第3章网络安全管理技术

1、贾铁军 沈学东 苏庆刚等编著机械工业出版社机械工业出版社第第3 3章章 网络安全管理技术网络安全管理技术 网络安全管理概念、内容及功能网络安全管理概念、内容及功能 安全管理的原则及制度、防护体系安全管理的原则及制度、防护体系规范和政策规范和政策 网络安全管理技术、策略及主机网网络安全管理技术、策略及主机网络防护、网络安全管理解决方案络防护、网络安全管理解决方案 第第3 3章章 网络安全管理技术网络安全管理技术掌握网络安全管理概念、内容及功能掌握网络安全管理概念、内容及功能 理解安全管理的原则及制度、防护体理解安全管理的原则及制度、防护体系规范和政策系规范和政策 掌握网络安全管理技术、策略及主机

2、掌握网络安全管理技术、策略及主机网络防护、网络安全管理解决方案网络防护、网络安全管理解决方案 了解实体安全防护有关技术了解实体安全防护有关技术 了解软件安全有关技术了解软件安全有关技术 第第3 3章章 网络安全管理技术网络安全管理技术3.1 网络安全管理概述网络安全管理概述1. 安全管理概念安全管理概念 安全管理安全管理（Security Management）是）是指以管理对象的安全为任务和目标所进行的指以管理对象的安全为任务和目标所进行的各种管理活动。各种管理活动。 开放系统互连参考模型开放系统互连参考模型OSI /RM（Open System Interconnection Refere

3、nce Model）中的安全管理主要是指对除通信安全服务之中的安全管理主要是指对除通信安全服务之外的、支持和控制网络安全所必须的其他操外的、支持和控制网络安全所必须的其他操作所进行的管理。作所进行的管理。 第第3 3章章 网络安全管理技术网络安全管理技术 按照国际标准化组织（按照国际标准化组织（ISO）的定义，）的定义，网络网络管理管理是指规划、监督、控制网络资源的使用和是指规划、监督、控制网络资源的使用和网络的各种活动，以使网络的性能达到最优。网络的各种活动，以使网络的性能达到最优。 网络管理的目的网络管理的目的在于提供对计算机网络进在于提供对计算机网络进行规划、设计、操作运行、管理、监视、

4、分析、行规划、设计、操作运行、管理、监视、分析、控制、评估和扩展的手段，从而合理地组织和控制、评估和扩展的手段，从而合理地组织和利用系统资源，提供安全、可靠、有效和友好利用系统资源，提供安全、可靠、有效和友好的服务。的服务。 网络管理的实质网络管理的实质是对各种网络资源进行监是对各种网络资源进行监测、控制、协调、报告故障等。测、控制、协调、报告故障等。第第3 3章章 网络安全管理技术网络安全管理技术 现代网络管理的内容现代网络管理的内容一般可以用一般可以用OAMP（Operation, Administration, Maintenance and Provisioning，运行、管，运行、管

5、理、维护和提供）来概括，主要指一组系统理、维护和提供）来概括，主要指一组系统或网络管理功能，其中包括：故障指示、性或网络管理功能，其中包括：故障指示、性能监控、安全管理、诊断功能、网络和用户能监控、安全管理、诊断功能、网络和用户配置等。配置等。 OSI/RM的安全管理需要处理有关安全服的安全管理需要处理有关安全服务和安全机制操作的管理信息，这些信息存务和安全机制操作的管理信息，这些信息存储在安全管理信息库中，可以是一个数据表储在安全管理信息库中，可以是一个数据表或是一个文件，又或是一个文件，又称为安全管理数据库。称为安全管理数据库。 OSI/RM的安全管理包括：的安全管理包括：系统安全管理系统

6、安全管理、安全服务管理和安全机制管理。、安全服务管理和安全机制管理。第第3 3章章 网络安全管理技术网络安全管理技术2. 安全管理的内容安全管理的内容(1)（1）硬件资源的安全管理）硬件资源的安全管理 1) 硬件设备的使用管理硬件设备的使用管理 2) 常用硬件设备维护和保养。常用硬件设备维护和保养。（2）信息资源的安全与管理）信息资源的安全与管理 1) 信息存储的安全管理。信息存储的安全管理。 2) 信息的使用管理。信息的使用管理。（3）其他管理。主要包括鉴别管理、访问控）其他管理。主要包括鉴别管理、访问控制管理和密钥管理等。制管理和密钥管理等。 第第3 3章章 网络安全管理技术网络安全管理技

