网络安全管理概述

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,第,3,章 网络安全管理概论,目,1,2,3,4,5,6,7,录,3.1,网络安全体系结构,3.2,网络安全的法律法规及电子证据与取证,3.3,网络安全准则和风险评估,*,3.4,网络安全管理原则及制度,*,3.5,网络安全策略及规划,3.6,统一威胁管理,UTM,实验,3.7,本章小结,3.1,网络安全体系结构,OSI,网络安全体系结构,中国非常重视网络安全管理工作,。,2014,年,2,月,27,日，,中共中央总书记、国家主席、中央军委主席、中央网络安全和信,息化领导小组组长习近平主持召开中央网络安全和信息化领导小,组第一次会议并发表重要讲话。指出：,网络安全和信息化是事关,国家安全和国家发展、事关广大人民群众工作生活的重大战略问,题，要从国际国内大势出发，总体布局，统筹各方，创新发展，,努力把我国建设成为网络强国。,会议审议通过了,中央网络安全,和信息化领导小组工作规则,、,中央网络安全和信息化领导小,组办公室工作细则,、,中央网络安全和信息化领导小组,2014,年,重点工作,，并研究了近期工作。习近平强调，网络安全和信息,化对一个国家很多领域都是牵一发而动全身的，要认清我们面临,的形势和任务，充分认识做好工作的重要性和紧迫性，因势而谋，,应势而动，顺势而为。,案例,3-1,3.1,网络安全体系结构,OSI,网络安全体系结构,1,OSI,网络安全体系结构,OSI,参考模型,是国际标准化组织,（,ISO,）,为解决异种,机互联而制定的,开放式计算机网络层次结构模型,。,OSI,安全体系结构,主要包括网络安全机制和网络安全服务两,个方面。,（,1,）网络安全服务,在,网络安全体系结构,文件中规定的,网络安全服,表,3-1,防范典型网络威胁的安全服务,务,有,5,项：,网络威胁,安全服务,假冒攻击,鉴别服务,窃听攻击,数据保密性服务,完整性破坏,数据完整性服务,服务否认,可审查性服务,。,非授权侵犯,访问控制服务,3.1,网络安全体系结构,（,2,）网络安全机制,在,ISO7498-2,网络安全体系结构,文件中规定的,网,络安全机制,有,8,项：加密机制、数字签名机制、访问控制机,制、数据完整性机制、鉴别交换机制、信息量填充机制、,路由控制机制和公证机制。,表,3-3,安全服务与安全机制的关系,安全服务,鉴别,协议层,加密,数字,签名,访问,控制,数据,完整性,认证,交换,业务流,填充,公证,对等实体鉴别,数据源发鉴别,访问控制,据,数 连接保密性,保 无连接保密性,密性,选择字段保密性,业务流保密性,可恢复的连接完整性,数,据 不可恢复的连接完整性,完 选择字段的连接完整性,整,性 无连接完整性,选择字段的无连接完整性,可 数据源发证明的可审查性,审查,交付证明的可审查性,性,3.1,网络安全体系结构,2.TCP/IP,网络安全管理体系,TCP/IP,网络安全管理体系结构,，如图,3-1,所示。,包括三个方面：,分层安全管理、安全服务与机制、系统安,全管理。,图,3-1 TCP/IP,网络安全管理体系结构,3.1,网络安全体系结构,3.,网络安全管理体系及过程,网络安全管理,是为保证网络安全所采取的管理举措和过程，其目,的是保证网络系统的可靠性、完整性和可用性，以及网络系统中信息,资源的保密性、完整性、可用性、可控性和可审查性达到用户需求的,规定要求和水平。,网络安全管理体系,（,Network Security Management System,，,NSMS,）是基于,计算机网络安全风险管理,的措施、策略和机制，以及,建立、实施、运行、监视、评审、保持和改进网络安全的一套体系，,是整个网络管理体系的一部分，管理体系包括组织结构、方针策略、,规划活动、职责、实践、程序、过程和资源。,网络安全管理,的,具体对象,：,包括涉及的机构、人员、软件、设备、,场地设施、介质、涉密信息、技术文档、网络连接、门户网站、应急,恢复、安全审计等。