运行与操作安全管理

运行与操作安全管理第七章运行与操作安全管理1、系统安全监控与审计对系统的运行状况和系统中用户的行为进行监视、控制和记录。为提高系统安全性提供参考和依据第2页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.1安全监控安全监控的分类第3页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.1安全监控安全监控的内容主机系统监视网络状态监视用户操作监视主机应用监控主机外设监控网络连接监控第4页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.1安全监控安全监控的实现方式普通监控基于插件的监控

静态监控代理动态监控代理基于代理的分布式监控第5页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.1安全监控安全监控的实现方式普通监控根据TCP/IP和基于其基础上的应用层协议，连接被监控主机，从而获得主机的状态和性能的信息。面向公共服务进行监控。指定一个IP及其上的服务端口号就可根据TCP/UDP协议连接并进行监控。系统保留的服务端口号及其他公共服务端口都是共知的第6页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.1安全监控安全监控的实现方式普通监控第7页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.1安全监控安全监控的实现方式普通监控优点：操作在监控方完成，受控主机无需做任何

工作。缺点：服务范围有限

监控性能较低，监控数据由远端组织策划，

对网络性能依赖性强。避免影响受控主机第8页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.1安全监控安全监控的实现方式基于插件的监控接收监控系统指令后，插件对其进行分析，然后组织监控操作，将获得的结果数据组织处理后送回监控系统。

入侵检测和网络流量分析控制

服务于局域网的监听部件安装于受控主机上第9页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.1安全监控安全监控的实现方式基于插件的监控第10页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.1安全监控安全监控的实现方式基于插件的监控插件运行时不能影响客户的正常工作，系统资源占用少。插件安装不能给客户带来安全漏洞，要求其有超强的容错能力和灵敏的端口服务识别能力，防止非法用户模拟监控引擎的恶意连接。性能与自身安全性要求高第11页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.1安全监控安全监控的实现方式基于代理的分布式监控监控代理分布于不同的地理位置，分别对不同受控主机进行实时监测。由监控代理实现第12页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.1安全监控安全监控的实现方式基于代理的分布式监控静态监控代理：各个监控代理的监控任务相对固定，监控管理员预先分析监控任务，将其静态分布到各监控代理。动态监控代理：监控系统中的任务管理模块实施分析监控任务，并根据任务的特殊性和客户需求将任务动态分布到各监控代理。代理接受任务后，独立执行监控过程，将结果反馈给监控中心进行综合处理。第13页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.1安全监控安全监控的实现方式基于代理的分布式监控第14页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.1安全监控监控数据的分析与处理网络数据的分析与处理系统数据的分析与处理日志数据的分析与处理找出明显网络攻击应用层的会话还原，利于后期取证了解服务器运行状况及时发现服务器异常主要采用基于统计的方法、安全日志——记录系统中发生的与安全相关的事件审计报告只输出危险等级最高的事件。专用的系统安全监控中心的审计报告较详细。分析日志文件可了解用户对服务器的访问情况，发现非法登录和恶意访问。第15页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.2安全审计安全审计的内涵

安全审计是指对安全活动进行识别、记录、存储和分析，以查证是否发生安全事件的一种信息安全技术。为管理人员提供有关追踪安全事件和入侵行为的有效证据，提高信息系统的安全管理能力。第16页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.2安全审计审计分析的内容第17页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.2安全审计审计分析的基本方法第18页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.2安全审计安全审计的主要作用对潜在的攻击者起到震慑或警告作用对于已经发生的系统破坏行为提供有效的追纠证据提供有价值的系统使用日志提供系统运行的统计日志安全系统中必不可少的一部分第19页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.2安全审计安全审计的原理对被审计主机的数据采集和过滤处理，并提交给本审计域内的审计服务器。对各个审计代理进行统一管理，通过协调各个审计代理实现系统工作。网络安全审计第20页,共54页，2024年2月25日，星期天第七章运行与操作安全管理1、系统安全监控与审计1.2安全审计安全审计的原理主机安全审计需记录的数据的统称。网络中的数据包；主机系统日志等其它途径获得的信息等。获取事件数据，并向系统的其它组件提供数据由审计代理负责，并对数据进行简单处理实时分析采集到得数据，根据相应的策略处理事件并产生分析结果由审计服务器、数据分析模块和数据库共同实现对分析结果做出反应。根据事件的严重程度，做出切断连接、改变文件属性等强烈反应，也可以之间简单的报警。第21页,共54页，2024年2月25日，星期天第七章运行与操作安全管理2、信息安全事故管理2.1信息安全事故的定义信息安全事故（informationsecurityincident）由单个的或一系列的有害或意外信息安全事件组成，它们具有损害业务运作和威胁信息安全的极大的可能性。信息安全事件（informationsecurityevent）是指系统、服务或网络的一种可识别的状态的发生。

对信息安全策略的违反或防护措施的实效

和安全相关联的一个先前未知的状态第22页,共54页，2024年2月25日，星期天第七章运行与操作安全管理2、信息安全事故管理2.1信息安全事故的定义信息安全事件和事故典型实例如下：（1）服务的停止，器材和设备的丢失；（2）系统故障或超载；（3）人为错误；（4）策略或指南的冲突；（5）违背物理安全设置；（6）未加控制的系统改变；（7）软件或硬件故障；（8）非法访问。第23页,共54页，2024年2月25日，星期天第七章运行与操作安全管理2、信息安全事故管理2.1信息安全事故的定义信息安全事故管理就是通过及时报告安全事故和弱点、建立安全事故职责和程序、收集证据、总结信息安全事故以便从安全事故中学习经验等对信息安全事故进行管理，对信息系统弱点进行纠正和改进。第24页,共54页，2024年2月25日，星期天第七章运行与操作安全管理2、信息安全事故管理2.2信息安全事故的报告报告安全事件：采取适当的反馈机制确定信息安全事件报告形式以支持报告行为信息安全事件发生后应该采取正确的行为，立即向联系点报告参考已建立的正常约束机制，处理组织人员、合同方和第三方人员中的安全违规行为所有组织人员、合同方和第三方人员都应知晓同时确保该联系点随时可用第25页,共54页，2024年2月25日，星期天第七章运行与操作安全管理2、信息安全事故管理2.3信息安全事故的管理信息安全事故管理程序应考虑的内容：应建立机制以处理不同类型的信息安全事故正常的应急计划收集和保护审计记录和类似的证据恢复安全破坏和系统失败的行为应该受到仔细和正规的控制

