国家信息安全专项产业化项目资金申请报告.doc

2005 年信息安全专项产业化项目年信息安全专项产业化项目 资金申请报告资金申请报告 项目名称：基于同构多处理机架构的高项目名称：基于同构多处理机架构的高 性能多功能安全网关产业化性能多功能安全网关产业化 申报单位：申报单位：xxxxxx 集团公司集团公司 地地 址：址：xxxxxx 市市 xxxxxx 区区 邮政编码：邮政编码：xxxxxxxx 联联 系系 人：人：xxxxxx 电电 话：话：xxxxxx 传传 真：真：xxxxxx 主持部门：主持部门：xxxxxx 市发展和改革委员会市发展和改革委员会 申报日期：二申报日期：二五年四月五年四月 报告编制单位：报告编制单位：xxxxxx 大学计算机科学技术研究所大学计算机科学技术研究所 xxxxxx 集团公司集团公司 报告编制日期：二报告编制日期：二五年四月五年四月 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 1 报告编制单位与人员报告编制单位与人员 xxxxxx 大学计算机科学技术研究所大学计算机科学技术研究所 公司审 定： xxx 副所长 部门审定 ： xxx 中心副主任 项目参加人： xxx 开发部项目经理 xxxxxx 集团公司集团公司 公司审 定： xxx 方正集团 IT 事业 部副总经理 工程师 部门审定 ： xxx 资源管理部总监工程师 项目参加人： xxx 资源管理部高级经 理 工程师 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 2 目目 录录 2005 年信息安全专项产业化项目年信息安全专项产业化项目.I 资金申请报告资金申请报告I 第第 1 章章项目概述项目概述.6 1.1项目名称.6 1.2项目承担单位及负责人.6 1.3建设目标、规模、内容、周期.7 1.4建设地点.7 1.5总投资及来源.8 1.6拟申请国家专项资金.8 1.7主要技术经济指标.8 1.8报告编写依据.9 第第 2 章章项目的意义和必要性项目的意义和必要性.9 2.1项目背景.9 2.2国内外现状和发展趋势.9 2.3产业关联度分析.9 2.4项目建设必要性.9 2.5项目建设可行性.9 第第 3 章章项目的技术基础项目的技术基础.9 3.1项目的技术基础.9 3.2成果来源及知识产权情况.9 3.3项目主要安全技术简介.9 3.4已完成的研究开发工作及中试情况.9 3.5技术及产品优势.9 第第 4 章章项目法人单位情况项目法人单位情况.9 4.1项目申报单位简介.9 4.2实施本项目的优势.9 第第 5 章章市场分析市场分析.9 5.1市场前景.9 5.2目标市场分析.9 5.3营销策略.9 5.4销售网络分布.9 5.5市场风险及对策.9 第第 6 章章建设方案建设方案.9 6.1建设目标、规模、内容、周期.9 6.2建设思路及建设原则.9 6.3技术方案.9 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 3 6.4产品方案.9 6.5建设场地方案.9 6.6环境技术改造与生产线建设.9 6.7设备方案.9 第第 7 章章项目实施组织计划项目实施组织计划.9 7.1项目组织机构及管理实施.9 7.2劳动定员.9 7.3认证计划.9 7.4人员培训.9 7.5项目计划进度安排.9 第第 8 章章原材料及外部配套情况原材料及外部配套情况.9 8.1产品元部件构成及外部配套.9 主要元部件清单.9 8.29 第第 9 章章环保、节能、消防和职业安全卫生环保、节能、消防和职业安全卫生.9 9.1环境保护.9 9.2消防.9 9.3职业安全卫生.9 9.4节能.9 第第 10 章章投资估算及资金筹措投资估算及资金筹措 9 10.1投资估算依据及有关说明.9 10.2投资估算结果.9 10.3资金筹措方案.9 第第 11 章章概算和经济评价概算和经济评价 9 11.1经济评价基础数据及参数.9 11.2产品销售收入测算.9 11.3成本费用测算.9 11.4税金测算.9 11.5利润估算.9 11.6项目主要财务评价指标.9 11.7不确定性分析.9 第第 12 章章社会效益分析社会效益分析 9 12.1填补国内技术空白.9 12.2降低社会使用成本.9 12.3促进行业技术创新和产品创新.9 12.4培养了一批信息安全研发人才.9 12.5节省了大量外汇.9 12.6提高国家信息安全水平.9 第第 13 章章项目风险分析项目风险分析 9 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 4 13.1政策风险.9 13.2经营风险.9 13.3技术风险.9 13.4人才风险.9 第第 14 章章结论结论 9 附表附表 .9 （1）总投资估算表 （2） 销售收入、销售税金及附加估算表 （3） 总成本费用估算表 （4） 固定资产折旧及无形资产、递延资产摊销估算表 （5） 利润表 （6） 资金来源与运用表 （7） 财务现金流量表(全部投资) （8） 流动资金估算表 附件附件 .9 （1）信息安全项目及承担单位基本情况简表 （2）企业法人营业执照 （3） 企业近三年财务报表 （4） 高新技术企业证书 （5） ISO9000 质量体系证书 （6） CMM 评估证书 （7） 进出口许可证 （8） 专利授权证书 （9） “无源以太网数据侦听器”专利证书 （10） “无源以太网数据侦听响应器”专利证书 （11） “一种 IP 网络的组播传输方法”专利申请 （12） “基于应用协议检测引擎的网络入侵检测系统和方法”专利申请 （13） “一种针对分布式拒绝服务攻击的防范系统和方法”专利申请 （14） “一种基于自适应缓存机制实现快速网络报文分发的方法”专利申 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 5 请 （15） “计算机犯罪侦查技术研究”国家科技攻关计划课题任务书 （16） “方正鲨鱼群网站集群平台”xxx 市国家重点技术创新项目合同书 （17） “行业网络安全解决方案”获得首届中国信息化优秀解决方案奖 （18） 国家保密局“方御 FireGate 防火墙”科学技术成果鉴定证书 （19） 国家信息安全认证产品证书 （20） 军用信息安全产品认证证书 （21） “方正方御 1000 M 防火墙FG1000M”认证证书 （22） “方正方御安全评估 1.0”认证证书 （23） “方正方御入侵检测 1.0”认证证书 （24） “方御防火墙”塞迪评测 2002 年度精品奖 （25） “方御防火墙”塞迪评测技术创新奖 （26） 公安部“计算机信息系统安全专用产品”销售许可证 （27） “方御防火墙”计算机用户协会信息安全分会“用户推荐产品” （28） 中国计算机报百兆防火墙 2003 年度编辑选择奖 （29） “网络测评系统”2002 年度国家重点新产品证书 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 6 第 1 章项目概述项目概述 1.1 项目名称项目名称 基于同构多处理机架构的高性能多功能安全网关产业化。 1.2 项目承担单位及负责人项目承担单位及负责人 1.2.1 项目承担单位项目承担单位 本项目由 xxx 集团公司和 xxx 大学计算机科学技术研究所联合承担。 单位名称xxx 大学计算机科学技术研究所 通信地址xxx 市 xxx 区 xxx 邮政编码 xxxxxxxxx 法人代表 xxx 联 系 人 xxx 联系方式电话： xxx传真： xxx 单位名称xxx 集团公司 通信地址xxx 市 xxx 区 xxx 邮政编码 100871 法人代表 xxx 联 系 人 xxx 联系方式电话：xxx传真：xxx 1.2.2 项目负责人项目负责人 xxx，xxx 大学计算机科学技术研究所副所长。 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 7 1.3 建设目标、规模、内容、周期建设目标、规模、内容、周期 1.3.1 建设目标建设目标 充分发挥项目承担单位产学研一体化的优势，开发和完善拥有完全自主知 识产权的高性能多功能网关系列产品，实现该系列产品的规模生产，将技术优 势迅速转化为产品优势和市场优势，建成一个现代化的网络安全产业化基地， 实现 180 台的年产销规模。 1.3.2 建设内容建设内容 在现有基础上，增加高性能多功能安全网关研发测试设备，完善研发测试 环境； 建立一支高水平的、稳定的高性能多功能安全网关研发队伍和一套科学的 研发管理体系，为企业的技术创新提供良好的物质基础和体制保障； 在现有产品基础上，开发面向应用的新的功能，增强产品的稳定性，降低 产品成本； 增添必要的生产测试设备，充分利用现有的生产条件，改建高性能多功能 安全网关系列产品生产线； 抓住市场机遇，完善市场销售体系，实现高性能多功能安全网关的批量产 销。 1.3.3 建设规模建设规模 项目建成后可实现年产高性能多功能安全网关系列产品 180 台。 1.3.4 建设周期建设周期 项目建设期为 2 年。从 2005 年 8 月开始建设，2007 年 8 月建成。 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 8 1.4 建设地点建设地点 产品研发地点：xxx 市 xxx 区 xxx 方正大厦 产品中试和生产地点：广东省东莞市石龙镇新城市中心正龙科技园 1.5 总投资及来源总投资及来源 1.5.1 总投资总投资 本项目总投资为 5014.7 万元，其中建设投资 4189.0 万元人民币（固定资产 投资 1609.0 万元人民币，无形及递延资产投资 2580.0 万元人民币） ；铺底流动 资金 616.2 万元人民币，不可预见费用 209.5 万元人民币。 1.5.2 资金来源资金来源 项目计划总投资 5014.7 万元人民币，其中：企业自筹资金4264.7 万元， 申请国家专项资金 750 万元。 1.6 拟申请国家专项资金拟申请国家专项资金 项目拟申请国家专项资金 750 万元。 1.7 主要技术经济指标主要技术经济指标 1.7.1 全投资主要评价指标全投资主要评价指标 1.7.1.1税前税前 （1）财务内部收益率 FIRR (12%) =68.0 （2）财务净现值（Ic=12%）=15530 万元 （3）投资回收期 =2.91 年（含建设期，经营期开始销售） 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 9 1.7.1.2税后税后 （1）财务内部收益率 FIRR (12%) 46.1 （2）财务净现值（Ic=12%）9239 万元 （3）投资回收期 3.6 年（含建设期，从建设期第二年起开始销售） 1.7.2 静态指标静态指标 （1）投资利润率：49.2% （2）资本金利润率：49.2 1.8 报告编写依据报告编写依据 本项目初步设计编制的主要依据如下： （1） 国家发展改革委办公厅关于组织实施 2005 年信息安全专项产业 化有关事项的通知 （发改办高技2005270 号） （2005 年 2 月 8 日） （2）国家信息化领导小组关于加强信息安全保障工作的意见(中办 