,网络安全管理,的,功能,包括,：计算机网络的运行、管理、维护、提,供服务等所需要的各种活动,可概括为,OAM&P,。,3.1,网络安全体系结构,3.,网络安全管理体系及过程,网络安全管理工作,的,程序,，遵循如下,PDCA,循环模式,的,4,个,基本过程,：,（,1,）制定规划和计划（,Plan,）。,（,2,）落实执行（,Do,）。,（,3,）监督检查（,Check,）。,（,4,）评价行动（,Action,）。,安全管理模型,PDCA,持续改进模式如图,3-2,所示。,图,3-2,安全管理模型,PDCA,持续改进模式,3.1,网络安全体系结构,拓展阅读：,网络安全技术必须与安全管理紧密结合。国际标准化组织,ISO,在,ISO/IEC7498-4,文档中，定义了,开放系统网络管理的五大功能,：故障管理,功能、配置管理功能、性能管理功能、安全管理功能和审计与计费管理功能。,案例,3-2,中国电信网络安全管理平台建设,。为了提高中国电,信网络安全管理能力，实现中国电信网络集中化、体系化、层,次化的安全管理，中国电信集团已经针对,ChinaNet,在集团公司,和江苏两地完成了网络安全管理平台（,SOC,）的试点建设。主,要针对全网近万台路由器、多个业务平台、多个网管系统，而,且这些系统的账号管理分散，账号及口令分配、回收、增加、,删除等操作较混乱且存在安全隐患，对外来用户的账号口令缺,乏有效管理。需要对,SOC,平台升级集中的用户认证、口令管理,功能，采用动态密码技术，并加强密码管理。根据工信部要求，,还需要审计追溯功能。,SOC,平台可在全局层面统一实现,IP,网安,全策略，对全局资源进行统一调度，协同对各种网络安全问题,进行有效防范和处理,并实现对,C,网分组域和部分,C,网业务平台的,安全管理,有利于中国电信,IP,网的健康、稳定、安全运营。,3.1,网络安全体系结构,网络安全保障体系,1,网络安全整体保障体系,计算机网络安全的整体保障作用，主要体现在整个系统生命周,期对风险进行整体的管理、应对和控制。网络安全整体保障体系如,图,3-3,所示。,图,3-3,网络安全整体保障体系,3.1,网络安全体系结构,网络安全保障关键要素,包括四个方面：网络,安全策略、网络安全管理、网络安全运作和网络,安全技术,如图,3-4,所示,.,“,七分管理，三分技术，运作贯,穿始终,”,，,管理是关键，技术是保,障,其中的管理应包括管理技术。,与美国,ISS,公司提出的,动态网络安,全体系的代表模型,的雏形,P2DR,相似。,该,模型包含,4,个主要部分：,Policy,(,安全,策略,),、,Protection,(,防护,),、,Detection,(,检,测,),和,Response,(,响应,),。如图,3-5,所示,图,3-4,网络安全保障因素,图,3-5 P2DR,模型示意图,3.1,网络安全体系结构,2,网络安全保障总体框架结构,网络安全保障体系总体框架结构,如图,3-6,所示。,此保障体系框架的外围是风险管理、法律法规、标准的,符合性。,图,3-6,网络安全保障体系框架结构,3.1,网络安全体系结构,风险管理,指在对风险的可能性和不确定性等因素,进行收集、分析、评估、预测的基础上，制定的识别、,衡量、积极应对、有效处置风险及妥善处理风险等一整,套系统而科学的管理方法，以避免和减少风险损失。,网,络安全管理的,本质,是对信息安全风险的动态有效管理和,控制,.,风险管理是企业运营管理,核心,风险分为,信用风险,市场风险和操作风险,其中包括信息安全风险,.,实际上,在,网络信息安全保障体系框架中,充分体现了风险管理理念,.,网络安全保障体系,架构包括五个部分：,1),网络安全策略,:,核心理念,-,长远规划和战略考虑网络建设安全,2),网络安全政策和标准,-,对,1),逐层细化落实,-3,个层面,3),网络安全运作,-,日常运作模式及其概念性流程,4),网络安全管理,讨论思考：,5),网络安全技术,（,1,）网络安全保障包括哪四个方面？