信息安全技术教程-概述

中山大学信息安全技术中 山 大 学 信 息 科 学 与 技 术 学 院王 常 吉 副 教 授2007年 09月 020-84110087 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 2 课程说明课程学时安排 总学时54，3个学分 课堂讲授约42学时，上机实验12学时课程成绩比例考勤(10%) + 作业(30%) + 期末(60%)鼓励学生做专题报告以及应用安全系统开发 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 3 课程内容信息安全概论计算机密码学与应用编码学路由交换安全与VPN系统安全与应用安全网络攻击与防御技术 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 4 课程主要目的通过本课程的学习，使学生能够在已有的计算机原理、通信原理和计算机网络技术等理论基础上，对信息安全有一个系统的、全面的了解。 了解信息安全理论和技术的最新发展，树立安全防范意识，能够独立进行网络信息安全方面的研究和工作。 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 5 课程主要目的掌握信息安全的基本概念，了解设计和维护安全的网络及其应用系统的基本手段和常用方法。重点学习目前在网络信息安全领域主流技术基础安全技术(密码学技术、PKI技术)网络设备安全(路由器安全、交换机安全)系统安全技术(操作系统安全、数据库系统安全)应用安全技术(Web服务安全、邮件安全)网络安全技术 -网络攻击技术(网络扫描、网络监听、口令破解)-网络防御技术(防火墙技术、入侵检测技术、网络诱骗) Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 6 主要参考文献王常吉，龙冬阳，信息与网络安全实验教程，清华大学出版社，2007年祝晓光，网络安全设备与技术，清华大学出版社，2004年刘玉珍等译，密码编码学与网络安全-原理与 实践(第三版) ，电子工业出版社，2004 http:/ J. Menezes等，Handbook of Applied Cryptography，2001 http:/www.cacr.math.uwaterloo.ca/hac/ Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 7 信息安全基本概念信息的定义广义：信息是任何一个事物的运动状态以及运动状态形式的变化，它是一种客观存在。狭义：是指信息接受主体所感觉到并能理解的东西安全的定义客观上不受威胁；主观上不存在恐惧 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 8 信息安全基本概念信息安全的定义ISO：信息安全是为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露包括三个方面的含义信息安全的保护对象：信息资产，典型的信息资产包括计算机硬件、软件和数据信息安全目标：保证信息资产的保密性、完整性和可用性实现信息安全目标和途径：借助技术措施和管理措施 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 9 信息安全基本概念信息不安全的原因信 息 需 要 共 享信 息 需 要 使 用信 息 需 要 交 换信 息 需 要 传 输 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 10 信息安全的基本属性保密性确保信息在存储、使用、传输过程中不会泄露给未授权的用户或实体完整性确保信息在存储、使用、传输过程中不被未授权用户篡改可用性确保授权用户或实体对于信息及资源的正常使用不会被异常拒绝，允许其可靠而且及时地访问信息与资源 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 11 信息安全的基本属性可控性对信息及信息系统实施安全监控管理。不可否认性保证信息行为人不能否认自己的行为。 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 12 信息安全发展历程通信保密信息安全信息保障增加了信息和系统的可控性、信息行为的不可否认性要求，强调对信息的保护、检测、反应和恢复能力。标志是1998年美国国家安全局制定的信息保障技术框架(IATF)40-70s, 解决数据传输的安全问题，主要措施是密码技术和访问控制技术，标志是1949年Shannon发表的保密通信的信息理论70-90s，解决信息载体及运行安全，包括信息机密性、完整性、可用性等，标志是1977年DES和1985年TCSEC Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 13 通信保密阶段通 信 的 保 密 模 型 通 信 安 全信 源 编 码信 道 编 码信 道 传 输通 信 协 议密 码 发送方接收方攻击方 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 14 信息安全阶段计算机信息系统安全评价准则TCSEC(美国可信计算机系统评价准则，1985年)ITSEC(欧洲信息技术安全评价准则，1991年)CNISTEC(中国国家信息安全测评认证标准，1999年2月)CC(通用信息技术安全评估准则，1999年7月成为国际标准ISO/IEC15408-1999)。 