第3章-網(wǎng)絡(luò)安全管理概述ppt課件

1、第3章 網(wǎng)絡(luò)安全管理概述,主編賈鐵軍 副主編陳國(guó)秦 蘇慶剛 沈?qū)W東 編著 王堅(jiān) 王小剛 宋少婷,上海教育高地建設(shè)項(xiàng)目 高等院校規(guī)劃教材,網(wǎng)絡(luò)安全技術(shù)及應(yīng)用,第2版,上海市精品課程 網(wǎng)絡(luò)安全技術(shù),目 錄,目 錄,教學(xué)目標(biāo),掌握網(wǎng)絡(luò)安全管理概念、任務(wù)、法律法規(guī)與取證、評(píng)估準(zhǔn)則和方法 理解網(wǎng)絡(luò)安全管理規(guī)范及策略、原則和制度 了解網(wǎng)絡(luò)安全規(guī)劃的主要內(nèi)容和原則 掌握Web服務(wù)器的安全設(shè)置與管理實(shí)驗(yàn),重點(diǎn),重點(diǎn),3.1 網(wǎng)絡(luò)安全管理概念和任務(wù),3.1.1 網(wǎng)絡(luò)安全管理概念及目標(biāo),美國(guó)軍網(wǎng)出現(xiàn)重大泄密，總統(tǒng)專機(jī)結(jié)構(gòu)曝光。美國(guó)空軍一個(gè)網(wǎng)站，在2006年4月出現(xiàn)重大泄密，透露出布什總統(tǒng)專機(jī)“空軍一號(hào)”反導(dǎo)防御系

2、統(tǒng)等機(jī)密信息。從此網(wǎng)站的一份政府文件中，可以輕易地瀏覽兩架“空軍一號(hào)”詳細(xì)的內(nèi)部結(jié)構(gòu)圖，包括專機(jī)內(nèi)特工人員所處的位置，以及為專機(jī)提供服務(wù)的供氧地點(diǎn)， 聲稱恐怖分子可能引爆其氧氣罐,案例3-1,3.1.1 網(wǎng)絡(luò)安全管理的概念及目標(biāo) 1. 網(wǎng)絡(luò)安全管理的概念,ISO定義網(wǎng)絡(luò)管理(Network Management) 是規(guī)劃、監(jiān)督、組織和控制計(jì)算機(jī)網(wǎng)絡(luò)通信服務(wù)，以及信息處理所必需的各種活動(dòng)。狹義的網(wǎng)絡(luò)管理主要指對(duì)網(wǎng)絡(luò)設(shè)備、運(yùn)行和網(wǎng)絡(luò)通信量的管理?，F(xiàn)在，網(wǎng)絡(luò)管理已經(jīng)突破了原有的概念和范疇。其目的是提供對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的規(guī)劃、設(shè)計(jì)、操作運(yùn)行、管理、監(jiān)視、分析、控制、評(píng)估和擴(kuò)展的手段，從而合理地組織和利用系

3、統(tǒng)資源，提供安全、可靠、有效和友好的服務(wù)。網(wǎng)絡(luò)管理的實(shí)質(zhì)是對(duì)各種網(wǎng)絡(luò)資源進(jìn)行監(jiān)測(cè)、控制、協(xié)調(diào)、報(bào)告故障等。 網(wǎng)絡(luò)安全管理（Network Security Management）通常是指以網(wǎng)絡(luò)管理對(duì)象的安全為任務(wù)和目標(biāo)所進(jìn)行的各種管理活動(dòng)，是與安全有關(guān)的網(wǎng)絡(luò)管理，簡(jiǎn)稱安全管理。由于網(wǎng)絡(luò)安全對(duì)網(wǎng)絡(luò)信息系統(tǒng)的性能、管理的關(guān)聯(lián)及影響更復(fù)雜更密切，網(wǎng)絡(luò)安全管理逐漸成為網(wǎng)絡(luò)管理中的一個(gè)重要分支，正受到業(yè)界及用戶的廣泛關(guān)注。網(wǎng)絡(luò)安全管理需要綜合網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)管理、分布式計(jì)算、人工智能等多個(gè)領(lǐng)域知識(shí)和研究成果，其概念、理論和技術(shù)正在不斷發(fā)展完善之中,3.1 網(wǎng)絡(luò)安全管理概念和任務(wù),2. 網(wǎng)絡(luò)安全管理的目

