二、项目实施内容、必要性、先进性、可行性及成熟性分析

二、项目实施内容、必要性、先进性、可行性及成熟性分析 历下区科技发展 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 项目可行性研究报告 项目名称:虚拟安全网络研制开发 领 域:电子信息 起止时间:2006.3.1—2006.11.1 历下区科学技术局 二OO五年三月 一、公司基本情况 公司成立于2000年，主要从事全热线式彩票投注机系统及加密型刀片服务器等信息安全产品研发、生产、销售，并提供相应解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 的高新技术企业。公司是国家密码管理委员会批准的商用密码产品生产、销售定点单位，同时又是济南市高新技术示范企业。公司始终坚持“以人为本，以客为尊、持续改善、创新发展”的经营理念。公司先后成功开发了基于安全证 书 关于书的成语关于读书的排比句社区图书漂流公约怎么写关于读书的小报汉书pdf 的电子商务支付平台、彩票电话投注系统、电话加密机、加密邮件、电子钱包及宽带网系列边缘接入机(具有网管及计费功能)等十几项高科技产品。公司于2003年8月份通过双软企业认定。 公司位于济南高新开发区齐鲁软件园内。现有员工50余人，中级职称以上占70%，其中有博士、硕士若干人，研发人员占50%，是一支有激情、有活力、善于学习的团队。公司具有很强的安全产品研发能力，研发的SJY60加密服务器填补了国内空白，处于国内领先水平。2000年底，公司与中国网通山东通信公司合资成立山东开创纪元电子商务有限公司，公司提供电子商务解决方案、短信平台及语音邮件平台的运营与服务、电信系统技术支持与服务。 公司拥有良好的公司治理能力和运作管理机制，公司在上级部门的正确领导下，正在健康、阔步的向前发展。经过几年的发展，公从最初的100万元资产，到如今资产总额超过两千万，从小到大，走出了一条以科技为主导，促进企业发展壮大的科技之路。热线式电脑福利彩票投注系统在山东省内已累计投放2800多套，累计增加福利彩票销售额5亿多元，公司实现产品销售收入1000多万元。2005年1月，公司与河北省电脑福利彩票销售中心签订合同1000套，预计两年内销售3000套。SJY60加密服务器预计2005年将会实现销售额5000万元。 二、项目实施内容、必要性、先进性、可行性及成熟性分析 2(1项目实施内容 基于正鲁加密卡的虚拟私有网系统(以下简称ZL-SLAVEVPN)是公司继刀片服务器研制成功推广后提出的针对互联网安全的又一解决方案。 虚拟私有网(Virtual Private Network ,VPN)，又称虚拟私有拨号网(Virtual Private Dialup Network ,VPDN)，是近年来随着Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源来进行促销、销售、售后服务，乃至培训、合作等活动。许多企业趋向于利用Internet来替代它们私有数据网络。这种利用Internet来传输私有信息而形成的逻辑网络就称为虚拟私有网。 虚拟私有网实际上就是将Internet看作一种公有数据网(Public Data Network)，这种公有网和ISDN/PSTN网在数据传输上没有本质的区别。因为从用户观点来看，数据都被正确传送到了目的地。相对地，企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。至于“虚拟”，则主要是相对现存企业Intranet的组建方式而言的。通常企业Intranet相距较远的各局域网都是用ISDN/PSTN物理线路相连的，而虚拟私有网提供的是Internet上的虚拟链路。 这种利用Internet来组建私有网的方式对Internet服务提供商(ISP)和VPN用户都是有益的。使用VPN技术架设的网络相对于专线连接或ISDN/PSTN接入方式可以为用户带来诸多的优点。 1(费用低廉 对于VPN用户而言，利用Internet组建私有网，将大笔的专线费用缩减为少量的市话费用和Internet费用，无疑是非常有吸引力的。如果愿意，企业甚至可以不必建立自己的广域网维护系统，而将这一繁重的任务交由专业的ISP来完成。 