1、第第1313章章 網絡信息安全管理網絡信息安全管理 前面詳細討論了網絡信息安全的各種技術。前面詳細討論了網絡信息安全的各種技術。 只有技術只有技術是不是可以呢？是不是可以呢？ 答案是否定的。答案是否定的。 除了技術，還要有除了技術，還要有完善的安全管理完善的安全管理。 沒有完善的安全管理，安全只是一句空話。沒有完善的安全管理，安全只是一句空話。 試想，如果試想，如果密鑰因為管理混亂而泄密密鑰因為管理混亂而泄密，那么密，那么密鑰設置得強度再高又有什么用呢？鑰設置得強度再高又有什么用呢？ 第第13章章 網絡信息安全管理網絡信息安全管理Network and Information Security

2、 “三分技術三分技術,七分管理七分管理”是網絡安全領域是網絡安全領域的一句至理名言的一句至理名言. 其原意是：網絡安全中的其原意是：網絡安全中的30%依依 靠計算靠計算機系統機系統信息安全設備和技術保障信息安全設備和技術保障， 而而70%則依靠用戶則依靠用戶安全管理意識的提高安全管理意識的提高以以及及管理模式管理模式 的更新的更新。 13.1 信息安全管理概述信息安全管理概述 1313.1.1 .1.1 信息安全管理的概念信息安全管理的概念所謂管理，是在群體活動中，為了完成所謂管理，是在群體活動中，為了完成一定一定的任務的任務，實現，實現既定的目標既定的目標，針對，針對特定的對特定的對象象，遵

3、循，遵循確定的原則確定的原則，按照，按照規定的程序規定的程序，運用運用恰當的方法恰當的方法，所進行的，所進行的制定計劃、建制定計劃、建立機構、落實措施、開展培訓、檢查效果立機構、落實措施、開展培訓、檢查效果和實施改進和實施改進等活動。等活動。Network and Information Security第第13章章 網絡信息安全管理網絡信息安全管理 安全管理是以安全管理是以管理對象的安全管理對象的安全為為任務和目標任務和目標的管理。的管理。 安全管理的任務安全管理的任務是保證是保證管理對象的安全管理對象的安全。 安全管理的目標安全管理的目標是達到是達到管理對象所需的安全級別管理對象所需的安全

4、級別，將風險控制在可以接受的程度。將風險控制在可以接受的程度。 信息安全管理是以信息及其載體信息安全管理是以信息及其載體即即信息系統為信息系統為對象的安全管理。對象的安全管理。 信息安全管理的任務是保證信息安全管理的任務是保證信息的使用安全和信息信息的使用安全和信息載體的運行安全。載體的運行安全。 信息安全管理的目標是達到信息安全管理的目標是達到信息系統所需的安全級信息系統所需的安全級別，將風險控制在用戶可以接受的程度別，將風險控制在用戶可以接受的程度。 1313.1.2 .1.2 安全管理的重要性安全管理的重要性 在信息時代，信息是一種資產。在信息時代，信息是一種資產。 僅通過技術手段實現的

5、安全能力是有限的僅通過技術手段實現的安全能力是有限的，主，主要體現在以下兩個方面。要體現在以下兩個方面。 一方面，一方面，許多安全技術和產品遠遠沒有達到人許多安全技術和產品遠遠沒有達到人們需要的水準們需要的水準。 另一方面，另一方面，即使某些安全技術和產品在指標上即使某些安全技術和產品在指標上達到了實際應用的某些安全需求，如果配置和達到了實際應用的某些安全需求，如果配置和管理不當，還是不能真正地實現這些安全需求。管理不當，還是不能真正地實現這些安全需求。Network and Information Security第第13章章 網絡信息安全管理網絡信息安全管理安全管理模型PDCA持續改進模式

6、 Network and Information Security執行(do)建立機構落實措施開展培訓行動(action)實施改進檢查(check)檢查效果計劃(plan)制定計劃策略任務、目標、對象、原則、程序、方法風險分析安全要求第第13章章 網絡信息安全管理網絡信息安全管理信息安全管理策略應包括信息安全管理的信息安全管理策略應包括信息安全管理的任務、目標、任務、目標、對象、原則、程序和方法對象、原則、程序和方法這些內容。這些內容。1.1.信息安全管理的任務：信息安全管理的任務：信息安全管理的任務是保證信息安全管理的任務是保證信息的信息的使用安全使用安全和信息和信息載體的運行安全載體的運行