4、標(biāo),計(jì)算機(jī)網(wǎng)絡(luò)安全是一個(gè)相對(duì)性的概念，世界上沒有絕對(duì)的安全。 網(wǎng)絡(luò)管理的目標(biāo)是確保計(jì)算機(jī)網(wǎng)絡(luò)的持續(xù)正常運(yùn)行，使其能夠有效、可靠、安全、經(jīng)濟(jì)地提供服務(wù)，并在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行出現(xiàn)異常時(shí)能及時(shí)響應(yīng)并排除故障。 網(wǎng)絡(luò)安全管理的目標(biāo)是：在計(jì)算機(jī)網(wǎng)絡(luò)的信息傳輸、存儲(chǔ)與處理的整個(gè)過程中，提供物理上、邏輯上的防護(hù)、監(jiān)控、反應(yīng)恢復(fù)和對(duì)抗的能力，以保護(hù)網(wǎng)絡(luò)信息資源的保密性、完整性、可用性、可控性和可審查性。其中保密性、完整性、可用性是信息安全的基本要求。網(wǎng)絡(luò)信息安全5大特征, 反映了網(wǎng)絡(luò)安全管理的具體目標(biāo)要求,3.1 網(wǎng)絡(luò)安全管理概念和任務(wù),3.1.2 網(wǎng)絡(luò)安全管理的內(nèi)容和體系 1.網(wǎng)絡(luò)安全管理的內(nèi)容,開放系統(tǒng)

5、互連參考模型OSI /RM（Open System Interconnection Reference Model）中的安全管理主要是指對(duì)除通信安全服務(wù)之外的、支持和控制網(wǎng)絡(luò)安全所必須的其他操作所進(jìn)行的管理。OSI/RM的安全管理包括：系統(tǒng)安全管理、安全服務(wù)管理和安全機(jī)制管理,現(xiàn)代網(wǎng)絡(luò)管理內(nèi)容可用OAMP（Operation, Administration, Maintenance and Provisioning，運(yùn)行、管理、維護(hù)和提供）概括，主要包括：故障指示、性能監(jiān)控、安全管理、診斷功能、網(wǎng)絡(luò)和用戶配置等。 網(wǎng)絡(luò)安全管理的具體對(duì)象包括涉及的機(jī)構(gòu)、人員、軟件、設(shè)備、場(chǎng)地設(shè)施、介質(zhì)、涉密信息

6、及密鑰、技術(shù)文檔、網(wǎng)絡(luò)連接、門戶網(wǎng)站、應(yīng)急恢復(fù)、安全審計(jì)等,3.1 網(wǎng)絡(luò)安全管理概念和任務(wù),3.1.2 網(wǎng)絡(luò)安全管理的內(nèi)容和體系 1.網(wǎng)絡(luò)安全管理的內(nèi)容,網(wǎng)絡(luò)安全管理所涉及的內(nèi)容，可概括為以下五個(gè)方面。 (1) 實(shí)體安全管理 (2) 運(yùn)行安全管理 (3) 系統(tǒng)安全管理 (4) 應(yīng)用安全管理 (5) 綜合安全管理 網(wǎng)絡(luò)安全管理所涉及的相關(guān)內(nèi)容及其關(guān)系如圖3-1所示。以綜合安全管理為保障，實(shí)體及運(yùn)行安全管理為基礎(chǔ)，以系統(tǒng)安全管理、運(yùn)行安全管理和應(yīng)用安全管理為重點(diǎn)，確保網(wǎng)絡(luò)正常服務(wù),3.1 網(wǎng)絡(luò)安全管理概念和任務(wù),圖3-1 網(wǎng)絡(luò)安全管理內(nèi)容,2. 網(wǎng)絡(luò)安全管理體系 （1） TCP/IP網(wǎng)絡(luò)安全管理體

