第3章 网络综合安全管理

2．欧洲ITSEC
ITSEC（Information Technology Security Evaluation Criteria） 将保密作为安全增强功能，与TCSEC 不同，它将保密作为安全的重点。在欧 洲，ITSEC BS7799列出了网络威胁的种类和管理要项，以及降低攻击危害的 方法。
3.4 网络安全评估准则和方法
表3-1 安全级别分类
类别 级别
D C D C1 C2 B1 B B2 B3 A
名 称
低级保护 自主安全保护 受控存储控制 标识的安全保护 结构化保护 安全区域 验证设计
主要特征
没有安全保护 自主存储控制 单独的可查性，安全标识 强制存取控制，安全标识 面向安全的体系结构，较好的抗渗透能力 存取监控、高抗渗透能力 形式化的最高级描述和验证
•图3-7 网络信息安全政策体系框架
3.4 网络安全评估准则和方法
3.4.1 国外网络安全评估标准
网络信息安全标准是确保信息安全的产品和系统，在设计、研发、生产、 建设、使用、测评过程中，解决产品和系统的一致性、可靠性、可控性、先 进性和符合性的技术规范、技术依据。
1．美国TCSEC(橙皮书)
(2) 安全策略的实施
1) 安全存储重要数据和文件。 2) 及时更新加固系统。
3) 进行系统检测与监控。
4) 启动系统日志和审计。
3.3 网络安全管理规范及策略
3.3.3 网络信息安全政策体系
1. 网络信息安全有关政策
(1) 网络信息安全管理政策
网络信息安全管理政策是企事业从管理层对有关网络安全的 一整套管理规范和指导原则，是在信息安全战略下为组织管理、 保护和信息资源使用制定的原则。管理政策是信息安全政策与标 准体系中最高层级的规范，表明领导管理层的目标和目的。 (2) 网络信息安全功能性政策 在网络安全管理政策下，依据网络安全保障体系框架，针对特定管理需 求制定的政策具体内容包括以下5个方面： 1) 网络安全风险管理 3) 网络安全组织 2) 网络安全认知 4) 网络安全审计
3.3 网络安全管理规范及策略
2．网络安全策略的制定与实施
(1) 网络安全策略的制定
网络安全策略是指在某个特定的环境中，为达到一定级别的网络安全保 护需求所遵循的各种规则和条例。安全策略是网络安全管理过程的重要内容 和方法。 网络安全策略包括3 个重要组成部分：安全立法、安全管理、安全技术。 安全立法是第一层，有关网络安全的法律法规可分为社会规范和技术规范； 安全管理是第二层，主要指一般的行政管理措施；安全技术是第三层，是网 络安全的重要物质和技术基础。
1983年由美国国防部制定的5200.28安全标准——可信计算系统评价准 则，即网络安全橙皮书或桔皮书，将安全分为4个方面：安全政策、可说明 性、安全保障和文档，又分为7个安全级别。从1985年橙皮书成为美国国防 部的标准以来，一直是评估多用户主机和小型操作系统的主要方法。如表31所示。可信任分布是指硬件和软件通过物理传输过程中的保护，防止破坏 安全系统。
3.1 网络安全管理保障体系
实际上，在信息安全保障体系框架中充分体现了风险管理的理 念，网络信息安全保障体系架构包括五个部分：
3.1 网络安全管理保障体系
3.1.2

网络安全管理及运作体系
1. TCP/IP网络安全管理体系
TCP/IP网络安全管理体系结构，如图3-4所示。包括三个方面：分层安全管 理、安全服务与机制（认证、访问控制、数据完整性、抗抵赖性、可用可控 性、审计）、系统安全管理（终端系统安全、网络系统、应用系统）。
·20世纪90年代以来，针对利用计算机网络从事刑事犯罪的数量, 在许多国家都以法律手段打击网络犯罪。到90年代末，这方面的国 际合作也迅速发展起来。 ·为保障网络安全，欧盟成为在刑事领域做出国际间规范的典型. 于2000年初及12月底两次颁布了《网络刑事公约》。还有一些国家 修订了原有刑法，以适应保障网络安全的需要。
策、标准与规范、安全指南和细 则三个层面。以此将信息安全战 （2）网 略逐步细化、落实，指导单位的 络信息安 网络安全工作。 • 网络信息安全政策与标准体系框 全对象 架的横向是网络信息安全对象。 根据具体对象的不同，在纵向的 每个层次中应分别制定相应的政 策、标准或规范等。
课堂讨论
1.安全管理规范所必需涉及的内容有哪些方面？ 2.网络信息安全功能性政策的内容有哪些？ 3.如何进行网络安全策略的制定与实施？
3.2
网络安全的法律பைடு நூலகம்规
3.2.2 我国的网络安全法律法规