7、术2. 安全管理的内容安全管理的内容(2) 网络安全管理、安全策略、安全技术的内网络安全管理、安全策略、安全技术的内容和关系如图所示。容和关系如图所示。 第第3 3章章 网络安全管理技术网络安全管理技术1. 安全管理的步骤和方法安全管理的步骤和方法(1)(1) 信息安全管理工作的程序，遵循如下信息安全管理工作的程序，遵循如下PDCA循环模式的循环模式的4个基本步骤：个基本步骤： （1）制定计划（）制定计划（Plan） （2）落实执行（）落实执行（Do） （3）监督检查（）监督检查（Check） （4）评价行动（）评价行动（Action） 信息安全管理的方法：信息安全管理的方法：信息安全管理根信

8、息安全管理根据具体管理对象的不同，可以采用不同的具据具体管理对象的不同，可以采用不同的具体管理方法。体管理方法。 第第3 3章章 网络安全管理技术网络安全管理技术1. 安全管理的步骤和方法安全管理的步骤和方法(2)(2) 安全管理模型安全管理模型PDCA持续改进模式持续改进模式如图所示。如图所示。 第第3 3章章 网络安全管理技术网络安全管理技术2. 网络安全管理的主要功能网络安全管理的主要功能 安全管理功能包括：安全管理功能包括：计算机网络的运行（计算机网络的运行（Operation）、处理（）、处理（Administration）、维护）、维护（Maintenance）、提供服务（）、提供

9、服务（Provisioning）等所需要的各种活动可概括为）等所需要的各种活动可概括为OAM&P。有时。有时也限定考虑前三种的情形，即安全管理功能指也限定考虑前三种的情形，即安全管理功能指OAM。 国际标准化组织（国际标准化组织（ISO）在）在ISOIEC 7498-4文档中定义了文档中定义了开放系统的计算机网络管理的五大开放系统的计算机网络管理的五大功能：功能：故障管理功能、配置管理功能、性能管理故障管理功能、配置管理功能、性能管理功能、安全管理功能和计费管理功能。而没有包功能、安全管理功能和计费管理功能。而没有包括网络规划、网络管理者的管理等功能。括网络规划、网络管理者的管理等功能。 第第

10、3 3章章 网络安全管理技术网络安全管理技术(1) 故障管理故障管理 故障管理故障管理（Fault Management）是网络）是网络管理中管理中最基本的功能之一最基本的功能之一，指对网络非正常，指对网络非正常的操作引起的故障进行检查、诊断和排除处的操作引起的故障进行检查、诊断和排除处理等工作。理等工作。 主要目的主要目的是保证网络系统能够提供持续是保证网络系统能够提供持续可靠的服务。可靠的服务。故障管理的功能有故障管理的功能有5个：个： 1) 对管理对象进行差错检测，或对管理对管理对象进行差错检测，或对管理对象接收错误检测报告并作出响应。对象接收错误检测报告并作出响应。第第3 3章章 网络

11、安全管理技术网络安全管理技术(1) 故障管理故障管理 2) 当设备出现空闲或迂回路由时，提供当设备出现空闲或迂回路由时，提供新的网络资源和服务。新的网络资源和服务。 3) 创建和维护差错日志库，并对差错日创建和维护差错日志库，并对差错日志进行分析。志进行分析。 4) 进行诊断和测试，以追踪和确定故障进行诊断和测试，以追踪和确定故障位置和性质。位置和性质。 5) 纠正错误，通过资源更换、维护和及纠正错误，通过资源更换、维护和及其他恢复措施使网络重新开始服务。其他恢复措施使网络重新开始服务。故障管理功能是利用标准协议故障管理功能是利用标准协议SNMP和和RMON进行实现的。进行实现的。第第3 3章