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 15 TCSEC 安全等级和功能说明 安全等级名 称功 能D低级保护系统已经被评估，但不满足A到C级要求的等级，最低级安全产品 C1自主安全保护该级产品提供一些必须要知道的保护，用户和数据分离 C2受控存取保护该级产品提供了比C1级更细的访问控制，可把注册过程、审计跟踪和资源分配分开 B1标记性安全保护除了需要C2级的特点外，该级还要求数据标号、目标的强制性访问控制以及正规或非正规的安全模型规范 B2结构性保护该级保护建立在B1级上，具有安全策略的形式描述，更多的自由选择和强制性访问控制措施，验证机制强，并含有隐蔽通道分析。通常，B2级 相对可以防止非法访问 B3安全域该级覆盖了B2级的安全要求，并增加了下述内容：传递所有用户行为，系统防窜改，安全特点完全是健全的和合理的。安全信息之中不含有任何附加代码或信息。系统必须要提供管理支持、审计、备份和恢复方法。通常，B3级完全能够防止非法访问 A1验证设计A1级与B3级的功能完全相同，但A1级的安全特点经过了更正式的分析和验证。通常，A1级只适用于军事计算机系统 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 16 信息保障阶段IA概念与思想是20世纪90年代由美国国防部长办公室提出。定义：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。美国国家安全局NSA制定的信息保障技术框架IATF，提出“纵深防御策略(Defense-in-Depth Strategy)”。信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 17 信息保障技术框架IATF已发布V3.1三保卫、一支撑保卫网络基础设施保卫边界和外部连接保卫局域计算环境支撑基础设施无线安全www安全FirewallsVPNsPeripheral Sharing Switch Remote AccessMultiple Domain SolutionsMobile Code Operating SystemsBiometricsSingle Level WebTokensMobile CodeSecure Messaging KMI/PKIPKI ProtectionClass 4 PKI Directory Detect and RespondIDS Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 18 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 19 信息安全模型P2DR动态可适应安全模型美国国际互联网安全系统公司ISS最先提出的，即Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)按照P2DR的观点，一个完整的动态安全体系，不仅需要恰当的防护(如操作系统访问控制、防火墙、加密等)，而且需要动态的检测机制(如入侵检测、漏洞扫描等)，在发现问题时还需要及时响应，这样的体系需要在统一的、一致的安全策略指导下实施，形成一个完备的、闭环的动态自适应安全体系。 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 20 P2DR动态可适应安全模型策略P检测D响应R防护P制定安全策略的目的是保证网络安全保护工作的整体、计划性及规范性，保证各项措施和管理手段的正确实施，使网络系统信息数据的机密性、完整性及可使用性受到全面、可靠的保护 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 21 P2DR动态可适应安全模型P2DR模型是建立在基于时间的安全理论基础之上的：Pt：攻击成功所需时间被称作安全体系能够提供的防护时间Dt：在攻击发生的同时，检测系统发挥作用，攻击行为被检测出来需要的时间 Rt：检测到攻击之后，系统会做出应有的响应动作，所需时间被称作响应时间 Et：系统暴露时间，即系统处于不安全状况的时间(Et = Dt + Rt - Pt) 要实现安全，必须让防护时间大于检测时间加上响应时间，即：Pt Dt + Rt Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 22 PDR2模型保 护 检 测恢 复 响 应信 息保 障采 用 一 切 手 段 (主 要 指 静 态 防 护 手段 )保 护 信 息 系 统 的 五 大 特 性 。 及 时 恢 复 系 统 ， 使 其 尽 快 正 常 对 外 提 供 服务 ， 是 降 低 网 络 攻 击 造 成 损 失 的 有 效 途 径 对 危 及 网 络 安 全 的 事 件 和 行 为 做 出 反 应 ， 阻止 对 信 息 系 统 的 进 一 步 破 坏 并 使 损 失 降 到 最低 检 测 本 地 网 络 的 安 全 漏 洞 和 存 在 的 非法 信 息 流 ， 从 而 有 效 阻 止 网 络 攻 击 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 23 PDR2模型PDR2模型，也称P2DR2，与P2DR唯一的区别就是把恢复环节提到了和防护、检测、响应等环节同等的高度。PDR2也是基于时间的动态模型，其中，恢复环节对于信息系统和业务活动的生存起着至关重要的作用，组织只有建立并采用完善的恢复计划和机制，其信息系统才能在重大灾难事件中尽快恢复并延续业务。