【正文】 目的社會經(jīng)濟意義、目前的進展情況、申請技術創(chuàng)新基金的必要性 1． 2． 1 本項目的社會經(jīng)濟意義 1． 2． 2 項目目前的進展情況 1． 2． 3 申請技術創(chuàng)新基金的必要性 1． 3 本企業(yè)實施項目的優(yōu)勢和風險 1． 3． 1 本企業(yè)實施項目的優(yōu)勢 1． 3． 2 本企業(yè)實施項目的風險 1． 4 項目計劃目標 1． 4． 1 總體目標 1． 4． 2 經(jīng)濟目標 1． 4． 3 技術、質量指標 1． 4． 4 階段目標 1． 4． 5 計劃新增投資來源 1． 5 主要技術、經(jīng)濟指標對比 二．申報企業(yè)情況 2． 1 申報企業(yè)基本情況 2． 2 企業(yè)人員及開發(fā)能力論述 2． 2． 1 企業(yè)法定代表人的基本情況 2． 2． 2 企業(yè)人員情況 2． 2． 3 新產(chǎn)品開發(fā)能力 2． 2． 4 項目技術負責人的基本情況 2． 3 企業(yè)財務經(jīng)濟狀況 2． 3． 1 企業(yè)財務經(jīng)濟狀況及預測 2． 4 企業(yè)管理 情況 2． 4． 1 企業(yè)管理制度介紹 2． 4． 2 公司質量保障體系建設 2． 4． 3 公司榮譽 2． 5 企業(yè)發(fā)展思路 李蕭蕭的個人主頁 需要文檔請給我留言。 這種新的安全體系結構主要由三大部分組成 : (1)防火墻系統(tǒng)； (2)入侵檢測系統(tǒng)（ IDS）； (3)信息及綜合決策系統(tǒng)。該系統(tǒng)能最大的程度提高整個網(wǎng)絡的安全性，同時實現(xiàn)安全和防御的可擴展性（物理范圍），可擴充性（邏輯范圍），透明性及可操作性，使其適用于不同的具體應用環(huán)境，適用于不同的用戶，滿足用戶不同要求。 傳統(tǒng)的網(wǎng)絡安全技術被廣泛的應用，在網(wǎng)絡安全的保護中發(fā)揮了重要的作用，但是每種技術也存在著這樣或那樣的安全缺陷或隱患，所以有必要對網(wǎng)絡安全技術作進一步的分析和研究，而目前大多的網(wǎng)絡安全產(chǎn)品由于基于單層次的安全體系結構，只能提供一定程度的安全保護 ，越來越不適應現(xiàn)代信息社會的發(fā)展需要。 (6) 安全管理技術 。 (4) 密碼技術 。 (2) 身份認證技術 。 網(wǎng)絡安全問題自從其出現(xiàn)就受到了廣泛的重視，國 內外許多研究結構和研究人員都致力于這方面的研究，并且取得了一定的成果，有些技術已經(jīng)形成了一套較為完整的理論體系。第 4 層次，感知層次（超技術層次）的計算機網(wǎng)絡對抗。第 2 層次，能量層次的計算機網(wǎng)絡對抗 。另外，軟件的 “ 后門 ” 都是軟件公司的設計編程人員為了 方 便而設置的，一般不為外人所知，但一旦 “ 后門 ” 被洞開，其造成的后果將不堪設想。 絡 造成極大的危害。此類攻擊又可以分為 2 種：一種是網(wǎng)絡攻擊，以各種方式有選擇地破壞對方信息的有效性和完整性；另一類是網(wǎng)絡偵察， 它 是在不影響網(wǎng)絡正常工作的情況下，進行截獲、竊取、破譯以獲得對方重要的機密信息。 意失誤 如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網(wǎng)絡安全帶來威脅。歸結起來，針對網(wǎng)絡安全的威脅主要有 4個方面： 實體摧毀是計算機網(wǎng)絡安全面對的 “ 硬殺傷 ” 威 脅。故此，網(wǎng)絡的防御措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性 。因此，要提高計算機網(wǎng)絡的防御能力，加強網(wǎng)絡的安全措施，否則該網(wǎng)絡將是個無用、甚至會危及國家安全的網(wǎng)絡。 