7、安全。2.2.信息安全管理的目標：信息安全管理的目標：信息安全管理的目標是達到信息安全管理的目標是達到信息系統所需的安全級別，將風險控制在用戶可以接信息系統所需的安全級別，將風險控制在用戶可以接受的程度。受的程度。3.3.信息安全管理的對象：信息安全管理的對象：信息安全管理的對象從內涵信息安全管理的對象從內涵上講是指信息及其載體上講是指信息及其載體信息系統信息系統，從外延上說其，從外延上說其范圍范圍由實際應用環境來界定。由實際應用環境來界定。Network and Information Security1313.2 .2 信息安全管理策略信息安全管理策略 第第13章章 網絡信息安全管理網絡信

8、息安全管理（1 1） 策略指導策略指導原則原則（2 2） 風險評估原則風險評估原則（3 3） 預防為主預防為主原則原則 （4 4） 適度安全原則適度安全原則（5 5） 立足國內立足國內原則原則（6 6） 成熟技術原則成熟技術原則（7 7） 規范標準規范標準原則原則（8 8） 均衡防護原則均衡防護原則（9 9） 分權制衡分權制衡原則原則（1010）全體參與原則）全體參與原則（1111）應急恢復）應急恢復原則原則（1212）持續發展原則）持續發展原則Network and Information Security第第13章章 網絡信息安全管理網絡信息安全管理4.4.信息安全管理遵循如下基本原則：信

9、息安全管理遵循如下基本原則：（1 1）計劃（計劃（PlanPlan）：）：制定工作計劃，明確責任分制定工作計劃，明確責任分工，安排工作進度，突出工作重點，形成工作工，安排工作進度，突出工作重點，形成工作文件。文件。（2 2）執行（執行（DoDo）：）：按照計劃展開各項工作，包括按照計劃展開各項工作，包括建立權威的安全機構，落實必要的安全措施，建立權威的安全機構，落實必要的安全措施，開展全員的安全培訓等。開展全員的安全培訓等。（3 3）檢查（）檢查（CheckCheck）：）：對上述工作所構建的信息安對上述工作所構建的信息安全管理體系進行符合性檢查，并報告結果。全管理體系進行符合性檢查，并報告結

10、果。（4 4）行動（行動（ActionAction）：）：依據上述檢查結果，對現依據上述檢查結果，對現有信息安全管理策略的適宜性進行評審與評估，有信息安全管理策略的適宜性進行評審與評估，評價現有信息安全管理體系的有效性，采取改評價現有信息安全管理體系的有效性，采取改進措施。進措施。Network and Information Security第第13章章 網絡信息安全管理網絡信息安全管理5.信息安全管理的程序，信息安全管理的程序遵循PDCA循環模式的4大基本步驟：（1 1）制定各類管理制度，并在工作中真正執行。）制定各類管理制度，并在工作中真正執行。（2 2）系統由專人管理，其他人員不應該接

11、觸系統。）系統由專人管理，其他人員不應該接觸系統。（3 3）禁止非工作人員進入重要機房。）禁止非工作人員進入重要機房。（4 4）使用不間斷電源）使用不間斷電源UPSUPS，做好防火、防水、防雷擊保做好防火、防水、防雷擊保護措施。護措施。（5 5）各用戶必須管理好自己的口令，并定期更改，不能）各用戶必須管理好自己的口令，并定期更改，不能泄露。泄露。（6 6）重要的設備應該安放在安裝了攝像頭的隔離房間內，）重要的設備應該安放在安裝了攝像頭的隔離房間內，要保留要保留1313天以上的攝像記錄，并使用門禁系統。機箱，天以上的攝像記錄，并使用門禁系統。機箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進入房間鍵

12、盤，電腦桌抽屜要上鎖，以確保旁人即使進入房間也無法操作設備，鑰匙要放在安全的地方。也無法操作設備，鑰匙要放在安全的地方。Network and Information Security第第13章章 網絡信息安全管理網絡信息安全管理6.信息安全管理的具體方法很多，應該根據具體情況制訂，以下是通用的方法：（7 7）隨時檢查并記錄服務器、網絡設備及各類應用軟件的運）隨時檢查并記錄服務器、網絡設備及各類應用軟件的運行情況，對軟硬件進行的修改、升級一定要記錄在案。行情況，對軟硬件進行的修改、升級一定要記錄在案。（8 8）對軟硬件進行重大的更改前，必須先形成方案文件，經）對軟硬件進行重大的更改前，必須先形

