能防止因自然灾害或人为因素对数据造成的破坏对重点网络设备通过冗余备份应能实现网络系统的容错对于重要的主机和网络设备建立相应的访问、参观、使用和施工的制度，切实保证安全来自www.cnshu.cn中国最大的资料库下载在网络安全上能有效控制内外网之间的访问，能检测或阻断来自外部或内部的攻击（例如常见的扫描攻击、拒绝服务类攻击和缓冲区溢出攻击等）能有效地查杀病毒，通过安全评测和进行安全增强后，利用安全扫描软件从外面扫描，发现系统严重的安全漏洞另一方面能及时发现针对内部网的非法访问等安全问题，在内部网络中按照安全等级的高低划分子网，同时对内部网的信息进行监控来自www.cnshu.cn中国最大的资料库下载在应用上能网络各个环节的安全问题进行控制和追踪审计能保证网络的安全性从用户管理、系统管理、网络管理和应用管理等多方面实现安全的管理来自www.cnshu.cn中国最大的资料库下载安全控制实施物理、技术和管理三个方面的安全控制：（1）预防控制：预防控制将尝试着避免有害活动的发生，限制使用计算机，并对资源访问进行控制；（2）监测控制：在有害活动发生时，识别它。包括审计跟踪、入侵检测和校验。威慑：主要是通过一些限制来使得非授权用户不能执行非授权活动，或使得他们很难进行非法活动，并在其作出相应的威慑措施纠错控制：对非授权用户所修改系统进行补救。例：根除病毒和备分数据恢复控制：恢复丢失的计算机资源或能力.灾难恢复和应急响应来自www.cnshu.cn中国最大的资料库下载行政控制管理域的限制、操作程序、责任说明、追加的管理控制来自www.cnshu.cn中国最大的资料库下载预防行政控制是面向个人的技术来控制人的行为来确保机密性、计算机数据和程序的有效性：（1）安全意识和技术训练；（2）权利分配；（3）招募或辞退新的雇员的过程；（4）安全策略和过程；（5）监督；（6）灾难恢复和应急响应；（7）计算机录入的用户注册。来自www.cnshu.cn中国最大的资料库下载监测行政控制决定安全策略和程序是否遵照设计要求，并且检测欺骗，避免雇员发起不可接受的安全攻击：（1）安全评价和审计；识别策略和过程是否令人满意，并修改不足。（2）性能评价；（3）必须的休假；（4）背景调查；（5）职责的转移来自www.cnshu.cn中国最大的资料库下载录入控制原则（1）确保录入控制能很充分地保护组织的资源；（2）基于组织策略，包括责权的分离和最小的权限；（3）不影响日常工作，不对管理者、审计者或授权用户设置很多障碍。实现（1）对资源分类；（2）强制的或任意的录入控制；（3）实体创建；（4）降低数据分类等级；（5）设置标签来自www.cnshu.cn中国最大的资料库下载资源分类通过策略建立敏感性等级（绝密、机密、秘密、不保密）并通过标签标记；用户只能访问它相应的或敏感等级相对较低的资源录入控制策略将基于资源划分。并根据访问类型进行区分来自www.cnshu.cn中国最大的资料库下载强制控制对于管理者：只有管理者能决定如何对策略进行操作，改变资源的种类，其他人将不能在录入控制策略禁止的情况下保证访问权限。对于程序：（1）只能是应用编程者访问应用程序；（2）只能是系统编程者访问系统程序；（3）只能是数据库管理员访问应用数据库；（4）只能通过应用数据库程序访问活动的数据来自www.cnshu.cn中国最大的资料库下载录入控制的管理包括创建和维护录入控制法则；有效的管理主要包括：（1）经济有效地描述法则；（2）对不相关的事情不要考虑太多；（3）减少可管理权限所覆盖的范围；通过组机构和管理接口来维护管理（1）组实体和组主体通过资源分类来表征组实体，并且还可以通过命名的方式来标志用户。一个说明一个用户可以有所有的访问类型或每个访问有不同的判断的单一的法则。其他的实体将通过设备、目录和数据库来组成组。当主体组和资源分类组匹配，在一个单一的法则中，使得用户能访问资源并选择特定的内容访问。（2）一致的接口接口和管理上下文相关。如果管理者处理一个下层系统，它将向管理者提供一个管理接口；如果要处理多个子系统，他们将向管理者提供一个接口来管理数据。来自www.cnshu.cn中国最大的资料库下载对每个对象，实现多目标参考监视来决定是否确保或拒绝对资源的访问。它必须收集、存储和使用管理者所确定的录入原则。