運行與操作安全管理

運行與操作安全管理第一頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計對系統(tǒng)的運行狀況和系統(tǒng)中用戶的行為進行監(jiān)視、控制和記錄。為提高系統(tǒng)安全性提供參考和依據(jù)第二頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.1安全監(jiān)控安全監(jiān)控的分類第三頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.1安全監(jiān)控安全監(jiān)控的內(nèi)容主機系統(tǒng)監(jiān)視網(wǎng)絡狀態(tài)監(jiān)視用戶操作監(jiān)視主機應用監(jiān)控主機外設監(jiān)控網(wǎng)絡連接監(jiān)控第四頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.1安全監(jiān)控安全監(jiān)控的實現(xiàn)方式普通監(jiān)控基于插件的監(jiān)控

靜態(tài)監(jiān)控代理動態(tài)監(jiān)控代理基于代理的分布式監(jiān)控第五頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.1安全監(jiān)控安全監(jiān)控的實現(xiàn)方式普通監(jiān)控根據(jù)TCP/IP和基于其基礎上的應用層協(xié)議，連接被監(jiān)控主機，從而獲得主機的狀態(tài)和性能的信息。面向公共服務進行監(jiān)控。指定一個IP及其上的服務端口號就可根據(jù)TCP/UDP協(xié)議連接并進行監(jiān)控。系統(tǒng)保留的服務端口號及其他公共服務端口都是共知的第六頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.1安全監(jiān)控安全監(jiān)控的實現(xiàn)方式普通監(jiān)控第七頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.1安全監(jiān)控安全監(jiān)控的實現(xiàn)方式普通監(jiān)控優(yōu)點：操作在監(jiān)控方完成，受控主機無需做任何

工作。缺點：服務范圍有限

監(jiān)控性能較低，監(jiān)控數(shù)據(jù)由遠端組織策劃，

對網(wǎng)絡性能依賴性強。避免影響受控主機第八頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.1安全監(jiān)控安全監(jiān)控的實現(xiàn)方式基于插件的監(jiān)控接收監(jiān)控系統(tǒng)指令后，插件對其進行分析，然后組織監(jiān)控操作，將獲得的結果數(shù)據(jù)組織處理后送回監(jiān)控系統(tǒng)。

入侵檢測和網(wǎng)絡流量分析控制

服務于局域網(wǎng)的監(jiān)聽部件安裝于受控主機上第九頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.1安全監(jiān)控安全監(jiān)控的實現(xiàn)方式基于插件的監(jiān)控第十頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.1安全監(jiān)控安全監(jiān)控的實現(xiàn)方式基于插件的監(jiān)控插件運行時不能影響客戶的正常工作，系統(tǒng)資源占用少。插件安裝不能給客戶帶來安全漏洞，要求其有超強的容錯能力和靈敏的端口服務識別能力，防止非法用戶模擬監(jiān)控引擎的惡意連接。性能與自身安全性要求高第十一頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.1安全監(jiān)控安全監(jiān)控的實現(xiàn)方式基于代理的分布式監(jiān)控監(jiān)控代理分布于不同的地理位置，分別對不同受控主機進行實時監(jiān)測。由監(jiān)控代理實現(xiàn)第十二頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.1安全監(jiān)控安全監(jiān)控的實現(xiàn)方式基于代理的分布式監(jiān)控靜態(tài)監(jiān)控代理：各個監(jiān)控代理的監(jiān)控任務相對固定，監(jiān)控管理員預先分析監(jiān)控任務，將其靜態(tài)分布到各監(jiān)控代理。動態(tài)監(jiān)控代理：監(jiān)控系統(tǒng)中的任務管理模塊實施分析監(jiān)控任務，并根據(jù)任務的特殊性和客戶需求將任務動態(tài)分布到各監(jiān)控代理。代理接受任務后，獨立執(zhí)行監(jiān)控過程，將結果反饋給監(jiān)控中心進行綜合處理。第十三頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.1安全監(jiān)控安全監(jiān)控的實現(xiàn)方式基于代理的分布式監(jiān)控第十四頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.1安全監(jiān)控監(jiān)控數(shù)據(jù)的分析與處理網(wǎng)絡數(shù)據(jù)的分析與處理系統(tǒng)數(shù)據(jù)的分析與處理日志數(shù)據(jù)的分析與處理找出明顯網(wǎng)絡攻擊應用層的會話還原，利于后期取證了解服務器運行狀況及時發(fā)現(xiàn)服務器異常主要采用基于統(tǒng)計的方法、安全日志——記錄系統(tǒng)中發(fā)生的與安全相關的事件審計報告只輸出危險等級最高的事件。專用的系統(tǒng)安全監(jiān)控中心的審計報告較詳細。分析日志文件可了解用戶對服務器的訪問情況，發(fā)現(xiàn)非法登錄和惡意訪問。第十五頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.2安全審計安全審計的內(nèi)涵