13、成方案文件，經過詳細研究確認可行后再實行，并應對更改可能帶來的負面過詳細研究確認可行后再實行，并應對更改可能帶來的負面后果做好充分的準備。可以在其它設備上試驗后再正式實行，后果做好充分的準備。可以在其它設備上試驗后再正式實行，絕不能在工作中的設備上進行試驗性質的調試。絕不能在工作中的設備上進行試驗性質的調試。（9 9）服務器上僅安裝必須的軟件，非必須的軟件一律刪除。）服務器上僅安裝必須的軟件，非必須的軟件一律刪除。（1010）定時備份重要數據，一定要把數據備份在光盤或另一臺）定時備份重要數據，一定要把數據備份在光盤或另一臺設備上，不能備份在同一臺設備上，這樣的話還不如不備份。設備上，不能備份在

14、同一臺設備上，這樣的話還不如不備份。至關重要的數據應該異地備份，防止大規模自然災害，如地至關重要的數據應該異地備份，防止大規模自然災害，如地震發生時數據全滅。震發生時數據全滅。 Network and Information Security第第13章章 網絡信息安全管理網絡信息安全管理 要確定一個信息系統的安全性究竟怎樣要確定一個信息系統的安全性究竟怎樣，必須進，必須進行行安全評估安全評估。安全評估分為。安全評估分為3 3步。步。 第第1 1步是發現階段步是發現階段. .所有有關安全體系結構適用的所有有關安全體系結構適用的文本都必須檢查。文本都必須檢查。 第第2 2步是人工檢查階段步是人工檢

15、查階段. .將文本描述的體系結構與將文本描述的體系結構與實際的結構進行比較，找出其差別。實際的結構進行比較，找出其差別。 第第3 3步是漏洞測試階段步是漏洞測試階段。這是一個系統的檢查，。這是一個系統的檢查，以決定安全方法的適用性、標識安全的差別、評以決定安全方法的適用性、標識安全的差別、評價現有的和計劃的保護措施的有效性。價現有的和計劃的保護措施的有效性。Network and Information Security第第13章章 網絡信息安全管理網絡信息安全管理7信息系統安全評估BS7799BS7799標準是由英國標準協會（標準是由英國標準協會（BSIBSI）制定的制定的信息安全信息安全管

16、理標準管理標準，是國際上具有代表性的信息安全管理體系標，是國際上具有代表性的信息安全管理體系標準。該標準包括以下兩部分：準。該標準包括以下兩部分：BS7799-1:2000BS7799-1:2000信息安全管理信息安全管理實施規則實施規則；BS7799-2:2002BS7799-2:2002信息安全管理信息安全管理體系規范體系規范。其中，其中，BS7799-1:2000BS7799-1:2000于于20002000年年1212月通過國際標準化組月通過國際標準化組織（織（ISOISO）認可，正式成為國際標準，即認可，正式成為國際標準，即ISO/IEC ISO/IEC 17799:20001779

17、9:2000信息技術信息技術信息安全管理實施規則。信息安全管理實施規則。Network and Information Security1313.3 .3 信息安全管理標準信息安全管理標準13.3.1 BS7799標準標準第第13章章 網絡信息安全管理網絡信息安全管理 標準的第一部分為標準的第一部分為BS7799-1:2000BS7799-1:2000信息安全管信息安全管理實施規則，理實施規則，是組織建立并實施信息安全管理是組織建立并實施信息安全管理體系的一個體系的一個指導性指導性準則準則，主要是為組織實施主要是為組織實施有效有效的信息安全管理的信息安全管理提供通用的提供通用的最佳實施規則。最