保护、检测、恢复、响应这几个阶段并不是孤立的，构建信息安全保障体系必须从安全的各个方面进行综合考虑，只有将技术、管理、策略、工程过程等方面紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的有力依据。 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 24 WPDRRC模型人员策略技术响应R恢复R保护P预警W检测D反击C Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 25 WPDRRC安全体系模型我国863信息安全专家组博采众长推出该模型全面涵盖了各个安全因素，突出了人、策略、管理的重要性，反映了各个安全组件之间的内在联系。人核心政策(包括法律、法规、制度、管理)桥梁技术落实在WPDRRC六个环节的各个方面，在各个环节中起作用 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 26 WPDRRC模型Warning：采用多检测点数据收集和智能化的数据分析方法检测是否存在某种恶意的攻击行为，并评测攻击的威胁程度、攻击的本质、范围和起源，同时预测敌方可能的行动。Protect：采用一系列的手段(识别、认证、授权、访问控制、数据加密)保障数据的保密性，完整性、可用性、可控性和不可否认性等。Detect：利用高级术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥脆弱性。即检测系统脆弱性检测；入侵检测，病毒检测。 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 27 WPDRRC模型Respond：对危及安全的事件、行为、过程及时作出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务。包括审计跟踪；事件报警；事件处理Restore：一旦系统遭到破坏，将采取的一系列的措施如文件的备份、数据库的自动恢复等，尽快恢复系统功能，提供正常服务。Counterattack：利用高技术工具，取得证据，作为犯罪分子犯罪的线索、犯罪依据，依法侦查处置犯罪分子。 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 28 信息安全法律体系法律政策问题 -信息安全的第一道防线主要涉及网络规划与建设的法律，网络管理与经营的法律 ，计算机犯罪与刑事立法、电子资金划转的法律认证、计算机证据的法律效力等法律问题政策上：完备的法律法规和安全标准 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 29 我国信息安全法律体系法律体系宪法第40条规定：中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或检察机关依照法律规定的程序对通信进行例行检查外，任何组织或个人不得以任何理由侵犯公民的通信自由和通信秘密刑法第285条规定：违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处3年以下有期徒刑或者拘役 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 30 我国信息安全法律体系政策体系政府制定相应的法规、规章和规范性文件强制性加大对信息安全系统保护的力度强制性技术标准发布了多个技术保准，并且是强制执行的 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 31 我国信息安全相关法律法规中华人民共和国计算机信息系统安全保护条例 (1994年2月18日) - 国务院计算机信息网络国际联网安全保护管理办法 (1997年12月16日) - 公安部商用密码管理条例(1999年10月7日 ) - 国务院 http:/ - 国家保密局 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 32 我国信息安全相关法律法规关于维护互联网安全的决定(2000年12月28日)-全国人大常委会中华人民共和国电子签名法-2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过，自2005年4月1日起施行互联网安全保护技术措施规定2005年12月13由公安部发布，并于2006年3月1日起实施 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 33 我国信息安全技术标准主管部门：公安部，信息产业部，国家技术标准局等GB/T9387.2-1995GB 15834.1-1995GB 4943-1995 GA163-1997GB17859-1999 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 34 信息安全管理信息安全的成败取决于两个因素：技术和管理，安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。信息安全管理作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。信息安全管理的核心就是风险管理。 