您所在位置：网站首页 > 资格认证/考试 > 自考 > 信息安全技术教程概述课件

信息安全技术教程概述课件.ppt

62页

卖家[上传人]：hs****ma

文档编号：579422006

上传时间：2024-08-26

文档格式：PPT

文档大小：1,010KB

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

20金贝

下载

/ 62 举报版权申诉马上下载

文本预览

下载提示

常见问题

中山大学信息安全技术中山大学信息科学与技术学院王常吉副教授2007年09月isswchj@020-84110087Sun Yat-sen University© 广东省信息安全技术重点实验室课程说明à课程学时安排 ü总学时54，3个学分 ð课堂讲授约42学时，上机实验12学时à课程成绩比例ü考勤(10%) + 作业(30%) + 期末(60%)ü鼓励学生做专题报告以及应用安全系统开发2信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室课程内容à信息安全概论à计算机密码学与应用编码学à路由交换安全与VPNà系统安全与应用安全à网络攻击与防御技术3信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室课程主要目的à通过本课程的学习，使学生能够在已有的计算机原理、通信原理和计算机网络技术等理论基础上，对信息安全有一个系统的、全面的了解 à了解信息安全理论和技术的最新发展，树立安全防范意识，能够独立进行网络信息安全方面的研究和工作4信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室课程主要目的à掌握信息安全的基本概念，了解设计和维护安全的网络及其应用系统的基本手段和常用方法。

ü重点学习目前在网络信息安全领域主流技术ð基础安全技术(密码学技术、PKI技术)ð网络设备安全(路由器安全、交换机安全)ð系统安全技术(操作系统安全、数据库系统安全)ð应用安全技术(Web服务安全、邮件安全)ð网络安全技术-网络攻击技术(网络扫描、网络监听、口令破解)-网络防御技术(防火墙技术、入侵检测技术、网络诱骗)5信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室主要参考文献ü王常吉，龙冬阳，《信息与网络安全实验教程》，清华大学出版社，2007年ü祝晓光，《网络安全设备与技术》，清华大学出版社，2004年ü刘玉珍等译，《密码编码学与网络安全-原理与实践(第三版) 》，电子工业出版社，2004 J. Menezes等，《Handbook of Applied Cryptography》，2001 http://www.cacr.math.uwaterloo.ca/hac/6信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室信息安全基本概念à信息的定义ü广义：信息是任何一个事物的运动状态以及运动状态形式的变化，它是一种客观存在。

ü狭义：是指信息接受主体所感觉到并能理解的东西à安全的定义ü客观上不受威胁；主观上不存在恐惧7信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室信息安全基本概念à信息安全的定义üISO：信息安全是为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露ü包括三个方面的含义ð信息安全的保护对象：信息资产，典型的信息资产包括计算机硬件、软件和数据ð信息安全目标：保证信息资产的保密性、完整性和可用性ð实现信息安全目标和途径：借助技术措施和管理措施8信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室信息安全基本概念à信息不安全的原因ü信息需要共享ü信息需要使用ü信息需要交换ü信息需要传输9信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室信息安全的基本属性à保密性保密性ü确保信息在存储、使用、传输过程中不会泄露给未授权的用户或实体à完整性完整性ü确保信息在存储、使用、传输过程中不被未授权用户篡改à可用性可用性ü确保授权用户或实体对于信息及资源的正常使用不会被异常拒绝，允许其可靠而且及时地访问信息与资源10信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室信息安全的基本属性à可控性可控性ü对信息及信息系统实施安全监控管理。

à不可否认性不可否认性ü保证信息行为人不能否认自己的行为11信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室信息安全发展历程通信保密通信保密信息安全信息安全信息保障信息保障增加了信息和系统的可控性、信息行为的不可否认性要求，强调对信息的保护、检测、反应和恢复能力标志是1998年美国国家安全局制定的《信息保障技术框架》(IATF)40-70’s, 解决数据传输的安全问题，主要措施是密码技术和访问控制技术，标志是1949年Shannon发表的《保密通信的信息理论》70-90’s，解决信息载体及运行安全，包括信息机密性、完整性、可用性等，标志是1977年DES和1985年TCSEC12信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室通信保密阶段à通信的保密模型－通信安全ü信源编码ü信道编码ü信道传输ü通信协议ü密码发送方发送方接收方接收方攻击方攻击方13信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室信息安全阶段à计算机信息系统安全评价准则üTCSEC(美国可信计算机系统评价准则，1985年)üITSEC(欧洲信息技术安全评价准则，1991年)üCNISTEC(中国国家信息安全测评认证标准，1999年2月)üCC(通用信息技术安全评估准则，1999年7月成为国际标准ISO/IEC15408-1999)。