18、佳實施規則。 第二部分為第二部分為BS7799-2:2002BS7799-2:2002信息安全管理體系信息安全管理體系規范，規范，規定了建立、實施和維護信息安全管理規定了建立、實施和維護信息安全管理體系的要求，指出組織需依據體系的要求，指出組織需依據風險評估和自身需風險評估和自身需求求來確定來確定最適宜最適宜的安全控制要求，采取的安全控制要求，采取最適當最適當的的安全控制措施安全控制措施。 可以這樣說，可以這樣說，BS7799-1:2000BS7799-1:2000為為BS7799-2:2002BS7799-2:2002的的具體實施提供了指南。具體實施提供了指南。Network and Inf

19、ormation Security第第13章章 網絡信息安全管理網絡信息安全管理美國美國Carnegie MellonCarnegie Mellon大學的軟件工程研究所制定了大學的軟件工程研究所制定了系統安系統安全工程能力成熟度模型全工程能力成熟度模型（System Security Engineering System Security Engineering Capability Maturity Model, SSE-CMMCapability Maturity Model, SSE-CMM）。）。Network and Information Security1313.3.2 .3.2

20、 安全成熟度模型安全成熟度模型 安全成熟度能力級別安全成熟度能力級別說明說明無效力（無效力（50%50%）總的安全體系結構沒有遵從企業總的安全體系結構沒有遵從企業安全策略、法規，以及最佳經營實際安全策略、法規，以及最佳經營實際需要改進（需要改進（65%65%）安全體系結構中無效力部分的應少于安全體系結構中無效力部分的應少于35%35%合適（合適（85%85%）企業的安全計劃、部署、配置和過程控制企業的安全計劃、部署、配置和過程控制使安全體系結構能滿足總的目標。使安全體系結構能滿足總的目標。極好（超過極好（超過100%100%）安全體系結構超過了總的目標及需求。安全體系結構超過了總的目標及需求。

21、第第13章章 網絡信息安全管理網絡信息安全管理 1.1.安全計劃：安全計劃：一個好的安全體系結構必須建立一個好的安全體系結構必須建立在一個堅固的安全計劃基礎之上。在一個堅固的安全計劃基礎之上。 計劃的文本必須清晰、完整。很多組織的安全計劃的文本必須清晰、完整。很多組織的安全策略、標準和指南存在以下一些問題：策略、標準和指南存在以下一些問題： （1 1）內容太舊，已過時，不適用于當前的應）內容太舊，已過時，不適用于當前的應用。用。 （2 2）文本有很多用戶，如開發者、風險管理）文本有很多用戶，如開發者、風險管理者、審計人員，所用語言又適用于多種解釋。者、審計人員，所用語言又適用于多種解釋。 （3

22、 3）表達不夠詳細。很多組織的安全策略觀）表達不夠詳細。很多組織的安全策略觀念只是一個口令管理。念只是一個口令管理。 （4 4）用戶需要知道有關安全的文本。）用戶需要知道有關安全的文本。Network and Information Security第第13章章 網絡信息安全管理網絡信息安全管理 2.2.技術和配置：技術和配置：安全專業人員應能適當地選擇產安全專業人員應能適當地選擇產品，正確地將它們安置在基礎設施中，品，正確地將它們安置在基礎設施中，合適地配合適地配置和支持。置和支持。 3.3.操作運行過程：操作運行過程：運行過程包括安全組件需要的運行過程包括安全組件需要的必要支持和維護、變更

23、管理、經營業務的連續性、必要支持和維護、變更管理、經營業務的連續性、用戶安全意識培訓、安全管理用戶安全意識培訓、安全管理，以及安全報警與，以及安全報警與監控。監控。 安全基礎設施組件的支持和維護安全基礎設施組件的支持和維護類似于主機和應類似于主機和應用服務器所需的支持。用服務器所需的支持。1.1.相關法規相關法規（1 1）計算機病毒控制規定；）計算機病毒控制規定；（2 2）中華人民共和國計算機信息系統安全保護條例；中華人民共和國計算機信息系統安全保護條例；（3 3）中華人民共和國計算機信息網絡國際聯網管理暫行）中華人民共和國計算機信息網絡國際聯網管理暫行規定；規定；（4 4）國際互聯網出入信道

24、管理辦法；國際互聯網出入信道管理辦法；（5 5）計算機信息系統保密管理暫行規定；）計算機信息系統保密管理暫行規定；（6 6）商用密碼管理條例；商用密碼管理條例；（7 7）互聯網信息服務管理辦法；）互聯網信息服務管理辦法；（8 8）電子認證服務管理辦法；電子認證服務管理辦法；（9 9）電子認證服務密碼管理辦法。）電子認證服務密碼管理辦法。Network and Information Security1313.4 .4 我國關于網絡安全的法律法規我國關于網絡安全的法律法規 1313.4.1 .4.1 相關法律法規相關法律法規第第13章章 網絡信息安全管理網絡信息安全管理（1 1）19881988