,（,2,）信息安全保障体系架构包括哪五个部分？,（,3,）网络管理与安全技术的结合方式有哪些？,3.2,网络安全的法律法规,国外相关的法律法规,1.,国际合作立法打击网络犯罪,20,世纪,90,年代以来，很多国家为了有效打击利用,计算机网络进行的各种违反犯罪活动，都采取了法律,手段。分别颁布,网络刑事公约,（欧盟）,信息技术法,（印度）,计算机反欺诈与滥用法,等。,欧盟、印度、美国,。,2.,保护数字化技术的法律,1996,年,12,月,世界知识产权组织做出了“禁止擅自,破解他人数字化技术保护措施”的规定。,欧盟、日本,、美国等,国家都作为一种网络安全保护规定，纳入本,国法律。,3.2,网络安全的法律法规,3.,规范,“,电子商务,”,的法律,在,1996,年,12,月联合国第,51,次大会上，通过了联合国,贸易法委员会的,电子商务示范法,，对于网络市场,中的数据电文、网上合同成立及生效的条件，传输等,专项领域的电子商务等，,“,电子商务,”,规范,成为一个主,要议题。,4.,其他相关的法律法规,-,韩国实名制，西欧和日本,-,责任,/,签名法,5.,民间管理、行业自律及道德规范,-,行业规范,-,网络巡警,3.2,网络安全的法律法规,我国相关的法律法规,网络犯罪案件非常猖獗,。瑞星公司曾在发布的,中国电脑病毒疫,情互联网安全报告,称,黑客除了通过木马程序窃取他人隐私外,更多的是谋求经济,利益,木马病毒背后所带来的巨大的经济利益催生了病毒,“,工业化,”,入侵的进程，并,形成了数亿元的产业链。,“,熊猫烧香,”,的程序设计者李俊,被警方抓获后,承认自己每,天入账收入近万元，共获利上千万元。腾讯,QQ,密码被盗成为黑客的重灾区,高峰时,腾讯每天约有,10,万人次反映,QQ,密码被盗。一著名网络游戏公司遭到长达,10,天网络,攻击，服务器全面瘫痪,其经营的网络游戏被迫停止,损失高达,3460,万元人民币,。,案例,3-3,我国,从,网络安全管理,的,需要出发,，从,20,世纪,90,年代初开始，,国家及相关部门、行业和地方政府相继制定了多项有关的法律法规。,我国网络安全立法体系,分为以下三个层面：,第一层面,:,法律,.,全国人民代表大会及其常委会通过的法,律规范。,宪法,-,刑法,-,刑事诉讼法,-,治安管理处罚条例,-,国家安全法,第二个层面：,行政法规,。主要指国务院为执行宪,法和法律而制定的法律规范。,-,计算机信息系统安全保护条例，,计算机信息网络国际联网管理暂行规定、保护管理办法、密码管理条例,、电信条例、互联网信息服务管理办法、计算机软件保护条例等,3.2,网络安全的法律法规,我国相关的法律法规,第三个层面,：,地方性法规、规章、规范性文件,公安部制,定的,计算机信息系统安全专用产品检测和销售许可证管理,办法,、,计算机病毒防治管理办法,、,金融机构计算机,信息系统安全保护工作暂行规定,、,关于开展计算机安全,员培训工作的通知,等。,工业和信息化部制定的,互联网电户公告服务管理规定,软件产品管理办法,计算机信息系统集成资质管理办法,国际通信出入 口局管理办法,、,国际通信设施建设管理,规定,、,中国互联网络域名管理办法,电信网间互联,管理暂行规定,等。,讨论思考：,（,1,）为什么说法律法规是网络安全体系的重要保障和基石？,（,2,）国外的网络安全法律法规对我们有何启示？,（,3,）我国网络安全立法体系框架分为哪三个层面？,3.2,网络安全的法律法规,1.,电子证据的概念及种类,1,）电子证据,(Digital Evidence),是指基于电子技术生成、以数字化形式存在于磁盘、光盘、存储卡、手机等各种电子设备载体，其内容可与载体分离，并可多次复制到其他载体的文件。概括了“电子证据”的三个基本特征：数字化的存在形式；不固定依附特定的载体；可以多次原样复制。并