第3章-网络安全管理概述

第3章网络安全管理概述上海教育高地建设项目高等院校规划教材（第2版）上海市精品课程网络安全技术目录3.2网络安全法律法规及取证23.3网络安全评估准则和测评3*3.4网络安全策略及规划43.1网络安全管理概念和任务1*3.5网络安全管理原则及制度53.6Web服务器安全设置实验63.7本章小结7目录教学目标●掌握网络安全管理概念、任务、法律法规与取证、评估准则和方法●理解网络安全管理规范及策略、原则和制度●了解网络安全规划的主要内容和原则●掌握Web服务器的安全设置与管理实验重点重点3.1网络安全管理概念和任务3.1.1网络安全管理概念及目标美国军网出现重大泄密，总统专机结构曝光。美国空军一个网站，在2006年4月出现重大泄密，透露出布什总统专机“空军一号”反导防御系统等机密信息。从此网站的一份政府文件中，可以轻易地浏览两架“空军一号”详细的内部结构图，包括专机内特工人员所处的位置，以及为专机提供服务的供氧地点，声称恐怖分子可能引爆其氧气罐。案例3-13.1.1网络安全管理的概念及目标1.网络安全管理的概念ISO定义网络管理(NetworkManagement)是规划、监督、组织和控制计算机网络通信服务，以及信息处理所必需的各种活动。狭义的网络管理主要指对网络设备、运行和网络通信量的管理。现在，网络管理已经突破了原有的概念和范畴。其目的是提供对计算机网络的规划、设计、操作运行、管理、监视、分析、控制、评估和扩展的手段，从而合理地组织和利用系统资源，提供安全、可靠、有效和友好的服务。网络管理的实质是对各种网络资源进行监测、控制、协调、报告故障等。网络安全管理（NetworkSecurityManagement）通常是指以网络管理对象的安全为任务和目标所进行的各种管理活动，是与安全有关的网络管理，简称安全管理。由于网络安全对网络信息系统的性能、管理的关联及影响更复杂更密切，网络安全管理逐渐成为网络管理中的一个重要分支，正受到业界及用户的广泛关注。网络安全管理需要综合网络信息安全、网络管理、分布式计算、人工智能等多个领域知识和研究成果，其概念、理论和技术正在不断发展完善之中。3.1网络安全管理概念和任务2.网络安全管理的目标计算机网络安全是一个相对性的概念，世界上没有绝对的安全。网络管理的目标是确保计算机网络的持续正常运行，使其能够有效、可靠、安全、经济地提供服务，并在计算机网络系统运行出现异常时能及时响应并排除故障。网络安全管理的目标是：在计算机网络的信息传输、存储与处理的整个过程中，提供物理上、逻辑上的防护、监控、反应恢复和对抗的能力，以保护网络信息资源的保密性、完整性、可用性、可控性和可审查性。其中保密性、完整性、可用性是信息安全的基本要求。网络信息安全5大特征,反映了网络安全管理的具体目标要求。3.1网络安全管理概念和任务3.1.2网络安全管理的内容和体系1.网络安全管理的内容开放系统互连参考模型OSI/RM（OpenSystemInterconnectionReferenceModel）中的安全管理主要是指对除通信安全服务之外的、支持和控制网络安全所必须的其他操作所进行的管理。OSI/RM的安全管理包括：系统安全管理、安全服务管理和安全机制管理。现代网络管理内容可用OAM＆P（Operation,Administration,MaintenanceandProvisioning，运行、管理、维护和提供）概括，主要包括：故障指示、性能监控、安全管理、诊断功能、网络和用户配置等。网络安全管理的具体对象包括涉及的机构、人员、软件、设备、场地设施、介质、涉密信息及密钥、技术文档、网络连接、门户网站、应急恢复、安全审计等。3.1网络安全管理概念和任务3.1.2网络安全管理的内容和体系1.网络安全管理的内容网络安全管理所涉及的内容，可概括为以下五个方面。(1)实体安全管理(2)运行安全管理(3)系统安全管理(4)应用安全管理(5)综合安全管理网络安全管理所涉及的相关内容及其关系如图3-1所示。