12、章 网络安全管理技术网络安全管理技术(2) 配置管理配置管理 配置管理配置管理（Configuration Management）是指定义、收集、监测和管理系统的配置参）是指定义、收集、监测和管理系统的配置参数，使得网络性能达到最优的操作活动。数，使得网络性能达到最优的操作活动。 配置参数包括网络设备资源、容量、安全配置参数包括网络设备资源、容量、安全性和属性，及其之间的关系等。性和属性，及其之间的关系等。 配置管理的目的配置管理的目的是为了随时了解系统网络是为了随时了解系统网络的拓扑结构和各种交换信息，包括连接前静态的拓扑结构和各种交换信息，包括连接前静态设定的和连接后动态更新的信息；实现指

13、定的设定的和连接后动态更新的信息；实现指定的特定功能、使网络性能达到最佳。特定功能、使网络性能达到最佳。 第第3 3章章 网络安全管理技术网络安全管理技术(2) 配置管理配置管理 配置管理功能需要监视和控制的内容主要有配置管理功能需要监视和控制的内容主要有: 1) 设置网络设备参数、初始化网络资源及关设置网络设备参数、初始化网络资源及关闭不安全端口；闭不安全端口； 2) 收集系统当前状态的有关信息，如网络资收集系统当前状态的有关信息，如网络资源及其活动状态、网络资源之间的关系；源及其活动状态、网络资源之间的关系； 3) 根据请求向网络管理中心反馈特定的数据根据请求向网络管理中心反馈特定的数据;

14、 4) 更改系统的配置，如引入新资源和删除旧更改系统的配置，如引入新资源和删除旧资源等。资源等。 第第3 3章章 网络安全管理技术网络安全管理技术(2) 配置管理配置管理 配置管理需要进行的配置管理需要进行的操作操作包括：包括： 1) 鉴别被管理对象，标识被管理对象；鉴别被管理对象，标识被管理对象； 2) 设置被管理对象的参数，如初始化被设置被管理对象的参数，如初始化被管理对象，路由操作的参数；管理对象，路由操作的参数； 3) 改变被管理对象的操作特性，报告被改变被管理对象的操作特性，报告被管理对象的状态变化；管理对象的状态变化； 4) 关闭、删除被管理对象。关闭、删除被管理对象。 第第3 3

15、章章 网络安全管理技术网络安全管理技术(3) 性能管理性能管理 性能管理性能管理（(Performance Management）主要用于收集分析有关网络当前状况的数据）主要用于收集分析有关网络当前状况的数据信息，并维护和分析性能日志。典型的网络性信息，并维护和分析性能日志。典型的网络性能管理分为能管理分为性能检测性能检测和和网络控制网络控制两部分。两部分。 性能管理以网络性能为准则收集、分析和性能管理以网络性能为准则收集、分析和调整被管理对象的状态，其目的是保证网络可调整被管理对象的状态，其目的是保证网络可以提供可靠、连续的通信能力并使用最少的网以提供可靠、连续的通信能力并使用最少的网络资源

16、和具有最少的时延。络资源和具有最少的时延。 第第3 3章章 网络安全管理技术网络安全管理技术(3) 性能管理性能管理 网络性能管理的网络性能管理的功能功能包括：包括： 1）收集、分发、统计与性能有关的数据）收集、分发、统计与性能有关的数据信息；信息； 2）维护系统性能的历史记录；）维护系统性能的历史记录； 3）模拟各种操作的系统模型；）模拟各种操作的系统模型； 4）分析当前的统计数据，以检测性能故）分析当前的统计数据，以检测性能故障，产生性能告警、报告性能事件；障，产生性能告警、报告性能事件； 5）确定自然和人工状况下系统的性能；）确定自然和人工状况下系统的性能； 6）改变系统操作模式以便进行

17、系统性能）改变系统操作模式以便进行系统性能管理的操作。管理的操作。 第第3 3章章 网络安全管理技术网络安全管理技术(4) 安全管理安全管理 安全管理安全管理主要是指监视、审查和控制用主要是指监视、审查和控制用户对网络的访问，并产生安全日志以保证合户对网络的访问，并产生安全日志以保证合法用户对网络的访问。在内联网中，安全管法用户对网络的访问。在内联网中，安全管理与防护功能一般是由专门的系统软件承担理与防护功能一般是由专门的系统软件承担，如防火墙软件、入侵检测系统、访问控制，如防火墙软件、入侵检测系统、访问控制与审计等。与审计等。 网络安全性能是用户最为关心的问题，网络安全性能是用户最为关心的问