从20世纪90年代初起，根据网络信息安全管理的需要，国家及相关部门、 行业和地方政府相继制定了多项有关网络信息安全的法律法规。
我国网络信息安全立法体系分为以下三个层面。 第一个层面：法律。是由全国人民代表大会及其常委会通过的法律规范。 第二个层面：行政法规.主要指国务院为执行宪法和法律而制定的法律规范. 第三个层面：地方性法规、规章、规范性文档。主要指国务院各部、委根据 法律和国务院行政法规，在本部门的权限范围内制定的法律规范，以及省、 自治区、直辖市和较大的市人民政府根据法律、行政法规和本省、自治区、 直辖市的地方性法规制定的法律规范性文档。
图3-4 TCP/IP网络安全管理体系结构
3.1 网络安全管理保障体系
2. 网络安全运作体系
目标是构建网络安全的核心运作模式。框架的基础是风险管理的理念和 持续改进的模式。其模式要求动态地的管理信息安全相关的风险，遵循规划 -实施-监控-改进的PDCA循环，不断地适应动态变化的环境。与传统的网络 安全运作模式相比，基于风险管理理念和持续改进模式的信息安全运作模式 是：一种全局的、全员参与的、事先预防、事中控制、事后纠正的、动态的 运作管理模式；优点是避免、降低各类风险，能降低信息安全故障导致的综 合损失。
4. 其他相关立法
一些发展中国家，除了制定保障网络健康发展的部门法以外， 还专门制定了综合性的、原则性的网络基本法。
5. 民间管理、行业自律及道德规范
各国在规范与管理网络行为方面，都很注重发挥民间组织的作 用，尤其是行业的作用。德国、英国、澳大利亚等，学校中网络使 用的“行业规范”均十分严格。 大多数以法律规范网络行为的国家，先明确网络服务提供者的 责任，基本都采用了“避风港”制度。
案例3-3
某银行网络信息安全的运作方式案例。网络安全运作是实现 信息安全目标的重要机制。网络安全技术只是实现信息安全控制 的一个手段，必须依赖于有效的网络安全运作模式加以综合利用， 以实现银行的信息安全目标。 运作体系框架由两部分组成，如图3-5所示。上面的四个箭头代表了网 络安全运作的目标模式和概念性流程。它以风险管理的四个环节作为运作的 主线，描述了网络安全业务的基本运作模式。下面是概念性流程在具体对象 层次上的实现。
3.3 网络安全管理规范及策略
3.3.2 网络安全管理的策略
1. 网络信息安全战略
网络信息安全战略分为网络信息安全战略概述、网络信息安全战略需求 分析、网络信息安全战略目标、网络信息安全工作基本原则4个部分。
网络信息安全策略是企事业单位网络信息安全保障体系的核心，是网 络信息安全工作的原则、宗旨、指导，可为网络信息安全工作指明方向。 网络信息安全战略的制定3大原则： 1）为业务发展需要提供支持和保障。 2）在信息技术规划的基础上制定。 3）坚持风险管理的理念。
全国高校管理与工程类 学科系列规划教材
教育部高校管理与工程教学指导 委员会、机械工业出版社
第3章 网络综合安全管理
目
1
2 3 4 5
录
3.1 网络安全管理保障体系
3.2 网络安全的法律法规
3.3 网络安全管理规范及策略 3.4 网络安全评估准则和方法 3.5 网络安全管理的原则及制度
6
7 8
*3.6 网络安全规划概述
3.1 网络安全管理保障体系
3.1.1 网络安全管理保障体系

