第3章 网络安全管理概论概述.ppt

3.3 网络安全准则和风险评估 2) 网络安全风险评估类型 一般通用的评估类型分为5个： (1) 系统级漏洞评估。(2) 网络级风险评估。(3) 机构 的风险评估。 (4) 实际入侵测试。(5) 审计。 3) 评估方法、过程及工具 收集信息有3个基本信息源：调研对象、文本查阅和物 理检验。调研对象主要是与现有系统安全和组织实施相关人 员，重点是熟悉情况和管理者。 评估方法：网络安全威胁隐患与态势评估方法、模糊综 合风险评估法、基于弱点关联和安全需求的网络安全评估方 法、基于失效树分析法的网络安全风险状态评估方法、贝叶 斯网络安全评估方法等，具体方法可通过网络查阅。 风险评估与管理工具。大部分是基于某种标准方法或 某组织自行开发的评估方法，可以有效地通过输入数据来分 析风险，给出对风险的评价并推荐控制风险的安全措施。 3.3 网络安全准则和风险评估 2．网络安全评估标准和内容 (1) 2．评估标准和内容 依据和标准。 (3) 评估内容。 评估因素-设备环境-质量安全可靠性-运行环境-管理员 3. 网络安全策略评估 　 (1) 评估事项。 (2) 评估方法。 (3) 评估结论。 4. 网络实体安全评估 　 (1) 评估项目。 (2) 评估方法。 (3) 评估结论。 5. 网络体系的安全性评估 1) 网络隔离的安全性评估 　 (1) 评估项目。 (2) 评估方法。 (3) 评估结论。 　 2) 网络系统配置安全性评估 　 (1) 评估项目 (2) 评估方法和工具. (3) 评估结论 。 3) 网络防护能力评估 　 4) 服务的安全性评估 　 5) 应用系统的安全性评估 网络设施-配电-服务器-交换机-路由-主机房-工作站-运行环境 用网络规划及设计报告-安全需求分析报告,风险评估报告,安全目标-策略有效性 图3-10 网络系统安全风险评估流程图 3.3 网络安全准则和风险评估 6. 网络安全服务的评估 　 (1) 评估项目。 (2) 评估方法。　(3) 评估结论。 　 7. 病毒防护安全性评估 　 (1) 评估项目。 (2) 评估方法。　(3) 评估结论。 　 8. 审计的安全性评估 　 (1) 评估项目. (2) 评估方法。　(3) 评估结论。 　 9. 备份的安全性评估 　 (1) 评估项目。 (2) 评估方法。　(3) 评估结论。 　 10. 紧急事件响应评估 　 (1) 评估项目。 (2) 评估方法。　(3) 评估结论。 11. 网络安全组织和管理评估 　　(1) 评估项目 (2) 评估方法 (3) 评估结论 ?讨论思考： （1）橙皮书将安全的级别从低到高分成哪4个类别和7个级别？ （2）国家将计算机安全保护划分为哪5个级别？ （3）网络安全评估方法主要有哪些？ *3.4 网络安全管理原则及制度 3.4.1网络安全管理的基本原则 为了加强网络系统安全,网络安全管理应坚持基本原则: l）多人负责原则 2) 有限任期原则 3) 职责分离原则 4) 严格操作规程 5）系统安全监测和审计制度 6）建立健全系统维护制度 7）完善应急措施 另将网络安全指导原则概括为4个方面：适度公开原则 、动态更新与逐步完善原则、通用性原则、合规性原则。 3.4 网络安全管理原则及制度 3.4.2 网络安全管理制度 网络安全管理的制度：人事资源管理、资产物业管理、 教育培训、资格认证、人事考核鉴定制度、动态运行机制、 日常工作规范、岗位责任制度等。 1．建立健全管理机构和责任制 计算机网络系统的安全涉及整个系统和机构的安全、效益 及声誉. 系统安全保密工作最好由单位主要领导负责, 必要时 设置专门机构.重要单位、要害部门安全保密工作分别由安全、 保密、保卫和技术部门分工负责. 2．完善安全管理规章制度 常用的网络安全管理规章制度包括7个方面： （1）系统运行维护管理制度。 （2）计算机处理控制管理制度。 （3）文档资料管理。 （4）操作及管理人员的管理制度。 （5) 机房安全管理规章制度。 （6）其他的重要管理制度。 （7）风险分析及安全培训。 3.4 网络安全管理原则及制度 所有领导机构、重要计算机系统的安全组织机构，包 括安全审查机构、安全决策机构、安全管理机构，都要建 立和健全各项规章制度。 完善专门的安全防范组织和人员。制定人员岗位责任 制，严格纪律、管理和分工。专职安全管理员负责安全策 略的实施与更新。 安全审计员监视系统运行情况，收集对系统资源的各 种非法访问事件，并进行记录、分析、处理和上报。 保安人员负责非技术性常规安全工作，如系统场所的 警卫、办公安全、出入门验证等。 3.5 网络安全管理原则及制度 3．坚持合作交流制度 互联网安全人人责任，网络商更负有重要责任。应加 强与相关业务往来单全机构的合作与交流，密切配合共