以综合安全管理为保障，实体及运行安全管理为基础，以系统安全管理、运行安全管理和应用安全管理为重点，确保网络正常服务。3.1网络安全管理概念和任务图3-1网络安全管理内容2.网络安全管理体系（1）TCP/IP网络安全管理体系TCP/IP网络安全管理体系结构，如图3-2所示。包括三个方面：分层安全管理、安全服务与机制、系统安全管理。3.1网络安全管理概念和任务图3-2TCP/IP网络安全管理体系结构网络系统安全3.1网络安全管理概念和任务（2）网络安全管理与体系结构的关系网络安全保障体系包括五个部分：1)网络安全策略。2)网络安全政策和标准。3)网络安全运作。4)网络安全管理5)网络安全技术。对于OSI网络安全体系，主要涉及网络安全机制和网络安全服务两个方面，需要通过网络安全管理进行具体实施。其中的网络安全机制和网络安全服务包括：1）网络安全机制。2）网络安全服务。3.1网络安全管理概念和任务3．网络管理与安全技术的结合泰科安防/安达泰ADT安全网管平台。是针对企事业机构大中规模虚拟专用网VPN网络管理的解决方案，可通过该平台实现对ADT系列安全网关以及第三方的VPN设备进行全面的集中管理、监控、统一认证等功能。网管平台由4部分组成：安全网关单机配置软件(SureConsole)、策略服务平台(SureManager)、网关监控平台(SureWatcher)和数字证书平台(SureCA)。基于ADT安全网管平台可以快速高效工作，一个具备上千个节点的VPN网络，可在短暂时间内完成以前需要几个月才能完成的繁重网络管理和调整任务。案例3-2*网络安全管理与安全技术相关内容及其相互关系，如图所示。图网络安全管理与安全技术相关内容3.1网络安全管理概念和任务网络安全管理的功能包括：计算机网络的运行（Operation）、管理（Administration）、维护（Maintenance）、提供服务（Provisioning）等所需要的各种活动，可概括为OAM&P。网络安全管理的任务是保证网络信息资源应用安全和信息载体的运行安全。安全管理的要求是达到管理对象所需要的安全级别，将风险控制在可接受的程度。基本任务包括：1)评估网络系统整体安全，及时掌握企事业机构现有网络系统的安全状况，根据具体的风险分析和工作的重要程度及安全需求，确定系统的安全等级。2)根据具体的安全等级要求，确定安全管理的具体范围、职责和权限等。3)健全和完善企事业单位网络中心及重要机房人员出入管理制度。4)注重严格的操作规程和策略，如安全设置、确定主机与网络加固防护等。5)制订并实施具体的应急及恢复的措施、技术和方法。6)建立健全完备的系统维护制度，采用加密机制及密钥管理。7)集中监控和管理所有安全软硬件产品，通过企事业机构网络系统的一个统一的界面实现对所有安全产品的统一配置管理，将各类安全提示警告及日志信息以过滤和管理处理方式进行显示，可极大地缩短发现问题的时间，提升安。8)集中软件安全漏洞及隐患补丁的下载、分发、升级和审计，形成一种集中的管理机制来保证企事业单位各系统补丁的及时安装与更新。9)加强系统监控，及时发现网络突发的异常流量，并及时进行分析处理。3.1网络安全管理概念和任务3.1.3网络安全管理的任务及过程1.网络安全管理的任务2.网络安全管理的过程网络安全管理工作的过程，遵循如下PDCA循环模式的4个基本过程：（1）制定规划和计划（Plan）。（2）落实执行（Do）。（3）监督检查（Check）。（4）评价行动（Action）。安全管理模型——PDCA持续改进模式如图3-2所示。图3-2安全管理模型——PDCA持续改进模式3.1网络安全管理概念和任务3.2网络安全法律法规及取证网络犯罪案件不断上升。瑞星公司曾经在发布的《中国电脑病毒疫情互联网安全报告》称，黑客除了通过木马程序窃取他人隐私外，更多的是谋求经济利益，2007年，病毒(木马)背后所带来的巨大的经济利益催生了病毒“工业化”入侵的进程，并形成了数亿元的产业链。