26安全管理技術

1、安全管理技術計算機網(wǎng)絡安全技術主要內(nèi)容傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展安全管理的必要性基于ESM理念的安全管理機制安全管理系統(tǒng)的基本功能信息安全管理標準簡介傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展網(wǎng)絡管理的基本任務及時了解網(wǎng)絡拓撲變化及時檢測網(wǎng)絡內(nèi)各條線路的流量，能統(tǒng)計各線路丟包率、錯包率，為線路性能的分析提供科學依據(jù)及時發(fā)現(xiàn)網(wǎng)絡故障發(fā)生點。記錄網(wǎng)絡設備、線路、終端、病毒、非法入網(wǎng)、違規(guī)操作、相關告警設置等各種嚴重和一般告警信息進行設備的配置管理進行日志管理，分門別類記錄網(wǎng)絡的各種故障進行安全管理傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展ISO的FCAPS模型故障管理（Fault Management）配置管理（Configurati

2、on Management）計費管理（Accounting Management）性能管理（Performance Management）安全管理（Security Management）傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展故障管理網(wǎng)絡故障對網(wǎng)絡中故障進行檢測、隔離、報告和修復。目標是保證計算機網(wǎng)絡組件的穩(wěn)定性、可用性和可服務性，即Reliability，Availability and Serviceability，簡稱RAS?；竟δ軝z測被管對象的差錯現(xiàn)象，接收被管對象的差錯事件報告（也稱故障單，Trouble Ticket）；執(zhí)行診斷測試、確定故障位置和性質；當存在備用設備或迂回路由時，提供新的網(wǎng)絡

3、資源用于服務；通過設備的維護或更換等措施進行修復；維護差錯日志文件，記錄差錯信息，分析故障原因。傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展配置管理配置管理是提供了標識、收集、更改網(wǎng)絡配置數(shù)據(jù)的功能，目的是為了實現(xiàn)網(wǎng)絡的最優(yōu)化服務功能。基本功能收集網(wǎng)絡配置信息；修改網(wǎng)絡配置信息；安裝軟件；存取配置信息；發(fā)現(xiàn)和顯示網(wǎng)絡的拓撲結構；生成配置報告。傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展計費管理計費管理用來度量網(wǎng)絡資源的使用情況，目的是控制和監(jiān)測各類網(wǎng)絡服務的費用和成本?；竟δ苡涗浻脩羰褂镁W(wǎng)絡資源的情況和計算費用；統(tǒng)計網(wǎng)絡利用率等效益數(shù)據(jù)，為網(wǎng)絡運營部門提供制定資費政策的依據(jù)。傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展性能管理性能管理的主要功能是以網(wǎng)

4、絡性能為準收集、分析和調整被管對象的狀態(tài)，其目的是保證網(wǎng)絡提供可靠、連續(xù)的服務。基本功能從被管對象中收集、統(tǒng)計與性能有關的數(shù)據(jù)，并產(chǎn)生相應記錄分析性能信息，檢測性能故障，產(chǎn)生性能告警等報告預測性能的長期變化趨勢控制被管對象，保證網(wǎng)絡的性能指標傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展安全管理網(wǎng)絡安全管理包括進網(wǎng)安全防護，限制非法入侵者入網(wǎng)；應用軟件訪問的安全防護，檢查用戶訪問軟件的權限；網(wǎng)絡傳輸信息的安全防護，對網(wǎng)絡傳輸信息的加密、防竊聽、防破壞和篡改等等?；竟δ馨踩胧┬畔⒌墓芾?，如用戶口令、密鑰、訪問權限的管理，并根據(jù)安全措施信息判斷非法操作，拒絕非法操作。安全審查，檢查網(wǎng)絡各種潛在安全漏洞；安全報告，對

5、影響網(wǎng)絡安全事件進行記錄、形成報告網(wǎng)絡操作事件的記錄，記錄用戶登錄、退出，記錄涉及網(wǎng)絡安全的網(wǎng)絡操作，以便進行安全追查等事后分析。傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展網(wǎng)絡管理體系結構網(wǎng)絡管理實體網(wǎng)絡管理協(xié)議管理代理管理信息庫傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展網(wǎng)絡管理體系結構網(wǎng)絡管理實體（Entity）即網(wǎng)絡管理系統(tǒng)進程，它向運行在各網(wǎng)絡設備上的網(wǎng)絡管理代理（Agent）程序發(fā)出指令，對各種網(wǎng)絡設備、網(wǎng)絡資源進行監(jiān)控和控制。網(wǎng)絡管理協(xié)議是網(wǎng)絡管理實體與網(wǎng)絡管理代理程序間進行通信所遵守的規(guī)則和約定。傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展網(wǎng)絡管理體系結構網(wǎng)絡管理代理是駐留在網(wǎng)絡設備、網(wǎng)絡資源等網(wǎng)絡實體上的，被網(wǎng)絡管理實體控制的進程。接

