第3章 网络安全管理概述
电信运营商网络安全管理手册
电信运营商网络安全管理手册第一章总论 (2)1.1 网络安全管理概述 (2)1.2 网络安全政策与法规 (3)1.3 网络安全组织架构 (3)第二章网络安全风险管理 (4)2.1 风险识别与评估 (4)2.2 风险防范与应对 (4)2.3 风险监控与改进 (5)第三章信息安全策略与规划 (5)3.1 信息安全策略制定 (5)3.2 信息安全规划与实施 (6)3.3 信息安全培训与宣传 (6)第四章网络安全防护技术 (7)4.1 防火墙与入侵检测 (7)4.1.1 防火墙技术 (7)4.1.2 入侵检测技术 (7)4.2 加密与身份认证 (8)4.2.1 加密技术 (8)4.2.2 身份认证技术 (8)4.3 网络隔离与数据备份 (8)4.3.1 网络隔离技术 (8)4.3.2 数据备份技术 (8)第五章安全事件管理与应急响应 (9)5.1 安全事件分类与级别 (9)5.1.1 安全事件分类 (9)5.1.2 安全事件级别 (9)5.2 安全事件处理流程 (9)5.3 应急响应预案与演练 (10)5.3.1 应急响应预案 (10)5.3.2 应急响应演练 (10)第六章网络安全审计与合规 (10)6.1 审计制度与流程 (10)6.1.1 审计制度 (10)6.1.2 审计流程 (11)6.2 审计工具与技术 (11)6.2.1 审计工具 (11)6.2.2 审计技术 (11)6.3 合规性与认证 (11)6.3.1 合规性 (11)6.3.2 认证 (12)第七章网络安全运维管理 (12)7.1 运维流程与规范 (12)7.1.1 运维流程 (12)7.1.2 运维规范 (13)7.2 运维工具与系统 (13)7.2.1 运维工具 (13)7.2.2 运维系统 (13)7.3 运维团队建设与培训 (13)7.3.1 运维团队建设 (13)7.3.2 运维团队培训 (14)第八章数据安全与隐私保护 (14)8.1 数据安全策略 (14)8.2 数据加密与存储 (14)8.3 隐私保护政策与实施 (15)第九章网络安全防护体系建设 (15)9.1 防护体系架构 (15)9.1.1 基本架构 (15)9.1.2 技术架构 (16)9.2 防护体系实施 (16)9.2.1 实施步骤 (16)9.2.2 实施要点 (16)9.3 防护体系评估与优化 (16)9.3.1 评估方法 (16)9.3.2 优化措施 (17)第十章网络安全合作伙伴管理 (17)10.1 合作伙伴选择与评估 (17)10.2 合作伙伴关系维护 (17)10.3 合作伙伴安全管理 (18)第十一章法律法规与标准规范 (18)11.1 法律法规概述 (18)11.2 行业标准与规范 (19)11.3 国际标准与法规 (19)第十二章网络安全教育与培训 (20)12.1 培训体系与课程 (20)12.2 培训方式与效果评估 (20)12.3 培训资源与平台建设 (21)第一章总论1.1 网络安全管理概述信息技术的飞速发展,计算机网络已经成为现代社会信息交流的重要载体。
2中华人民共和国网络安全法
中华人民共和国网络安全法中华人民共和国主席令第五十三号《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,现予公布,自2017年6月1日起施行。
2016年11月7日中华人民共和国网络安全法目录第一章总则第二章网络安全支持与促进第三章网络运行安全第一节一般规定第二节关键信息基础设施的运行安全第四章网络信息安全第五章监测预警与应急处置第六章法律责任第七章附则第一章总则第一条为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
第二条在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。
第三条国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
第四条国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。
第五条国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
第六条国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。