发(200327 号) （3）国家发展计划委员会、财政部 国家高技术产业升级发展项目建 议书和可行性研究报告编制要点 （2001 年 11 月） （4）国家发展和改革委员会、科学技术部、商务部当前优先发展的高 技术产业化重点领域指南（2004 年度） （5）国家计委、财政部关于组织国家高技术产业发展项目计划实施意 见 （2001 年 11 月） （6）xxx 市发展计划委员会/xxx 市科学技术委员会xxx 市当前优先发 展的高技术产业升级重点领域指南（20032004 年度） （2002 年 12 月） （7）国家发展计划委员会、建设部建设项目经济评价方法与参数 ； （8）中华人民共和国计算机信息系统安全保护条例 （中华人民共和 国国务院令第号） 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 10 （9）计算机信息系统安全专用产品检测和销售许可证管理办法1997 年 6 月 28 日公安部部长办公会议通过 1997 年 12 月 12 日施行中华 人民共和国公安部令第 32 号发布) （10） 信息安全产品 网络代理服务器的安全技术要求GB/T17900- 1999 （11） 信息安全产品 路由器安全技术要求GB/T 18018-1999 （12） 信息安全产品 信息技术包过滤防火墙安全技术要求 GB/T18019-1999 （13） 信息安全产品 信息技术应用级防火墙安全技术要求 GB/T18020-1999 （14） 信息安全产品 计算机病毒防治产品评级准则GA243-2000 （15） 信息产业部防火墙设备技术要求YD/T1132-2001 （16） DB31/T 272：计算机信息系统安全测评通用技术规范 （17） MSCTC-GFJ-06 信息技术信息过滤产品安全检验规范 （18） 项目承担单位提供的有关资料 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 11 第 2 章项目的意义和必要性项目的意义和必要性 2.1 项目背景项目背景 随着互联网的飞速发展，网络安全问题日益突出，网络区域(security zone) 对边界控制和保护的要求不断增高，安全网关就是提供网络安全服务的一类网 络安全专用设备。安全网关产品通常包括防火墙、VPN(虚拟专用网)网关、 NIDS(网络入侵检测系统)和安全路由器等。一些基于高层网络协议的交换机和 内容过滤设备，也都在一定程度上扮演着安全网关的角色。 最初的安全网关很自然地由附加在边界路由器上的简单 ACL(进出控制表) 构成。当时的 ACL 大多只是在 3 层网络协议(网络层，network layer)上根据来 源地址和目的地址对途经边界的网络数据包(packet)加以转发或丢弃的处理，从 而构成了网包过滤防火墙，在一定程度上保护不同网络区域或网段(network segment) 之间连接的安全性。经历了上个世纪 90 年代到现在的发展，安全网 关技术目前发展成熟适应从十兆(10Mbps) 向百兆(100Mbps)迅速升级，千兆(1 Gbps)需求开始形成规模应用的局面，形成的产品形态也有防火墙、VPN 网关、 IDS 等产品。 随着网络带宽的迅速增加和网络应用的日益丰富，对现有安全网关技术提 出严峻挑战。一方面千兆网络甚至万兆网络逐渐得到大规模使用，网络流量的 增加和安全检查负荷的加重，安全网关始终是高速网络中的瓶颈，滞后于高端 路由器、交换机的性能水平。另一方面，网络攻击方式也越来越复杂，网络入 侵行为、病毒破坏、垃圾邮件以及混合式攻击成为网络安全最为突出的问题， 安全网络不仅要对 OSI 3 层网络数据包进行检查，而且要对 4-7 层数据进行安 全检查，大大加重了安全网关的负载。 目前为解决多种多样的网络安全问题，传统的技术手段采用“一对一”方 式。例如访问控制用防火墙、入侵检测用 IDS、防病毒网关等等，导致网络安 全解决方案被割裂成若干个孤岛，增加网络管理的复杂性，甚至导致用户没办 法协同管理若干个设备，并不能有效的防范网络安全和应急响应。 针对混合攻击和多层次安全的高性能多功能安全网关逐渐成为网络边界安 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 12 全技术的一大发展趋势。多功能安全网关将防火墙、IDS、VPN、防 DDoS、内 容过滤、防病毒、防蠕虫和防垃圾邮件等多种安全功能有效集成在单一平台上， 综合解决不同网络层次的安全问题。以替代多个独立的网络安全设备，既简化 了网络部署、降低了成本，又提高了网络安全等级和管理效率。 针对上述问题，xxx 大学计算机科学技术研究所从 2001 年开始进行“高性 能多功能安全网关”相关领域研究，解决在高负荷网络流量(Gbps/Tbps)环境下， 具备防火墙、IDS、VPN、防 DDoS、内容过滤、防病毒、防蠕虫和防垃圾邮件 等综合安全功能的安全网关技术。2001 年，在国内首先推出了集成防火墙、 VPN、入侵检测、漏洞扫描等功能的多功能安全网关产品，并由此带动国内安 全行业在多功能安全网关技术革新的趋势。2002 年，在国内较早开始研究基于 网络处理器(Network Processor)的高性能安全网关技术，技术指标已达到国际先 进水平。2003 年，研究针对网络安全处理的实时操作系统技术，在系统通讯， 中断，存储管理，同步互斥等方面积累了丰富的设计经验。 2.2 国内外现状和发展趋势国内外现状和发展趋势 从 2002 年开始，针对网络的安全威胁越来越多，单一功能产品不能满足需 求，国内外开始推出一些多功能网关产品。