網(wǎng)絡(luò)安全導(dǎo)論 課件 第十七章 網(wǎng)絡(luò)安全管理

第十七章網(wǎng)絡(luò)安全管理17.1網(wǎng)絡(luò)安全管理概述 17.2網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn) 17.3網(wǎng)絡(luò)安全管理的關(guān)鍵環(huán)節(jié)17.4網(wǎng)絡(luò)監(jiān)控 計(jì)劃管理的基本職能控制組織領(lǐng)導(dǎo)北京科技大學(xué)經(jīng)濟(jì)管理學(xué)院計(jì)劃定義目標(biāo)制定戰(zhàn)略構(gòu)建具體執(zhí)行計(jì)劃并協(xié)調(diào)行動(dòng)北京科技大學(xué)經(jīng)濟(jì)管理學(xué)院組織

決定要執(zhí)行哪些任務(wù)決定誰來完成，任務(wù)如分配

決定誰向誰匯報(bào)，在哪里制定決策

北京科技大學(xué)經(jīng)濟(jì)管理學(xué)院領(lǐng)導(dǎo)

激勵(lì)員工

指揮行動(dòng)

解決員工之間的沖突選擇有效的溝通渠道北京科技大學(xué)經(jīng)濟(jì)管理學(xué)院控制監(jiān)督活動(dòng)實(shí)際績效與標(biāo)準(zhǔn)比較糾正實(shí)際績效與標(biāo)準(zhǔn)的偏差17.1、網(wǎng)絡(luò)安全管理概述一、什么是網(wǎng)絡(luò)安全管理

國家、組織或個(gè)人為了實(shí)現(xiàn)信息安全目標(biāo)，運(yùn)用一定的手段或技術(shù)體系，對(duì)涉及信息安全的非技術(shù)因素進(jìn)行系統(tǒng)管理的活動(dòng)稱為信息安全管理。網(wǎng)絡(luò)安全管理具有廣義和狹義之分，廣義的信息安全管理是指宏觀層面上的國家的信息安全管理，狹義的網(wǎng)絡(luò)安全管理則指微觀層面上的組織或個(gè)體的信息安全管理。二、人們對(duì)信息安全管理重要性的認(rèn)識(shí)

隨著對(duì)信息安全問題認(rèn)識(shí)的不斷深入，人們?cè)絹碓秸J(rèn)識(shí)到，做好信息安全工作不僅要靠信息安全技術(shù)，更要靠信息安全管理。這種思想的深化，能從信息安全的實(shí)踐活動(dòng)可明顯的劃分為3個(gè)階段來體現(xiàn)。第一階段，技術(shù)浪潮。這個(gè)階段主要通過技術(shù)手段保障信息的安全。第二階段，管理浪潮。高層管理人員開始關(guān)注安全問題，關(guān)于信息安全的文件化規(guī)定迅速發(fā)展起來，信息安全方針、信息安全架構(gòu)等都成了重要的方面。第三階段，制度浪潮。人們很自然地關(guān)心自己的組織比其他的組織在信息安全活動(dòng)上是否更成功。信息安全標(biāo)準(zhǔn)化可以解決用戶“如何得知在實(shí)踐中漏掉了哪些方面”，信息安全認(rèn)證可以解決“怎么向合作伙伴證明組織的信息安全”，培育組織自己的信息安全文化可以消除“組織內(nèi)部用戶是組織的最大敵人”等問題。三、信息安全管理的內(nèi)容構(gòu)成

