《网络立体防御系统可行性研究报告.docx》由会员分享,可在线阅读,更多相关《网络立体防御系统可行性研究报告.docx(29页珍藏版)》请在第一文库网上搜索。
1、网络立体防御系统可行性研究报告(提示:此文档word版本!下载后可任意编辑修改!)一.总论1.1申请项目的概述近年来,网络攻击变得越来越普遍.也越来越难于防范.旧的单层次的安全体系结构日益显得力不从心,通过不断分析和研究入侵检测的模型及原理,分析它们的长处以及不足,在国际上提出了一种新的安全体系结构一网络入侵检测,她使得各安全因素能够有机的结合,从而最大程度上保证了系统的安全。同时,现在世界上每年因利用计算机网络进行犯罪所造成的直接经济损失令人吃惊据美国ABA (American Bar Association)组织调查和专家估计,美国每年因计算机犯罪所造成的经济损失高达150亿美元。据报道,
2、在Internet上,每天大约有4起计算机犯罪发生。计算机犯罪,作为一种更为隐蔽的犯罪手段,给社会带来了很大的危害,因此网络安全问题已经成为世界各国研究的热门话题。现代计算机系统功能日渐复杂,网络体系日渐强大,正在对社会产生巨大深远的影响,但同时由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击,所以使得安全问题越来越突出。对于军用的自动化指挥网络系统而言,其网上信息的安全和保密尤为重要。因此,要提高计算机网络的防御能力,加强网络的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中,都存
3、在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的防御措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。影响计算机网络安全的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的。归结起来,针对网络安全的威胁主要有4个方面:1 .实体摧毁实体摧毁是计算机网络安全面对的“硬杀伤”威胁。主要有电磁攻击、 兵力破坏和火力。2 .无意失误如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。3 .黑客攻击这是计算机网络所面临的最大威胁。此类攻击又可
4、以分为2种:一种是网络攻击,以各种方式有选择地破坏对方信息的有效性和完整性;另一类是网络侦察,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得对方重要的机密信息。这2种攻击均可对计算机网络造成极大的危害。网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外,软件的“后门”都是软件公司的设计编程人员为了方便而设置的,一般不为外人所知,但一旦“后门”被洞开,其造成的后果将不堪设想。网络作战的目标范围,网络作战模型包含4个层次:第1层次,实体层次的计算机网络对抗;第2层次,能量层次的计算机网络对抗;第3层次,信息层次(逻辑层次)的计算机网络对
5、抗;第4层次,感知层次(超技术层次)的计算机网络对抗。针对不同层次对抗,计算机网络防御应采取相应的对策。网络安全问题自从其出现就受到了广泛的重视,国内外许多研究结构和研究人员都致力于这方面的研究,并且取得了一定的成果,有些技术已经形成了一套较为完整的理论体系。从广义上讲,计算机网络安全技术主要有:(1)主机安全技术;(2)身份认证技术;(3)访问控制技术;(4)密码技术;(5)防火墙技术;(6)安全管理技术;(7)安全审计技术。传统的网络安全技术被广泛的应用,在网络安全的保护中发挥了重要的作用,但是每种技术也存在着这样或那样的安全缺陷或隐患,所以有必要对网络安全技术作进一步的分析和研究,而目前
6、大多的网络安全产品由于基于单层次的安全体系结构,只能提供一定程度的安全保护,越来越不适应现代信息社会的发展需要。基于这种情况,华夏网络提出了构建一种基于网络入侵检测的立体防御系统,即建立一套多层次的全方位的网络防御及检测体系,把各种单一的安全部分有机的结合起来,使它们互相配合、互相依托、相互促进,形成一套完整的功能,远远大于局部系统的安全系统。该系统能最大的程度提高整个网络的安全性,同时实现安全和防御的可扩展性(物理范围),可扩充性(逻辑范围),透明性及可操作性,使其适用于不同的具体应用环境,适用于不同的用户,满足用户不同要求。同时,在提供较高的安全性的同时,使系统具有很高的可用性和很好的性能
7、。这种新的安全体系结构主要由三大部分组成:(1)防火墙系统;(2)入侵检测系统(IDS);(3)信息及综合决策系统。1. 2项目的社会经济意义、目前的进展情况、申请技术创新基金的必要性1. 2.1本项目的社会经济意义1. 2. 2项目目前的进展情况1. 2. 3申请技术创新基金的必要性1. 3本企业实施项目的优势和风险1. 3. 1本企业实施项目的优势1. 3. 2本企业实施项目的风险1. 4项目计划目标1. 4. 1总体目标1. 4. 2经济目标1. 4. 3技术、质量指标1. 4. 4阶段目标1. 4. 5计划新增投资来源1. 5主要技术、经济指标对比二.申报企业情况2. 1申报企业基本情