“熊猫烧香”的程序设计者李俊，被警方抓获后，承认自己每天入账收入近万元，共获利上千万元。腾讯公司QQ密码被盗成为黑客的重灾区，高峰时期每天大约10万人次反映QQ密码被盗。国内一著名的网络游戏公司遭到长达10天的网络攻击，服务器全面瘫痪，其经营的网络游戏被迫停止，损失高达3460万元人民币。3.2.1国外网络安全相关的法律法规1.国际合作立法打击网络犯罪20世纪90年代以来，很多国家为了有效打击利用计算机网络进行的各种违反犯罪活动，都采取了法律手段。分别颁布《网络刑事公约》,《信息技术法》,《计算机反欺诈与滥用法》等。欧盟、印度、美国。案例3-23.2网络安全的法律法规2.综合性和原则性的基本法世界一些国家，除了制定保障网络健康发展的法规以外，还专门制定了综合性的、原则性的网络基本法。3.行业自律、民间管理及道德规范国际上各国在规范网络行为方面，都很注重发挥民间组织的作用，特别是行业自律作用。3.2网络安全的法律法规我国从网络安全管理的需要出发，从20世纪90年代初开始，国家及相关部门、行业和地方政府相继制定了多项有关网络安全的法律法规。我国网络安全立法体系分为以下三个层面：第一层面:法律.全国人民代表大会及其常委会通过的法律规范。宪法-刑法-刑事诉讼法-治安管理处罚条例-国家安全法第二个层面：行政法规。主要指国务院为执行宪法和法律而制定的法律规范。-计算机信息系统安全保护条例，计算机信息网络国际联网管理暂行规定、保护管理办法、密码管理条例、电信条例、互联网信息服务管理办法、计算机软件保护条例等3.2.2我国网络安全相关的法律法规3.2网络安全的法律法规第三个层面：地方性法规、规章、规范性文件公安部制定的《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机病毒防治管理办法》、《金融机构计算机信息系统安全保护工作暂行规定》、《关于开展计算机安全员培训工作的通知》等。工业和信息化部制定的《互联网电户公告服务管理规定》《软件产品管理办法》《计算机信息系统集成资质管理办法》《国际通信出入口局管理办法》、《国际通信设施建设管理规定》、《中国互联网络域名管理办法》《电信网间互联管理暂行规定》等。3.2.2我国网络安全的法律法规3.2网络安全的法律法规1.电子证据的概念及种类1）电子证据(DigitalEvidence)是指基于电子技术生成、以数字化形式存在于磁盘、光盘、存储卡、手机等各种电子设备载体，其内容可与载体分离，并可多次复制到其他载体的文件。概括了“电子证据”的三个基本特征：①数字化的存在形式；②不固定依附特定的载体；③可以多次原样复制。并具有无形性、多样性、客观真实性、易破坏性等特征。2）电子证据的种类。分为:①字处理文件。利用文字处理系统形成的文件。各种生成的文件不能兼容，使用不同代码规则形成的文件也不能直接读取。所有这些软件、系统、代码连同文本内容一起，构成了字处理文件的基本要素。②图形处理文件。由专门的软件系统辅助设计或辅助制造的图形数据，通过图形可直观了解非连续性数据间的关系，使复杂信息变得生动明晰。③数据库文件。由原始数据记录所组成的文件，只有经过整理汇总后，才具有实际用途和价值。④程序文件。计算机是人机交流工具，软件由若干个程序文件组成。⑤影音像文件。*3.2.3电子证据与取证技术3.2网络安全的法律法规2.电子证据收集处理与提交1）电子证据收集。2）电于数据的监测技术。3）保全技术。4）电子证据处理及鉴定技术。5）电子证据提交技术。3.计算机取证技术1）计算机取证的法律效力。2）电子证据的真实性。3）电子证据的证明力。4）计算机取证设备和工具。【注意】在计算机取证工具中可能存在两类错误：工具执行错误和提取错误。*3.2.3电子证据与取证技术3.3网络安全评估准则和测评1.美国可信计算系统评价准则TCSEC1983年由美国国防部制定的5200.28安全标准——可信计算系统评价准则TCSEC，即网络安全橙皮书或桔