它将包括访问的类型、数据的有效存储和函数值法则必须简洁、通用访问控制信息可以看为是一个矩阵，给出实体和主体之间的关系访问控制的列表存储定义一个实体和能访问它的类型来自www.cnshu.cn中国最大的资料库下载网络安全管理体系结构目前，存在多种网络管理软件，针对计算机网络设备有SNMP协议针对电信网络设备有TMN和CMIP管理协议；针对桌面系统存在DMI管理协议另外还有一些其他针对应用的管理协议。这些协议之间没有必然的联系，管理信息模型也各不相同如果要将使用不同管理协议的网络管理组织在一起几乎是不太可能的事情来自www.cnshu.cn中国最大的资料库下载来自www.cnshu.cn中国最大的资料库下载来自www.cnshu.cn中国最大的资料库下载CIM&WBEM来自www.cnshu.cn中国最大的资料库下载CIM发展史1996年7月，WBEM组织成立1996年9月，CIM委员会在DMTF成立1997年4月，CIMv1发布1998年1月，CIMv2发布1998年4月，包括BMC在内的几个厂商宣布支持用WBEM来管理WindowNTv5.01998年6月，WBEM由五个成立厂商转交给DMTF发展，以寻求标准的更快发展和更多厂商的支持来自www.cnshu.cn中国最大的资料库下载采用当前先进的完全面向对象的管理数据模型CIM，用WBEM来实现一个完整的，兼容各类管理协议的，管理范围广（服务器，主机，各类安全产品），灵活交互性的完整的网络管理平台WBEM作为一项业界倡议，起始于96年,是由分布式管理任务组（DMTF）开发的，目的是更加容易地创建与受管资源交互的环境，规范企业网络中受管资源的描述与使用来自www.cnshu.cn中国最大的资料库下载需求企业级管理的需求CIM的目的主要是在于自由地、无损地交换信息CIM试图包容现在所有的管理应用模型，在最大程度上减少模型集成时带来的信息损失面向对象的设计及其它一些特性CIM具备面向对象语言的抽象、继承、重载等概念引入关联类、描述符定义了一些标准操作来自www.cnshu.cn中国最大的资料库下载WBEM就是这样一套管理标准技术以整合企业级网络环境的管理。用WBEM构建的开放的，面向对象的，基于策略的系统能够实现具有很好灵活性和交互性的网络管理。可以简单，快速和低成本地实现：升级网络管理工具；对网络添加安全服务和安全设备来自www.cnshu.cn中国最大的资料库下载CIM应用领域来自www.cnshu.cn中国最大的资料库下载CIM核心标准通用信息模型－CommonInformationModel编码规范－XMLCIM编码规范传输机制－CIMOperationsoverHTTP来自www.cnshu.cn中国最大的资料库下载网络安全管理策略策略需求自动配置资源分配设备联动权限控制组成部分策略框架策略描述冲突检测来自www.cnshu.cn中国最大的资料库下载IETF策略框架管理工具决策点执行点策略仓库来自www.cnshu.cn中国最大的资料库下载策略描述业务层描述技术层描述来自www.cnshu.cn中国最大的资料库下载冲突检测策略分解将策略分解成相互独立的单元。策略分析将策略看作是由这些独立单元组成的一个多维空间。冲突分析分析各个空间是否有交集，以判断是否存在潜在冲突。来自www.cnshu.cn中国最大的资料库下载网络安全管理平台主要功能以PKI/CA体系为安全支撑，实现管理信息加密、主机认证、用户认证、密钥认证功能；实现对安全设备如防火墙、入侵检测设备、VPN设备管理及和这些设备一起联动，实现网络安全管理；实现安全审计；应急相应的功能；实现安全策略。安全措施有关的信息分发（如密钥的分发和访问权设置）；与安全有关的事件通知（如网络有非法侵入、无权用户对特定信息的访问企图）；安全服务设施的创建、控制和删除，与安全有关的网络操作事件的记录、维护和查阅等日志管理工作等等。来自www.cnshu.cn中国最大的资料库下载网络访问安全保护管理数据加密包过滤技术主机认证用户认证密钥认证CA的公开密钥用户的个人证书CLIENTHELLO验证服务器证书的合法性发送客户证书访问请求服务器证书用户证书SERVERHELLO发送服务器证书验证用户证书的合法性服务器证书CA的公开密