現(xiàn)代計算機系統(tǒng)功能日漸復雜，網(wǎng)絡體系日漸強大，正在對社會產(chǎn)生巨大深遠的影響，但同時由于計算機網(wǎng)絡具有聯(lián)結形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征，致使網(wǎng)絡易受黑客、惡意軟件和其他不軌的攻擊，所以使得安全問題越來越突出。據(jù)報道，在 Inter 上，每天大約有 4 起計算機犯罪發(fā)生。 同時， 現(xiàn)在世界上每年因利用計算機網(wǎng)絡進行犯罪所造成的直接經(jīng)濟損失令人吃驚。李蕭蕭的個人主頁 需要文檔請給我留言。 目 錄 一．總論 1． 1 申請項目的概述 近年來 , 網(wǎng)絡攻擊變得越來越普遍 , 也越來越難于防范 .舊的單層次的安全體系結構日益顯得力不從心， 通過 不斷 分析和研究 入侵檢測 的模型及原理，分析它們的長處以及不足， 在國際上 提出了一種新的安全體系結構 網(wǎng)絡入侵檢測 ， 她 使得各安全因素能夠有機的結合， 從而最大程度上保證了系統(tǒng)的安全。據(jù)美國 ABA（ American Bar Association）組織調查和專家估計，美 國每年因計算機犯罪所造成的經(jīng)濟損失高達 150 億美元。計算機犯罪，作為一種更為隱蔽的犯罪手段，給社會帶 來了很大的危害，因此網(wǎng)絡安全問題已經(jīng)成為世界各國研究的熱門話題。對于軍用的自動化指揮網(wǎng)絡系統(tǒng)而言，其網(wǎng)上信息的 安全和保密尤為重要。無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。 影響計算機網(wǎng)絡安全的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的。主要有電磁攻擊、兵力破壞和火力 。 這是計算機網(wǎng)絡所面臨的最大威脅。這 2 種攻擊均可對計算機網(wǎng)李蕭蕭的個人主頁 需要文檔請給我留言。 網(wǎng)絡軟件不可能是百分之百的無缺陷和無 漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。 網(wǎng)絡作戰(zhàn)的目標范圍，網(wǎng)絡作戰(zhàn)模型包含 4 個層次 :第 1 層次，實體層次的計算機網(wǎng)絡對抗 。第 3層次，信息層次（邏輯層次）的計算機網(wǎng)絡對抗 。針對不同層次對抗，計算機網(wǎng)絡防御應采取相應的對策。 從廣義上講，計算機網(wǎng)絡安全技術主要有 :[2] (1) 主機安全技術 。 (3) 訪問控制技術 。 (5) 防火墻技術 。 (7) 安全審計技術。基于這種情況， 華夏網(wǎng)絡 提出了構建一種基于網(wǎng)絡入侵檢測的立體防御系統(tǒng)，即建立一套多層次的全方位的網(wǎng)絡防御及檢測體系，把各種單一的安全部分有機的結合起來，使它們互相配合、互相依托、相互促進，形成一套完整的功能 ,遠遠大于局部系統(tǒng)的安全系統(tǒng)。同時，在提供較高的安全性的同時，使系統(tǒng)具有很高的可用 性和很好的性能。 李蕭蕭的個人主頁 需要文檔請給我留言。 三．技術可行性和成熟性分析 3． 1 項目的技術創(chuàng)新性論述 3． 1． 1 項目產(chǎn)品的基本原理 下面是對組成系統(tǒng)的三大部分的基本原理進行 介紹 : 防火墻 古時候，人們常在寓所之間砌起一道磚墻，一旦火災發(fā)生， 它 能夠防止火勢蔓延到別的寓所，這種墻因此而得名 “ 防火墻 ” 。 但同時，外部世界也同樣可以訪問該網(wǎng)絡并與之交互。這道屏障的作用是阻斷來自外部通過網(wǎng)絡對本網(wǎng)絡的威脅和入侵，提供扼守本網(wǎng)絡的安全 和審計的 唯 一關卡。 防火墻就是一種由軟件、硬件構成的系統(tǒng)，用來在兩個網(wǎng)絡之間實施存取控制策略。 [3]盡管防火墻有各種不同的類型 ,但所有的防火墻都有一個共同的特征 :基于源地址基礎上的區(qū)分和拒絕某些訪問的能力 .