案例3-1
某银行网络安全管理的整体保障体系如图3-1所示。网络安全 管理整体保障作用体现在整个系统生命周期对风险进行整体的应对和控制。
图3-1 网络安全管理整体保障体系
3.1 网络安全管理保障体系
1．网络安全保障关键因素
网络安全保障包括4个方面：网络安全策略、网络安全管理、网络安全 运作和网络安全技术，如图3-2所示。
5) 网络安全法律法规符合性
3.3 网络安全管理规范及策略
2. 网络信息安全政策体系
案例3-4
网络信息安全政策与标准体系是安全管理、运作、技术体系标 准化、制度化后形成的一整套管理规定，其体系框架可分为横向和纵向两个 （1）制 维度，如图3-7所示。 度/规定 层次化结 • 体系框架的纵向是制度/规定的层 构 次化结构，分为网络信息安全政
图3-2 网络安全保障因素
2．网络安全保障总体框架

案例3-2 我国某金融机构网络信息安全保障体系总体框架如图3-3所示
网络信息安全保障体系框架的外围是风险管理、法律法规、标准的符合性。
3.1 网络安全管理保障体系
图3-3
网络信息安全保障体系框架
风险管理是指在对风险的不确定性和可能性等因素进行考察、预测、 收集、分析的基础上，制定的识别风险、衡量风险、积极管理风险、有效 处置风险及妥善处理风险等一整套系统而科学的管理方法，以避免和减少 风险损失，促进企业长期稳定发展。网络安全管理的本质是对信息安全风 险的动态有效管理和控制。风险管理是企业运营管理的核心，风险分为信 用风险、市场风险和操作风险，其中后者包括信息安全风险。
课堂讨论
1. 为什么说法律法规是网络安全体系的重要保障和基石？ 2. 国外的网络安全法律法规对我们有何启示？ 3. 我国网络信息安全立法体系框架分为哪三个层面？
3.3 网络安全管理规范及策略
3.3.1 网络信息安全管理规范
网络信息安全管理规范是为保障实现信息安全政策的各项目标，制定的 一系列管理规定和规程，具有强制效力。涉及的领域较多，根据经验和参考 多套标准、政策的基础上提出的安全管理规范涉及的各项内容如下： 1 2 3 4 5 6 7 8 9
3.1 网络安全管理保障体系
图3- 5 网络信息安全运作体系框架
课堂讨论
1. 网络信息安全保障包括哪四个方面？ 2. 信息安全保障体系架构包括哪五个部分？ 3. 网络信息安全业务的基本运作模式是什么？
3.2
网络安全的法律法规
3.2.1 国外的网络安全法律法规
1. 国际合作立法打击网络犯罪
A
3．美国联邦准则(FC )
美国联邦准则(FC)标准参照了CTCPEC 与TCSEC，目的是提供TCSEC 的升级版本，同时保护已有投资。FC是一个过渡标准，之后结合ITSEC发 展为联合公共准则。
4．通用评估准则(CC)
CC（Common Criteria）的目的是将已有的安全准则结合成一个统一的 标准。此项计划从1993年开始执行，1996年推出第一版，但目前仍未实施。
3.4 网络安全评估准则和方法
5．ISO 安全体系结构标准
ISO制定的国际标准ISO7498-2-1989《信息处理系统·开放系统互连、 基本模型第2部分安全体系结构》，为开放系统标准建立框架。用于提供安 全服务与有关机制的一般描述，确定在参考模型内部可提供这些服务与机制。 提供了5 种可选择的安全服务。如表3-2所示。 表3-2 ISO提供的安全服务
2. 禁止破解数字化技术保护措施的法律
1996年12月，世界知识产权组织作出了禁止擅自破解他人数字 化技术保护措施的规定。至今，欧盟、日本、美国等大多数国家都 把它作为一种网络安全保护，规定在本国的法律中。
3.2
网络安全的法律法规
3. 与“入世”有关的网络法律
在1996年12月联合国第51次大会上，通过了联合国贸易法委员 会的《电子商务示范法》， 1998年7月新加坡的《电子交易法》出 台。1999年12月世贸组织西雅图外交会议上一个主要议题就是制定 了对“电子商务”规范。
3.7 WEB服务器的安全设置与管理实验 3.8 本章小结
目
本章要点
录
● 网络安全管理保障体系、法律法规、评估 准则和方法 ● 网络安全管理规范及策略、原则及制度 ● 网络安全规划的主要内容和原则 ● Web服务器的安全设置与管理实验
教学目标
● 掌握网络安全管理保障体系、法律法规、评估 准则和方法 ● 理解网络安全管理规范及策略、原则及制度 ● 了解网络安全规划的主要内容和原则 ● 掌握Web服务器的安全设置与管理实验