《网络安全设计》 附录C安全管理的运营框架设计

网络安全设计 ●第1章安全设计简介 ●第9章创建数据安全设计 第2章创建网络安全计划·第1章创建数据传输安全设计 6第3章确定网络安全威胁第1章创建网络周边安全设计 ●第4章分析安全风险 第1章设计安全事件应对措施 第5章创建物理资源安全·附录A可接受使用策略的设计 设计 附录B网络管理策略的设计 第6章创建计算机安全设计。附录c安全管理的运营框架 ●第7章创建账户安全设计 设让 第8章创建身份验证安全·附录 D CHAP、 MS-CHAP和Ms 设计 CHAP V2中的身份验证

网络安全设计 第1章 安全设计简介 第2章 创建网络安全计划 第3章 确定网络安全威胁 第4章 分析安全风险 第5章 创建物理资源安全 设计 第6章 创建计算机安全设计 第7章 创建账户安全设计 第8章 创建身份验证安全 设计 第9章 创建数据安全设计 第10章 创建数据传输安全设计 第11章 创建网络周边安全设计 第12章 设计安全事件应对措施 附录A 可接受使用策略的设计 附录B 网络管理策略的设计 附录C 安全管理的运营框架 设计 附录D CHAP、MS-CHAP 和 MS￾CHAP v2 中的身份验证

附录C安全管理的运营框架设计 ●分析旦常网络运营的风险 日常网络运营框架的设计

附录C 安全管理的运营框架设计 分析日常网络运营的风险 日常网络运营框架的设计

分析日常网络运营的风险 c1分析日常网络运营的风险 ●日常网络运营管理 ●网络运营安全的重要性 网络运营的常见安全漏洞

分析日常网络运营的风险 日常网络运营管理 网络运营安全的重要性 网络运营的常见安全漏洞 C.1 分析日常网络运营的风险

日常网络运营管理 C11日常网络运营管理 MOF流程模型 ●MOF描述了网络运营生命周期的 龙化变更 各个阶段 ●MoF为运营安全管理提供了一个 框架,包括: ●安全设计的变更 ●网络安全的日常运营 支持运营 c安全问题的∏支持 c优化和修改安全设计 网络

日常网络运营管理 支持 运营 优化 变更 MOF 流程模型 MOF 描述了网络运营生命周期的 各个阶段 MOF 为运营安全管理提供了一个 框架，包括： 安全设计的变更 网络安全的日常运营 安全问题的IT 支持 优化和修改安全设计 网络 C.1.1 日常网络运营管理

网络运营安全的重要性 c12网络运营安全的重要性 外部 内部 攻击者 攻击者 攻击者威胁 示例 针对新发现的安全漏洞,某软件公司发布了新 没有变更和的安全更新。但由于企业缺乏管理更新部署的 外部配置管理策略,攻击者可以在管理员为所有计算机安装 修补程序之前,利用该安全漏洞对网络进行攻 没有遵守 管理员发现了一个潜在的安全隐患,但是不能 内部安全程序 确定如何报告这个隐患。管理员决定把公司网 络从 Internet上断开

网络运营安全的重要性 攻击者 威胁 示例 外部 没有变更和 配置管理 针对新发现的安全漏洞，某软件公司发布了新 的安全更新。但由于企业缺乏管理更新部署的 策略，攻击者可以在管理员为所有计算机安装 修补程序之前，利用该安全漏洞对网络进行攻 击 内部 没有遵守 安全程序 管理员发现了一个潜在的安全隐患，但是不能 确定如何报告这个隐患。管理员决定把公司网 络从 Internet 上断开 内部 攻击者 外部 攻击者 C.1.2 网络运营安全的重要性

网络运营的常见安全漏涧 .13网络运营的常见安全漏洞 安全漏洞 示例 新的安全修补程序不能及时得到应用,或者根本 缺乏变更管理就得不到应用 的详细计划 管理员和用户缺乏有关保护新安装应用程序的培 拙劣的 用户没有遵守安全策略和流程 运营计划 管理员没有定期检査备份 不完善 安全事件得不到及时报告 的支持架构 没有|支持服务 没有及时 新的安全风险没有添加到风险管理计划中 修正策略 策略和程序过时

网络运营的常见安全漏洞 安全漏洞 示例 缺乏变更管理 的详细计划  新的安全修补程序不能及时得到应用，或者根本 就得不到应用  管理员和用户缺乏有关保护新安装应用程序的培 训 拙劣的 运营计划  用户没有遵守安全策略和流程  管理员没有定期检查备份 不完善 的支持架构  安全事件得不到及时报告  没有IT 支持服务 没有及时 修正策略  新的安全风险没有添加到风险管理计划中  策略和程序过时 C.1.3 网络运营的常见安全漏洞

附录C安全管理的运营框架设计 ●分析日常网络运营的风险 ●且常网络运营框架的设让

附录C 安全管理的运营框架设计 分析日常网络运营的风险 日常网络运营框架的设计

日常网络运营框架的设计 c.2日常网络运营框架的设计 规划安全运营框架的步骤 c变更管理的指导方针 ●日常安全运营的指导方针 支持安全策略和过程的指导方针 c使用服务水平协议的指导方针 ●优化安全策略和过程的指导方针 ●安全策略检查清单

日常网络运营框架的设计 规划安全运营框架的步骤 变更管理的指导方针 日常安全运营的指导方针 支持安全策略和过程的指导方针 使用服务水平协议的指导方针 优化安全策略和过程的指导方针 安全策略检查清单 C.2 日常网络运营框架的设计

规划安全运营框架的步骤 c21规划安全运营框架的步骤 设计安全性方面的变更管理流程 234 制订日常安全运营的计划 制订安全支持的计划 为运营和支持制订服务水平协议 设计用来优化安全策略和过程的架构

规划安全运营框架的步骤 1 设计安全性方面的变更管理流程 4 为 IT 运营和支持制订服务水平协议 制订安全支持的计划 3 2 制订日常安全运营的计划 5 设计用来优化安全策略和过程的架构 C.2.1 规划安全运营框架的步骤

变更管理的指导方针 c.22变更管理的指导方针 变更管理流程可以减少: ●部署时间 ●更新软硬件的费用 ●业务连续性遭受中断的次数 阶段 示例 确定 当新的安全修补程序发布时 复査 修补程序在所有的可用平台上进行测试 批准 CO在24小时内批准 实施 依照批准的安全修补程序部署流程对修补程 序进行部署

变更管理的指导方针 阶段 示例 确定 当新的安全修补程序发布时… 复查 …修补程序在所有的可用平台上进行测试… 批准 …CIO 在 24 小时内批准… 实施 …依照批准的安全修补程序部署流程对修补程 序进行部署 变更管理流程可以减少： 部署时间 更新软硬件的费用 业务连续性遭受中断的次数 C.2.2 变更管理的指导方针