网络安全管理及实用技术 教学课件 作者 贾铁军1-4章 第3章 网络综合安全管理.pptVIP

网络安全管理及实用技术;;目 录;3.1 网络安全管理保障体系;1．网络安全保障关键因素 网络安全保障包括4个方面：网络安全策略、网络安全管理、网络安全运作和网络安全技术，如图3-2所示。 2．网络安全保障总体框架 我国某金融机构网络信息安全保障体系总体框架如图3-3所示 网络信息安全保障体系框架的外围是风险管理、法律法规、标准的符合性。;图3-3 网络信息安全保障体系框架; 实际上，在信息安全保障体系框架中充分体现了风险管理的理念，网络信息安全保障体系架构包括五个部分： ;3.1.2 网络安全管理及运作体系 1. TCP/IP网络安全管理体系 TCP/IP网络安全管理体系结构，如图3-4所示。包括三个方面：分层安全管理、安全服务与机制（认证、访问控制、数据完整性、抗抵赖性、可用可控性、审计）、系统安全管理（终端系统安全、网络系统、应用系统）。 ;2. 网络安全运作体系 目标是构建网络安全的核心运作模式。框架的基础是风险管理的理念和持续改进的模式。其模式要求动态地的管理信息安全相关的风险，遵循规划-实施-监控-改进的PDCA循环，不断地适应动态变化的环境。与传统的网络安全运作模式相比，基于风险管理理念和持续改进模式的信息安全运作模式是：一种全局的、全员参与的、事先预防、事中控制、事后纠正的、动态的运作管理模式；优点是避免、降低各类风险，能降低信息安全故障导致的综合损失。 运作体系框架由两部分组成，如图3-5所示。上面的四个箭头代表了网络安全运作的目标模式和概念性流程。它以风险管理的四个环节作为运作的主线，描述了网络安全业务的基本运作模式。下面是概念性流程在具体对象层次上的实现。;图3- 5 网络信息安全运作体系框架;3.2　网络安全的法律法规; 3. 与“入世”有关的网络法律 在1996年12月联合国第51次大会上，通过了联合国贸易法委员会的《电子商务示范法》， 1998年7月新加坡的《电子交易法》出台。1999年12月世贸组织西雅图外交会议上一个主要议题就是制定了对“电子商务”规范。 4. 其他相关立法 一些发展中国家，除了制定保障网络健康发展的部门法以外，还专门制定了综合性的、原则性的网络基本法。 5. 民间管理、行业自律及道德规范 各国在规范与管理网络行为方面，都很注重发挥民间组织的作用，尤其是行业的作用。德国、英国、澳大利亚等，学校中网络使用的“行业规范”均十分严格。 大多数以法律规范网络行为的国家，先明确网络服务提供者的责任，基本都采用了“避风港”制度。;3.2.2　我国的网络安全法律法规 从20世纪90年代初起，根据网络信息安全管理的需要，国家及相关部门、行业和地方政府相继制定了多项有关网络信息安全的法律法规。 我国网络信息安全立法体系分为以下三个层面。 第一个层面：法律。是由全国人民代表大会及其常委会通过的法律规范。 第二个层面：行政法规.主要指国务院为执行宪法和法律而制定的法律规范. 第三个层面：地方性法规、规章、规范性文档。主要指国务院各部、委根据法律和国务院行政法规，在本部门的权限范围内制定的法律规范，以及省、自治区、直辖市和较大的市人民政府根据法律、行政法规和本省、自治区、直辖市的地方性法规制定的法律规范性文档。 ;3.3 网络安全管理规范及策略;3.3.2 网络安全管理的策略 1. 网络信息安全战略 网络信息安全战略分为网络信息安全战略概述、网络信息安全战略需求分析、网络信息安全战略目标、网络信息安全工作基本原则4个部分。;(2) 安全策略的实施;3.3.3 网络信息安全政策体系 1. 网络信息安全有关政策 (1) 网络信息安全管理政策 (2) 网络信息安全功能性政策 在网络安全管理政策下，依据网络安全保障体系框架，针对特定管理需求制定的政策具体内容包括以下5个方面：;2. 网络信息安全政策体系 网络信息安全政策与标准体系是安全管理、运作、技术体系标准化、制度化后形成的一整套管理规定，其体系框架可分为横向和纵向两个维度，如图3-7所示。 ;3.4 网络安全评估准则和方法; 3．美国联邦准则(FC ) 美国联邦准则(FC)标准参照了CTCPEC 与TCSEC，目的是提供TCSEC的升级版本，同时保护已有投资。FC是一个过渡标准，之后结合ITSEC发展为联合公共准则。 4．通用评估准则(CC) CC（Common Criteria）的目的是将已有的安全准则结合成一个统一的标准。此项计划从1993年开始