7、系 TCP/IP網(wǎng)絡(luò)安全管理體系結(jié)構(gòu)，如圖3-2所示。 包括三個(gè)方面：分層安全管理、安全服務(wù)與機(jī)制、系統(tǒng)安全管理,3.1 網(wǎng)絡(luò)安全管理概念和任務(wù),圖3-2 TCP/IP網(wǎng)絡(luò)安全管理體系結(jié)構(gòu),網(wǎng)絡(luò)系統(tǒng)安全,3.1 網(wǎng)絡(luò)安全管理概念和任務(wù),2）網(wǎng)絡(luò)安全管理與體系結(jié)構(gòu)的關(guān)系 網(wǎng)絡(luò)安全保障體系包括五個(gè)部分： 1) 網(wǎng)絡(luò)安全策略。 2) 網(wǎng)絡(luò)安全政策和標(biāo)準(zhǔn)。 3) 網(wǎng)絡(luò)安全運(yùn)作。 4) 網(wǎng)絡(luò)安全管理 5) 網(wǎng)絡(luò)安全技術(shù)。 對(duì)于OSI網(wǎng)絡(luò)安全體系，主要涉及網(wǎng)絡(luò)安全機(jī)制和網(wǎng)絡(luò)安全服務(wù)兩個(gè)方面，需要通過網(wǎng)絡(luò)安全管理進(jìn)行具體實(shí)施。其中的網(wǎng)絡(luò)安全機(jī)制和網(wǎng)絡(luò)安全服務(wù)包括： 1）網(wǎng)絡(luò)安全機(jī)制。 2）網(wǎng)絡(luò)安全服務(wù),3.

8、1 網(wǎng)絡(luò)安全管理概念和任務(wù),3網(wǎng)絡(luò)管理與安全技術(shù)的結(jié)合,泰科安防/安達(dá)泰ADT安全網(wǎng)管平臺(tái)。是針對(duì)企事業(yè)機(jī)構(gòu)大中規(guī)模虛擬專用網(wǎng)VPN網(wǎng)絡(luò)管理的解決方案，可通過該平臺(tái)實(shí)現(xiàn)對(duì)ADT系列安全網(wǎng)關(guān)以及第三方的VPN設(shè)備進(jìn)行全面的集中管理、監(jiān)控、統(tǒng)一認(rèn)證等功能。網(wǎng)管平臺(tái)由4部分組成：安全網(wǎng)關(guān)單機(jī)配置軟件(Sure Console)、策略服務(wù)平臺(tái)(Sure Manager)、網(wǎng)關(guān)監(jiān)控平臺(tái)(Sure Watcher)和數(shù)字證書平臺(tái)(Sure CA)?；贏DT安全網(wǎng)管平臺(tái)可以快速高效工作，一個(gè)具備上千個(gè)節(jié)點(diǎn)的VPN網(wǎng)絡(luò)，可在短暫時(shí)間內(nèi)完成以前需要幾個(gè)月才能完成的繁重網(wǎng)絡(luò)管理和調(diào)整任務(wù),案例3-2,網(wǎng)絡(luò)安全管