2(高安全性 虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据 进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。 ZL-SLAVEVPN系统是一款基于正鲁加密卡专门为B/S和C/S结构网络应用系统提供身份认证、传输安全和访问控制功能的SSL VPN系统。ZL-SLAVEVPN是基于数字证书和SSL技术实现的独立的安全系统，无需改变应用系统的网络结构和应用模式，不但能为WWW应用提供身份认证、传输加密和访问控制的安全功能，还能为OA、数据库等C/S模式的应用系统提供身份认证和传输加密功能。因此，正鲁ZL-SLAVEVPN以快速简捷的应用方式和突出稳定的性能，为广泛应用中的B/S和C/S模式的应用系统提升安全能力，保障业务应用系统的安全。ZL-SLAVEVPN系统是一套安全的信息系统，是在不改变现有应用系统结构和用户的使用习惯已及与正常访问兼容的基础之上。如果集成应用SJY60加密服务器与SSL VPN技术，还能进一步为企业的信息系统提供强有力的安全保障，并在移动接入、分支机构网络等方面为企业节省成本，带来直接的效益。 典型的VPN组网示意图如下: 2(2项目的必要性 VPN产品的市场需求将迅速增加。我国对信息产业新增投入巨大，信息化(尤其是政府信息化)将在未来五年成为VPN产品市场发展的“助推器”。 当前信息化企业巨大的数据库和强大的应用，已经是企业竞争力的重要部分。企业的应用更加多样，包括CRM、ERP、OA和各种行业应用系统。而企业网的外延也不断扩大，其用户不仅是企业内部的管理者和员工，也包括了企业外部的合作伙伴，甚至包括企业的客户，如供应链管理系统、人力资源外包、客户服务系统和企业电子商务系统。 随着公司业务的迅速发展，各地分公司、办事处也相继多了起来，信息交互也越来越频繁，随着企业应用系统的实施，重要的数据和信息在网络中传输也也来越多，安全性要求也越来越重要，目前仅仅依靠Modem拨号、ADSL以及专线的组网模式已经越来越不适应企业对信息传输平台的要求了。 从经济角度考虑，电信部门提供的专线组网方式费用比较昂贵，如果企业是一个快速发展的现代企业，拥有多家分支机构，相关需要联网的网点数目比较多，分部地区比较广，信息交互比较频繁，每月的巨额通讯费用和专线租用费会给企业带来很大的压力。 从安全方面考虑，电信部门提供的帧中继、MPLS VPN、DDN、ADSL等传输平台没有经过加密处理，重要数据和信息均是以明文在网上传输，如果别有用心的人利用Sniffer等网络监听分析工具，极易篡改、窃取甚至破坏企业数据，给企业造成不可估量的损失;由于传输平台没有认证功能，企业内部员工的越权访问、误操作、有意或无意的泄密、甚至是少数员工恶意的破坏，都会对企业的信息和数据造成很大的威胁;由于传输平台没有访问控制和安全隔离的功能，给外部非法人员提供了入侵的机会，非法人员可以通过专用的黑客程序(此类工具在Internet上可以免费下载)，或者盗取授权员工的访问权限，进入公司网络系统内部，让“网络巨人折戟沉沙，使系统安全溃于蚁穴的”。假若企业分支机构和联网网点数目众多，知名度大，则受攻击的几率就会相对加大，一旦通过计算机终端进入公司总部服务器，后果将不堪设想。 从管理方面考虑，若企业处于高速发展阶段，拥有的分支机构和计算机终端较多，面临最紧迫的问题就是信息的汇总、分支机构的信息交互以及计算机终端的集中管理。DDN、ADSL等组网方式由于本身的技术限制，不可能提供强大的管理平台，也不可能解决大规模的应用和管理问题。 SSL VPN不仅实现成本低，而且还可以确保用户随时随地通过任何接入设备 (只要可以浏览互联网)接入企业信息网。SSL VPN是平衡访问自由度和安全性的出色解决方案，“无客户端软件”的技术使其易于使用和维护。 ZL-SLAVEVPN是客户服务器模式的SSL VPN解决方案，它是实现企业远程接入的最佳方法。目前市场上没有同类产品，它不仅解决了IPSEC VPN难以实施、布局问题，同时也解决了SSL VPN只能面向WEB应用的问题。 2(3项目技术创新性 ZL-SLAVEVPN主要有以下创新点: 1、 采用优化的ZL-LINUX系统 由于VPN在网络环境中的位置类似于路由器，所以VPN服务器的性能直接影响到用户对网络的访问性能。VPN要发展其性能至少不应该低于传统方法，但是目前市面上的VPN产品其性能扩展性没有好的解决方案。