8、况2. 2企业人员及开发能力论述2. 2.1企业法定代表人的基本情况2. 2. 2企业人员情况2. 2. 3新产品开发能力2. 2.4项目技术负责人的基本情况2. 3企业财务经济状况2. 31企业财务经济状况及预测2. 4企业管理情况2. 4.1企业管理制度介绍2. 4.2公司质量保障体系建设2. 4. 3公司荣誉2. 5企业发展思路三.技术可行性和成熟性分析2.1 项目的技术创新性论述3. 1.1项目产品的基本原理下面是对组成系统的三大部分的基本原理进行介绍:2.1 防火墙古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所,这种墙因此而得名“防火墙”。现在,如果
9、一个网络接到了 Internet上,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的唯一关卡。这种中介系统也叫做“防火墙”或“防火墙系统”。防火墙就是一种由软件、硬件构成的系统,用来在两个网络之间实施存取控制策略。图1是防火墙在互连的网络中的位置。尽管防火墙有各种不同的类型,但所有的防火墙都有一个共同的特征:基于源地址基础某某区分和拒绝某些访问的能力.一般都将防火墙内的网络称为“可信赖的网络
10、(trusted network),而将外部的internet称为“不可信赖的网络(mistrustfulnetwork).防火墙分组过滤分组过流路由器R应用网关路由器R不可信赖的网络图1防火墙在互连网络中的位置防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出2个方向通信的门槛。一个防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。代理服务器是防火墙系统中的一个服务器进程,它能够代替网络用户完成特定的TCP / I
11、P功能。一个代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接2个网络的网关。Chewick和Bellovin对防火墙的定义为,防火墙是一个由多个部件组成的集合或系统,它被放置在两个网络之间,并具有以下特性:(1)所有的从内部到外部或从外部到内部的通信都必须经过它。(2)只有有内部访问策略授权的通信才被允许通过。(3)系统本身具有高可靠性。换句话说,防火墙置于内部可信网络和外部不可信网络之间,作为一个阻塞点来监视和抛弃应用层的流量以及传输层和网络层的数据包。12防火墙的确是一种重要的新型安全措施。防火墙在概念上非常简单,它可以分为:基于过滤器(filter-based)和基于代理(p
12、ro某y-based)的两大类设备之一。目前的防火墙主要有包过滤防火墙、代理防火墙2种类型,并在计算机网络得到了广泛的应用。包过滤防火墙,包过滤技术是根据定义好的过滤规则审查每个数据包并确定数据包是否与过滤规则相匹配,从而决定数据包能否通过,它的特点是开销小,速度快,缺点是定义数据包过滤器比较复杂,且不能理解特定服务的上下文环境。代理防火墙(应用层防火墙),代理防火墙采用代理(Pro某y)技术与TCP连接的全过程,这样从内部发出的数据包经过防火墙处理后,就象来自于防火墙外部网卡一样,从而达到隐藏内部网结构的目的。其核心技术就是代理服务器技术,特点是安全性很高,缺点是对于每个中断的interne
13、t服务,都需要提供相应的代理程序,且对于计算机的性能有一定的要求。但是,防火墙也不能解决进入防火墙的数据带来的所有安全问题。如果用户抓来一个程序在本地运行,那个程序很可能就包含一段恶意的代码,或泄露敏感信息,或对之进行破坏。防火墙的另一个缺点是很少有防火墙制造商推出简便易用的“监狱看守”型的防火墙,大多数的产品还停留在需要网络管理员手工建立的水平上。因此有必要将它们融合,构成了一个典型的防火墙系统。2.2 入侵检测系统(IDS)2.3 2.1入侵检测系统的定义入侵检测最早是由James Anderson于1980年提出来的,其定义是:潜在的有预谋的未经授权的访问信息和操作信息,致使系统不可靠或
14、无法使用的企图。7从该定义可以看出,入侵检测对安全保护采取的是一种积极、主动的防御策略,而传统的安全技术都是一些消极、被动的保护措施。因为,如果入侵者一旦攻破了由传统安全技术所设置的保护屏障,这些技术将完全失去作用,对系统不再提供保护,而入侵者则对系统可以进行肆无忌惮的操作,当然包括一些很具有破坏的操作。对于这些,传统的安全技术是无能为力的。但是入侵检测技术则不同,它对进入系统的访问者(包括入侵者)能进行实时的监视和检测,一旦发现访问者对系统进行非法的操作(这时访问者成为了入侵者),就会向系统管理员发出警报或者自动截断与入侵者的连接,这样就会大大提高系统的安全性。所以对入侵检测技术研究是非常必
15、要的,并且它也是一种全新理念的网络(系统)防护技术。图2为入侵检测一般过程示意图,箭头所指方向为流程方向。输入过程包括:用户或者安全管理人员定义的配置规则和作为事件检测的原始数据,对于代理监视器来讲原始数据是原始网络包;输出过程包括:系统发起的对安全事件和可疑或非法事件的响应过程。16入侵发现定义的规!攻击特征(signatures)原始数图2入侵发现示意图2. 2. 2入侵检测系统的模型与原理入侵检测系统(IDS, Intrusion Detection System)用来识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法行动。入侵检测系统能够实时监控网络传输,自动检测可疑行为,分析来自网络外部入侵信号和内部的非法活动