-网络安全管理与评估-
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
瑞典1973年4月4日的《数据法》
计算机网络安全管理与安全评估
11
我国计算机网络安全法规
计算机网络安全管理与安全评估
12
我国计算机网络安全法规
计算机网络安全管理与安全评估
13
我国计算机网络安全法规
计算机网络安全管理与安全评估
14
内部计算机网络安全制度
除了国家及地方的法律法规外,各单位 也应依据法律法规,针对本单位网络及 系统的实际情况,制定维护系统安全运 行的各种规章制度。以规范信息系统的 运行,威慑和打击网络犯罪,保障单位 业务的顺利运行。
计算机网络安全管理与安全评估
15
内部计算机网络安全制度
物理设备安全管理制度 网络系统运行安全制度 信息系统运行安全制度 业务安全管理制度
计算机网络安全管理与安全评估
16
9.3 计算机网络的安全评估
计算机网络安全管理与安全评估
来自百度文库17
计算机网络安全评估的意义
指导用户建立符合安全需求的网络 建立系统内其他部件的安全评估标准
计算机网络安全管理与安全评估
23
美国计算机网络安全评估的标准
➢ C1级称为自主安全保护级,通过用户与数据 隔离,满足可信计算基(Trusted Computing Base,TCB)自动安全要求。 TCB在命名主体和命名客体之间实施访问控 制。目前生产的大多数系统都能达到这一等 级。
➢ C2级称为可控安全保护级,系统提供比C1 级有更细致的自主访问控制。它通过注册过 程,同与安全有关事件的审计和资源隔离, 使得用户的操作有据可查。目前终端用户使 用的大多数系统满足C2级的要求
访问控制、认证和数据完整性管理等,其实 质是对各种网络资源进行监测、控制、协调 和故障报告等
计算机网络安全管理与安全评估
7
网络安全管理—实际操作
安全设备管理:指对网络中所有的安全产品, 如防火墙、VPN、防病毒软件、入侵检测系统 、漏洞扫描等产品和系统的统一管理与监控
安全策略管理:指管理、保护及自动分发全局 性的安全策略,包括对安全设备、操作系统及 应用系统的安全管理策略
3
要点内容
信息安全相关法规 安全评估 制度建设 上网行为管理
计算机网络安全管理与安全评估
4
能力要求
了解并能使用法律法规管理信息安全
计算机网络安全管理与安全评估
5
9.1 计算机网络安全管理
在整个网络安全事件的发生原因中,管 理约占60%,应此必须花大力气加强网 络的安全管理,因为诸多的不安全因素 恰恰反映在组织管理和人员方面
8
网络安全管理--措施
根据工作的重要程度,确定该系统的安全等级和管理 范围。
制定相应的机房出入管理制度:对于安全等级要求较 高的系统,要实行分区控制,限制工作人员出入与己 无关的区域。出入管理可采用证件识别或安装自动识 别登记系统,采用磁卡、身份卡等手段,对人员进行 识别、登记管理。
制定严格的操作规程:操作规程要根据职责分离和多 人负责的原则,各负其责,不能超越自己的管辖范围 。
大家好
1
9、计算机网络安全管理 与安全评估
2
教学目标
主要介绍与计算机网络信息安全有关的 法律法规,网络安全评估的思路,信息 安全制度的建设,以及上网行为控制与 管理等
对网络安全法规以及制度有所了解,能 更好地遵循网络规定
利用上网行为管控及安全评估,提供网 络安全管理水平
计算机网络安全管理与安全评估
计算机网络安全管理与安全评估
20
美国计算机网络安全评估的标准
计算机网络安全管理与安全评估
21
美国计算机网络安全评估的标准
计算机网络安全管理与安全评估
22
美国计算机网络安全评估的标准
D-非保护级
➢ 即不符合要求的系统,这类系统不能用于多 用户环境下处理敏感信息
C-自主保护级
➢ 具有一定的保护功能,采用的措施主要是自 主访问控制和审计跟踪,适用于具有一定等 级的多用户环境。它具有对主体的责任和对 其动作进行审计的能力,分C1和C2两级
多人负责原则
任期有限原则
职责分离原则
