第3章 网络安全体系及管理.pptVIP

3.4 网络安全管理原则及制度 为了加强网络系统安全,网络安全管理应坚持基本原则: l）多人负责原则 2) 有限任期原则 3) 职责分离原则 4) 严格操作规程 5）系统安全监测和审计制度 6）建立健全系统维护制度 7）完善应急措施 另将网络安全指导原则概括为4个方面：适度公开原则 、动态更新与逐步完善原则、通用性原则、合规性原则。 3.4.1网络安全管理的基本原则 3.4 网络安全管理原则及制度 网络安全管理的制度：人事资源管理、资产物业管理、 教育培训、资格认证、人事考核鉴定制度、动态运行机制、 日常工作规范、岗位责任制度等。 1．建立健全管理机构和责任制 计算机网络系统的安全涉及整个系统和机构的安全、效益 及声誉. 系统安全保密工作最好由单位主要领导负责, 必要时 设置专门机构.重要单位、要害部门安全保密工作分别由安全、 保密、保卫和技术部门分工负责. 2．完善安全管理规章制度 常用的网络安全管理规章制度包括7个方面： （1）系统运行维护管理制度。 （2）计算机处理控制管理制度。 （3）文档资料管理。 （4）操作及管理人员的管理制度。 （5) 机房安全管理规章制度。 （6）其他的重要管理制度。 （7）风险分析及安全培训。 3.4.2 网络安全管理制度 3.4 网络安全管理原则及制度 所有领导机构、重要计算机系统的安全组织机构，包 括安全审查机构、安全决策机构、安全管理机构，都要建 立和健全各项规章制度。 完善专门的安全防范组织和人员。制定人员岗位责任 制，严格纪律、管理和分工。专职安全管理员负责安全策 略的实施与更新。 安全审计员监视系统运行情况，收集对系统资源的各 种非法访问事件，并进行记录、分析、处理和上报。 保安人员负责非技术性常规安全工作，如系统场所的 警卫、办公安全、出入门验证等。 互联网安全人人责任，网络商更负有重要责任。应加 强与相关业务往来单全机构的合作与交流，密切配合共 同维护网络安全，及时获得必要的安全管理信息和专业 技术支持与更新。国内外也应进一步加强交流与合作， 拓宽国际合作渠道，建立政府、网络安全机构、行业组 织及企业之间多层次、多渠道、齐抓共管的合作机制。 3．坚持合作交流制度 ?讨论思考： （1）网络安全管理必须坚持哪些原则？ （2）网络安全指导原则主要包括哪4个方面？ （3）建立健全网络安全管理机构和规章制度，需要做好哪些方面？ 3.4 网络安全管理原则及制度 3.5 网络安全策略及规划 3.5.1 网络安全策略概述 网络安全策略是在指定安全区域内，与安全活动有关的一系列规则和条例，包括对企业各种网络服务的安全层次和权限的分类，确定管理员的安全职责，主要涉及4个方面：实体安全策略、访问控制策略、信息加密策略和网络安全管理策略。 网络安全策略包括总体安全策略和具体安全管理实施细则。 1）均衡性原则 2）时效性原则 3）最小限度原则 1．网络安全策略总则 3.5 网络安全策略及规划 2．安全策略的内容 根据不同的安全需求和对象，可以确定不同的安全策略。主要包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等8个方面的内容。同时侧重： 1）实体与运行环境安全 2）网络连接安全 3）操作系统安全 4）网络服务安全 5）数据安全 6）安全管理责任 7）网络用户安全责任 3.5 网络安全策略及规划 3．网络安全策略的制定与实施 1) 网络安全策略的制定 安全策略是网络安全管理过程的重要内容和方法。网络安全策略包括3个重要组成部分：安全立法、安全管理、安全技术。 2) 安全策略的实施 (1) 存储重要数据和文件。 (2) 及时更新加固系统。 (3) 加强系统检测与监控。 (4) 做好系统日志和审计。 3.5 网络安全策略及规划 3.5.2 网络安全规划基本原则 网络安全规划的主要内容：规划基本原则、安全管理控制策略、安全组网、安全防御措施、审计和规划实施等。规划种类较多，其中，网络安全建设规划可以包括：指导思想、基本原则、现状及需求分析、建设政策依据、实体安全建设、运行安全策略、应用安全建设和规划实施等。 制定网络安全规划的基本原则,重点考虑6个方面: （