尽管网络速度不断提高，但在Internet时代，随着电子商务活动的激增，网络拥塞经常发生，这给VPN性能的稳定带来极大的影响。ZL-SLAVEVPN解决方案不仅能够让管理员定义管理政策来激活基于重要性的出入口带宽分配，同时可以通过采用公司定制优化的ZL-LINUX操作系统达到最佳的网络性能和最高的系统安全。 2、 采用Client/Server SSL VPN SSL VPN技术是一项新技术，在网络安全领域发展很快，公司在SSL VPN的基础上进行了深度研发，实现了Client/Server SSL VPN，不仅具备SSL VPN的所有优点，同时扩充了VPN的更多功能，除了采用强身份认证以外，引入设备安全扫描将实现最大的安全性。 3、 安全通道不仅对WEB应用安全，对所有应用都是透明的 公司自主开发的SSL VPN网关技术对SSL VPN应用进行了拓展，安全通道不仅仅限于B/S应用，C/S应用同样可以。 4、 高速加密模块 ZL-SLAVEVPN采用正鲁研发的加密卡，加密卡模块使用Mini-PCI接口，主要实现加解密运算以及服务器私钥的保护。主要有MPU芯片、RSA算法芯片、密钥生成芯片、对称算法。高速加密模块可以对RSA算法每秒处理70笔，对称算法达到60MBPS。 2(4、项目的可行性和成熟性 公司SSL VPN网关ZL-SLAVEVPN系统基于传统的SSL VPN进行研发，是一个非常完美的SSL VPN解决方案。目前，SSL VPN技术正在迅速走向成熟，而且它正处于兴盛期。 ZL-SLAVEVPN不是一个传统意义上的WEB代理服务器，而是将SSL VPN和防火墙结合为一体的VPN网关设备。ZL-SLAVEVPN可以基于不同网络进行各种各样的灵活配置，其包括远程访问，点对点VPN网，WiFi安全，基于负载均衡和用户细粒度访问控制的企业网远程访问等等。网关ZL-SLAVEVPN在软件方面基于 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 的SSL/TLS协议结合虚拟网卡技术实现了OSI 第3层(IP层)的网络安全扩展，支持基于证书(或智能卡)的客户端双向认证 方式，并且使用防火墙规则来进行用户或群组的访问控制。ZL-SLAVEVPN项目软件技术方面已比较成熟，不仅具有可行性而且已经具有较高的稳定性和可靠性。 综上所述，该产品的研发没有技术风险，开发会在可控的时间和资源内进行。SSL VPN是公认的新一代VPN产品，符合VPN发展的趋势，该项目唯一的风险应该是市场竞争的风险，目前国内开发VPN的厂家很多(基于SSL VPN的不是很多)，但是只有先进的产品才能在市场上独领风骚。 基于客户服务器模式的SSL VPN是公司的自主知识产权开发，公司正在申请相关专利，由于其安全性高、扩展性好、投入成本更低、方便实施和升级等特点，相信该产品会有广阔的市场空间。 三、项目产品市场调查与竞争力预测 3(1目前国内外技术、产品发展现状 现今使用的大多数SSL VPN不需要安装客户端软件。远程用户只需借助标准的浏览器连接Internet，即可访问企业的网络资源。这样尽管购买软件和硬件的费用不一定低，但是 SSL VPN的部署成本却很低。只要安装了SSL VPN，基本上就不需要IT部门的支持了，所以维护成本可以忽略不计。对于那些只需进入企业内部网站或者进行E-mail通信的远程用户来说，SSL VPN显然是一个价廉物美的选择。此外，SSL VPN连接要比IPSec VPN更稳定，这是因为IPSec VPN是网络层连接，故容易中断。 除此之外，SSL VPN还具有以下技术优势。 1. 适用大多数设备:基于Web访问的开放体系可以被任何运行标准浏览 器的系统所访问，包括非传统设备，如可以上网的手机和PDA通信产 品。适用于大多数操作系统:不管是Windows、Macintosh、UNIX还 是 Linux，只要运行标准的浏览器，都可以支持SSL VPN对企业内部 网站和Web站点进行访问。 2. 良好的安全性:SSL VPN访问的并不是网络的真实节点，而是被代理 的内部资源，这种方法较为安全。 3. 较强的资源控制能力:SSL VPN为远程访问用户提供较细粒度的资源 访问控制。 4. 绕过防火墙和代理服务器:基于SSL VPN的远程访问方案可以绕过防 火墙和代理服务器访问企业网资源，这是基于IPSec VPN的远程访问 很难做到的。 