但是大部分产品的集成度还不高， 安全功能和处理带宽的可伸缩性考虑得不够，配置管理的灵活性和单点故障容 错方面也还有待加强。尤为严重的是，随着网络流量的增加和安全工作负荷的 加重，安全网关容易成为高速网络中的瓶颈，尤其在处理应用层安全功能时性 能大幅下降，使得“All-in-One”(一体式安全)很难真正发挥作用 国外同类技术产品有：FortiNet、Symantec、Secure Computing、ServGate 和 NetScreen/Juniper 等。其中 FotiNet 功能较全，包含防火墙、VPN、防病毒等 功能；但主要针对百兆(100Mbps)网络环境，其性能不足以处理大流量网络数据， 在高速网络中成为瓶颈。其他几家采用的是软件模块，或者仅集成 12 项功能。 综上所述，能够集成多种安全功能，并具备高性能的安全网关设备，国外产品 也在发展过程中。 国内同类技术有联想、安氏等产品，大都集成防火墙、VPN、入侵检测等 1-2 种功能。不具备防病毒、防垃圾邮件功能，不能全面防护各种安全威胁。同 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 13 样它们也大都采用通用 CPU 架构，在高速网络环境下会成为网络瓶颈。 2.3 产业关联度分析产业关联度分析 2.3.1 促进网络应用促进网络应用的发展的发展 目前的网络安全设备由防火墙、反病毒软件、入侵检测、虚拟专用网、防 拒绝服务攻击、内容过虑软件、防蠕虫、防垃圾邮件的多种安全工具构成，产 品功能单一，购置成本高昂，配置、管理、维护、升级极其复杂，综合使用成 本很高，很多单位由于没有相应的技术人员或无力承担多种安全工具的购置和 使用费用，从而对重要的业务应用裹足不前。 xxx 的高性能多功能安全网关产品具有多种安全功能，单一产品就能满足 绝大部分客户的安全需要，购置使用成本相对较低，使用非常方便，该系列产 品的产业必将极大地促进我国互联网应用发展。以电子商务、电子政务为代表 的对安全性要求较高的网络应用将以此为契机迎来高速发展时期，应用的广度 和深度都会极大的提高。 2.3.2 推动安全技术更新换代推动安全技术更新换代 安全网关是一类重要的网络产品，它的成功研制必将推动并行处理和高速 交换技术、网络安全技术、网络管理技术、实时多任务操作系统技术等高新技 术国产化的发展。项目承担单位开发和生产的高性能多功能安全网关系列产品 更将有力的推动我国网络安全技术的进步与更新换代。 2.3.3 推动信息产业和网络经济的推动信息产业和网络经济的发展发展 安全问题和缺少服务质量（QoS）是基于 TCP/IP 协议的互联网最致命的两 大缺陷，严重制约了互联网的发展和重要商业应用的开展。长期以来安全和性 能更是一对难以协调的矛盾。 随着以高性能多功能安全网关的产业化和大面积应用，将从根本上优化互 联网的应用环境，在各类基于互联网应用高速增长的同时，将带动互联网本身 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 14 的建设，进而推动网络设备制造、电信业、互联网内容生产等相关信息产业的 发展。 随着国际互联网的飞速发展，不仅带动了传统经济的发展，同时也形成了 网络经济这一新兴的经济领域。向社会各行各业提供性能更好、价格更低、更 为安全的国产网络安全产品，不仅能推动我国计算机网络的发展，同时也能推 动网络经济的发展。 2.3.4 拉动传统产业的发展拉动传统产业的发展 作为网络建设主要设备的高性能多功能安全网关，特别是具有自主知识产 权的安全产品将成为军队、国家保密部门等敏感部门网络建设的关键因素。信 息技术对于传统工业而言具有倍增器和催化剂的作用，网络信息系统建设成功 后往往推动该行业的其他技术进步，作为建网关键设备之一的安全网关的生产 应被看作信息产业的基础工业。同时，由于安全网关技术牵涉到软硬件的设计、 实验与实现，它涉及到微电子、软件等多种核心技术，覆盖了科研、加工与制 造业等多个环节，对传统产业发展起到显著的拉动作用。 2.4 项目建设必要性项目建设必要性 2.4.1 是解决日益严重的网络安全问题的需要是解决日益严重的网络安全问题的需要 随着网络应用水平的提高，各种网络入侵、蠕虫病毒、垃圾邮件、DDos 攻 击等安全问题层出不穷。传统的安全技术仅针对一种或几种安全问题，迫切需 要一种能对各种安全问题综合防范的设备，提高目前的网络安全防护水平。 2.4.2 是适应网络带宽高速增长的需要是适应网络带宽高速增长的需要 安全网关在高速网络环境中成为网络瓶颈，影响到用户的正常网络使用。 需要高性能的安全网关，不仅能够进行 OSI27 层网络数据包的安全检查，而 且还具备高性能，保证网络通畅。 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 15 2.4.3 是网络应用进一步普及的需要是网络应用进一步普及的需要 基于现有技术解决多种网络安全问题的方法是将多个不同功能安全网关罗 列在网络边界上，这导致安全管理的复杂和成本高昂，安全设备的普及受到技 术人员和资金的限制，进而影响到网络应用的开展。因此，网络应用要进一步 普及，必须开发和生产能解决多种安全威胁的单一安全产品，真正做到简单易 用、价格合理。 2.4.4 是提高我国信息安全水平的需要是提高我国信息安全水平的需要 相对于高速发展的信息产业，中国的信息安全产品和服务市场的发展却很 滞后，自主版权的信息安全产品仅占市场份额的小部分。大量关键部门使用的 信息安全产品还是国外技术，尤其是高端产品，留下了较多隐患。