14信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室TCSEC 安全等级和功能说明安全等级安全等级名名称称功功能能D低级保护低级保护系统已经被评估，但不满足系统已经被评估，但不满足A到到C级要求的等级，最低级安全产品级要求的等级，最低级安全产品 C1自主安全保护自主安全保护该级产品提供一些必须要知道的保护，用户和数据分离该级产品提供一些必须要知道的保护，用户和数据分离 C2受控存取保护受控存取保护该级产品提供了比该级产品提供了比C1级更细的访问控制，可把注册过程、审计跟踪和资级更细的访问控制，可把注册过程、审计跟踪和资源分配分开源分配分开 B1标记性安全保护标记性安全保护除了需要除了需要C2级的特点外，该级还要求数据标号、目标的强制性访问控制级的特点外，该级还要求数据标号、目标的强制性访问控制以及正规或非正规的安全模型规范以及正规或非正规的安全模型规范 B2结构性保护结构性保护该级保护建立在该级保护建立在B1级上，具有安全策略的形式描述，更多的自由选择和级上，具有安全策略的形式描述，更多的自由选择和强制性访问控制措施，验证机制强，并含有隐蔽通道分析。

通常，强制性访问控制措施，验证机制强，并含有隐蔽通道分析通常，B2级级相对可以防止非法访问相对可以防止非法访问 B3安全域安全域该级覆盖了该级覆盖了B2级的安全要求，并增加了下述内容：传递所有用户行为，级的安全要求，并增加了下述内容：传递所有用户行为，系统防窜改，安全特点完全是健全的和合理的安全信息之中不含有任系统防窜改，安全特点完全是健全的和合理的安全信息之中不含有任何附加代码或信息系统必须要提供管理支持、审计、备份和恢复方法何附加代码或信息系统必须要提供管理支持、审计、备份和恢复方法通常，通常，B3级完全能够防止非法访问级完全能够防止非法访问 A1验证设计验证设计A1级与级与B3级的功能完全相同，但级的功能完全相同，但A1级的安全特点经过了更正式的分析和级的安全特点经过了更正式的分析和验证通常，验证通常，A1级只适用于军事计算机系统级只适用于军事计算机系统 15信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室信息保障阶段àIA概念与思想是20世纪90年代由美国国防部长办公室提出ü定义：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。

ü美国国家安全局NSA制定的信息保障技术框架IATF，提出“纵深防御策略(Defense-in-Depth Strategy)”ü信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念16信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室信息保障技术框架àIATF已发布V3.1三保卫、一支撑三保卫、一支撑保卫网络保卫网络基础设施基础设施保卫边界和保卫边界和外部连接外部连接保卫局域保卫局域计算环境计算环境支撑基础设施支撑基础设施无线安全无线安全www安全安全FirewallsVPNsPeripheral Sharing SwitchRemote AccessMultiple Domain SolutionsMobile CodeOperating SystemsBiometricsSingle Level WebTokensMobile CodeSecure MessagingKMI/PKIPKI ProtectionClass 4 PKI DirectoryDetect and RespondIDS17信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室18信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室信息安全模型àP2DR动态可适应安全模型ü美国国际互联网安全系统公司ISS最先提出的，即Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)ð按照P2DR的观点，一个完整的动态安全体系，不仅需要恰当的防护(如操作系统访问控制、防火墙、加密等)，而且需要动态的检测机制(如入侵检测、漏洞扫描等)，在发现问题时还需要及时响应，这样的体系需要在统一的、一致的安全策略指导下实施，形成一个完备的、闭环的动态自适应安全体系。

19信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室P2DR动态可适应安全模型策略策略P检测检测D响应响应R防护防护P制定安全策略的目的是保证网络安全保护工作的整体、计划性及规范性，保证各项措施和管理手段的正确实施，使网络系统信息数据的机密性、完整性及可使用性受到全面、可靠的保护20信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室P2DR动态可适应安全模型üP2DR模型是建立在基于时间的安全理论基础之上的：ðPt：攻击成功所需时间被称作安全体系能够提供的防护时间ðDt：在攻击发生的同时，检测系统发挥作用，攻击行为被检测出来需要的时间 ðRt：检测到攻击之后，系统会做出应有的响应动作，所需时间被称作响应时间 ðEt：系统暴露时间，即系统处于不安全状况的时间(Et = Dt + Rt - Pt) ð要实现安全，必须让防护时间大于检测时间加上响应时间，即：Pt > Dt + Rt21信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室PDR2模型保护保护检测检测恢复恢复响应响应信息信息保障保障采用一切手段采用一切手段(主要指静态防护手主要指静态防护手段段)保护信息系统的五大特性。