安全審計是指對安全活動進行識別、記錄、存儲和分析，以查證是否發(fā)生安全事件的一種信息安全技術。為管理人員提供有關追蹤安全事件和入侵行為的有效證據(jù)，提高信息系統(tǒng)的安全管理能力。第十六頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.2安全審計審計分析的內(nèi)容第十七頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.2安全審計審計分析的基本方法第十八頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.2安全審計安全審計的主要作用對潛在的攻擊者起到震懾或警告作用對于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追糾證據(jù)提供有價值的系統(tǒng)使用日志提供系統(tǒng)運行的統(tǒng)計日志安全系統(tǒng)中必不可少的一部分第十九頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.2安全審計安全審計的原理對被審計主機的數(shù)據(jù)采集和過濾處理，并提交給本審計域內(nèi)的審計服務器。對各個審計代理進行統(tǒng)一管理，通過協(xié)調(diào)各個審計代理實現(xiàn)系統(tǒng)工作。網(wǎng)絡安全審計第二十頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理1、系統(tǒng)安全監(jiān)控與審計1.2安全審計安全審計的原理主機安全審計需記錄的數(shù)據(jù)的統(tǒng)稱。網(wǎng)絡中的數(shù)據(jù)包；主機系統(tǒng)日志等其它途徑獲得的信息等。獲取事件數(shù)據(jù)，并向系統(tǒng)的其它組件提供數(shù)據(jù)由審計代理負責，并對數(shù)據(jù)進行簡單處理實時分析采集到得數(shù)據(jù)，根據(jù)相應的策略處理事件并產(chǎn)生分析結果由審計服務器、數(shù)據(jù)分析模塊和數(shù)據(jù)庫共同實現(xiàn)對分析結果做出反應。根據(jù)事件的嚴重程度，做出切斷連接、改變文件屬性等強烈反應，也可以之間簡單的報警。第二十一頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理2、信息安全事故管理2.1信息安全事故的定義信息安全事故（informationsecurityincident）由單個的或一系列的有害或意外信息安全事件組成，它們具有損害業(yè)務運作和威脅信息安全的極大的可能性。信息安全事件（informationsecurityevent）是指系統(tǒng)、服務或網(wǎng)絡的一種可識別的狀態(tài)的發(fā)生。