需要研究自 主创新、具备国际先进水平的技术，打破国外高端产品的垄断，提高我国网络 安全综合防护水平。 在上述背景下，研究具有自有核心技术、高性能多功能的安全网关具备较 强迫切性，对提升国内网络安全综合防护水平有较好的促进作用。 2.5 项目建设可行性项目建设可行性 2.5.1 国家高度重视为项目建设营造了良好的外部环境国家高度重视为项目建设营造了良好的外部环境 2001 年，国家自然科学基金委启动了“网络和信息安全”重大专项，其中 网络安全设备的研制作为重点项目得到了重点支持。 2003 年，国家信息化领导小组再关于加强信息安全保障工作的意见(中 办发(200327 号)中，明确提出“加强信息安全技术研究开发,推进信息安全产业 发展” 。 2005 年 2 月，国家发展改革委办公厅发布了关于组织实施 2005 年信息 安全专项产业化有关事项的通知 （发改办高技2005270 号） ，对符合条件的信 息安全设备的产业化项目明确给予资金支持。 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 16 2.5.2 项目现有核心技术居国内领先地位项目现有核心技术居国内领先地位 本项目的核心技术由 xxx 大学计算机科学技术研究所和 xxx 集团公司的科 研小组研发，xxx 大学计算机科学技术研究所和 xxx 集团公司拥有完全自主知 识产权，其核心技术国际先进、国内领先，部分技术国际领先。 2.5.3 已初步具备产业化基础已初步具备产业化基础 项目承担单位具有较强的后续技术开发能力，具备丰富的项目建设经验和 组织能力，企业经济效益良好，资产负债在合理范围；项目建设资金已经落实； 项目建设方案经过了论证；产品研发、中试、生产的场地已经落实；主要原材 料等外部配套条件已经落实；项目已经具备开工条件。总之，本项目的产业化 基础已经具备。 2.5.4 市场前景广阔市场前景广阔 以互联网为代表的网络建设方兴未艾，网络安全问题日益突出，网络安全 需求空前高涨。 目前国内高性能多功能安全网关市场正处于上升期，应用的范围广泛，但 需求机构的装备量很低，据估算我国安全网关目前市场需求约为 3000 台左右， 预计将在未来 510 年内，这个需求将大幅增长，预计每年销售将达到 10，000 台以上。国际市场的需求保守估计将达到国内市场的 10 倍，预计在未 来 5 至 10 年内，每年销售将达到 100，000 台以上，市场前景非常广阔。 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 17 第 3 章项目的技术基础项目的技术基础 3.1 项目的技术基础项目的技术基础 本项目核心技术部分地继承了项目承担单位多年来在相关技术和产品的研 发成果，其中技术渊源比较密切的技术主要有以下几个方面。 3.1.1 密码应用开发密码应用开发 （1）研发标准化安全中间件，支持常用安全服务类型并具有可扩充性， 为密码（安全）供应商的密码模块提供可替换的接口，为用户提供通用 安全调用接口； （2）研发高速、接口规范的密码卡； （3）研发密码管理系统，解决内网与外网交互中信息控制问题； （4）应用国家 973 工程项目研究成果“KDP（新型密钥分发协议） ” ，研 发新型 VPN（虚拟专用网络）系统。 3.1.2 网络攻防技术研究网络攻防技术研究 （1）基于具有自主知识产权的网安软硬件底层平台，研发入侵检测、网 络监控、VPN、无线、网络测试等高速网安设备，以及针对下一代互联 网（如 IPv6、SIP 等）的网络安全技术和相关设备； （2）深入研究基本入侵检测、复杂入侵检测、入侵报警关联、漏洞扫描 与修补、安全反应、攻防知识库建模与构建等技术，在基本入侵检测系 统的基础上，构建一个完整的入侵检测体系，使其能够实时准确地给出 当前的安全态势、攻击者的攻击场景，并能预测出攻击者的攻击意图和 下一步规划。另外结合漏洞扫描和修补、安全反应等技术，构建一个完 整的主动防御系统，并开发相应的产品； （3）深入研究分布式拒绝服务攻击防范技术，研究源端、骨干网、受攻 击端，自主式、协作式、资源耗尽型、带宽耗尽型等分布式拒绝服务攻 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 18 击的防范方法，开发千兆网络下的下一代 DDoS 攻击防范技术和产品 （SynGate） ； （4）研发成功安全邮件网关产品，实现实时的安全邮件过滤，支持多种 附件和邮件格式。并对重点客户进行了上线，受到客户的极大好评。 （5）研发完成防虫墙产品，能够防止和阻断蠕虫攻击，并对网络数据进 行在线杀毒，是一个实时的安全病毒网关产品； （6）研发成功基于网络处理器技术的高性能的千兆防火墙产品，完成实 时网络操作系统的研究，掌握基于网络处理器技术的网络安全产品的软 件框架设计，解决并行处理，操作系统间通讯，信号中断等多项软件设 计开发课题。 3.1.3 计算机犯罪取证计算机犯罪取证 （1）将目前研制成功的计算机与网络犯罪证据固定与保全技术进行实用 化，研究支持多平台/多介质/多接口的便携式取证技术，提高取证技术 的易用性、适应性； （2）开展计算机取证协议与步骤的标准化研究； （3）开展计算机犯罪证据的提取与分析技术研究，开发相应的实用化产 品。 3.1.4 安全测试与评估安全测试与评估 （1）开发百万级 IP 和连接的骨干网网络流量（分布式）仿真和测试系 统； （2）研发流量分布、流向、协议组成等比例可调的网络仿真和测试技术； （3）研发高精度网络仿真与测量技术，系统同步、流量发生的时间精度 控制在 100 纳秒以内，允许针对不同的数据包或连接对设备功能/性能进 行精确测量。 