18、题，主要有主要有5个方面的网络安全问题：个方面的网络安全问题： 第第3 3章章 网络安全管理技术网络安全管理技术(4) 安全管理安全管理 1）网络数据的专有机密性，保护网络数）网络数据的专有机密性，保护网络数据不被侵入者非法获取和察看；据不被侵入者非法获取和察看； 2）用户授权使用，防止侵入者在网络上）用户授权使用，防止侵入者在网络上发送错误信息；发送错误信息； 3）进行访问控制，有限制地对网络不同）进行访问控制，有限制地对网络不同资源进行访问；资源进行访问； 4）数据完整性，确保原有数据保持完整）数据完整性，确保原有数据保持完整不变地传输；不变地传输； 5）不可抵赖性，发出者无法抵赖所发送）

19、不可抵赖性，发出者无法抵赖所发送的原有数据内容真实性。的原有数据内容真实性。 第第3 3章章 网络安全管理技术网络安全管理技术(4) 安全管理安全管理 网络安全管理还应当包括对授权机制、访网络安全管理还应当包括对授权机制、访问控制、加密和密钥的管理，还要维护和检查问控制、加密和密钥的管理，还要维护和检查安全日志。安全日志。安全管理的功能包括：安全管理的功能包括： 1）支持系统的安全服务；）支持系统的安全服务； 2）维护系统的安全日志；）维护系统的安全日志； 3）向其他开放系统传送有关安全方面的）向其他开放系统传送有关安全方面的信息和相关事件的通报；信息和相关事件的通报； 4）创建、删除、控制安

20、全服务和机制。）创建、删除、控制安全服务和机制。 第第3 3章章 网络安全管理技术网络安全管理技术(5) 计费管理计费管理 计费管理计费管理(Accounting Management)主要是主要是指记录、控制和调整网络资源的使用。目的是监指记录、控制和调整网络资源的使用。目的是监测和控制网络操作的费用和成本代价，以便估算测和控制网络操作的费用和成本代价，以便估算出用户所使用的网络资源及其所需的费用和代价出用户所使用的网络资源及其所需的费用和代价、合理分配网络资源、降低网络故障。、合理分配网络资源、降低网络故障。 计费管理的目标计费管理的目标是衡量网络的利用率，以便是衡量网络的利用率，以便单个

21、或每组用户可以按规则利用网络资源，这些单个或每组用户可以按规则利用网络资源，这些规则可以使网络故障降低到最小，也可使所有用规则可以使网络故障降低到最小，也可使所有用户对网络的访问更加公平。户对网络的访问更加公平。 第第3 3章章 网络安全管理技术网络安全管理技术1. 安全管理的原则安全管理的原则 为了确保网络系统安全，安全管理必须为了确保网络系统安全，安全管理必须坚持以下原则：坚持以下原则： （1）多人负责原则）多人负责原则 （2）有限任期原则）有限任期原则 （3）职责分离原则）职责分离原则 （4）严格操作规程）严格操作规程 （5）系统安全监测和审计制度）系统安全监测和审计制度 （6）建立健全

22、系统维护制度）建立健全系统维护制度 （7）完善应急措施）完善应急措施 第第3 3章章 网络安全管理技术网络安全管理技术2. 健全安全管理机构和制度健全安全管理机构和制度 安全管理的制度安全管理的制度包括人事资源管理、资包括人事资源管理、资产物业管理、教育培训、资格认证、人事考产物业管理、教育培训、资格认证、人事考核鉴定制度、动态运行机制、日常工作规范核鉴定制度、动态运行机制、日常工作规范、岗位责任制度等。、岗位责任制度等。 建立健全网络安全管理机构和各项规章建立健全网络安全管理机构和各项规章制度，需要做好以下几个方面：制度，需要做好以下几个方面： （1）完善管理机构和岗位责任制）完善管理机构和