6、收網(wǎng)絡管理實體發(fā)來的指令；從管理信息庫中讀取或修改被管理對象的各種配置信息；以通知的形式向網(wǎng)絡管理實體報告被管理對象上發(fā)生的重要事件。管理信息庫（Management Information Base，MIB）是被管理對象的信息集合。傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展SNMP協(xié)議全稱：簡單網(wǎng)絡管理協(xié)議（Simple Network Management Protocol）使管理者通過輪詢被管代理，和被管代理自動發(fā)給管理者的陷阱（trap）信息，來設置被管對象的屬性和監(jiān)控網(wǎng)絡事件的發(fā)生，從而達到網(wǎng)絡管理目的SNMP是基于TCP/IP協(xié)議的應用層協(xié)議，采用無連接的傳輸層協(xié)議UDP傳送網(wǎng)絡管理報文傳統(tǒng)網(wǎng)絡管理

7、技術及其發(fā)展SNMP協(xié)議SNMP的結構分為SNMP管理者（SNMP Manager）和SNMP代理（SNMP Agent）每一個支持SNMP的網(wǎng)絡設備中包含一個SNMP Agent，它隨時記錄網(wǎng)絡設備的各種情況SNMP提供的管理操作管理進程從代理處獲取被管對象的信息；管理進程通過代理設置或修改被管對象的屬性傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展基于Web的網(wǎng)絡管理（Web-Based Management，WBM）使用Web瀏覽器作為客戶端使用HTTP協(xié)議傳輸數(shù)據(jù)優(yōu)點網(wǎng)管終端的可移動性地理上脫離了網(wǎng)管中心跨硬件平臺和操作系統(tǒng)統(tǒng)一的管理界面平臺獨立性（適應不同的操作系統(tǒng)、體系結構、網(wǎng)絡協(xié)議）互操作性（通過瀏覽

8、器在不同管理系統(tǒng)之間切換）傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展基于Web的網(wǎng)絡管理的實現(xiàn)方案基于代理管理器的方案在網(wǎng)絡管理平臺上疊加一個Web服務器，使其成為瀏覽器用戶的網(wǎng)絡管理代理管理器傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展基于Web的網(wǎng)絡管理的實現(xiàn)方案嵌入式方案將Web能力嵌入到被管設備中每個設備都有自己的Web地址，使管理人員可以通過瀏覽器和HTTP協(xié)議直接進行訪問和管理傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展基于CORBA的網(wǎng)絡管理CORBA（Common Object Request Broker Architecture，公共對象請求代理體系結構）OMG（Object Management Group）為解決分布式處理環(huán)境

9、下硬件和軟件系統(tǒng)的互聯(lián)互通而提出的一種解決方案利用對象請求代理（ORB）作為組件通信的軟總線，用戶可以透明地訪問信息，而不必知道目標所在的軟硬件平臺或所在網(wǎng)絡的具體位置傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展基于CORBA的網(wǎng)絡管理CORBA的特性獨立于網(wǎng)絡協(xié)議獨立于編程語言獨立于軟硬件平臺為可移植的、面向對象的分布式計算應用程序提供了不依賴于平臺的編程接口和模型基于CORBA的網(wǎng)絡管理利用CORBA實現(xiàn)管理系統(tǒng)利用CORBA定義被管對象利用CORBA實現(xiàn)完整的網(wǎng)絡管理系統(tǒng)傳統(tǒng)網(wǎng)絡管理技術及其發(fā)展基于CORBA的網(wǎng)絡管理SNMP/CORBA網(wǎng)關模型發(fā)揮現(xiàn)有網(wǎng)管模型在管理信息定義和通信協(xié)議方面的優(yōu)勢利用CORB