➢ 计算机操作与编程 ➢ 机密资料的接收和传送 ➢ 安全管理和系统管理 ➢ 应用程序和系统程序的编制 ➢ 访问证件的管理与其他工作 ➢ 操作与信息系统媒介保管
计算机网络安全管理与安全评估
10
9.2 计算机网络安全法规
法规是法律、法令、条例、规则、章程 、办法等法定文件的总称
安全风险控制:指确定、控制并消除或减轻系 统资源不确定事件的总过程,包括分析分析、 选择、实现、测试、评估及所有的安全检查等
安全审计:对网络中的安全设备、操作系统、 应用系统运行过程的日志信息的收集汇总,实 现对这些信息的查询与统计,并通过进一步分 析,得出更深层次的安全分析报告
计算机网络安全管理与安全评估
计算机网络安全管理与安全评估
24
美国计算机网络安全评估的标准
B-强制安全保护级
➢ 比C级的安全功能更强大。它要求对客体实 施强制性访问控制,并要求客体必须带有敏 感标志,可信计算基利用它施加强制访问控 制,B级分为B1、B2和B3三个子级别。
计算机网络安全管理与安全评估
OSI安全体系结构中的安全管理是指支 持和控制网络安全所必需进行的管理
计算机网络安全管理与安全评估
6
网络安全管理—内容
系统安全管理、安全服务管理和安全机 制管理三个方面
➢ 系统安全管理是整个OSI安全体系结构的环 境安全管理
➢ 安全服务管理是指特定安全服务的管理 ➢ 安全机制管理包括了密钥管理、数字签名、
计算机网络安全管理与安全评估
18
计算机网络安全评估的内容
管理型安全评估 过程性安全评估 技术性安全评估
风险评估 电子信息处理审计 安全评估
计算机网络安全管理与安全评估
19
美国计算机网络安全评估的标准
将计算机系统安全分为A、B、C、D四等 八个级别,共27条评估准则。从最低等 级D等到A等,随着安全等级的提高,系 统的可信度随之增加,风险逐渐减少
制定完备的系统维护制度:对系统进行维护时,应采 取数据保护措施。维护时要首先经主管部门批准,并 有安全管理人员在场,故障原因、维护内容和维护前 后的情况要详细记录。
制定应急措施:要制定系统在紧急情况下如何尽快恢 复的应急措施,使损失减至最小。
计算机网络安全管理与安全评估
9
安全管理的--行政原则
计算机网络安全管理与安全评估
11
我国计算机网络安全法规
计算机网络安全管理与安全评估
12
我国计算机网络安全法规
计算机网络安全管理与安全评估
13
我国计算机网络安全法规
计算机网络安全管理与安全评估
14
内部计算机网络安全制度
除了国家及地方的法律法规外,各单位 也应依据法律法规,针对本单位网络及 系统的实际情况,制定维护系统安全运 行的各种规章制度。以规范信息系统的 运行,威慑和打击网络犯罪,保障单位 业务的顺利运行。
计算机网络安全管理与安全评估
15
内部计算机网络安全制度
物理设备安全管理制度 网络系统运行安全制度 信息系统运行安全制度 业务安全管理制度
计算机网络安全管理与安全评估
16
9.3 计算机网络的安全评估
计算机网络安全管理与安全评估
来自百度文库17
计算机网络安全评估的意义
指导用户建立符合安全需求的网络 建立系统内其他部件的安全评估标准
计算机网络安全管理与安全评估
23
美国计算机网络安全评估的标准
➢ C1级称为自主安全保护级,通过用户与数据 隔离,满足可信计算基(Trusted Computing Base,TCB)自动安全要求。 TCB在命名主体和命名客体之间实施访问控 制。目前生产的大多数系统都能达到这一等 级。
➢ C2级称为可控安全保护级,系统提供比C1 级有更细致的自主访问控制。它通过注册过 程,同与安全有关事件的审计和资源隔离, 使得用户的操作有据可查。目前终端用户使 用的大多数系统满足C2级的要求
访问控制、认证和数据完整性管理等,其实 质是对各种网络资源进行监测、控制、协调 和故障报告等
计算机网络安全管理与安全评估
7
网络安全管理—实际操作
安全设备管理:指对网络中所有的安全产品, 如防火墙、VPN、防病毒软件、入侵检测系统 、漏洞扫描等产品和系统的统一管理与监控
安全策略管理:指管理、保护及自动分发全局 性的安全策略,包括对安全设备、操作系统及 应用系统的安全管理策略