第七条国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。
第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。
国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
电子商务安全技术实用教程第3章
防火墙应用的局限性
(1)不能防范不经过防火墙的攻击 (2)不能解决来自内部网络的攻击和安全问题
(3)不能防止受病毒感染的文件的传输
(4)不能防止数据驱动式的攻击 (5)不能防止系统安全体系不完善的攻击
3.防火墙的安全策略
(1)一切未被允许的都是禁止的(限制政策)
防火墙只允许用户访问开放的服务, 其它未开放的服务都是 禁止的。这种策略比较安全,因为允许访问的服务都是经过 筛选的, 但限制了用户使用的便利性。 防火墙允许用户访问一切未被禁止的服务, 除非某项服务被 明确地禁止。这种策略比较灵活, 可为用户提供更多的服务, 但安全性要差一些。
2. 网络安全的特征
(1)保密性:也称机密性,是强调有用信息只被授权对象使用的 安全特征。
(2)完整性:是指信息在传输、交换、存储和处理过程中,保持 信息不被破坏或修改、不丢失和信息未经授权不能改变的特性。 (3)可用性:也称有效性,指信息资源可被授权实体按要求访问、 正常使用或在非正常情况下能恢复使用的特性。 (4)可控性:是指信息系统对信息内容和传输具有控制能力的特 性,指网络系统中的信息在一定传输范围和存放空间内可控程度。 (5)可审查性:又称拒绝否认性、抗抵赖性或不可否认性,指网 络通信双方在信息交互过程中,确信参与者本身和所提供的信息 真实同一性。
(2)一切未被禁止的都是允许的(宽松政策)
3.2.2 防火墙的分类与技术
1.防火墙的分类
(1)软件防火墙与硬件防火墙
(2)主机防火墙与网络防火墙
(1)包过滤技术 (2)代理服务技术 (3)状态检测技术
2.防火墙的技术
(4)NAT技术
《网络安全等级保护条例》
《网络安全等级保护条例》第一章总则为了加强网络安全等级保护工作,保障国家网络安全,维护公共利益和社会秩序,制定本条例。
网络安全等级保护是指根据网络威胁情报、网络安全状况、网络关键信息基础设施重要性和漏洞信息等因素,对网络进行分类、标记和保护的工作。
网络安全等级保护应当坚持依法管理、分级负责、综合治理的原则。
第二章网络安全等级划分网络安全等级划分按照国家网络安全等级划分标准进行。
根据网络对国家安全的重要程度,可以将网络划分为国家级网络、行业级网络和企事业单位网络。
国家级网络、行业级网络和企事业单位网络应当根据其功能和使用范围划分为基础网络、应用网络、管理网络和其他特定网络。
第三章网络安全等级标志国家对网络安全等级的分类标识应当采取统一的标志。
网络安全等级标志应当在网络设备、网络系统和网络应用中显著位置展示。
网络安全等级标志的实施具体办法由国家互联网信息办公室会同有关部门制定。
第四章网络安全保护措施部门、企事业单位应当按照网络安全等级要求,采取适当的网络安全保护措施。
部门应当对各级精密计算机、涉密网络和其他关键信息基础设施进行网络安全评估。
网络安全保护措施包括网络安全防护、网络安全监测、网络安全预警和网络安全应急。
第五章网络安全事件报告和处置发现网络安全事件的,应当及时报告有关部门或者网络安全事件应急处置机构。
网络安全事件应急处置机构应当及时组织网络安全事件的调查和处置工作。
第六章网络安全控制和监管网络安全等级保护工作应当建立网络安全责任制。
第十六条网络安全检查应当对网络安全等级保护情况进行定期检查。
第十七条网络安全责任主体应当按照国家有关规定建立网络安全管理制度。
第七章法律责任第十八条违反本条例的规定,有下列行为之一的,由网络安全监管部门责令改正,可以处以警告、责令停业整顿、罚款等处罚:________(一)未按照要求进行网络安全等级划分和标志的。
(二)未按照网络安全等级要求采取网络安全保护措施的。
第三章 《网络安全法》概述
-7-
Forrising Consulting
第二节 《网络安全法》整体解读
Local Practice, Global Vision
网络安全法教程