上面介绍了SSL VPN技术的优势，不过SSL VPN并非完美无缺，以下是现今使用的大多数SSL VPN技术的劣势: 1. 依靠Internet进行访问:远程用户的Web浏览器依靠企业的服务器访问 所有进程。如果Internet没有连通，远程用户就不能与总部网络进行连 接，只能单独工作。 2. 有限支持Windows应用及其他非Web系统:大多数SSL VPN都是基于Web 浏览器工作的。虽然有些SSL提供商已经开始合并终端服务来支持非Web 应用，但是目前大多数SSL VPN方案还未正式提出全面支持。 3. 有限的安全保障: SSL VPN只对通信双方的某个应用通道进行加密，而 不是对在通信双方的主机之间的整个通道进行加密。在通信时，很难保 证其他文件不被暴露，因此存在一定的安全隐患。 4. SSL VPN的认证方式比较单一:只能采用证书，一般只是单向认证，支持 其他认证方式往往要进行长时间的二次开发，相比之下，IPSec VPN认证 方式更为灵活。SSL VPN通常不能实施访问控制，在建立隧道之后，管理 员对用户不能进行限制。如果用户需要实现网络到网络的安全互联，只 能考虑采用IPSec VPN。最后，SSL VPN是应用层加密，性能比较差，需 要使用加速装置。 ZL-SLAVEVPN继承了SSL VPN的所有优势，同时由于采用Client/Server SSL VPN模式，利用SSL VPN网关技术，它克服了SSL VPN的劣势。应该说ZL-SLAVEVPN是目前VPN的最佳解决方案。 3(2市场需求 以Internet网为主体的信息高速公路的迅猛发展，正以前所未有的速度和能力改变着人们的生活和工作方式，我们真正处于一个“信息爆炸”的时代。一方面，Internet网使得人们能够跨越时空的限制，为学习、生活和工作带来空前的便利;另一方面，面对信息的汪洋大海，人们往往感到无所适从，出现“信息迷向”的现象。特别是，Internet网是一个无国界的虚拟信息社会，现实社会中的各种问题都会在Internet网上通过电子手段予以重现，信息犯罪愈演愈烈。网络的开放性，互连性，共享性程度的扩大，使网络的重要性和对社会的影响也越来越大，网络安全问题变得越来越重要。 目前，随着通讯技术、计算机技术、网络技术的应用普及和加深，许多员工的办公不再仅仅局限于同一物理位置上的办公，即使在办事处、分支机构、出差在外、在家中，均可像在公司总部办公一样协同工作。尤其是出现自然因素(如“非典”原因)而导致员工需要远程协同办公，这就需要建立一个安全、快捷、经济、方便的信息交互平台，来传输远程办公员工与公司之间的信息交流。 随着Web应用的增多以及远程接入需求的增长，SSL VPN正在成为一个热门市场。尽管当前的大多数远程访问解决方案是利用IPSec VPN来实现的，不过最 近的一份调查报告指出，大约90%的企业利用IPSec VPN只是用来进行电子邮件通信以及访问Web应用，只有10%的用户利用IPSec VPN访问非Web应用。这份报告说明，目前90%的IPSec VPN应用都可以被SSL VPN来实现，而SSL VPN更加容易配置和管理，实现成本要比IPSec VPN低很多。 Infonetics预测，在未来几年，SSL VPN设备的全球销售将会出现持续增长，到2005年，SSL VPN会出现8.4亿美元的市场。为了在SSL VPN这一新兴市场中占据鳌头，专注于移动通信的诺基亚不惜斥巨资收购了多项核心技术，着力打造移动商务应用。许多IPSec VPN厂商也开始重新思考产品战略。在IPSec VPN市场上占据重要地位的Check Point认为，SSL对于需要通过企业网与业务合作伙伴交换数据但又不想安装VPN客户端的用户来说非常理想，为此Check Point既发布了独立的SSL VPN方案，同时也在传统的IPSec VPN产品中增加了SSL功能。公司将自主开发的SSL VPN网关ZL-SLAVEVPN作为一项单独的产品推出，并且积极将无客户端的VPN功能集成到网关安全设备当中，其市场空间无疑是非常巨大的。 3(3竞争力分析 公司最新自主研发的SSL VPN网关ZL-SLAVEVPN在传统的SSL VPN技术的基础上进行了进一步的扩展。ZL-SLAVEVPN将会引导VPN发展的潮流。 , 支持TCP/UDP的C/S和B/S应用; , 支持基于数字证书的强身份鉴别; , 提供基于SSL协议的安全传输通道; , 支持第三方CA; , 支持SSL硬件加速处理; , 提供基于加密卡加固系统平台和IDS技术的安全功能; , 提提供针对应用服务的安全保护和管理。 ZL-SLAVEVPN真正方便的解决了企业信息系统当前面临的首要问题和最大隐患:边界安全防御与链路传输的加密。 ZL-SLAVEVPN不仅在IP层实现了通信双方主机之间的整个通道加密，而且实现了双方主机之间的双向认证和SSL静态密钥认证(双重认证)，使用户可以更安全地访问基于IP的任何应用(WEB应用和非WEB应用)，克服了现今SSL VPN 的大多数缺点，可以替代现有的IPSec VPN网关。 ZL-SLAVEVPN与同类产品相比，主要有以下特点: , 方案完善 ZL-SLAVEVPN针对B/S和C/S应用模式而设计，全面解决基于TCP和UDP协议的网络应用的远程安全访问，是当前基于SSL的最新的安全综合解决方案。目前市场上没有同类产品。 , 应用简捷 ZL-SLAVEVPN安装简单、易于操作，无需安装管理端和客户端软件，只需启动浏览器，可以快速配置和应用;不改变原有应用的网络结构和应用模式，适合各种复杂网络环境。 , 功能全面 ZL-SLAVEVPN具有认证加密、访问控制、安全信息备份、硬件加速和DDOS攻击等多种安全功能 , 安全性高 ZL-SLAVEVPN采用先进成熟的SSL、CA等安全技术，使用加固的安全系统平台和IDS技术，通过严格的应用测试，具有较好的安全性和稳定性。加解密算法都有专用芯片硬件实现。 , 高速稳定 ZL-SLAVEVPN采用高级线程技术和Cache技术，优化了密码处理模块，支持SSL硬件加速，保证了系统的高性能;同时还可以采用刀片技术，可以不断满足用户日益增长的业务需求。 , 通用性强 采用基于C的实现技术，具有很好的可移植性，支持Windows、Linux和Unix等多种操作系统平台，系统的通用性强。 , 扩展性好 同时支持多个后端Web应用，支持第三方标准数字证书和多种硬件数字令牌，具有很好的可扩展性。因此，公司的ZL-SLAVEVPN将具有很强的市场竞争力。 四、项目实施方案 4(1项目总体方案 4.1.1 ZL-SLAVEVPN项目设计原则和设计思想 系统的总体设计思想是要体现技术的先进性和决策的前瞻性，着力于“实用性、高起点、前瞻性、扩展性”。具体的我们遵循了以下原则: 安全性原则 随着计算机网络技术的提高，网络的安全性也越来越值得人们注意和防范，在该方案中，公司时刻强调高度的安全性。我们在进行系统设计时将提供多种手段保障系统的安全，对相关的网络设备、主机系统、应用数据库提供严密的保护。同时，采用国际上最新的主流SSL VPN技术，确保用户能充分利用网络的互通性和易用性，同时可以为用户尽可能地降低系统投入成本，实现高效益。 网络安全需要依靠综合手段才能够实现。一方面需要好的安全技术产品，好的安全策略;另一方面，更为重要的是要有完善的安全管理制度。从技术角度来看，一个完善的网络安全系统应该包括以下三个方面: 1. 安全防护 2. 主动安全评估 3. 安全实时监控 安全防护就是通过防火墙和网络物理隔离等设备，对进出网络的数据包进行控制;同时在应用、主机上限制非法用户进入，或者用户越权访问。 主动安全评估是基于安全防护的基础上进行的，在通过了安全防护之后，可以借助安全工具或者是有经验的安全专家来进行安全评估。 安全实时监控也是属于主动防御范畴。指在我们对网络上的各种行为进行监控，例如黑客攻击一个系统之前，往往需要了解这个系统的结构或者漏洞，他们往往会利用网络扫描工具对某个网段或者主机进行扫描，实时监控系统能够检测到这类行为。 我公司坚持以高度安全性为基本原则，有效地防止网络的非法侵入，保护关键的数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。 实用性原则 系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面，又采用国际上最先进的SSL VPN技术，使系统完成后，保持一定时期的领先地位。