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 35 信息安全管理体系英国标准协会BSI提出的BS 7799BS 7799-1 采纳为ISO/IEC 17799：2005标准，是信息安全管理实施细则，主要供负责信息安全系统开发的人员参考使用BS 7799-2 采纳为ISO/IEC 27001：2005标准，是建立信息安全管理体系的一套规范，详细说明了建立、实施和维护信息安全管理体系的要求 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 36 ISO安全体系结构标准在安全体系结构方面，ISO制定了国际标准ISO7498-2-1989信息处理系统开放系统互连基本参考模型第2部分安全体系结构。该标准为开放系统互连(OSI)描述了基本参考模型，为协调开发现有的与未来的系统互连标准建立起了一个框架。其任务是提供安全服务与有关机制的一般描述，确定在参考模型内部可以提供这些服务与机制的位置。 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 37 开放式系统互联模型OSI国际标准化组织(ISO)提出的OSI模型是目前国际上普遍遵循的计算机信息系统互连标准。目的：为了能够有效了解用户的安全需求，选择各种安全产品和策略，有必要建立一些系统的方法来进行网络安全防范 。基本思想：为了全面而准确地满足一个开放系统的安全需求，必须在七个层次中提供必需的安全服务、安全机制和技术管理，以及它们在系统上的合理部署和关系配置。 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 38 三维的信息系统安全体系结构应用层表示层会话层传输层网络层数据链路层物理层认证服务访问控制 数据完整性数据机密性不可否认性加密数字签名访问控制数据完整性数据交换业务流填充路由控制公证安全机制OSI参考模型安全服务系统安全的实现是层次化 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 39 ISO 7498-2中的五类安全服务一种由系统提供的对系统资源进行保护的处理或者通信服务，安全服务通过安全机制来实现安全策略认证：提供某个实体的身份保证访问控制：保护资源，防止对它的非法使用和操纵数据加密：保护信息不被泄露数据完整性：保护信息以防止非法篡改不可否认性：防止参与通信的一方事后否认 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 40 ISO7498-2安全服务到TCP/IP的映射 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 41 ISO 7498-2中的八类安全机制数据加密机制访问控制机制数据完整性机制数字签名机制交换鉴别机制流量填充机制路由控制机制公证机制 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 42 安全机制与安全服务机制服务机密性完整性鉴别访问控制不可否认加密Y Y Y - -数字签名- Y Y - Y访问控制- - - Y -数据完整性- Y - - Y鉴别- - Y - -业务填充Y - - - -路由控制Y - - - -公证- - - - Y Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 43 网络为何不安全自身缺陷开放性黑客攻击和病毒破坏缺乏有效的安全管理用户缺乏安全意识 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 44 网络协议的安全性缺陷TCP/IP 协议体系自身缺乏完整的安全策略信息未加密传输容易被窃听、伪造和欺骗协议的体系和实现是公开的其中的缺陷很可能被众多熟悉协议的程序员所利用协议的实现存在安全漏洞TCP/IP 所提供的服务安全性也较差，容易被利用配置的复杂性和专业性配置上的缺陷也给了企图入侵系统的人以可乘之机 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 45 系统的安全性缺陷和漏洞通用的商用计算机系统存在许多安全性问题他们在客观上导致了计算机系统在安全上的脆弱性众多的软硬件都被发现存在大量安全隐患操作系统：MS Windows、UNIX、Netware、 应用程序：MS IE、Netscape、硬件：Intel MMX Pemtium III processor、 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 46 系统的安全性缺陷和漏洞专用的安全计算机系统中也存在大量 BUG在专门设计的安全设备和系统中人们也可找到大量漏洞计算机的安全操作系统数据库信息网络和网络服务防火墙设备系统配置的复杂性导致的安全性问题网络配置的复杂性导致的安全性问题 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 47 系统的安全性缺陷和漏洞人们的认知能力和实践能力的局限性1999年FIRST的IBM专家指出：程序每千行中有一个BUG2001年应用密码学作者指出每千行有5-10个BUG一些数据 操作系统 推出年份 代码行数 WIN3.1 1992 300万 WIN95 1995 500万 WIN NT4.0 1996 1650万 WIN98 1998 1800万 WIN2000 2000 3500-5000万 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 48 网络的开放性服务基于公开的协议远程访问使得各种攻击无需到现场就能得手连接是基于主机上的社团彼此信任的原则 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 49 安全威胁所谓安全威胁就是指某个人、物、事件或概念对信息资源的保密性、完整性、可用性或合法使用所造成的危险。