9、理與安全技術(shù)相關(guān)內(nèi)容及其相互關(guān)系，如圖所示,圖 網(wǎng)絡(luò)安全管理與安全技術(shù)相關(guān)內(nèi)容,3.1 網(wǎng)絡(luò)安全管理概念和任務(wù),網(wǎng)絡(luò)安全管理的功能包括：計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行（Operation）、管理（Administration）、維護(hù)（Maintenance）、提供服務(wù)（Provisioning）等所需要的各種活動(dòng)，可概括為OAM (4) 明確與該機(jī)構(gòu)信息資產(chǎn)有關(guān)的風(fēng)險(xiǎn)和需要改進(jìn)之處; (5) 提出改變現(xiàn)狀的建議和方案，使風(fēng)險(xiǎn)降到可最低； (6) 為構(gòu)建合適的安全計(jì)劃和策略做好準(zhǔn)備,3.3 網(wǎng)絡(luò)安全評(píng)估準(zhǔn)則和測(cè)評(píng),2) 網(wǎng)絡(luò)安全測(cè)評(píng)類型 一般通用的測(cè)評(píng)類型分為5個(gè)： (1) 系統(tǒng)級(jí)漏洞測(cè)評(píng)。(2) 網(wǎng)絡(luò)級(jí)風(fēng)險(xiǎn)

10、測(cè)評(píng)。(3) 機(jī)構(gòu)的風(fēng)險(xiǎn)測(cè)評(píng)。 (4) 實(shí)際入侵測(cè)試。(5) 審計(jì),3) 調(diào)研與測(cè)評(píng)方法 收集信息有3個(gè)基本信息源：調(diào)研對(duì)象、文本查閱和物理檢驗(yàn)。調(diào)研對(duì)象主要是與現(xiàn)有系統(tǒng)安全和組織實(shí)施相關(guān)人員，重點(diǎn)是熟悉情況和管理者。 測(cè)評(píng)方法：網(wǎng)絡(luò)安全威脅隱患與態(tài)勢(shì)測(cè)評(píng)方法、模糊綜合風(fēng)險(xiǎn)測(cè)評(píng)法、基于弱點(diǎn)關(guān)聯(lián)和安全需求的網(wǎng)絡(luò)安全測(cè)評(píng)方法、基于失效樹分析法的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀態(tài)測(cè)評(píng)方法、貝葉斯網(wǎng)絡(luò)安全測(cè)評(píng)方法等，具體方法可以通過網(wǎng)絡(luò)進(jìn)行查閱,3.3 網(wǎng)絡(luò)安全評(píng)估準(zhǔn)則和測(cè)評(píng),2測(cè)評(píng)標(biāo)準(zhǔn)和內(nèi)容,2測(cè)評(píng)標(biāo)準(zhǔn)和內(nèi)容 (1) 測(cè)評(píng)前提. (2) 依據(jù)和標(biāo)準(zhǔn)。 (3) 測(cè)評(píng)內(nèi)容。 3. 安全策略測(cè)評(píng) (1) 測(cè)評(píng)事項(xiàng)。 (2)

11、 測(cè)評(píng)方法。 (3) 測(cè)評(píng)結(jié)論。 4. 網(wǎng)絡(luò)實(shí)體安全測(cè)評(píng) (1) 測(cè)評(píng)項(xiàng)目。 (2) 測(cè)評(píng)方法。 (3) 測(cè)評(píng)結(jié)論。 5. 網(wǎng)絡(luò)體系的安全性測(cè)評(píng) 1) 網(wǎng)絡(luò)隔離的安全性測(cè)評(píng) (1) 測(cè)評(píng)項(xiàng)目。 (2) 測(cè)評(píng)方法。 (3) 測(cè)評(píng)結(jié)論。 2) 網(wǎng)絡(luò)系統(tǒng)配置安全性測(cè)評(píng) (1) 測(cè)評(píng)項(xiàng)目。 (2) 測(cè)評(píng)方法和工具. (3) 測(cè)評(píng)結(jié)論 。 3) 網(wǎng)絡(luò)防護(hù)能力測(cè)評(píng) 4) 服務(wù)的安全性測(cè)評(píng) 5) 應(yīng)用系統(tǒng)的安全性測(cè)評(píng),測(cè)評(píng)因素-設(shè)備環(huán)境-質(zhì)量安全可靠性-運(yùn)行環(huán)境-管理員,用網(wǎng)絡(luò)規(guī)劃及設(shè)計(jì)報(bào)告-安全需求分析報(bào)告,風(fēng)險(xiǎn)測(cè)評(píng)報(bào)告,安全目標(biāo)-策略有效性,網(wǎng)絡(luò)設(shè)施-配電-服務(wù)器-交換機(jī)-路由-主機(jī)房-工作站-運(yùn)行環(huán)境