保护信息系统的五大特性及时恢复系统，使其尽快正常对外提供服及时恢复系统，使其尽快正常对外提供服务，是降低网络攻击造成损失的有效途径务，是降低网络攻击造成损失的有效途径对危及网络安全的事件和行为做出反应，阻止对危及网络安全的事件和行为做出反应，阻止对信息系统的进一步破坏并使损失降到最低对信息系统的进一步破坏并使损失降到最低检测本地网络的安全漏洞和存在的非检测本地网络的安全漏洞和存在的非法信息流，从而有效阻止网络攻击法信息流，从而有效阻止网络攻击22信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室PDR2模型üPDR2模型，也称P2DR2，与P2DR唯一的区别就是把恢复环节提到了和防护、检测、响应等环节同等的高度üPDR2也是基于时间的动态模型，其中，恢复环节对于信息系统和业务活动的生存起着至关重要的作用，组织只有建立并采用完善的恢复计划和机制，其信息系统才能在重大灾难事件中尽快恢复并延续业务ü保护、检测、恢复、响应这几个阶段并不是孤立的，构建信息安全保障体系必须从安全的各个方面进行综合考虑，只有将技术、管理、策略、工程过程等方面紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的有力依据。

23信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室WPDRRC模型人员人员策略策略技术技术响应响应R恢复恢复R保护保护P预警预警W检测检测D反击反击C24信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室WPDRRC安全体系模型à我国863信息安全专家组博采众长推出à该模型全面涵盖了各个安全因素，突出了人、策略、管理的重要性，反映了各个安全组件之间的内在联系ü人——核心ü政策(包括法律、法规、制度、管理)——桥梁ü技术——落实在WPDRRC六个环节的各个方面，在各个环节中起作用25信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室WPDRRC模型àWarning：：采用多检测点数据收集和智能化的数据分析方法检测是否存在某种恶意的攻击行为，并评测攻击的威胁程度、攻击的本质、范围和起源，同时预测敌方可能的行动àProtect：：采用一系列的手段(识别、认证、授权、访问控制、数据加密)保障数据的保密性，完整性、可用性、可控性和不可否认性等àDetect：：利用高级术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥脆弱性。

即检测系统脆弱性检测；入侵检测，病毒检测26信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室WPDRRC模型àRespond：：对危及安全的事件、行为、过程及时作出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务包括审计跟踪；事件报警；事件处理àRestore：：一旦系统遭到破坏，将采取的一系列的措施如文件的备份、数据库的自动恢复等，尽快恢复系统功能，提供正常服务àCounterattack：：利用高技术工具，取得证据，作为犯罪分子犯罪的线索、犯罪依据，依法侦查处置犯罪分子27信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室信息安全法律体系à法律政策问题 -----信息安全的第一道防线ü主要涉及网络规划与建设的法律，网络管理与经营的法律，计算机犯罪与刑事立法、电子资金划转的法律认证、计算机证据的法律效力等法律问题à政策上：完备的法律法规和安全标准28信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室我国信息安全法律体系à法律体系ü宪法第40条规定：中华人民共和国公民的通信自由和通信秘密受法律的保护。

除因国家安全或者追查刑事犯罪的需要，由公安机关或检察机关依照法律规定的程序对通信进行例行检查外，任何组织或个人不得以任何理由侵犯公民的通信自由和通信秘密ü刑法第285条规定：违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处3年以下有期徒刑或者拘役29信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室我国信息安全法律体系à政策体系ü政府制定相应的法规、规章和规范性文件强制性加大对信息安全系统保护的力度à强制性技术标准ü发布了多个技术保准，并且是强制执行的30信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室我国信息安全相关法律法规à中华人民共和国计算机信息系统安全保护条例 (1994年2月18日) -- 国务院à计算机信息网络国际联网安全保护管理办法 (1997年12月16日) -- 公安部à商用密码管理条例(1999年10月7日 ) -- 国务院 -- 国家保密局31信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室我国信息安全相关法律法规à关于维护互联网安全的决定(2000年12月28日)--全国人大常委会à中华人民共和国电子签名法--2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过，自2005年4月1日起施行à互联网安全保护技术措施规定—2005年12月13由公安部发布，并于2006年3月1日起实施32信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室我国信息安全技术标准à主管部门：公安部，信息产业部，国家技术标准局等üGB/T9387.2-1995<信息处理系统开放系统互连基本参考模型第二部分安全体系结构>üGB 15834.1-1995<信息处理数据加密实体鉴别机制第一部分: 一般模型>üGB 4943-1995 <信息技术设备的安全>üGA163-1997<计算机信息系统安全专用产品分类原则>üGB17859-1999<计算机信息系统安全保护等级划分准则>33信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室信息安全管理à信息安全的成败取决于两个因素：技术和管理，安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。