尤其是采用了目前国际上领先的SSL VPN“安全网关”技术，将“Firewall+SSL VPN+IDS”技术的充分糅合，较单纯的Firewall技术具有不可比拟的优势，体现在:不仅具有FireWall的保护内网、提供服务的功能，而且利用SSL VPN技术，可以解决Firewall所不能解决的外网用户的安全接入问题，同时可以不受接入数量限制，这使整个网络系统的可用性大幅度提高。利用IDS技术，不仅强化了本身的抗攻击能力，而且可以与IDS系统互动。实用性原则既要做到先进技术与现有成熟技术相兼顾，又要使系统的高性能与实用性相结合。 可靠性原则 ZL-SLAVEVPN是企业内网的门户。它的稳定可靠关系重大，特别是具体业务项目。随着使用的普及，信息平台的运行不稳定甚至瘫痪将严重影响企业的形象，也将给为企业带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。保证系统、网络和数据的稳定可靠性是产品性能的重要指标，采用负载均衡等技术就是其中的重要策略。 可扩展性原则 网络安全互联建设应该是统一 规划 污水管网监理规划下载职业规划大学生职业规划个人职业规划职业规划论文 、分步实施、逐步完善的的过程。我公司在ZL-SLAVEVPN方案的设计中充分考虑它的可扩展性，在实现基本的网络互联以及被动防护系统和信息传输加密的前提下，为以后进一步实现网络的主动防护系统。 ZL-SLAVEVPN系统建立以后，将来的扩展非常方便，如果需要增加一个分公司或者办事处，在该地安装一台ZL-SLAVEVPN安全网关，总部只需要增加一条安全策略即可以实现该分公司或者办事处的接入。如果增加一个移动用户，只需要配发一个KeyID即可。因此扩展非常简单。 易管理性原则 网络系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性，为平台维护者提供方便的WEB管理工具;同时又要设计规范但不失灵活的工作流程。 ZL-SLAVEVPN系统设计功能分析 企业建设安全的信息系统，一个前提是不能改变原有的应用方式，并且既要保证安全的远程访问(加密)，又要和正常的直接访问(明文)相兼容，适合多种多样的应用需求。 ZL-SLAVEVPN重点在于建立安全的数据通道，构造这条安全通道的协议必须具备以下条件: 保证数据的真实性 通信主机必须是经过授权的，要有抵抗地址冒认(IP Spoofing)的能力。 保证数据的完整性 接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。 保证通道的机密性 提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 提供安全防护措施和访问控制 要有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制(Access Control)。 按照本方案建设的网络安全系统，将在不改变应用系统结构和用户的使用习惯已经与正常访问兼容的基础之上，为企业的信息系统提供强有力的安全保障，并在移动接入、分支机构网络等方面为企业节省成本，带来直接的效益。 组网支持方式 IP-VPN的联网方式大致有两种: 1、 固定IP与固定IP; 2、 固定IP与动态IP; 第一种的联网方式是比较传统的方式，技术上实现最容易，目前的防火墙等设备就可以实现这种功能;第二种的VPN联网方式对于目前大多数专业的VPN 厂商也基本能解决; ZL-SLAVEVPN可以同时实现以上2种VPN组网方案，还融入了PKI技术，采用SSL密钥进行强加密的前提下，基于数字证书进行协商和双向认证，解决了大规模VPN组网的安全管理和安全认证技术。 支持的联网类型 ZL-SLAVEVPN主要实现以下三种联网形式: 1、通过Internet实现远程用户访问 ZL-SLAVEVPN以安全的方式通过公共互联网络远程访问企业资源。虚拟专用网络用户首先拨通本地ISP，然后ZL-SLAVEVPN连接器利用与本地ISP建立的连接在拨号用户和企业ZL-SLAVEVPN服务器之间创建一个跨越Internet或其它公共互联网络的虚拟专用网络。 2、通过Internet实现网络互连 ZL-SLAVEVPN采用以下两种方式连接远程局域网络。 a.用专线连接分支机构和企业局域网。 不需要使用价格昂贵的长距离专用电路， ZL-SLAVEVPN使用与当本地ISP建立的连接和Internet网络在分支机构和企业端之间创建一个虚拟专用网络。 b.