12、,3.3 網(wǎng)絡(luò)安全評(píng)估準(zhǔn)則和測(cè)評(píng),討論思考 （1）橙皮書將安全的級(jí)別從低到高分成哪4個(gè)類別和7個(gè)級(jí)別？ （2）國(guó)家將計(jì)算機(jī)安全保護(hù)劃分為哪5個(gè)級(jí)別？ （3）網(wǎng)絡(luò)安全測(cè)評(píng)事項(xiàng)主要有哪些方面,11. 安全組織和管理測(cè)評(píng) (1) 測(cè)評(píng)項(xiàng)目 (2) 測(cè)評(píng)方法 (3) 測(cè)評(píng)結(jié)論,6. 安全服務(wù)的測(cè)評(píng) (1) 測(cè)評(píng)項(xiàng)目。 (2) 測(cè)評(píng)方法。(3) 測(cè)評(píng)結(jié)論。 7. 病毒防護(hù)安全性測(cè)評(píng) (1) 測(cè)評(píng)項(xiàng)目。 (2) 測(cè)評(píng)方法。(3) 測(cè)評(píng)結(jié)論。 8. 審計(jì)的安全性測(cè)評(píng) (1) 測(cè)評(píng)項(xiàng)目. (2) 測(cè)評(píng)方法。(3) 測(cè)評(píng)結(jié)論。 9. 備份的安全性測(cè)評(píng) (1) 測(cè)評(píng)項(xiàng)目。 (2) 測(cè)評(píng)方法。(3) 測(cè)評(píng)結(jié)論。 1

13、0. 緊急事件響應(yīng)測(cè)評(píng) (1) 測(cè)評(píng)項(xiàng)目。 (2) 測(cè)評(píng)方法。(3) 測(cè)評(píng)結(jié)論,3.4 網(wǎng)絡(luò)安全策略及規(guī)劃,3.4.1 網(wǎng)絡(luò)安全策略概述,網(wǎng)絡(luò)安全策略是在指定安全區(qū)域內(nèi)，與安全活動(dòng)有關(guān)的一系列規(guī)則和條例，包括對(duì)企業(yè)各種網(wǎng)絡(luò)服務(wù)的安全層次和權(quán)限的分類，確定管理員的安全職責(zé)，主要涉及4個(gè)方面：實(shí)體安全策略、訪問控制策略、信息加密策略和網(wǎng)絡(luò)安全管理策略,網(wǎng)絡(luò)安全策略包括總體安全策略和具體安全管理實(shí)施細(xì)則。 1）均衡性原則 2）時(shí)效性原則 3）最小限度原則,1網(wǎng)絡(luò)安全策略總則,3.4 網(wǎng)絡(luò)安全策略及規(guī)劃,2安全策略的內(nèi)容,根據(jù)不同的安全需求和對(duì)象，可以確定不同的安全策略。主要包括入網(wǎng)訪問控制策略、操作