à信息安全管理作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产à信息安全管理的核心就是风险管理34信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室信息安全管理体系à英国标准协会BSI提出的BS 7799üBS 7799-1 采纳为ISO/IEC 17799：2005标准，是信息安全管理实施细则，主要供负责信息安全系统开发的人员参考使用üBS 7799-2 采纳为ISO/IEC 27001：2005标准，是建立信息安全管理体系的一套规范，详细说明了建立、实施和维护信息安全管理体系的要求35信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室ISO安全体系结构标准à在安全体系结构方面，ISO制定了国际标准ISO7498-2-1989《信息处理系统开放系统互连基本参考模型第2部分安全体系结构》ü该标准为开放系统互连(OSI)描述了基本参考模型，为协调开发现有的与未来的系统互连标准建立起了一个框架。

其任务是提供安全服务与有关机制的一般描述，确定在参考模型内部可以提供这些服务与机制的位置36信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室开放式系统互联模型OSIà国际标准化组织(ISO)提出的OSI模型是目前国际上普遍遵循的计算机信息系统互连标准à目的：为了能够有效了解用户的安全需求，选择各种安全产品和策略，有必要建立一些系统的方法来进行网络安全防范 à基本思想：为了全面而准确地满足一个开放系统的安全需求，必须在七个层次中提供必需的安全服务、安全机制和技术管理，以及它们在系统上的合理部署和关系配置 37信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室三维的信息系统安全体系结构应用层表示层会话层传输层网络层数据链路层物理层认证服务访问控制数据完整性数据机密性不可否认性加密数字签名访问控制数据完整性数据交换业务流填充路由控制公证安全机制安全机制OSI参考模型参考模型安全服务安全服务系统安全系统安全的实现是的实现是层次化层次化38信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室ISO 7498-2中的五类安全服务à一种由系统提供的对系统资源进行保护的处理或者通信服务，安全服务通过安全机制来实现安全策略ü认证：提供某个实体的身份保证ü访问控制：保护资源，防止对它的非法使用和操纵ü数据加密：保护信息不被泄露ü数据完整性：保护信息以防止非法篡改ü不可否认性：防止参与通信的一方事后否认39信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室ISO7498-2安全服务到TCP/IP的映射40信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室ISO 7498-2中的八类安全机制à数据加密机制à访问控制机制à数据完整性机制à数字签名机制à交换鉴别机制à流量填充机制à路由控制机制à公证机制41信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室安全机制与安全服务机制\服务机密性完整性鉴别访问控制不可否认加密YYY--数字签名-YY-Y访问控制---Y-数据完整性-Y--Y鉴别--Y--业务填充Y----路由控制Y----公证----Y42信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室网络为何不安全à自身缺陷à开放性à黑客攻击和病毒破坏à缺乏有效的安全管理à用户缺乏安全意识43信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室网络协议的安全性缺陷àTCP/IP 协议体系自身缺乏完整的安全策略ü信息未加密传输容易被窃听、伪造和欺骗à协议的体系和实现是公开的ü其中的缺陷很可能被众多熟悉协议的程序员所利用ü协议的实现存在安全漏洞àTCP/IP 所提供的服务安全性也较差，容易被利用à配置的复杂性和专业性ü配置上的缺陷也给了企图入侵系统的人以可乘之机44信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室系统的安全性缺陷和漏洞à通用的商用计算机系统存在许多安全性问题ü他们在客观上导致了计算机系统在安全上的脆弱性ü众多的软硬件都被发现存在大量安全隐患ð操作系统：MS Windows、UNIX、Netware、 ……ð应用程序：MS IE、Netscape、……ð硬件：Intel MMX Pemtium III processor、……45信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室系统的安全性缺陷和漏洞à专用的安全计算机系统中也存在大量 BUGü在专门设计的安全设备和系统中人们也可找到大量漏洞ð计算机的安全操作系统ð数据库ð信息网络和网络服务ð防火墙设备ð……à系统配置的复杂性导致的安全性问题ü网络配置的复杂性导致的安全性问题46信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室系统的安全性缺陷和漏洞à人们的认知能力和实践能力的局限性ü1999年FIRST的IBM专家指出：程序每千行中有一个BUGü2001年《应用密码学》作者指出每千行有5-10个BUGà一些数据操作系统推出年份代码行数 WIN3.1 1992 300万 WIN95 1995 500万 WIN NT4.0 1996 1650万 WIN98 1998 1800万 WIN2000 2000 3500-5000万47信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室网络的开放性à服务基于公开的协议à远程访问使得各种攻击无需到现场就能得手à连接是基于主机上的社团彼此信任的原则48信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室安全威胁à所谓安全威胁就是指某个人、物、事件或概念对信息资源的保密性、完整性、可用性或合法使用所造成的危险。