10、A分布式和編程簡單的特點，實現(xiàn)管理系統(tǒng)被管系統(tǒng)仍然采用傳統(tǒng)模式安全管理的必要性通常的信息安全建設方法采購各種安全產(chǎn)品，由產(chǎn)品廠商提供方案：防病毒，防火墻，IDS，Scanner，VPN等通常由IT部門的技術人員兼職負責日常維護，甚至根本沒有日常維護是一種以產(chǎn)品為核心的信息安全解決方案存在眾多不足：難以確定真正的需求：保護什么？保護對象的邊界？保護到什么程度？管理和服務跟不上，對采購產(chǎn)品運行的效率和效果缺乏評價通常用漏洞掃描代替風險評估，對風險的認識很不全面這種方法是“頭痛醫(yī)頭，腳痛醫(yī)腳”，很難實現(xiàn)整體安全不同廠商、不同產(chǎn)品之間的協(xié)調也是難題安全管理的必要性真正有效地信息安全建設技術和產(chǎn)品是基礎

11、，管理才是關鍵產(chǎn)品和技術，要通過管理的組織職能才能發(fā)揮最佳作用技術不高但管理良好的系統(tǒng)遠比技術高超但管理混亂的系統(tǒng)安全先進、易于理解、方便操作的安全策略對信息安全至關重要建立一個管理框架，讓好的安全策略在這個框架內(nèi)可重復實施，并不斷得到修正，就會擁有持續(xù)安全根本上說，信息安全是個管理過程，而不是技術過程三分技術，七分管理安全管理的必要性傳統(tǒng)網(wǎng)絡管理中的安全管理功能不足傳統(tǒng)網(wǎng)絡管理架構不能完全滿足需要某些安全設備不支持SNMP協(xié)議某些安全設備不具備完整的MIB庫SNMP協(xié)議本身不適合傳輸安全事件和安全日志信息SNMP不支持聯(lián)動和協(xié)同難以實現(xiàn)安全事件的定位和追溯難以實現(xiàn)全網(wǎng)安全策略的部署安全管理的

12、必要性加入全面安全管理職能單元的必要性實現(xiàn)各類計算機安全技術、產(chǎn)品之間的協(xié)調與聯(lián)動，實現(xiàn)有機化充分發(fā)揮各類安全技術和產(chǎn)品的功能整體安全能力大幅度提高實現(xiàn)計算機安全手段與現(xiàn)有計算機網(wǎng)絡應用系統(tǒng)的一體化使全網(wǎng)安全事件準確定位以及全網(wǎng)安全策略制定成為可能基于ESM理念的安全管理機制ESM（Enterprise Security Management）一種整體安全框架，其主要思想是采用多種智能Agent和安全控制中心，在同一安全策略（Security Policy）的指導下，將系統(tǒng)中的各個安全部件協(xié)同起來，實現(xiàn)總體的安全策略，并且能夠在多個安全部件協(xié)同的基礎上實現(xiàn)監(jiān)控、報表處理、統(tǒng)計分析等。主要是為了

13、解決各類安全產(chǎn)品各自為戰(zhàn)、難以組成一個整體安全防御體系的問題。ESM具有適應性強、可擴充性強、集中化安全管理等優(yōu)點。安全管理系統(tǒng)的基本功能統(tǒng)一監(jiān)控和管理收集各類信息性能資源日志監(jiān)控信息系統(tǒng)運行狀況信息服務系統(tǒng)信息安全系統(tǒng)發(fā)現(xiàn)異常情況向各種安全機制發(fā)布相應的總體安全策略實現(xiàn)對安全機制的實時操控收集各種安全機制執(zhí)行安全策略的結果安全管理系統(tǒng)的基本功能安全協(xié)同利用原有設備之間的互動功能，部署安全聯(lián)動策略，并監(jiān)視聯(lián)動執(zhí)行情況收集安全系統(tǒng)產(chǎn)生的數(shù)據(jù)，采用自動或手動響應引擎，根據(jù)事先定義的安全策略及規(guī)則，對相關安全系統(tǒng)進行設置和操控，實現(xiàn)安全系統(tǒng)之間的間接聯(lián)動安全管理系統(tǒng)的基本功能基于權限控制的統(tǒng)一管理和

14、區(qū)域自治提供統(tǒng)一管理功能為不同級別和性質的管理員提供其對應權限的管理視圖提供區(qū)域自治能力對特定管轄區(qū)域的安全設備和安全系統(tǒng)實現(xiàn)自治管理對分布在整網(wǎng)中的某個單一安全子系統(tǒng)實現(xiàn)整體安全策略的發(fā)布和狀態(tài)監(jiān)控安全管理系統(tǒng)的基本功能安全事件的處理對重復安全事件的合并處理對相互管理的安全事件進行合并處理根據(jù)相近零碎的歷史事件集合對安全事件進行確認智能判斷事件的真正起因，并提供人工修正判斷的機制根據(jù)管理人員的職責，將合并與確認后的事件通知相應責任人，并提供處理建議根據(jù)責任人處理事件的情況以及結果，確定是否對事件性質進行升級安全管理系統(tǒng)的基本功能告警管理控制臺告警聲音管理界面消息通知Email手機短信即時通信