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 19 3.2 成果来源及知识产权情况成果来源及知识产权情况 xxx 大学计算机科学技术研究所曾经多次承担 863 计划课题、国家科技攻 关计划课题、国家火炬计划课题等多种国家级信息安全研究课题，积累了大量 的安全研究成果，培养了一大批安全研发人员。在此基础之上，xxx 大学计算 机科学技术研究所联合 xxx 集团公司共同研发了基于同构多处理架构的高性能 多功能安全网关系列产品，项目的知识产权由 xxx 大学计算机科学技术研究所 和 xxx 集团公司共同拥有。 3.3 项目主要安全技术简介项目主要安全技术简介 3.3.1 防火墙防火墙 3.3.1.1防火墙的概念防火墙的概念 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或 网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的 唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息 流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息 安全的基础设施，有效地监控了内部网和 Internet 之间的任何活动，保证了内 部网络的安全。 3.3.1.2防火墙的基本功能防火墙的基本功能 （1）防火墙是网络安全的屏障 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性， 并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能 通过防火墙，同时可以保护网络免受基于路由的攻击。 （2）防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、 身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比， 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 20 防火墙的集中安全管理更经济。 （3）对网络存取和访问进行监控审计 防火墙记录下所有经过的访问这些访问并作出日志记录，同时也能提供网 络使用情况的统计数据。防火墙能进行适当的报警，并提供网络是否受到监测 和攻击的详细信息。 （4）防止内部信息的外泄 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而 限制了局部重点或敏感网络安全问题对全局网络造成的影响。防火墙就可以隐 蔽那些透漏内部细节如 Finger，DNS 等服务。 3.3.1.3防火墙的种类防火墙的种类 防火墙根据技术防范的方式和侧重点分为以下类型： （1）分组过滤型防火墙 分组过滤或包过滤在网络层和传输层起作用。它根据分组包的源、宿地址， 端口号及协议类型、标志确定是否允许分组包通过。所根据的信息来源于 IP、TCP 或 UDP 包头。包过滤的优点是不用改动客户机和主机上的应用程序， 因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：据以过 滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足； 在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能 会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如 UDP、RPC 一类的协议；另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户 界面较差；对安全管理人员素质要求高，建立安全规则时，必须对协议本身及 其在不同应用程序中的作用有较深入的理解。 （2）应用代理型防火墙 应用代理型防火墙也叫应用网关(Application Gateway)，是内部网与外部网 的隔离点，起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功 能。它工作在 OSI 模型的最高层，掌握着应用系统中可用作安全决策的全部信 息。 （3）多功能防火墙 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 21 由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法 结合起来，形成多功能防火墙产品。这种结合通常是以下两种方案。 屏蔽主机 防火墙体系结构：在该结构中，分组过滤路由器或防火墙与 Internet 相连，同 时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的 设置，使堡垒机成为 Internet 上其它节点所能到达的唯一节点，这确保了内部 网络不受未授权外部用户的攻击。 屏蔽子网防火墙体系结构：堡垒机放在一个 子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一 子网与 Internet 及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和 分组过滤路由器共同构成了整个防火墙的安全基础。 