[4]一般都將防火墻 內的網(wǎng)絡稱為“可信賴的網(wǎng)絡”（ trusted work） ,而將外部的 inter 稱為“不可信賴的網(wǎng)絡”（ mistrustful work） . 防 火 墻 不可信賴 的網(wǎng)絡 可信賴的網(wǎng)絡 圖 1 防火墻在互連網(wǎng)絡中的位置 防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡安全的技術性措施， 它 是一個用以阻止網(wǎng)絡中的黑客訪問某個機構網(wǎng)絡的屏障，也可稱之為控制進／出 2 個方向通信的門檻。屏蔽路由器是一個多端口的 IP 路由器， 它 通過對每一個到來的 IP 包依據(jù)一組規(guī)則進行檢查來判斷是否對之進行轉發(fā)。 統(tǒng)中的一個服務器進程， 它 能夠代替網(wǎng)絡用戶完成特定的 TCP／ IP 功能。 Chewick 和 Bellovin 對防火墻的定義為， [5]防火墻是一個由多個部件組成的集合或系統(tǒng)，它被放置在兩個網(wǎng)絡之間，并具有以下特性 : (1) 所有的從內部到外部或從外部到內部的通信都必須經(jīng)過它。 (3) 系統(tǒng)本身具有高可靠性。 [12] 防火墻的確是一種重要的新型安全措施。 [6]目前的防火墻主要有包過濾防火墻、代理防火墻 2 種類型，并在計算機網(wǎng)絡得到了廣泛的應用。代理防火墻（應用層防火墻），代理防火墻采用代理（ Proxy）技術與 TCP 連接的全過程，這樣從內部發(fā)出的數(shù)據(jù)包經(jīng)過防火墻處理后，就象來自于防火墻外部網(wǎng)卡一樣，從而達到隱藏內部網(wǎng)結構的目的。 但是，防火墻也不能解決進入防火墻的數(shù)據(jù)帶來的所有安全問題。防火墻的另一 個缺點是很少有防火墻制造商推出簡便易用的 “ 監(jiān)獄看守 ” 型的防火墻，大多數(shù)的產(chǎn)品還停留在需要網(wǎng)絡管理員手工建立的水平上。 入侵檢測系統(tǒng)（ IDS） 入侵檢測最早是由 James Anderson 于 1980 年提出來的，其定義是：潛在的有預謀的未經(jīng)授權的訪問信息和操作信息 ,致使系統(tǒng)不可靠或無法使用的企圖。因為，如果入侵者一旦攻破了由傳統(tǒng)安全技術所設置的保護屏障，這些技術將完全失去作用，對系統(tǒng)不再提供保護，而入侵者則對系統(tǒng)可以進行肆無忌憚的操作，當然包括一些很具有破壞的操作。但李蕭蕭的個人主頁 需要文檔請給我留言。所以對入侵檢測技術研究是非常必要的，并且它也是一種全新理念的網(wǎng)絡（系統(tǒng)） 防護技術。輸入過程包括：用戶或者安全管理人員定義的配置規(guī)則和作為事件檢測的原始數(shù)據(jù)，對于代理監(jiān)視器來講原始數(shù)據(jù)是原始網(wǎng)絡包；輸出過程包括：系統(tǒng)發(fā)起的對安全事件和可疑或非法事件的響應過程。 [8]入侵檢測系統(tǒng)能夠實時監(jiān)控網(wǎng)絡傳輸，自動檢測可疑行為，分析來自網(wǎng)絡外部入侵信號和內部的非法活動。 [9] 具體說來， IDS的主要功能有以下方面 : （ 1）監(jiān)測并分析用戶和系統(tǒng)的活動；（ 2）核查系統(tǒng)配置和漏洞；（ 3）評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性；（ 4）識別已知的攻擊行為；（ 5）統(tǒng)計分析異常行為；（ 6）操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動。 Alert System）能夠從一系列的系統(tǒng)和網(wǎng)絡資源中收集信息并對這些信息加以分析，以期能找到入侵（ intrusion）或者是濫用(misuse)的跡象，并根據(jù)這些分析結果， 向用戶及系統(tǒng)管理員報警和作出一定的處理如切斷入侵檢測連接等。 N Y 圖 3 入侵檢測功能原理