14、權(quán)限控制策略、目錄安全控制策略、屬性安全控制策略、網(wǎng)絡(luò)服務(wù)器安全控制策略、網(wǎng)絡(luò)監(jiān)測(cè)、鎖定控制策略和防火墻控制策略等8個(gè)方面的內(nèi)容。同時(shí)側(cè)重： （1）實(shí)體與運(yùn)行環(huán)境安全 （2）網(wǎng)絡(luò)連接安全 （3）操作系統(tǒng)安全 （4）網(wǎng)絡(luò)服務(wù)安全 （5）數(shù)據(jù)安全 （6）安全管理責(zé)任 （7）網(wǎng)絡(luò)用戶安全責(zé)任,3.4 網(wǎng)絡(luò)安全策略及規(guī)劃,3網(wǎng)絡(luò)安全策略的組成與實(shí)施,1) 網(wǎng)絡(luò)安全策略的組成 安全策略是網(wǎng)絡(luò)安全管理過程的重要內(nèi)容和方法。網(wǎng)絡(luò)安全策略包括3個(gè)重要組成部分：安全立法、安全管理、安全技術(shù)。 2) 安全策略的實(shí)施 (1) 存儲(chǔ)重要數(shù)據(jù)和文件。 (2) 及時(shí)更新加固系統(tǒng)。 (3) 加強(qiáng)系統(tǒng)檢測(cè)與監(jiān)控。 (4) 做

15、好系統(tǒng)日志和審計(jì),3.4 網(wǎng)絡(luò)安全策略及規(guī)劃,3.4.2 網(wǎng)絡(luò)安全規(guī)劃基本原則,網(wǎng)絡(luò)安全規(guī)劃的主要內(nèi)容：規(guī)劃基本原則、安全管理控制策略、安全組網(wǎng)、安全防御措施、審計(jì)和規(guī)劃實(shí)施等。規(guī)劃種類較多，其中，網(wǎng)絡(luò)安全建設(shè)規(guī)劃可以包括：指導(dǎo)思想、基本原則、現(xiàn)狀及需求分析、建設(shè)政策依據(jù)、實(shí)體安全建設(shè)、運(yùn)行安全策略、應(yīng)用安全建設(shè)和規(guī)劃實(shí)施等,制定網(wǎng)絡(luò)安全規(guī)劃的基本原則,重點(diǎn)考慮6個(gè)方面: （1）統(tǒng)籌兼顧;（2）全面考慮;（3）整體防御與優(yōu)化; （4）強(qiáng)化管理;（5）兼顧性能;（6）分步制定與實(shí)施. 討論思考 1.網(wǎng)絡(luò)安全的策略有哪些？如何制定和實(shí)施？ 2.網(wǎng)絡(luò)安全規(guī)劃的基本原則有哪些,討論思考 （1）網(wǎng)絡(luò)安全

16、的策略有哪些？如何制定和實(shí)施？ （2）網(wǎng)絡(luò)安全規(guī)劃的基本原則有哪些,3.5 網(wǎng)絡(luò)安全管理原則及制度,為了加強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全,網(wǎng)絡(luò)安全管理應(yīng)堅(jiān)持基本原則: l）多人負(fù)責(zé)原則 2) 有限任期原則 3) 職責(zé)分離原則 4) 嚴(yán)格操作規(guī)程 5）系統(tǒng)安全監(jiān)測(cè)和審計(jì)制度 6）建立健全系統(tǒng)維護(hù)制度 7）完善應(yīng)急措施 另將網(wǎng)絡(luò)安全指導(dǎo)原則概括為4個(gè)方面：適度公開原則 、動(dòng)態(tài)更新與逐步完善原則、通用性原則、合規(guī)性原則,3.5.1網(wǎng)絡(luò)安全管理的基本原則,3.5 網(wǎng)絡(luò)安全管理原則及制度,網(wǎng)絡(luò)安全管理的制度：人事資源管理、資產(chǎn)物業(yè)管理、 教育培訓(xùn)、資格認(rèn)證、人事考核鑒定制度、動(dòng)態(tài)運(yùn)行機(jī)制、 日常工作規(guī)范、崗位責(zé)任制度等