國家層面，主要致力于信息安全戰(zhàn)略、信息安全政策及法律法規(guī)、信息安全標(biāo)準(zhǔn)與認(rèn)證、信息安全治理、信息安全國際合作等方面的規(guī)劃與實(shí)施；對(duì)于公司、企業(yè)、學(xué)校這種普通組織機(jī)構(gòu)而言，其信息安全管理的的主要任務(wù)則是通過信息安全策略的制訂、信息安全風(fēng)險(xiǎn)管理、信息安全措施實(shí)施與協(xié)調(diào)、信息安全危機(jī)與應(yīng)急管理、信息安全文化培育等來保障組織業(yè)務(wù)的連續(xù)性；而對(duì)于用戶而言，則更側(cè)重于個(gè)人權(quán)力的行使和個(gè)人財(cái)產(chǎn)和隱私的保護(hù)。安全管理模型遵循管理的一般循環(huán)模式，即計(jì)劃（Plan）、執(zhí)行（Do）、檢查（Check）和行動(dòng)（Action）的持續(xù)改進(jìn)模式，簡(jiǎn)稱PDCA模式。每一次的安全管理活動(dòng)循環(huán)都是在已有的安全管理策略指導(dǎo)下進(jìn)行的，每次循環(huán)都會(huì)通過檢查環(huán)節(jié)發(fā)現(xiàn)新的問題，然后采取行動(dòng)予以改進(jìn)，從而形成了安全管理策略和活動(dòng)的螺旋式提升。四、組織的網(wǎng)絡(luò)安全管理模型圖1組織的安全管理模型PDCA法律法規(guī)要求

17.2、

網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn) 國家法律與標(biāo)準(zhǔn)《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定，國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。GB/T22239-2019《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》GB/T22240-2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》。等級(jí)保護(hù)國際標(biāo)準(zhǔn)

ISO/IEC27000系列標(biāo)準(zhǔn)中的27001《網(wǎng)絡(luò)安全管理體系要求》27002《網(wǎng)絡(luò)安全管理實(shí)用規(guī)則》安全認(rèn)證從網(wǎng)絡(luò)安全管理體系國際標(biāo)準(zhǔn)的發(fā)展形勢(shì)來看，27000將用于國際互認(rèn)，可以使面向市場(chǎng)的社會(huì)企業(yè)向合作方及用戶證明其網(wǎng)絡(luò)安全管理水平，成為組織彼此之間信任的基礎(chǔ)。就其影響范圍來看，不管是出于認(rèn)證考慮，還是以提高組織的實(shí)際安全管理水平為出發(fā)點(diǎn)，該系列標(biāo)準(zhǔn)都將受到越來越多的關(guān)注和應(yīng)用。

17.3、

網(wǎng)絡(luò)安全管理的關(guān)鍵環(huán)節(jié) 網(wǎng)絡(luò)安全管理策略的制訂（1） 法律與合同條約要求（2） 組織的原則、目標(biāo)和規(guī)定（3） 風(fēng)險(xiǎn)評(píng)估的結(jié)果網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估網(wǎng)絡(luò)安全運(yùn)行管理（1）加強(qiáng)信息運(yùn)維隊(duì)伍建設(shè)，努力提升信息運(yùn)行人員的業(yè)務(wù)能力。（2）分級(jí)控制，責(zé)任到人。組織管理和運(yùn)行維護(hù)管理應(yīng)按不同層次分別負(fù)責(zé)。（3）加強(qiáng)值班制度，確保信息聯(lián)系渠道暢通。（4）加強(qiáng)網(wǎng)絡(luò)系統(tǒng)監(jiān)控，及時(shí)發(fā)現(xiàn)問題并及時(shí)排除。網(wǎng)絡(luò)安全應(yīng)急管理一案：網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案。三制：加強(qiáng)應(yīng)急機(jī)制建設(shè)，建立健全應(yīng)急體制，依據(jù)相關(guān)法制。

17.4、

網(wǎng)絡(luò)監(jiān)控網(wǎng)站不良信息監(jiān)控（1）及時(shí)發(fā)現(xiàn)不良信息（2）對(duì)不良信息源進(jìn)行有效濾除與阻斷（3）建立可靠的資料儲(chǔ)存系統(tǒng)和權(quán)威的舉證機(jī)制，實(shí)現(xiàn)對(duì)不良信息的電子舉證。不良信息監(jiān)控框架文字式的監(jiān)控還行影像類監(jiān)控基本上還是手工網(wǎng)絡(luò)輿情監(jiān)控歸口單位：宣傳部完成的功能：信息匯集、分類、整合、篩選等技術(shù)處理，能完成輿情要素的識(shí)別、抽取和實(shí)時(shí)統(tǒng)計(jì)功能。輿情監(jiān)控相關(guān)軟件設(shè)備監(jiān)控大家看到的紅蜘蛛極域網(wǎng)管軟件

簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP

大家實(shí)驗(yàn)的重點(diǎn)在這里思考題1．網(wǎng)絡(luò)安全管理的內(nèi)容構(gòu)成