第26页,共54页，2024年2月25日，星期天第七章运行与操作安全管理2、信息安全事故管理2.3信息安全事故的管理收集有关证据：证据规则包括：证据的可用性：证据是否可在法庭上使用；证据的份量：证据的质量和完全性。第27页,共54页，2024年2月25日，星期天第七章运行与操作安全管理2、信息安全事故管理2.3信息安全事故的管理收集有关证据：强证据踪迹的建立：对于纸制文档对于计算机介质上的信息第28页,共54页，2024年2月25日，星期天第七章运行与操作安全管理2、信息安全事故管理2.3信息安全事故的管理总结信息安全事故组织应当建立能够对信息安全事故的类型、数量和成本进行量化和监控的机制。第29页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.1操作权限管理决定整个信息系统的安全系数第30页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.1操作权限管理信息资产分类设定安全时限划分安全等级确定服务方式对象以及敏感程度操作权限的划分（策略和步骤）根据保护对象的价值和可能遭受的危险决策安全目标定位第31页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.1操作权限管理操作权限管理的相关技术防火墙技术入侵检测技术账号管理和访问授权技术第32页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.2操作规范管理互联网使用和管理应当符合和遵循的规则和条例《中华人民共和国计算机信息系统安全保护条例》《计算机信息系统国际联网安全保护管理办法》《计算机信息系统国际联网保密管理规定》第33页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.2操作规范管理企业管理规定和技术规范主要内容：操作人员使用计算机及信息系统守则信息系统安全保密规定内部电子信息使用规定互联网使用管理规定内部信息系统使用管理规定计算机及信息系统病毒防范管理规定计算机机房管理规定第34页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.3操作责任管理操作责任是信息系统的应用过程中，信息系统操作和使用人员在规定的权限范围内所作工作的结果和该系统运行情况对外界产生的影响的综合。第35页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.3操作责任管理操作责任的实施操作责任要靠制度的约束，同时也要靠信息系统内部人员的自我约束。第36页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.3操作责任管理操作责任的承担违反了信息系统管理规章制度，相关人员就担负相应的责任。如果违反了法律法规，相关人员还会受到相应的法律制裁。全国人大常委会“关于网络安全和信息安全的决定”对利用互联网犯罪的15种行为追究刑事责任。

教材P158第37页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.4操作监控管理操作监控就是通过某种方式对信息系统状态进行监控和调整，使信息系统能正常、高效地运行。操作监控的目的：使信息系统的资源高效利用当出现故障时及时报告并处理，并协调和保持信息系统高效运行。第38页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.4操作监控管理操作监控管理的内容：（1）拓扑管理（2）故障管理（3）配置管理（4）性能管理（5）服务级别管理（6）帮助台第39页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.4操作监控管理性能测量网络（性能）测量是对网络行为进行特征化、对各项性能指标进行量化并充分理解和正确认识互联网的最基本手段。理解网络行为的最有效途径，是对互联网进行控制的基础和前奏第40页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.4操作监控管理性能测量方法主动测量被动测量控制信息监视第41页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.4操作监控管理性能测量方法——主动测量由测量用户主动发起，通过获取测量引发的数据及对其分析，得到网络性能参数和网络行为参数。优点：灵活方便

可行性高

不会对网络用户信息的隐私和安全形成威胁第42页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.4操作监控管理性能测量方法——主动测量缺点（影响）对于测量本身准确度的影响对于用户业务的影响均由测量流量引起第43页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.4操作监控管理性能测量方法——被动测量通过在网络中的一个或多个网段上借助包捕获器捕获数据的方式记录网络流量，并进行分析，被动的获知网络行为状况。优点：不主动发送测量包，不会占用网络流量，获得准确的测量结果；

采用获取链路上所有数据包的方式，可以详尽刻画该测量点或链路的网络行为。第44页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.4操作监控管理性能测量方法——被动测量缺点（影响）实现复杂度高较难实现对某些性能参数的获取准确度依赖于包捕获器的性能第45页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.4操作监控管理性能测量方法——控制信息监视用于获取各种网络控制信息，主要是与数据传输有关的控制信息。特点：无需主动发送测量包，但会产生一定的流量第46页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.4操作监控管理性能测量方法——控制信息监视获取正常的网络操作中用户描述网络行为的数据，通过对其分析获知网络性能，无需引入额外测量流量，但会占用一定带宽用于传递控制信息。缺点：需要接入权限和设备的支持，大规模测量难度大第47页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.4操作监控管理测量指标

面向端系统的指标：端到端延迟（End-to-endDelay）、延迟抖动（Jitter）、丢包率（Packerlossrate）和吞吐量（Throughput）等会直接影响终端用户应用性能的参数；第48页,共54页，2024年2月25日，星期天第七章运行与操作安全管理3、操作管理3.4操作监控管理测量指标面向网络的指标：利用率（UtilizationRate）、带宽容量（Capacity）、可达性（Reachabilit