一、立法背景与立法意义 (一)《网络安全法》立法背景 1、时代背景 当前我国面临的国内和国际信息安全形势相当复杂和严峻,境外敌对势力的网络浸透日益泛化,国 内各种极端势力进行的网络恐怖活动及社会矛盾交融所产生的国家安全和社会稳定任务更加迫切。 2、国际背景 网络空间已成为各国竞争与博弈的新领域,其安全性与战略性已成为各国关注的重点。为了应对这 种局面,各国纷纷加大了对网络安全治理与立法的力度,网络安全相关法案相继出台。 (二)立法意义 《网络安全法》对于确立我国网络安全基本管理制度具有里程碑式的重要意义。
-8-
Forrising Consulting
Local Practice, Global Vision
网络安全法教程
二、《网络安全法》的内容框架
(一)三大法律原则
1、网络空间主权原则 2、网络安全与信息化发展并重原则 3、共同治理原则
(二)十类网络安全法律制度
1、网络安全标准体系法律制度
网络安全法教程
(三)英国
目前,英国的网络安全立法比较完整。英国不仅通过国家网络安全战略等形式对网络安全治理方向 进行规制,还在关键信息基础设施保护、个人信息安全、跨境数据流动等方面进行专门立法。
(四)德国
德国作为欧洲最发达的国家之一,其信息网络的发展水平也一直处于世界前列。德国很早就通过立 法的方式来维护互联网的信息安全,将法律制度普及到网络社会中,实现全社会的和谐稳定。
-6-
Forrising Consulting
第3章 网络安全管理概述
第二个层面:行政法规。主要指国务院为执行宪法和法律 而制定的法律规范。 -计算机信息系统安全保护条例,计算机信息网络国际
联网管理暂行规定、保护管理办法、密码管理条例、电信条例、互联网信息服务管 理办法、计算机软件保护条例等
17
3.2 网络安全的法律法规
3.2.2 我国网络安全的法律法规
第三个层面:地方性法规、规章、规范性文件 公安部制 定的《计算机信息系统安全专用产品检测和销售许可证管理 办法》、《计算机病毒防治管理办法》、《金融机构计算机 信息系统安全保护工作暂行规定》、《关于开展计算机安全 员培训工作的通知》等。
6
3.1 网络安全管理概念和任务
3.1.2 网络安全管理的内容和体系
1.网络安全管理的内容
开放系统互连参考模型OSI /RM(Open System Interconnection Reference Model)中的安全管理主要是指对 除通信安全服务之外的、支持和控制网络安全所必须的其他操作 所进行的管理。OSI/RM的安全管理包括:系统安全管理、安全服 务管理和安全机制管理。 现代网络管理内容可用OAM&P(Operation, Administration, Maintenance and Provisioning,运行、管理、维 护和提供)概括,主要包括:故障指示、性能监控、安全管理、 诊断功能、网络和用户配置等。 网络安全管理的具体对象包括涉及的机构、人员、软件、设 备、场地设施、介质、涉密信息及密钥、技术文档、网络连接、 门户网站、应急恢复、安全审计等。
19
3.2 网络安全的法律法规
*3.2.3 电子证据与取证技术
2.电子证据收集处理与提交 1)电子证据收集。 2)电子数据的监测技术。 3)保全技术。 4)电子证据处理及鉴定技术。 5)电子证据提交技术。 3. 计算机取证技术 1)计算机取证的法律效力。 2)电子证据的真实性。 3)电子证据的证明力。 4)计算机取证设备和工具。 【注意】在计算机取证工具中可能存在两类错பைடு நூலகம்:工具执行错 误和提取错误。
网络安全综合概述
网络安全
计算机安全技术
9.3防火墙的作用与设计
(3)防火墙不能防备全部的威胁 (4)防火墙不能防范病毒 防火墙要检测随机数据中的病毒十分困难,它要求: ·确认数据包是程序的一部分 ·确定程序的功能 ·确定病毒引起的改变 9.3.2防火墙的功能 防火墙通常具有以下几种功能: ·数据包过滤 ·代理服务
防火墙体系结构的不同形式使用多堡垒主机合并内部路由器与外部路由器合并堡垒主机与外部路由器合并堡垒主机与内部路由器使用多台内部路由器使用多台外部路由器使用多个周边网络使用双重宿主主机与屏蔽子网计算机安全技术网络安全93防火墙的作用与设计934内部防火墙实验室网络不安全的网络特别安全的网络合作共建防火墙共享周边网络堡垒主机可有可无计算机安全技术网络安全93防火墙的作用与设计935发展趋势被称为第三代防火墙的系统正在成为现实它综合了数据包过滤与代理系统的特点与功能
网络安全
计算机安全技术
9.3防火墙的作用与设计
2.屏蔽主机体系结构