3.3.1.4防火墙的局限性防火墙的局限性 存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙 的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成 与 Internet 的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病 毒的威胁。 3.3.2 虚拟专用网络虚拟专用网络 3.3.2.1虚拟专用网概念虚拟专用网概念 虚拟专用网（Virtal Private Network，VPN）不是真正的专用网络，却能够 实现专用网络的功能。虚拟专用网络是指依靠 ISP（Internet 服务提供商和其他 NSP（网络服务提供商）在公共网络中建立专用的数据通信网络的技术。在虚 拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链 路，而是利用某种公众网的资源动态组成的。所谓虚拟，是指用户不再需要拥 有实际的长途数据线路，而是使用 Internet 公众数据网络的长途数据线路。所 谓专用网络，是指用户自己制定一个最符合自己需求的网络。 VPN 是在 Internet 上临时建立的安全专用虚拟网络，为用户节省了租用专 线的费用。Internet 是一个全球性和开放性的、基于 TCP/IP 技术的、不可管理 的国际互联网络，随着电子商务的蓬勃发展，基于 Internet 的商务活动就面临 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 22 非善意的信息威胁和安全隐患，虚拟专用网技术是解决问题的关键。 3.3.2.2VPN 的功能与特点的功能与特点 （1）安全保障 VPN 应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接 的公用 IP 网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以 利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者 和接收者了解，从而保证了数据的私有性和安全性。 （2）服务质量保证（QoS） VPN 网应当为企业数据提供不同等级的服务质量保证。对于拥有众多分支 机构的专线 VPN 网络，交互式的内部企业网应用则要求网络能提供良好的稳定 性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及 误码率等。在网络优化方面，构建 VPN 的另一重要需求是充分有效地利用有限 的广域网资源，为重要数据提供可靠的带宽。QoS 通过流量预测与流量控制策 略，可以按照优先级合理地分配带宽资源，实现带宽管理，使得各类数据能够 被先后发送，并预防阻塞的发生。 （3）可扩充性和灵活性 VPN 必须能够支持通过 Intranet 和 Ext ranet 的任何类型的数据流，方便增 加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据 等新应用对高质量传输以及带宽增加的需求。 （4）可管理性 VPN 管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等 优点。主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS 管 理等内容。 3.3.2.3VPN 实现技术实现技术 由于传输的是私有信息，VPN 用户对数据的安全性都比较关心。 目前 VPN 主要采用四项技术来保证安全，这四项技术分别是隧道技术 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 23 （Tunneling） 、加解密技术（Encryption 作业员操作是否严格按照 SOP 执行；电源、电气 设备保养、维护有无按照要求实行；有无易燃、易爆物在作业现场， 处理是否得当。 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 74 6.4.1.3产品检测标准产品检测标准 每批硬件产品的生产都有下列工序：老化测试（48 小时） 、压力测试（96 小时） 、排他测试、性能测试（4 小时） 、终检。 排他测试委托国家电子计算机质量监督检验中心测试，每批生产按照 10- 厂商信息 基本资料审核 送 样 送样认证 质量记录 定期评审 下 单 结 束 N Y N N 改善计划 现场审核 评 定 Y N 批量生产 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 75 20%的比例抽检。抽检的机器按照报废处理，不得销售。方正是业内第一家每 批产品都通过检测的厂商。 主要测试有下列项目： 振动试验；依照 GB/T98132000微型计算机通用规范中环境试验振 动试验标准，检测方正防火墙产品抗物理振动可靠性。 跌落试验；依照 GB/T98132000微型计算机通用规范中环境试验运 输包装件跌落试验标准，检测方正防火墙产品抗运输损坏的可靠性。 脉冲抗扰试验；依照 GB/T176181998 中电磁兼容性检验电快速瞬变脉 冲群抗扰度试验标准，检测方正防火墙产品是否达到 B 级标准。 浪涌抗扰度试验；依照 GB/T176181998 中电磁兼容性检验浪涌冲击抗 扰度试验标准，检测方正防火墙产品是否达到 B 级标准。 6.4.2 产品定位产品定位 方正多功能安全网关产品是采用先机的多处理起技术，针对国内外具体应 用环境，推出的全系列安全网关产品。 