使用拨号线路连接分支机构和企业局域网。 ZL-SLAVEVPN通过拨号方式连接本地ISP，然后使用与本地ISP建立起的连接在分支机构和企业端之间创建一个跨越Internet的虚拟专用网络。 在以上两种方式中，都是通过使用本地设备在分支机构和企业部门与Internet之间建立连接。无论是在客户端还是服务器端都是通过拨打本地接入电话建立连接，因此VPN可以大大节省连接的费用。同时使用ZL-SLAVEVPN不需要企业投资路由器费用。 3、连接企业内部网络计算机 在企业的内部网络中，考虑到一些部门可能存储有重要数据，为确保数据的安全性，传统的方式只能是把这些部门同整个企业网络断开形成孤立的小网络。这样做虽然保护了部门的重要信息，但是由于物理上的中断，使其他部门的用户无法访问，造成通讯上的困难。 采用VPN方案，通过使用一台ZL-SLAVEVPN服务器既能够实现与整个企业网络 的连接，又可以保证保密数据的安全性。路由器虽然也能够实现网络之间的互联，但是并不能对流向敏感网络的数据进行限制。企业网络管理人员通过使用ZL-SLAVEVPN服务器，指定只有符合特定身份要求的用户才能连接ZL-SLAVEVPN服务器获得访问敏感信息的权利。此外，对所有ZL-SLAVEVPN数据进行加密，从而确保数据的安全性。没有访问权利的用户无法看到部门的局域网络。 对原有系统的兼容 ZL-SLAVEVPN安全网关遵循标准的SSL协议，在网络层对IP数据包进行加密，对网络中的数据流做基于五元组的访问控制，因此，对于应用系统是完全透明的，即上层的应用程序感觉不到数据在传输过程中被加密;也就是最终用户感觉不出使用了VPN前后在网络系统上有什么不同，也不必对自己平时的使用习惯做任何改变;应用程序的开发商也不需要对在VPN上使用的系统做特别的修改。在企业内部，无论是目前已投入使用的多套应用系统，还是以后的新系统，不管系统平台如何，采用的结构是传统的C/S还是B/S，都将可以平滑过渡到VPN网络平台上使用。 ZL-SLAVEVPN可确保在网络传输上使用TCP/IP协议的应用系统，都可以在VPN平台下正常运行，然而在TCP/IP协议作为事实上的工业标准的今天，任何新开发的应用系统都是基于此的，因此对于将来的ERP等系统修改、扩展乃至增加系统等等，ZL-SLAVEVPN系统完全不需更改，不必要担心应用系统的兼容性问题。 对原有网络的兼容 由于根据网络设计VPN设备——VPN安全网关将会串行的连接在总部的路由器之后，并将作为分公司的路由设备为网络提供路由，因此，在增加了这个设备后不会影响原有正常的网络访问，比如WEB、TELNET,FTP,MAIL等等。即ZL-SLAVEVPN系统与原有的网络系统完全兼容。 网络层的访问控制和身份认证 ZL-SLAVEVPN系统在网络层实现了访问控制和身份认证功能。当一个用户需要访问受网关保护的服务器的信息时，ZL-SLAVEVPN安全网关首先根据预先配置 的策略判断对方的IP地址是否授权的用户并开始身份认证的过程，在基于PKI体系下的身份认证能很好地确保网络访问的安全性和唯一性。只有在认证成功以后，VPN安全网关才会把服务器的返回数据通过加密发送到客户端;对进来的数据进行完整性校验和解密。 只要策略配置适当，ZL-SLAVEVPN安全网关本身没有开放的端口，即使暴露在公网上，也可以抵挡扫描、DoS等攻击行为，一些假冒IP等等攻击手段也无法攻击到网络内部，做到了对内部子网很好的保护，以及很好的身份认证功能。 在企业总部可以对所有的用户进行控制，如果想停止某个分公司或移动用户对总部子网的访问，只需要在企业CA中心将其证书废除即可，体现了统一的管理能力。 ZL-SLAVEVPN系统提供了网络层的访问控制和身份认证功能，保证只有经过授权的子网或客户端才能接入企业内部网络，保证了一个端到端的安全，在本身应用系统的身份认证基础上又增加了一道外围防线，更加增强了系统的健壮性和安全性。 因地制宜的部署 整个ZL-SLAVEVPN的安全体系由VPN安全网关、安全客户端、网管中心等多个部分组成，通过因地制宜的合理配置部署，既可以实现整体系统的安全性，也达到了一个网络系统的优化和用户使用的方便。 在企业的总部，考虑到数据库服务器、应用服务器等重要部分都部署在此，可以部署一台高性能的VPN安全网关。在各地的分公司，各使用一台VPN安全网关，以保证其整个子网能安全接入到总部网络。