3
要点内容
信息安全相关法规 安全评估 制度建设 上网行为管理
计算机网络安全管理与安全评估
4
能力要求
了解并能使用法律法规管理信息安全
计算机网络安全管理与安全评估
5
9.1 计算机网络安全管理
在整个网络安全事件的发生原因中,管 理约占60%,应此必须花大力气加强网 络的安全管理,因为诸多的不安全因素 恰恰反映在组织管理和人员方面
8
网络安全管理--措施
根据工作的重要程度,确定该系统的安全等级和管理 范围。
制定相应的机房出入管理制度:对于安全等级要求较 高的系统,要实行分区控制,限制工作人员出入与己 无关的区域。出入管理可采用证件识别或安装自动识 别登记系统,采用磁卡、身份卡等手段,对人员进行 识别、登记管理。
制定严格的操作规程:操作规程要根据职责分离和多 人负责的原则,各负其责,不能超越自己的管辖范围 。
大家好
1
9、计算机网络安全管理 与安全评估
2
教学目标
主要介绍与计算机网络信息安全有关的 法律法规,网络安全评估的思路,信息 安全制度的建设,以及上网行为控制与 管理等
对网络安全法规以及制度有所了解,能 更好地遵循网络规定
利用上网行为管控及安全评估,提供网 络安全管理水平
计算机网络安全管理与安全评估
计算机网络安全管理与安全评估
20
美国计算机网络安全评估的标准
计算机网络安全管理与安全评估
21
美国计算机网络安全评估的标准
计算机网络安全管理与安全评估
22
美国计算机网络安全评估的标准
D-非保护级
➢ 即不符合要求的系统,这类系统不能用于多 用户环境下处理敏感信息
C-自主保护级
➢ 具有一定的保护功能,采用的措施主要是自 主访问控制和审计跟踪,适用于具有一定等 级的多用户环境。它具有对主体的责任和对 其动作进行审计的能力,分C1和C2两级
多人负责原则
任期有限原则
职责分离原则
➢ 计算机操作与编程 ➢ 机密资料的接收和传送 ➢ 安全管理和系统管理 ➢ 应用程序和系统程序的编制 ➢ 访问证件的管理与其他工作 ➢ 操作与信息系统媒介保管
计算机网络安全管理与安全评估
10
9.2 计算机网络安全法规
法规是法律、法令、条例、规则、章程 、办法等法定文件的总称
安全风险控制:指确定、控制并消除或减轻系 统资源不确定事件的总过程,包括分析分析、 选择、实现、测试、评估及所有的安全检查等
安全审计:对网络中的安全设备、操作系统、 应用系统运行过程的日志信息的收集汇总,实 现对这些信息的查询与统计,并通过进一步分 析,得出更深层次的安全分析报告
计算机网络安全管理与安全评估
计算机网络安全管理与安全评估
24
美国计算机网络安全评估的标准
B-强制安全保护级
➢ 比C级的安全功能更强大。它要求对客体实 施强制性访问控制,并要求客体必须带有敏 感标志,可信计算基利用它施加强制访问控 制,B级分为B1、B2和B3三个子级别。
计算机网络安全管理与安全评估
OSI安全体系结构中的安全管理是指支 持和控制网络安全所必需进行的管理
计算机网络安全管理与安全评估
6
网络安全管理—内容
系统安全管理、安全服务管理和安全机 制管理三个方面
➢ 系统安全管理是整个OSI安全体系结构的环 境安全管理
➢ 安全服务管理是指特定安全服务的管理 ➢ 安全机制管理包括了密钥管理、数字签名、
计算机网络安全管理与安全评估
18
计算机网络安全评估的内容
管理型安全评估 过程性安全评估 技术性安全评估
风险评估 电子信息处理审计 安全评估
计算机网络安全管理与安全评估
19
美国计算机网络安全评估的标准
将计算机系统安全分为A、B、C、D四等 八个级别,共27条评估准则。从最低等 级D等到A等,随着安全等级的提高,系 统的可信度随之增加,风险逐渐减少
制定完备的系统维护制度:对系统进行维护时,应采 取数据保护措施。维护时要首先经主管部门批准,并 有安全管理人员在场,故障原因、维护内容和维护前 后的情况要详细记录。
制定应急措施:要制定系统在紧急情况下如何尽快恢 复的应急措施,使损失减至最小。
计算机网络安全管理与安全评估
9
安全管理的--行政原则