双重宿主主机体系结构提供内部网络和外部网络之间 的服务(但是路由关闭),屏蔽主机体系结构使用一个单 独的路由器来提供内部网络主机之间的服务。在这种体系 结构中,主要的安全机制由数据包过滤系统来提供 。
3.屏蔽子网体系结构
屏蔽子网体系结构在屏蔽主机体系结构的基础上添加 额外的安全层,它通过添加周边网络把内部网络更进一步 地与因特网隔离开。
9.2.3 阻塞点
阻塞点强迫侵袭者通过一个你可以监控的窄小通道在 因特网安全系统中,位于你的局域网和因特网之间的防火 墙(假设它是你的主机和因特网之间的唯一连接)就是这 样一个阻塞点。
网络安全
计算机安全技术
信息网络安全管理制度范文(三篇)
信息网络安全管理制度范文第一章总则第一条为了加强企业信息网络安全管理,保障信息系统和数据的安全、稳定和可靠,制定本制度。
第二条本制度适用于企业内部的信息系统、网络相关设备及其终端用户的信息网络安全管理。
第三条企业信息网络安全管理应遵循国家相关法律法规的规定,确保信息网络的合法、规范、健康运行。
第四条企业应建立健全信息网络安全管理制度,明确责任分工,提高信息网络安全防护和应急响应能力。
第五条企业应建立健全的信息网络安全组织机构和专门的安全技术队伍,负责信息网络安全的日常管理和维护工作。
第六条企业应加强对员工的信息网络安全教育和培训,提高员工的信息安全意识和技能。
第七条本制度的解释权归企业信息网络安全管理机构所有。
第二章信息网络安全管理职责第八条企业信息网络安全管理机构负责制定信息网络安全管理制度,并监督管理企业信息网络安全工作。
第九条企业信息网络安全管理机构应定期评估信息网络的安全状况,发现安全隐患,并及时采取措施加以解决。
第十条企业信息网络安全管理机构应建立健全信息网络风险评估机制,及时发现和评估相关风险,并制定相应的防护措施。
第十一条企业信息网络安全管理机构应制定完善的信息网络应急预案,确保在遭受网络攻击或其他安全事件时能迅速应对和恢复。
第十二条企业信息网络安全管理机构应定期开展安全演练,验证应急预案和安全防护措施的有效性。
第三章信息网络安全管理措施第十三条企业应建立完善的网络访问控制机制,对外部网络进行限制和监控,防范非法入侵和攻击。
第十四条企业应建立合理的帐号管理机制,实行用户名和密码的安全策略,要求员工定期更换密码。
第十五条企业应采取必要的安全措施,保护重要数据的机密性、完整性和可用性,防止数据泄露和篡改。
第十六条企业应建立完善的备份机制,对重要数据和系统进行定期备份,以防数据丢失造成重大损失。
第十七条企业应加强对外部链接机构和合作伙伴的安全管理,确保外部链接不会对企业网络造成威胁。
第十八条企业应定期进行安全检查和漏洞扫描,及时修补系统和应用程序的漏洞。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3.3 网络安全评估准则和测评
2.欧洲ITSEC
信息技术安全评估标准ITSEC,俗称欧洲的白皮书, 将保密作为安全增强功能,仅限于阐述技术安全要求,并 未将保密措施直接与计算机功能相结合。 ITSEC是欧洲的 英国、法国、德国和荷兰等四国在借鉴橙皮书的基础上联 合提出的。橙皮书将保密作为安全重点,而ITSEC则将首 次提出的完整性、可用性与保密性作为同等重要的因素, 并将可信计算机的概念提高到可信信息技术的高度。
第3.2 网络安全的法律法规
3. 与“入世”有关的网络法律 在1996年12月联合国第51次大会上,通过了联合国 贸易法委员会的《电子商务示范法》,对于网络市场 中的数据电文、网上合同成立及生效的条件,传输等 专项领域的电子商务等,子商务”规范成为一个主 要议题。 4. 其他相关立法 5. 民间管理、行业自律及道德规范
“七分管理,三分技术, 运作贯穿始终”,管理是关键, 技术是保障,其中的管理应包 括管理技术。 图3-4网络安全保障因素 与美国ISS公司提出的动态网络安全体系 的代表模型的雏形P2DR相似。该模型包含4个 主要部分:Policy(安全策略)、Protection(防 护)、Detection(检测)和 Response(响应)。如 图3-5所示
第3.2 网络安全的法律法规
课堂讨论 1. 为什么说法律法规是网络安全体系的重要保障 和基石? 2. 国外的网络安全法律法规对我们有何启示? 3. 我国网络安全立法体系框架分为哪三个层面? 网络安全标准是确保网络信息安全的产品和系 统, 在设计、建设、生产、实施、使用、测评和管 理维护过程中, 解决产品和系统的一致性、可靠性 、可控性、先进性和符合性的技术规范、技术依据.