對信息安全策略的違反或防護措施的實效

和安全相關聯(lián)的一個先前未知的狀態(tài)第二十二頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理2、信息安全事故管理2.1信息安全事故的定義信息安全事件和事故典型實例如下：（1）服務的停止，器材和設備的丟失；（2）系統(tǒng)故障或超載；（3）人為錯誤；（4）策略或指南的沖突；（5）違背物理安全設置；（6）未加控制的系統(tǒng)改變；（7）軟件或硬件故障；（8）非法訪問。第二十三頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理2、信息安全事故管理2.1信息安全事故的定義信息安全事故管理就是通過及時報告安全事故和弱點、建立安全事故職責和程序、收集證據(jù)、總結信息安全事故以便從安全事故中學習經(jīng)驗等對信息安全事故進行管理，對信息系統(tǒng)弱點進行糾正和改進。第二十四頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理2、信息安全事故管理2.2信息安全事故的報告報告安全事件：采取適當?shù)姆答仚C制確定信息安全事件報告形式以支持報告行為信息安全事件發(fā)生后應該采取正確的行為，立即向聯(lián)系點報告參考已建立的正常約束機制，處理組織人員、合同方和第三方人員中的安全違規(guī)行為所有組織人員、合同方和第三方人員都應知曉同時確保該聯(lián)系點隨時可用第二十五頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理2、信息安全事故管理2.3信息安全事故的管理信息安全事故管理程序應考慮的內(nèi)容：應建立機制以處理不同類型的信息安全事故正常的應急計劃收集和保護審計記錄和類似的證據(jù)恢復安全破壞和系統(tǒng)失敗的行為應該受到仔細和正規(guī)的控制

第二十六頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理2、信息安全事故管理2.3信息安全事故的管理收集有關證據(jù)：證據(jù)規(guī)則包括：證據(jù)的可用性：證據(jù)是否可在法庭上使用；證據(jù)的份量：證據(jù)的質(zhì)量和完全性。第二十七頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理2、信息安全事故管理2.3信息安全事故的管理收集有關證據(jù)：強證據(jù)蹤跡的建立：對于紙制文檔對于計算機介質(zhì)上的信息第二十八頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理2、信息安全事故管理2.3信息安全事故的管理總結信息安全事故組織應當建立能夠?qū)π畔踩鹿实念愋?、?shù)量和成本進行量化和監(jiān)控的機制。第二十九頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.1操作權限管理決定整個信息系統(tǒng)的安全系數(shù)第三十頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.1操作權限管理信息資產(chǎn)分類設定安全時限劃分安全等級確定服務方式對象以及敏感程度操作權限的劃分（策略和步驟）根據(jù)保護對象的價值和可能遭受的危險決策安全目標定位第三十一頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.1操作權限管理操作權限管理的相關技術防火墻技術入侵檢測技術賬號管理和訪問授權技術第三十二頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.2操作規(guī)范管理互聯(lián)網(wǎng)使用和管理應當符合和遵循的規(guī)則和條例《中華人民共和國計算機信息系統(tǒng)安全保護條例》《計算機信息系統(tǒng)國際聯(lián)網(wǎng)安全保護管理辦法》《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》第三十三頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.2操作規(guī)范管理企業(yè)管理規(guī)定和技術規(guī)范主要內(nèi)容：操作人員使用計算機及信息系統(tǒng)守則信息系統(tǒng)安全保密規(guī)定內(nèi)部電子信息使用規(guī)定互聯(lián)網(wǎng)使用管理規(guī)定內(nèi)部信息系統(tǒng)使用管理規(guī)定計算機及信息系統(tǒng)病毒防范管理規(guī)定計算機機房管理規(guī)定第三十四頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.3操作責任管理操作責任是信息系統(tǒng)的應用過程中，信息系統(tǒng)操作和使用人員在規(guī)定的權限范圍內(nèi)所作工作的結果和該系統(tǒng)運行情況對外界產(chǎn)生的影響的綜合。第三十五頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.3操作責任管理操作責任的實施操作責任要靠制度的約束，同時也要靠信息系統(tǒng)內(nèi)部人員的自我約束。第三十六頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.3操作責任管理操作責任的承擔違反了信息系統(tǒng)管理規(guī)章制度，相關人員就擔負相應的責任。如果違反了法律法規(guī)，相關人員還會受到相應的法律制裁。全國人大常委會“關于網(wǎng)絡安全和信息安全的決定”對利用互聯(lián)網(wǎng)犯罪的15種行為追究刑事責任。