23、岗位责任制 （2）健全安全管理规章制度）健全安全管理规章制度 （3）坚持合作交流制度）坚持合作交流制度第第3 3章章 网络安全管理技术网络安全管理技术3.1.4 安全管理防护体系及规范安全管理防护体系及规范1. 信息安全管理防护体系信息安全管理防护体系 信息安全管理体系是信息安全保障体系的信息安全管理体系是信息安全保障体系的一个重要组成部分。一个重要组成部分。信息安全管理体系框架是信息安全管理体系框架是从企事业单位业务系统安全管理的层面出发，从企事业单位业务系统安全管理的层面出发，按照多层防护的思想，为实现信息安全战略而按照多层防护的思想，为实现信息安全战略而搭建的。搭建的。2. 信息安全管理

24、规范信息安全管理规范 信息安全管理规范是为保障实现信息安全信息安全管理规范是为保障实现信息安全政策的各项目标，制定的一系列管理规定和规政策的各项目标，制定的一系列管理规定和规程，具有强制效力。程，具有强制效力。第第3 3章章 网络安全管理技术网络安全管理技术2. 信息安全管理规范信息安全管理规范 信息安全管理规范所必需涉及的各项内容信息安全管理规范所必需涉及的各项内容包括：包括： (1) 信息安全人员管理信息安全人员管理 (2) 信息资产安全管理信息资产安全管理 (3) 第三方信息安全第三方信息安全 (4) 信息安全政策与标准管理信息安全政策与标准管理 (5) 数据文档安全管理数据文档安全管理

25、 (6) 应用开发维护安全管理应用开发维护安全管理 (7) 系统安全管理系统安全管理 (8) 网络安全管理网络安全管理 (9) 物理安全管理物理安全管理第第3 3章章 网络安全管理技术网络安全管理技术3.1.51. 信息安全管理政策信息安全管理政策 信息安全管理政策是企事业单位信息安全信息安全管理政策是企事业单位信息安全从管理层面对信息安全的一整套包含规定和常从管理层面对信息安全的一整套包含规定和常规的最高指导原则，是在信息安全战略下为组规的最高指导原则，是在信息安全战略下为组织管理、保护、和信息资源分派制定的原则。织管理、保护、和信息资源分派制定的原则。 信息安全管理政策是信息安全政策与标准

26、信息安全管理政策是信息安全政策与标准体系中最高层级的声明，提供较广泛的领导方体系中最高层级的声明，提供较广泛的领导方向以及说明管理阶层的目标和目的。向以及说明管理阶层的目标和目的。 信息安全管理政策通常以信息安全管理政信息安全管理政策通常以信息安全管理政策总则的形式发布，在信息安全战略的基础上策总则的形式发布，在信息安全战略的基础上确定单位信息安全管理的结构、各项目标和细确定单位信息安全管理的结构、各项目标和细化原则。化原则。 第第3 3章章 网络安全管理技术网络安全管理技术2. 信息安全功能性政策信息安全功能性政策 信息安全功能性政策是比较特定事项的信息安全功能性政策是比较特定事项的声明，是

27、在信息安全管理政策下针对某特定声明，是在信息安全管理政策下针对某特定管理需求建立的政策。管理需求建立的政策。 针对管理的特定需求给出明确的规定，针对管理的特定需求给出明确的规定，具体内容包括：具体内容包括： (1) 信息安全风险管理信息安全风险管理 (2) 信息安全认知信息安全认知 (3) 信息安全组织信息安全组织 (4) 信息安全审计信息安全审计 (5) 信息安全法律法规符合性信息安全法律法规符合性第第3 3章章 网络安全管理技术网络安全管理技术3.2 网络安全管理技术网络安全管理技术1. 网络安全管理技术概念网络安全管理技术概念 网络安全管理技术是实现网络安全管理和网络安全管理技术是实现网

28、络安全管理和维护的技术，需要利用多种网络安全技术和设维护的技术，需要利用多种网络安全技术和设备，对网络系统进行安全、合理、有效和高效备，对网络系统进行安全、合理、有效和高效的管理和维护。的管理和维护。 网络安全管理技术一般需要实施一个基于网络安全管理技术一般需要实施一个基于多层次多层次安全防护的策略和管理协议，将网络访安全防护的策略和管理协议，将网络访问控制、入侵检测、病毒检测和网络流量管理问控制、入侵检测、病毒检测和网络流量管理等安全技术应用于内网，进行统一的管理和控等安全技术应用于内网，进行统一的管理和控第第3 3章章 网络安全管理技术网络安全管理技术制，各种安全技术彼此补充、相互配合，对