25、年年9 9月月5 5日第七屆全國人民代表大會常務委員會第三次日第七屆全國人民代表大會常務委員會第三次會議通過的中華人民共和國保守國家秘密法第三章第十會議通過的中華人民共和國保守國家秘密法第三章第十七條提出七條提出“采用電子信息等技術存取、處理、傳遞國家秘密采用電子信息等技術存取、處理、傳遞國家秘密的辦法，由國家保密部門會同中央有關機關規定的辦法，由國家保密部門會同中央有關機關規定”；（2 2）19971997年年1010月，我國第一次在修訂刑法時增加了計算機犯罪月，我國第一次在修訂刑法時增加了計算機犯罪的罪名；的罪名；（3 3）為規范互聯網用戶的行為，）為規范互聯網用戶的行為，20002000

26、年年1212月月2828日九屆全國人大日九屆全國人大常委會通過了全國人大常委會關于維護互聯網安全的決常委會通過了全國人大常委會關于維護互聯網安全的決定；定；（4 4）20042004年年8 8月月2828日第十屆全國人民代表大會常務委員會第十一日第十屆全國人民代表大會常務委員會第十一次會議通過中華人民共和國電子簽名法。次會議通過中華人民共和國電子簽名法。 此外，我國還締約或者參與了許多與計算機相關的國際性的法此外，我國還締約或者參與了許多與計算機相關的國際性的法律法規。律法規。 Network and Information Security第第13章章 網絡信息安全管理網絡信息安全管理2.相

27、關法律 1.網絡服務機構設立的條件網絡服務機構設立的條件 2.網絡服務業的對口管理網絡服務業的對口管理 3.互聯網出入口信道管理互聯網出入口信道管理 4.計算機網絡系統運行管理計算機網絡系統運行管理 5.安全責任安全責任Network and Information Security第第13章章 網絡信息安全管理網絡信息安全管理13.4.2 網絡服務業的法律規范網絡服務業的法律規范13.4.3 網絡用戶的法律規范網絡用戶的法律規范1.用戶用戶接入互聯網接入互聯網的管理的管理2.用戶用戶使用互聯網使用互聯網的管理的管理1.從事經營性從事經營性互聯網信息服務應具備的條件互聯網信息服務應具備的條件（

28、1）有）有業務發展計劃及相關技術方案業務發展計劃及相關技術方案；（2）有）有健全的網絡與信息安全保障措施健全的網絡與信息安全保障措施，包括，包括網站安全保障措施、信息安全保密管理制度、網站安全保障措施、信息安全保密管理制度、用戶信息安全管理制度；用戶信息安全管理制度；（3）服務項目屬于）服務項目屬于某些特定范圍的某些特定范圍的，已取得有已取得有關主管部門同意的文件。關主管部門同意的文件。Network and Information Security第第13章章 網絡信息安全管理網絡信息安全管理13.4.4 互聯網信息傳播安全管理制度互聯網信息傳播安全管理制度2.從事非經營性互聯網信息服務應提

29、交的材料從事非經營性互聯網信息服務應提交的材料 從事非經營性互聯網信息服務應當向省、自治區、直從事非經營性互聯網信息服務應當向省、自治區、直轄市電信管理機構或者國務院信息產業主管部門辦理轄市電信管理機構或者國務院信息產業主管部門辦理備案手續。辦理備案時，應當提交下列材料：備案手續。辦理備案時，應當提交下列材料：（1）主辦單位和網站負責人主辦單位和網站負責人的基本情況；的基本情況；（2）網站網址和服務項目網站網址和服務項目；（3）服務項目屬于某些特定范圍服務項目屬于某些特定范圍的，已取得有關主管部的，已取得有關主管部門的同意文件。門的同意文件。 我國公安部發布的計算機信息網絡國際聯網安全保護管理我國公安部發布的計算機信息網絡國際聯網安全保護管理辦法規定了電子公告系統的用戶登記和信息管理制度，具辦法規定了