17、。 1完善管理機(jī)構(gòu)和崗位責(zé)任制 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全涉及整個(gè)系統(tǒng)和機(jī)構(gòu)的安全、效益 及聲譽(yù). 系統(tǒng)安全保密工作最好由單位主要領(lǐng)導(dǎo)負(fù)責(zé), 必要時(shí) 設(shè)置專門機(jī)構(gòu).重要單位、要害部門安全保密工作分別由安全、 保密、保衛(wèi)和技術(shù)部門分工負(fù)責(zé).常用的網(wǎng)絡(luò)安全管理規(guī)章制度 包括7個(gè)方面： （1）系統(tǒng)運(yùn)行維護(hù)管理制度。 （2）計(jì)算機(jī)處理控制管理制度。 （3）文檔資料管理。 （4）操作及管理人員的管理制度。 （5) 機(jī)房安全管理規(guī)章制度。 （6）其他的重要管理制度。 （7）風(fēng)險(xiǎn)分析及安全培訓(xùn),3.5.2 網(wǎng)絡(luò)安全管理機(jī)構(gòu)和制度,3.5 網(wǎng)絡(luò)安全管理原則及制度,所有領(lǐng)導(dǎo)機(jī)構(gòu)、重要計(jì)算機(jī)系統(tǒng)的安全組織機(jī)構(gòu)，包 括安

18、全審查機(jī)構(gòu)、安全決策機(jī)構(gòu)、安全管理機(jī)構(gòu)，都要建 立和健全各項(xiàng)規(guī)章制度。 完善專門的安全防范組織和人員。制定人員崗位責(zé)任 制，嚴(yán)格紀(jì)律、管理和分工。專職安全管理員負(fù)責(zé)安全策 略的實(shí)施與更新。 安全審計(jì)員監(jiān)視系統(tǒng)運(yùn)行情況，收集對(duì)系統(tǒng)資源的各 種非法訪問事件，并進(jìn)行記錄、分析、處理和上報(bào)。 保安人員負(fù)責(zé)非技術(shù)性常規(guī)安全工作，如系統(tǒng)場(chǎng)所的 警衛(wèi)、辦公安全、出入門驗(yàn)證等,3.5 網(wǎng)絡(luò)安全管理原則及制度,互聯(lián)網(wǎng)安全人人責(zé)任，網(wǎng)絡(luò)商更負(fù)有重要責(zé)任。應(yīng)加 強(qiáng)與相關(guān)業(yè)務(wù)往來單全機(jī)構(gòu)的合作與交流，密切配合共 同維護(hù)網(wǎng)絡(luò)安全，及時(shí)獲得必要的安全管理信息和專業(yè) 技術(shù)支持與更新。國(guó)內(nèi)外也應(yīng)進(jìn)一步加強(qiáng)交流與合作， 拓寬國(guó)

19、際合作渠道，建立政府、網(wǎng)絡(luò)安全機(jī)構(gòu)、行業(yè)組 織及企業(yè)之間多層次、多渠道、齊抓共管的合作機(jī)制,3堅(jiān)持合作交流制度,討論思考 （1）網(wǎng)絡(luò)安全管理的基本原則有哪些？ （2）網(wǎng)絡(luò)安全規(guī)劃指導(dǎo)原則主要包括哪4個(gè)方面？ （3）建立健全網(wǎng)絡(luò)安全管理機(jī)構(gòu)和規(guī)章制度，需要做好哪些方面,3.7.1 實(shí)驗(yàn)?zāi)康?WEB服務(wù)器的安全設(shè)置與管理實(shí)驗(yàn)是網(wǎng)絡(luò)安全管理的主要工作，通過實(shí)驗(yàn)使學(xué)生可以較好地掌握WEB服務(wù)器的安全設(shè)置與管理的內(nèi)容、方法和過程，為理論聯(lián)系實(shí)際，提高對(duì)服務(wù)器安全管理、分析問題和解決問題的實(shí)際能力，有助于更好地為未來就業(yè)從事網(wǎng)管員或信息安全員工作奠定基礎(chǔ)。 3.7.2 實(shí)驗(yàn)要求及方法 在WEB服務(wù)器的安全

