发布时间 : 星期五 文章NIDS网络立体防御系统可行性研究报告更新完毕开始阅读2a439693daef5ef7ba0d3cb4
《NIDS网络立体防御系统》
可行性研究报告
山西华夏网络技术服务有限公司
2004年7月
目 录
一.总论
1.1申请项目的概述
近年来, 网络攻击变得越来越普遍, 也越来越难于防范.旧的单层次的安全体系结构日益显得力不从心,通过不断分析和研究入侵检测的模型及原理,分析它们的长处以及不足,在国际上提出了一种新的安全体系结构--网络入侵检测,她使得各安全因素能够有机的结合,从而最大程度上保证了系统的安全。
同时,现在世界上每年因利用计算机网络进行犯罪所造成的直接经济损失令人吃惊。据美国ABA(American Bar Association)组织调查和专家估计,美国每年因计算机犯罪所造成的经济损失高达150亿美元。据报道,在Internet上,每天大约有4起计算机犯罪发生。计算机犯罪,作为一种更为隐蔽的犯罪手段,给社会带来了很大的危害,因此网络安全问题已经成为世界各国研究的热门话题。
现代计算机系统功能日渐复杂,网络体系日渐强大,正在对社会产生巨大深远的影响,但同时由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击,所以使得安全问题越来越突出。对于军用的自动化指挥网络系统而言,其网上信息的安全和保密尤为重要。因此,要提高计算机网络的防御能力,加强网络的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的防御措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
影响计算机网络安全的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的。归结起来,针对网络安全的威胁主要有4个方面: 1.实体摧毁
实体摧毁是计算机网络安全面对的“硬杀伤”威胁。主要有电磁攻击、兵力破坏和火力。 2.无意失误
如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。 3.黑客攻击
这是计算机网络所面临的最大威胁。此类攻击又可以分为2种:一种是网络攻击,以各种方式有选择地破坏对方信息的有效性和完整性;另一类是网络侦察,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得对方重要的机密信息。这2种攻击均可对计算机网络造成极大的危害。
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外,软件的“后门”都是软件公司的设计编程人员为了方便而设置的,一般不为外人所知,但一旦“后门”被洞开,其造成的后果将不堪设想。
网络作战的目标范围,网络作战模型包含4个层次:第1层次,实体层次的计算机网络对抗;第2层次,能量层次的计算机网络对抗;第3层次,信息层次(逻辑层次)的计算机网络对抗;第4层次,感知层次(超技术层次)的计算机网络对抗。针对不同层次对抗,计算机网络防御应采取相应的对策。
网络安全问题自从其出现就受到了广泛的重视,国内外许多研究结构和研究人员都致力于这方面的研究,并且取得了一定的成果,有些技术已经形成了一套较为完整的理论体系。
[2]
从广义上讲,计算机网络安全技术主要有: (1) 主机安全技术; (2) 身份认证技术; (3) 访问控制技术; (4) 密码技术;
(5) 防火墙技术; (6) 安全管理技术; (7) 安全审计技术。
传统的网络安全技术被广泛的应用,在网络安全的保护中发挥了重要的作用,但是每种技术也存在着这样或那样的安全缺陷或隐患,所以有必要对网络安全技术作进一步的分析和研究,而目前大多的网络安全产品由于基于单层次的安全体系结构,只能提供一定程度的安全保护,越来越不适应现代信息社会的发展需要。基于这种情况,华夏网络提出了构建一种基于网络入侵检测的立体防御系统,即建立一套多层次的全方位的网络防御及检测体系,把各种单一的安全部分有机的结合起来,使它们互相配合、互相依托、相互促进,形成一套完整的功能,远远大于局部系统的安全系统。该系统能最大的程度提高整个网络的安全性,同时实现安全和防御的可扩展性(物理范围),可扩充性(逻辑范围),透明性及可操作性,使其适用于不同的具体应用环境,适用于不同的用户,满足用户不同要求。同时,在提供较高的安全性的同时,使系统具有很高的可用性和很好的性能。
这种新的安全体系结构主要由三大部分组成: (1)防火墙系统;
(2)入侵检测系统(IDS); (3)信息及综合决策系统。
1.2项目的社会经济意义、目前的进展情况、申请技术创新基金的必要性 1.2.1本项目的社会经济意义 1.2.2项目目前的进展情况
1.2.3申请技术创新基金的必要性 1.3本企业实施项目的优势和风险 1.3.1本企业实施项目的优势 1.3.2本企业实施项目的风险 1.4项目计划目标 1.4.1总体目标 1.4.2经济目标
1.4.3技术、质量指标 1.4.4阶段目标
1.4.5计划新增投资来源 1.5主要技术、经济指标对比 二.申报企业情况
2.1申报企业基本情况
2.2企业人员及开发能力论述
2.2.1企业法定代表人的基本情况 2.2.2企业人员情况 2.2.3新产品开发能力
2.2.4项目技术负责人的基本情况 2.3企业财务经济状况
2.3.1企业财务经济状况及预测 2.4企业管理情况
2.4.1企业管理制度介绍
2.4.2公司质量保障体系建设 2.4.3公司荣誉 2.5企业发展思路
三.技术可行性和成熟性分析 3.1项目的技术创新性论述 3.1.1项目产品的基本原理
下面是对组成系统的三大部分的基本原理进行介绍:
2.1 防火墙
古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所,这种墙因此而得名“防火墙”。现在,如果一个网络接到了Internet上,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的唯一关卡。这种中介系统也叫做“防火墙”或“防火墙系统”。防火墙就是一种由软件、硬件构成的系
[3]
统,用来在两个网络之间实施存取控制策略。图1是防火墙在互连的网络中的位置。尽管防火墙有各种不同的类型,但所有的防火墙都有一个共同的特征:基于源地址基础上的区分和拒绝
[4]
某些访问的能力.一般都将防火墙内的网络称为“可信赖的网络”(trusted network),而将外部的internet称为“不可信赖的网络”(mistrustful network). 防 火 墙 不可信赖 分组过滤 分组过滤 的网络 路由器R 应用网关 路由器R 可信赖的网络 内联网 因特网
G 图1 防火墙在互连网络中的位置
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出2个方向通信的门槛。一个防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。代理服务器是防火墙系统中的一个服务器进程,它能够代替网络用户完成特定的TCP/IP功能。一个代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接2个网络的网关。
[5]
Chewick和Bellovin对防火墙的定义为,防火墙是一个由多个部件组成的集合或系统,它被放置在两个网络之间,并具有以下特性:
(1) 所有的从内部到外部或从外部到内部的通信都必须经过它。 (2) 只有有内部访问策略授权的通信才被允许通过。 (3) 系统本身具有高可靠性。
换句话说,防火墙置于内部可信网络和外部不可信网络之间,作为一个阻塞点来监视和抛弃应
[12]
用层的流量以及传输层和网络层的数据包。
防火墙的确是一种重要的新型安全措施。防火墙在概念上非常简单,它可以分为:基于过滤