教材P158第三十七頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.4操作監(jiān)控管理操作監(jiān)控就是通過某種方式對信息系統(tǒng)狀態(tài)進行監(jiān)控和調(diào)整，使信息系統(tǒng)能正常、高效地運行。操作監(jiān)控的目的：使信息系統(tǒng)的資源高效利用當出現(xiàn)故障時及時報告并處理，并協(xié)調(diào)和保持信息系統(tǒng)高效運行。第三十八頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.4操作監(jiān)控管理操作監(jiān)控管理的內(nèi)容：（1）拓撲管理（2）故障管理（3）配置管理（4）性能管理（5）服務級別管理（6）幫助臺第三十九頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.4操作監(jiān)控管理性能測量網(wǎng)絡（性能）測量是對網(wǎng)絡行為進行特征化、對各項性能指標進行量化并充分理解和正確認識互聯(lián)網(wǎng)的最基本手段。理解網(wǎng)絡行為的最有效途徑，是對互聯(lián)網(wǎng)進行控制的基礎和前奏第四十頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.4操作監(jiān)控管理性能測量方法主動測量被動測量控制信息監(jiān)視第四十一頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.4操作監(jiān)控管理性能測量方法——主動測量由測量用戶主動發(fā)起，通過獲取測量引發(fā)的數(shù)據(jù)及對其分析，得到網(wǎng)絡性能參數(shù)和網(wǎng)絡行為參數(shù)。優(yōu)點：靈活方便

可行性高

不會對網(wǎng)絡用戶信息的隱私和安全形成威脅第四十二頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.4操作監(jiān)控管理性能測量方法——主動測量缺點（影響）對于測量本身準確度的影響對于用戶業(yè)務的影響均由測量流量引起第四十三頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.4操作監(jiān)控管理性能測量方法——被動測量通過在網(wǎng)絡中的一個或多個網(wǎng)段上借助包捕獲器捕獲數(shù)據(jù)的方式記錄網(wǎng)絡流量，并進行分析，被動的獲知網(wǎng)絡行為狀況。優(yōu)點：不主動發(fā)送測量包，不會占用網(wǎng)絡流量，獲得準確的測量結果；

采用獲取鏈路上所有數(shù)據(jù)包的方式，可以詳盡刻畫該測量點或鏈路的網(wǎng)絡行為。第四十四頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.4操作監(jiān)控管理性能測量方法——被動測量缺點（影響）實現(xiàn)復雜度高較難實現(xiàn)對某些性能參數(shù)的獲取準確度依賴于包捕獲器的性能第四十五頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.4操作監(jiān)控管理性能測量方法——控制信息監(jiān)視用于獲取各種網(wǎng)絡控制信息，主要是與數(shù)據(jù)傳輸有關的控制信息。特點：無需主動發(fā)送測量包，但會產(chǎn)生一定的流量第四十六頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.4操作監(jiān)控管理性能測量方法——控制信息監(jiān)視獲取正常的網(wǎng)絡操作中用戶描述網(wǎng)絡行為的數(shù)據(jù)，通過對其分析獲知網(wǎng)絡性能，無需引入額外測量流量，但會占用一定帶寬用于傳遞控制信息。缺點：需要接入權限和設備的支持，大規(guī)模測量難度大第四十七頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.4操作監(jiān)控管理測量指標

面向端系統(tǒng)的指標：端到端延遲（End-to-endDelay）、延遲抖動（Jitter）、丟包率（Packerlossrate）和吞吐量（Throughput）等會直接影響終端用戶應用性能的參數(shù)；第四十八頁，共五十四頁，編輯于2023年，星期二第七章運行與操作安全管理3、操作管理3.4操作監(jiān)控管理測量指標面向網(wǎng)絡的指標：利用率（UtilizationRate）、帶寬容量（Capacity）、可達性（Re