15、安全管理系統(tǒng)的基本功能統(tǒng)計分析與決策支持對安全事件的類型、來源、目的、產(chǎn)生的效果、起因、發(fā)生的時間段進行綜合分析，得到宏觀的規(guī)律對重要事件的來源進行綜合查證，精確定位對相近時間段發(fā)生的各種事件進行相關性分析，得出各類不同事件相互聯(lián)系的規(guī)律，并指導自動聯(lián)動規(guī)則和安全策略的制定根據(jù)宏觀統(tǒng)計的結果，提供決策支持，并進行知識積累，為各類安全事件提供處理建議安全管理系統(tǒng)的基本功能支持應急響應系統(tǒng)自身考慮備份和應急措施支持應急響應預案，可以定義應急情況和應急響應措施能通過綜合分析，及時發(fā)現(xiàn)系統(tǒng)的嚴重異常情況，并及時以實現(xiàn)定義的措施通知責任人員在確認處于緊急情況的前提下，系統(tǒng)自動執(zhí)行應急預案中設定的批量操作

16、，并進行全程跟蹤和記錄信息安全管理標準簡介ISO/IEC 13335舊版被稱作“IT 安全管理指南”（Guidelines for the Management of IT Security，GMITS），新版稱作“信息和通信技術安全管理”（Management of Information and Communications Technology Security，MICTS）是ISO/IEC JTC1 制定的技術報告，是一個信息安全管理方面的指導性標準，其目的是為有效實施IT安全管理提供建議和支持。由5部分標準組成ISO/IEC13335-1:1996IT安全的概念與模型ISO/IEC1

17、3335-2:1997IT安全管理和策劃ISO/IEC13335-3:1998IT安全管理技術ISO/IEC13335-4:2000安全措施的選擇ISO/IEC13335-5:2001網(wǎng)絡安全管理指南信息安全管理標準簡介ISO/IEC 13335目前，ISO/IEC 13335-1:1996 已經(jīng)被新的ISO/IEC 13335-1:2004（MICTS 第1部分：信息和通信技術安全管理的概念和模型）所取代，ISO/IEC 13335-2:1997也將被正在開發(fā)的ISO/IEC 13335-2（MICTS 第2 部分：信息安全風險管理）取代。ISO/IEC TR 13335 只是一個技術報告和

18、指導性文件，并不是可依據(jù)的認證標準，信息安全體系建設參考BS 7799，具體實踐可以參考ISO/IEC 13335信息安全管理標準簡介BS7799被信息界喻為“滴水不漏的信息安全管理標準”BS7799是英國標準協(xié)會（British Standards Institute，BSI）于1995年2月制定的信息安全管理標準BS7799分兩個部分BS7799-1(ISO/IEC17799)：信息安全管理實施細則BS7799-2(ISO/IEC27001)：信息安全管理系統(tǒng)規(guī)范信息安全管理標準簡介BS7799BS7799-1信息安全管理實施細則2000年被ISO組織采納，正式成為ISO/IEC 1779

19、9標準。該標準2005年經(jīng)過最新改版，發(fā)展成為ISO/IEC 17799:2005標準。主要是給負責開發(fā)的人員作為參考文檔使用，從而在他們的機構內(nèi)部實施和維護信息安全BS7799-2信息安全管理系統(tǒng)規(guī)范于2005年成為正式的ISO標準，即ISO/IEC 27001:2005詳細說明了建立、實施和維護信息安全管理系統(tǒng)（ISMS）的要求，指出實施組織需遵循某一風險評估來鑒定最適宜的控制對象，并對自己的需求采取適當?shù)目刂菩畔踩芾順藴屎喗?992年在英國首次作為行業(yè)標準發(fā)布，為信息安全管理提供了一個依據(jù)。BS7799標準最早是由英國工貿(mào)部、英國標準化協(xié)會（BSI）組織的相關專家共同開發(fā)制定的BS7

20、799BS7799-1BS7799-2在1998年、1999年經(jīng)過兩次修訂之后出版BS7799-1：1999和BS7799-2：1999。ISO17799ISO270012000年4月，將BS7799-1：1999提交ISO，同年10月獲得通過成為ISO/IEC17799：2000版。2005年對ISO/IEC17799：2000版進行了修訂，于6月15日發(fā)布了ISO/IEC17799：2005版。2001年修訂BS7799-2：1999，同年BS7799-2：2000發(fā)布。2002年對BS7799-2：2000進行了修訂發(fā)布了BS7799-2：2002版。ISO于2005年10月15采用BS