29、网制，各种安全技术彼此补充、相互配合，对网络行为进行检测和控制，形成一个安全策略集络行为进行检测和控制，形成一个安全策略集中管理、安全检查机制分散布置的中管理、安全检查机制分散布置的分布式安全分布式安全防护体系结构防护体系结构，实现对内网进行安全保护和管，实现对内网进行安全保护和管理。理。 监控监控和和审计审计与网络管理密切相关的技术。与网络管理密切相关的技术。监控和审计是通过对网络通信过程中可疑、有监控和审计是通过对网络通信过程中可疑、有害信息或行为进行记录为事后处理提供依据，害信息或行为进行记录为事后处理提供依据，从而对黑客形成一个强有力的威慑和最终达到从而对黑客形成一个强有力的威慑和最终

30、达到提高网络整体安全性的目的。提高网络整体安全性的目的。 第第3 3章章 网络安全管理技术网络安全管理技术2. 网络管理新技术网络管理新技术 目前，网络正在向智能化、综合化、标准化目前，网络正在向智能化、综合化、标准化发展，网络管理技术也正在不断发生新的变化，发展，网络管理技术也正在不断发生新的变化，新的网络管理理念及技术正在不断涌现。新的网络管理理念及技术正在不断涌现。 (1) 基于基于Web的网络管理模式的网络管理模式 （Web-Based Management，WBM） (2) 远程远程IT管理的整合式应用管理的整合式应用 (3) CORBA网络安全管理技术（通用对象请网络安全管理技术（

31、通用对象请求代理体系结构，求代理体系结构， CORBA） 第第3 3章章 网络安全管理技术网络安全管理技术1. 安全策略的制定与实施安全策略的制定与实施(1) 安全策略的制定安全策略的制定 安全策略安全策略是指在某个特定的环境中，为达是指在某个特定的环境中，为达到一定级别的安全保护需求所必须遵守的各种到一定级别的安全保护需求所必须遵守的各种规则和条例。安全策略是网络安全管理过程的规则和条例。安全策略是网络安全管理过程的重要内容和方法。重要内容和方法。 安全策略包括安全策略包括3 个重要组成部分：个重要组成部分：安全立安全立法、安全管理、安全技术法、安全管理、安全技术。 安全立法是第一层，有关网

32、络安全的法律安全立法是第一层，有关网络安全的法律法规可以分为社会规范和技术规范；法规可以分为社会规范和技术规范； 第第3 3章章 网络安全管理技术网络安全管理技术 安全管理是第二层，主要指一般的行政管安全管理是第二层，主要指一般的行政管理措施；理措施； 安全技术是第三层，是网络安全的重要安全技术是第三层，是网络安全的重要物质技术基础。物质技术基础。 (2) 安全策略的实施安全策略的实施 1) 重要的商务信息和软件的安全存储。重要的商务信息和软件的安全存储。 2) 对网络系统及时安装最新补丁软件。对网络系统及时安装最新补丁软件。 3) 安装入侵检测系统并实施监视。安装入侵检测系统并实施监视。 4

33、) 启动系统事件日志。启动系统事件日志。 第第3 3章章 网络安全管理技术网络安全管理技术2. 主机网络安全防护主机网络安全防护(1)(1) 与网络安全采用安全防火墙、安全路由与网络安全采用安全防火墙、安全路由器等在被保护主机之外的技术手段不同，器等在被保护主机之外的技术手段不同，主主机网络安全所采用的技术手段通常在被保护机网络安全所采用的技术手段通常在被保护的主机内实现，并且一般为软件形式。的主机内实现，并且一般为软件形式。因为因为只有在被保护主机之上运行的软件，才能同只有在被保护主机之上运行的软件，才能同时获得外部访问的网络特性以及所访问资源时获得外部访问的网络特性以及所访问资源的操作系统特性。的操作系统特性。 第第3 3章章 网络安全管理技术网络安全管理技术2. 主机网络安全防护主机网络安全防护(2)(2) 应用最为广泛的此类产品有应用最为广泛的此类产品有Wietse Venema 开开发的共享软件发的共享软件TCP Wrapper。