网络安全1培训资料课件.pptVIP

网络设计（方案）是一种折中（平衡） Secure 安全性 Usable/Useful 易用性/有效性 Cheap 经济性 你可以，也只能选择任意两者! 第六十三页，共一百页。 Max. 安全风险 投资、效率与可用性 Min. Max. 理解安全理念… 第六十四页，共一百页。 这也是一种平衡……！ 第六十五页，共一百页。 信息安全的任务 机密性（confidentiality) 完整性(integrity) 抗否认性(non-repudiation) 可用性(availability) 可控性(controllability) :对信息的传播及内容具有控制能力。 第六十六页，共一百页。 通俗的安全 第六十七页，共一百页。 安全远程管理 安全网域 Host C Host D Internet 管理员 黑客 如何实现 安全管理呢 采用一次性口令认证来实现安全管理 用户名，口令 用户名，口令 第六十八页，共一百页。 数据机密性保护 拨号服务器 PSTN Internet 区域 Internet 边界路由器 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 DMZ区域 WWW Mail DNS 密文传输 明文传输 明文传输 第六十九页，共一百页。 数据完整性保护 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 原始数据包 对原始数据包进行Hash 加密后的数据包 摘要 Hash 摘要 对原始数据包进行加密 加密后的数据包 加密 加密后的数据包 摘要 加密后的数据包 摘要 摘要 解密 原始数据包 Hash 原始数据包 与原摘要进行比较，验证数据的完整性 第七十页，共一百页。 数据源身份验证 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 原始数据包 对原始数据包进行Hash Hash 摘要 加密 摘要 摘要 取出DSS 原始数据包 Hash 原始数据包 两摘要相比较 私钥 原始数据包 DSS DSS 将数字签名附在原始包后面供对方验证签名 得到数字签名 原始数据包 DSS 原始数据包 DSS DSS 解密 相等吗？ 验证通过 第七十一页，共一百页。 网络系统安全理念 安全不是纯粹的技术问题，是一项复杂的系统工程 安全是策略，技术与管理的综合 组织人才 政策法规 安全技术 安全策略 管理 安全=七分管理+三分技术 第七十二页，共一百页。 什么是网络攻击 网络攻击：网络攻击者利用目前网络通信协议（如TCP/IP协议）自身存在的或因配置不当而产生的安全漏洞、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等，通过使用网络命令、从Internet上下载的专用软件或者攻击者自己编写的软件，非法进入本地或远程用户主机系统，非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息（如特洛伊木马）等一系列过程的总称。 第七十三页，共一百页。 常见的网络攻击手段 阻塞类攻击 控制类攻击 探测类攻击 欺骗类攻击 漏洞类攻击 破坏类攻击 注意：在一次网络攻击中，并非只使用上述六种攻击手段中的某一种，而是多种攻击手段相综合，取长补短，发挥各自不同的作用。 第七十四页，共一百页。 阻塞类攻击（1/2） 阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。 拒绝服务攻击（DoS，Denial of Service）是典型的阻塞类攻击，它是一类个人或多人利用Internet协议组的某些工具，拒绝合法用户对目标系统（如服务器）和信息的合法访问的攻击。 常见的方法：TCP SYN洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等多种方式。 第七十五页，共一百页。 拒绝服务攻击示意图 第七十六页，共一百页。 SYN Flood原理 正常的三次握手建立通讯的过程 SYN （我可以连接吗？） ACK （可以）/SYN（请确认！） ACK （确认连接） 发起方 应答方 第七十七页，共一百页。 SYN Flood原理 SYN （我可以连接吗？） ACK （可以）/SYN（请确认！） 攻击者 受害者 伪造地址进行SYN请求 为何还没回应 就是让你白等 不能建立正常的连接 第七十八页，共一百页。 连接耗尽 正常tcp connect 攻击者 受害者 大量的tcp connect 这么多需要处理？ 不能建立正常的连接 正常tcp