3.1 网络安全管理体系
3.1 网络安全管理体系
3.1.1 网络安全管理体系及过程
1.OSI网络安全体系 OSI参考模型是国际标准化组织(ISO)为解决异 种机互联而制定的开放式计算机网络层次结构模型。 OSI安全体系结构主要包括网络安全机制和网络安全服 务两个方面。 1)网络安全机制 在ISO7498-2《网络安全体系结构》文件中规定的网 络安全机制有8项:加密机制、数字签名机制、访问控 制机制、数据完整性机制、鉴别交换机制、信息量填 充机制、路由控制机制和公证机制。
表3-2 ISO提供的安全服务
服 务 身份验证 访问控制 用 途 身份验证是证明用户及服务器身份的过程 用户身份一经过验证就发生访问控制,这个过程决定用户可以使用、浏览或 改变哪些系统资源
数据保密
数据完整性 抗否认性
这项服务通常使用加密技术保护数据免于未授权的泄露,可避免被动威胁
这项服务通过检验或维护信息的一致性,避免主动威胁 否认是指否认参加全部或部分事务的能力,抗否认服务提供关于服务、过程 或部分信息的起源证明或发送证明。
3.1 网络安全管理体系
图3-2 安全管理模型——PDCA持续改进模式
3.1 网络安全管理体系
4.网络管理与安全技术的结合
国际标准化组织ISO在ISO/IEC7498-4文档定义开放系 统网络管理的五大功能:故障管理功能、配置管理功能、 性能管理功能、安全管理功能和计费管理功能。目前,先 进的网络管理技术也已经成为人们关注的重点,先进的计 算机技术、无线通信及交换技术、人工智能等先进技术正 在不断应用到具体的网络安全管理中,网络安全管理理论 及技术也在快速发展、不断完善。 网络安全是个系统工程,网络安全技术必须与安全管 理和保障措施紧密结合,才能真正有效地发挥作用。
第3.2 网络安全的法律法规
3.2.2 我国网络安全的法律法规
第三个层面:地方性法规、规章、规范性文件 公安部制 定的《计算机信息系统安全专用产品检测和销售许可证管理 办法》、《计算机病毒防治管理办法》、《金融机构计算机 信息系统安全保护工作暂行规定》、《关于开展计算机安全 员培训工作的通知》等。 工业和信息化部制定的《互联网电户公告服务管理规定》 《软件产品管理办法》《计算机信息系统集成资质管理办法》 《国际通信出入 口局管理办法》、《国际通信设施建设管理 规定》 、《中国互联网络域名管理办法》《电信网间互联 管理暂行规定等 。
3.1 网络安全管理体系
3. 网络安全管理的基本过程
网络安全管理工作的程序,遵循如下PDCA 循环模式的4个基本过程: (1)制定规划和计划(Plan)。 (2)落实执行(Do)。 (3)监督检查(Check)。 (4)评价行动(Action)。 安全管理模型——PDCA持续改进模式如图3-2 所示。
第3.2 网络安全的法律法规
3.2.2 我国网络安全的法律法规
我国从网络安全管理的需要出发,从20世纪90年 代初开始,国家及相关部门、行业和地方政府相继制 定了多项有关网络安全的法律法规。 我国网络安全立法体系分为以下三个层面: 第一层面:法律。为全国人民代表大会及其常委 会通过的法律规范。 第二个层面:行政法规。主要指国务院为执行宪 法和法律而制定的法律规范。
3.美国联邦准则(FC )
美国联邦准则FC标准参照了加拿大的评价标准 CTCPEC 与橙皮书TCSEC,目的是提供TCSEC的升级 版本,同时保护已有建设和投资。FC是一个过渡标准, 之后结合ITSEC发展为联合公共准则。
3.3 网络安全评估准则和测评
4.通用评估准则(CC)
通用评估准则CC主要确定了评估信息技术产品和系统 安全性的基本准则,提出了国际上公认的表述信息技术安 全性的结构,将安全要求分为规范产品和系统安全行为的 功能要求,以及解决如何正确有效的实施这些功能的保证 要求。CC结合了FC及ITSEC的主要特征,强调将网络信息 安全的功能与保障分离,将功能需求分为9类63族,将保障 分为7类29族。CC的先进性体现在其结构的开放性、表达 方式的通用性,以及结构及表达方式的内在完备性和实用 性四个方面。目前,中国测评中心主要采用CC等进行测评, 具体内容及应用可以查阅相关网站。
图3-5 P2DR 模型示意图
3.1 网络安全管理体系
2.网络安全保障总体框架 网络安全保障体系总体框架如图3-6所示。 此保障体系框架的外围是风险管理、法律法规、标准的 符合性。
3.1 网络安全管理体系
风险管理指在对风险的可能性和不确定性等因素 进行收集、分析、评估、预测的基础上,制定的识方法,以避免和减少风险损失。网 络安全管理的本质是对信息安全风险的动态有效管理和 控制.风险管理是企业运营管理核心,风险分为信用风险 市场风险和操作风险,其中包括信息安全风险.实际上,在 网络信息安全保障体系框架中,充分体现了风险管理理念.