21、7799-2：2002版本成為國際標準-ISO/IEC27001：2005版。信息安全管理標準簡介ISO/IEC 17799:2005安全策略組織信息安全資產(chǎn)管理人力資源安全物理和環(huán)境安全通信和操作管理訪問控制信息系統(tǒng)獲取、開發(fā)和維護信息安全事件管理業(yè)務連續(xù)性管理符合性提供了一套由最佳實踐構成的控制目標和控制，涉及11個方面，包括39個控制目標和133項控制措施,可作為參考文件使用，但并不是認證評審的依據(jù)。ISO17799:2005信息安全管理標準簡介ISO/IEC 17799:2005安全策略 Security policy人力資源安全 Human resources security物理與

22、環(huán)境安全 Physical and environmental security通信與操作管理 Communications and operations management信息系統(tǒng)獲取、開發(fā)和維護 Information systems acquisition, development and maintenance組織信息安全 Organizing information security資產(chǎn)管理 Asset management訪問控制 Access control信息安全事件管理 Information security incident management業(yè)務連續(xù)性管理 Busi

23、ness continuity management符合性 Compliance信息安全管理標準簡介ISO/IEC 17799:200511個方面39個目標133個控制措施10個方面36個目標127個控制措施對比ISO17799:2000舊版信息安全管理標準簡介ISO/IEC 27001:2005簡介概要過程方法與其他管理體系的兼容性范圍1.1 概要1.2 應用標準引用術語和定義信息安全管理體系4.1 一般要求4.2 建立并管理ISMS4.2.1 建立ISMS4.2.2 實施和運行ISMS4.2.3 監(jiān)督和評估ISMS4.2.4 維護和改進ISMS4.3 文件要求4.3.1 概要4.3.2 文

24、件控制4.3.3 記錄控制ISO27001:20055 管理責任5.1 管理承諾5.2 資源管理5.2.1 資源提供5.2.2 培訓、意識和資格6 內(nèi)部ISMS審計7 對ISMS的管理評審7.1 概要7.2 評審輸入7.3 復審輸出8 ISMS改進8.1 持續(xù)改進8.2 糾正措施8.3 預防措施ISO27001:2005附錄A 控制目標和控制A.5 安全策略A.6 組織信息安全A.7 資產(chǎn)管理A.8 人力資源管理A.9 物理和環(huán)境安全A.10 通信和操作管理A.11 訪問控制A.12 信息系統(tǒng)獲取、開發(fā)和維護A.13 信息安全事件管理A.14 業(yè)務連續(xù)性管理A.15 符合性附錄B OECD原則

25、與本標準附錄C ISO 9001:2000，ISO 14001:1996和本標準ISO27001:2005信息安全管理標準簡介ISO/IEC 27001:2005ISO27001標準對信息安全管理體系（ISMS）并沒有一個十分明確的定義，可以將其理解為組織管理體系的一部分。ISMS涉及到的內(nèi)容：用于組織信息資產(chǎn)風險管理、確保組織信息安全的、包括為制定、實施、評審和維護信息安全策略所需的組織機構、目標、職責、程序、過程和資源。標準要求的ISMS建立過程：制定信息安全策略，確定體系范圍，明確管理職責，通過風險評估確定控制目標和控制方式。遵循PDCA。體系一旦建立，組織應該按規(guī)定要求進行運作，保持體

26、系的有效性。信息安全管理標準簡介ISMS（信息安全管理體系，Information Security Management System）在信息安全方面指導和控制組織，用以實現(xiàn)信息安全目標的相互關聯(lián)和相關作用的一組要素。通常包括：信息安全組織結構各種活動和過程信息安全管理體系文件信息安全控制措施人力物力等資源信息安全管理標準簡介ISMS的重要原則管理層足夠重視組織保障指明方向和目標權威預算保障，提供所需的資源監(jiān)督檢查需要全員參與信息安全不僅僅是IT部門的事情每個員工都應明白隨時可能出現(xiàn)的安全問題每個員工都應具備相關的安全意識和能力讓每個員工都明確自己承擔的安全責任遵循過程的方法信息安全是個管理過程應該系統(tǒng)地識別每項管理活動并加以控制信息安全管理標準簡介ISMS的重要原則需要持續(xù)改進實現(xiàn)