方正多功能安全网关产品包括防火墙、入侵检测、虚拟专用网、网关防病 毒等功能模块。以防火墙功能为基础平台，以其他的安全模块为多层次应用环 境，构筑了一套完整的立体的网络安全解决方案。 防火墙功能是其他安全功能的基石，是构筑网络安全的闸门。方正安全网 关内核采用先进技术，可以对多种网络对象进行有效的访问监控，为网络提供 高效、稳定的安全保护。 入侵检测功能是网络安全的第二道防线，它通过监视网络中的数据包来发 现黑客的入侵企图。目前，方正安全网关可以实现对 20 多类 1000 多种攻击方 式的鉴别。作为网络安全的重要环节，入侵检测功能可以实现和防火墙功能互 动，在入侵检测发现入侵行为时立即通知防火墙自动生成规则，在第一时间封 禁网络攻击。 虚拟专用网（VPN）功能使用隧道技术（Tunneling） 、加解密技术 （Encryption & Decryption） 、密钥管理技术（Key Management） 、使用者与设备 身份认证技术（Authentication） ，实现了在公共网络中建立专用网络，数据通过 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 76 安全的“加密通道”在公共网络中传播。虚拟专用网功能模块包括软件加密和 硬件加密，例如：使用 IPSEC 技术进行隧道通讯，使用 3DES 技术等进行加解 密，使用 IKE 进行密钥管理，使用 X.509 进行身份认证等。 方正多功能安全网关产品具备对应用层协议过滤、对蠕虫特征识别、阻断 病毒传播等功能，实现了应急响应、即时切断病毒传播途径的作用。在网络边 界上将病毒阻挡在内网之外，提高了对病毒的防范能力。 方正多功能安全网关产品除防火墙、入侵检测、虚拟专用网、网关防病毒 功能外，还提供多种网络增值功能，可灵活适应多种网络环境，便于用户对网 络进行管理，是一套完整的网络安全解决方案。 6.4.2.1产品线产品线方案方案 方正多功能安全网关产品分为 3 个系列，面向不同层次用户，满足不同用 户的需求。 （1）专业级 专业级安全网关面向中小企业和单位。 具备网络访问控制、入侵检测、虚拟私有网功能，兼容多种路由协议，支 持多种网络接入方式，提供带宽管理、地址转换等网络管理功能，既能提供全 面的网络安全防护，又可灵活方便的在各种网络环境下实施。 典型应用环境包括金融、电信、军队、政府、电力、教育等行业，以及网 站、中小企业上网等情况。 产品参数：产品参数： 标配 4 个 10/100M 自适应以太网接口，符合 IEEE802.3 10Base-T 和 IEEE802.3 100Base-TX 标准 产品规格： 网络接口：10/100MB(RJ45) *3 输入电压：200-240V 工作温度：1040 相对湿度：40%90% 产品尺寸：420mm380mm44mm 产品认证：CCEE GB/T9813-2000 GB9254-1998 GB/T17618-1998 GB17625.1-1998 GB/T19019-1999 产品型号：产品型号： 3000：1U 机架式设备，10/100M 自适应网络接口4 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 77 （2）企业级 企业级面向大中型企事业和政府单位。 具备网络访问控制、入侵检测、虚拟私有网、网关防病毒等全面的安全防 护功能外，还提供集中管理、用户认证以及强大的日志功能便于大型企业的安 全管理。适于拥有较大规模内部局域网的企业用户的内部网络隔离和接入安全 防护。 典型应用环境包括金融、电信、军队、政府、电力、教育等行业，以及网 站、企业上网等情况。 产品参数：产品参数： 5U 上架型机箱，配备 4-8 个 10/100M 自适应以太网接口，符合 IEEE802.3 10Base-T 和 IEEE802.3 100Base-TX 标准 硬件产品规格： 网络接口：10/100MB(RJ45) *4/6/8 输入电压：200-240V 工作温度：040 相对湿度：40%90% 产品尺寸：396mm430mm44mm 产品认证：CCEE GB/T9813-2000 GB9254-1998 GB/T17618-1998 GB17625.1-1998 GB/T19019-1999 产品型号：产品型号： 6000：5U 机架式设备，10/100M 自适应网络接口4/6/8 （3）电信级 电信级为拥有大型网络主干网或者提供重点网络应用服务的大型服务器 （群）的用户提供了安全、高效的选择。 具备强大的网络访问控制、入侵检测、虚拟私有网、网关防病毒等全面的 安全防护功能外，还提供集中管理、第三方入侵检测产品互动、VLAN 和多路 由协议支持等大型复杂网络必需的管理功能。 典型应用环境包括电信等部门的骨干节点和企业、政府、大型行业网络、 小区等宽带接入节点。 产品参数：产品参数： 电信级配备 2-6 个标准 1000M 以太网/光纤接口，符合 IEEE 802.3z 1000Base-SX/LX 和 IEEE 802.3ab 1000Base-T 标准 硬件产品规格： 网络接口：10/100MB(RJ45) *15 1000MB (1000-Base-SX/1000-Base-LX/1000Base-T 基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 78 可选)*26 输入电压：200-240V 工作温度：535 相对湿度：20%90% 产品尺寸：484.0mm649.0mm218.4mm 产品认证：CCEE GB/T9813-