攻击就是对安全威胁的具体体现ü安全威胁可以分为内部威胁和外部威胁， 70%-80%的安全事件来自于内部ü安全威胁也可以分为自然威胁和人为威胁虽然人为因素和非人为因素都可以对信息安全构成威胁，但是精心设计的人为攻击威胁最大ü人为威胁分为无意威胁(偶然事故)和有意威胁(恶意攻击)恶意攻击包括主动攻击和被动攻击49信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室网络攻击à被动攻击ü窃听或者偷窥ü流量分析被动攻击非常难以检测，但可以防范源目的sniffer50信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室网络攻击主动攻击可以检测，但难以防范主动攻击：指攻击者对某个连接的中的PDU进行各种处理(更改、删除、迟延、复制、伪造等)阻断攻击篡改攻击伪造攻击重放攻击拒绝服务攻击51信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室攻击实例： Windows 2000的登录漏洞52信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室域名服务àDomain Name Service (DNS)是一个Internet的服务，实现映射IP与域名的解析。

地址信息是存在一个层次结构的多个地方，而不是在一个中心站点.à互联网名称与地址分配机构ICANN (Internet Corporation for Assigned Names & Numbers)是一个致力于促进和管理一个国际承认的互联网域名和IP地址分配体系的机构，总部设在美国加利福尼亚州à中国互联网信息中心CNNIC53信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室DNS 的正常流程客户上一级 DNS 服务器DNS 服务器 = = ? = 10.20.1.1缓存 = ?54信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室DNS 欺骗上一级 DNS 服务器DNS 服务器攻击者 = ? = = ?忽略 = 10.20.1.1应答欺骗 = 202.101.1.5缓存55信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室TCP 握手àTCP 协议的连接建立：三次握手协议来建立连接，保证连接的两端正确同步发送 ACK (y+1)接收 ACKConnected发送 SYN (seq=x)接收 SYN (seq=x)发送 SYN + ACK(seq=y : x+1)接收 SYN+ACKCSWaitStore data56信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室TCP SYN Flooding攻击à SYN Flooding 攻击的原理：ü在短时间内，通过向目标主机发送假造 SYN 连接请求分组，消耗目标主机上的资源。

由于目标主机不能正常完成三次握手过程，资源不能被释放最终将导致目标主机上的资源耗尽，而不能提供服务，正常的服务请求也将被拒绝攻击者目标主机SYN(x)伪造地址不存在的 IP 地址ACK(x+1) SYN(y)57信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室信息安全产品类型密钥管理产品高性能加密芯片产品密码加密产品数字签名产品安全授权认证产品信息保密产品数字证书管理系统用户安全认证卡智能IC卡鉴别与授权服务器安全平台/系统安全操作系统安全数据库系统Web安全平台安全路由器与虚拟专用网络产品网络病毒检查预防和清除产品安全检测与监控产品网络安全隐患扫描检测工具网络安全监控及预警设备网络信息远程监控系统网情分析系统58信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室信息安全的目标进不来进不来拿不走拿不走看不懂看不懂改不了改不了跑不了跑不了 59信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室信息安全技术发展趋势à新兴信息安全技术将成为主流ü可信计算技术、PKI技术以及基于生物特征的识别技术ü生存技术、风险分析和管理技术、安全服务、综合性安全产品、无线安全技术à安全技术开始与其它技术进行融合à许多安全技术由独立走向融合à监控技术成为互联网安全的主流à信息安全技术体系逐步形成并成熟起来60信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室参考网址à中国信息安全产品测评认证中心 à公安部计算机信息系统安全产品质量监督检验中心 61信息安全技术教程-概述Sun Yat-sen University© 广东省信息安全技术重点实验室谢谢谢！谢！ 62信息安全技术教程-概述。

点击阅读更多内容