攻击就是对安全威胁的具体体现。安全威胁可以分为内部威胁和外部威胁， 70%-80%的安全事件来自于内部安全威胁也可以分为自然威胁和人为威胁。虽然人为因素和非人为因素都可以对信息安全构成威胁，但是精心设计的人为攻击威胁最大。人为威胁分为无意威胁(偶然事故)和有意威胁(恶意攻击)。恶意攻击包括主动攻击和被动攻击。 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 50 网络攻击被动攻击窃听或者偷窥流量分析被动攻击非常难以检测，但可以防范源 目 的sniffer Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 51 网络攻击主动攻击可以检测，但难以防范主动攻击：指攻击者对某个连接的中的PDU进行各种处理(更改、删除、迟延、复制、伪造等)阻断攻击篡改攻击伪造攻击重放攻击拒绝服务攻击 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 52 攻击实例： Windows 2000的登录漏洞 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 53 域名服务Domain Name Service (DNS)是一个Internet的服务，实现映射IP与域名的解析。地址信息是存在一个层次结构的多个地方，而不是在一个中心站点.互联网名称与地址分配机构ICANN (Internet Corporation for Assigned Names & Numbers)是一个致力于促进和管理一个国际承认的互联网域名和IP地址分配体系的机构，总部设在美国加利福尼亚州。中国互联网信息中心CNNIC Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 54 DNS 的正常流程客户上一级 DNS 服务器DNS 服务器 = 10.20.1.1 = ? = 10.20.1.1缓存 = ? Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 55 DNS 欺骗上一级 DNS 服务器DNS 服务器攻击者 = ? = 202.101.1.5 = ?忽略 = 10.20.1.1应答欺骗 = 202.101.1.5缓存 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 56 TCP 握手TCP 协议的连接建立：三次握手协议来建立连接，保证连接的两端正确同步发送 ACK (y+1)接收 ACKConnected发送 SYN (seq=x)接收 SYN (seq=x)发送 SYN + ACK(seq=y : x+1)接收 SYN+ACK C SWaitStore data Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 57 TCP SYN Flooding攻击 SYN Flooding 攻击的原理：在短时间内，通过向目标主机发送假造 SYN 连接请求分组，消耗目标主机上的资源。由于目标主机不能正常完成三次握手过程，资源不能被释放。最终将导致目标主机上的资源耗尽，而不能提供服务，正常的服务请求也将被拒绝。攻击者目标主机 SYN(x)伪造地址不存在的 IP 地址ACK(x+1) SYN(y) Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 58 信息安全产品类型 密钥管理产品 高性能加密芯片产 品密码加密产品 数字签名产品 安 全 授 权 认 证 产 品信 息 保 密 产 品 数字证书管理系统 用户安全认证卡 智能IC卡 鉴别与授权服务器 安 全 平 台 /系 统安全操作系统 安全数据库系统 Web安全平台 安全路由器与虚拟专用网络产品 网络病毒检查预防和清除产品 安 全 检 测 与 监 控 产 品网络安全隐患扫描检测工具 网络安全监控及预警设备 网络信息远程监控系统 网情分析系统 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 59 信息安全的目标进不来 拿不走 看不懂 改不了 跑不了 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 60 信息安全技术发展趋势新兴信息安全技术将成为主流可信计算技术、PKI技术以及基于生物特征的识别技术生存技术、风险分析和管理技术、安全服务、综合性安全产品、无线安全技术安全技术开始与其它技术进行融合许多安全技术由独立走向融合监控技术成为互联网安全的主流信息安全技术体系逐步形成并成熟起来 Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 61 参考网址中国信息安全产品测评认证中心 http:/公安部计算机信息系统安全产品质量监督检验中心 http:/ http:/ Sun Yat-sen University 广 东 省 信 息 安 全 技 术 重 点 实 验 室 | 5/10/2021 62 谢 谢 ！