20、設(shè)置與管理實(shí)驗(yàn)過程中，應(yīng)當(dāng)先做好實(shí)驗(yàn)的準(zhǔn)備工作，實(shí)驗(yàn)時(shí)注意掌握具體的操作界面、實(shí)驗(yàn)內(nèi)容、實(shí)驗(yàn)方法和實(shí)驗(yàn)步驟，重點(diǎn)是服務(wù)器的安全設(shè)置（網(wǎng)絡(luò)安全設(shè)置、安全模板設(shè)置、WEB服務(wù)器的安全設(shè)置等）與服務(wù)器日常管理實(shí)驗(yàn)過程中的具體操作要領(lǐng)、順序和細(xì)節(jié)。 3.7.3 實(shí)驗(yàn)內(nèi)容及步驟 1.服務(wù)器準(zhǔn)備工作 通常需要先對(duì)服務(wù)器硬盤進(jìn)行格式化和分區(qū)，格式化類型為NTFS。 安裝操作系統(tǒng)Windows Server 2012。系統(tǒng)安裝過程中應(yīng)本著最小服務(wù)原則，不選擇無用的服務(wù)，達(dá)到系統(tǒng)的最小安裝，在安裝IIS的過程中，只安裝必要的最基本功能,3.7 WEB服務(wù)器的安全設(shè)置與管理實(shí)驗(yàn),2. 網(wǎng)絡(luò)安全配置 網(wǎng)絡(luò)安全最基本

21、的設(shè)置是端口。在“本地連接屬性”，選擇“Internet協(xié)議（TCP/IP）”，再先后單擊“高級(jí)”、“選項(xiàng)”及“TCP/IP篩選”。只打開網(wǎng)站服務(wù)所需要使用的端口，配置界面如圖3-5所示。 在進(jìn)行設(shè)置后，從服務(wù)器將不能使用域名解析，可以防止一般規(guī)模的DDOS攻擊，使蠻重外部上網(wǎng)的安全訪問,圖3-5 配置打開網(wǎng)站服務(wù)所需端口,3.7 WEB服務(wù)器的安全設(shè)置與管理實(shí)驗(yàn),3. 安全模板設(shè)置 運(yùn)行MMC,添加獨(dú)立管理單元“安全配置與分析”,導(dǎo)入模板basicsv.inf 或securedc.inf，然后選“立刻配置計(jì)算機(jī)”，系統(tǒng)就會(huì)自動(dòng)配置“帳戶 策略”、“本地策略”、 “系統(tǒng)服務(wù)”等信息， 但這些配

22、置可能會(huì)導(dǎo) 致某些“被限制”軟 件無法運(yùn)行或運(yùn)行出 錯(cuò)。如查看設(shè)置的IE 禁用網(wǎng)站，則可將該 網(wǎng)站添加到“本地 Intranet”或“受信 任的站點(diǎn)”區(qū)域包含 列表中。如圖3-6所示,圖3-6 安全配置和分析界面,3.7 WEB服務(wù)器的安全設(shè)置與管理實(shí)驗(yàn),4. WEB服務(wù)器的設(shè)置 以IIS為例，一定不要使用IIS默認(rèn)安裝的WEB目錄，而需要在E盤新建立一個(gè)目錄。然后在IIS管理器中右擊“主機(jī)”，選擇“屬性”和“WWW服務(wù)”，在“ 編輯”中選擇“主目錄配置”及“應(yīng)用程序映射”，只保留asp和asa，其余全部刪除。 5. ASP的安全 由于大部分木馬都是ASP編寫的，因此，在IIS系統(tǒng)上的ASP組件的安全非常重要。 ASP木馬實(shí)際上大部分通過調(diào)用Shell. Application、WScript