3.1 网络安全管理体系
3.1.2 网络安全保障体系
计算机网络安全的整体保障体系如图3-3所示。网络安全的整体保障作 用,主要体现在整个系统生命周期对风险进行整体的应对和控制
图3-3 网络安全整体保障体系
3.1 网络安全管理体系
1.网络安全保障关键因素
网络安全保障包括四个方面:网络安全策略、网 络安全管理、网络安全运作和网络安全技术,如图3-4所示.
3.3 网络安全评估准则和测评
目前,国际上通行的与网络信息安全有关的标准可分为3类,
如图3-7所示
图3-7 有关网络和信息安全标准种类
3.3 网络安全评估准则和测评
3.3.2 国内网络安全评估通用准则
1.系统安全保护等级划分准则
1999年国家质量技术监督局批准发布系统安全保护等级 划分准则,依据GB-17859《计算机信息系统安全保护等级划 分准则》和GA-163《计算机信息系统安全专用产品分类原 则》等文件,将系统安全保护划分为5个级别,如表3-3所示。
3.2.1 国外网络安全的法律法规
1. 国际合作立法打击网络犯罪 20世纪90年代以来,很多国家为了有效打击利用 计算机网络进行的各种违反犯罪活动,都采取了法律 手段。分别颁布《网络刑事公约》,《信息技术法》, 《计算机反欺诈与滥用法》等 。 2. 禁止破解数字化技术保护措施的法律 1996年12月,世界知识产权组织做出了“禁止擅自 破解他人数字化技术保护措施”的规定。欧盟、日本 、美国等国家都作为一种网络安全保护规定,纳入本 国法律。
网络安全保障体系架构包括五个部分:
1) 网络安全策略 2) 网络安全政策和标准 3) 网络安全运作 4) 网络安全管理 课堂讨论 5) 网络安全技术 1. 网络安全保障包括哪四个方面? 2. 信息安全保障体系架构包括哪五个部分? 3. 网络管理与安全技术的结合方式有哪些?
3.2 网络安全的法律法规
3.3 网络安全评估准则和测评
5.ISO 安全体系结构标准
国际标准ISO7498-2-1989《信息处理系统· 开放系统互 连、基本模型第2部分安全体系结构》,为开放系统标准 建立框架。主要用于提供网络安全服务与有关机制的一般 描述,确定在参考模型内部可提供这些服务与机制。提供 了网络安全服务,如表3-2所示。
3.3 网络安全评估准则和测评
3.3.1 国外网络安全评估标准
1.美国TCSEC(橙皮书) 1983年由美国国防部制定的5200.28安全标准——可信 计算系统评价准则TCSEC,即网络安全橙皮书或桔皮书, 主要利用计算机安全级别评价计算机 系统的安全性。它将 安全分为4个方面(类别):安全政策、可说明性、安全 保障和文档。将这4个方面(类别)又分为7个安全级别, 从低到高为D、C1、 C2、B1、B2、B3和A级。 数据库和网络其他子系统也一直用橙皮书来进行 评估。橙皮书将安全的级别从低到高分成4个类别:D类、 C类、B类和A类,并分为7个级别。如表3-1所示。
3.1 网络安全管理体系
图3-1 TCP/IP网络安全管理体系结构
3.1 网络安全管理体系
3. 网络安全管理的基本过程
网络安全管理的具体对象:包括涉及的机构、 人员、软件、设备、场地设施、介质、涉密信息、 技术文档、网络连接、门户网站、应急恢复、安 全审计等。 网络安全管理的功能包括:计算机网络的运 行、管理、维护、提供服务等所需要的各种活动, 可概括为OAM&P。也有的专家或学者将安全管理 功能仅限于考虑前三种OAM情形。