在全国各地的办事处，如果规模大一些的，可以部署一台VPN安全网关，以保证其整个子网能安全接入到总部网络，并提供其对Internet访问和控制。对于小规模的办事处出差员工和公司领导，使用安全客户端软件。只需要在他们的电脑上安装一套“VPN安全网关客户端”，在电脑USB口上插上网管人员配的KeyID(USB接口的钥匙)，输入KeyID的密码，连接后如果安全策略和身份信息正确有效，就连接到了总部网络。 针对不同对象采用不同产品，这样就发挥了各自产品的特性，组成了一个有机的ZL-SLAVEVPN网络体系。 4.1.3 ZL-SLAVEVPN项目主要研发内容 实现ZL-SLAVEVPN的功能，需要进行三方面的研发: 1(加密设备的研发 ZL-SLAVEVPN服务器加密设备主要实现VPN通讯中的加解密和签名与认证的功能。 2(VPN软件的研发 ZL-SLAVEVPN软件采用客户服务器模式的SSL VPN，ZL-SLAVEVPN同时即能配置为服务器又能配置为客户端，具有代理服务器、路由器、防火墙服务器功能。 3(ZL-SLAVEVPN连接器 ZL-SLAVEVPN连接器是虚拟专用网络用户直接连接虚拟专用网络的设备，采用USB接口模式，内置加密算法芯片。 4(2 ZL-SLAVEVPN项目进度 4(2(1项目开发量评估 项目开发工作量估算如下: 熟悉开发平台:2.5人月 系统调研: 3人月 系统方案设计:3人月 建立系统结构:2人月 实施开发: 15人月 内部测试: 2人月 系统调试: 0.5 人月 系统测试调整:0.5 人月 文档资料整理:1.5 人月 共计:30人月 4(2(2开发进度 由于该项目前期已经开展了大量的调研和研发工作，目前处于项目的继续研发阶段，计划8月份实现产品的所有功能并形成a版本，9月份形成B版本，再经过10月份的完善和实用，11月份推向市场。 4(2(3拟达到的主要技术和经济指标、水平 由于ZL-SLAVEVPN不仅是一个通用产品，同时又是安全产品，基于安全产品国家与国家之间的限制，该产品拟达到国内领先，产品的创新点将会引领VPN产品的发展趋势。 主要技术指标: 1、Client/Server SSL VPN 目前国内外没有同类产品; 2、基于标准的SSL/TLS协议结合虚拟网卡技术实现了OSI 第3层(IP 层)的网络安全扩展; 3、所有核心加解密算法采用硬件芯片实现，高速加密模块对RSA算法每 秒处理70笔，对称算法达到60MBPS; 主要经济指标以及五年销售与财务预测见(五、财务分析)。 五、财务分析 5.1承担单位经济效益的长期预测 ZL-SLAVEVPN五年销售预测: 五年销售与财务预测表(单位:人民币万元) 第一年 第二年 第三年 第四年 第五年 数量 1000 10000 20000 40000 80000 销售额 1000 10000 20000 40000 80000 总成本费用 700 7500 16000 32000 64000 利润总额 300 2500 4000 8000 16000 净利润 201 1675 2680 5360 10720 年交流转税 40 400 800 1600 3200 年交所得税 99 825 1320 2640 5280 年交税总额 139 1225 2120 4240 8480 注:第五年后每年保持第五年水平稳定发展。 本项目有关经济效益指标分析 ?、投资回收期: 投资回收期=3+(5000-4556)/5360=3.08年 ?、预测期内会计收益率: 年均净收益率=(201+1675+2680+5360+10720)/5=4127.2万元 年均净收益/原始投资额=4127.2/5000=82.54% 结论:该项目投资回收期仅3.08年，预测期会计收益率达82.54%。 综合判定该项目收益率符合投资者要求，投资能短期收回，项目经济效益可观。 5.2本项目的投资估算、资金筹集方案及措施,包括财政补助资 金不足情况下的资金解决方案, 项目总投资5000万元，企业通过股权增加筹集资金3500万，用于建立加密模块生产基地、ZL-SLAVEVPN的组装及测试车间、密码产品研发中心以及市场投入.从金融机构取得短期流动资金贷款1450万元，和申请的该项信息产业发展专项资金50万元主要用于补充生产过程中流动资金不足。 如申请的财政补助资金或贷款不到位，因公司股东构成中有资金实力丰富的机构投资者和资产状况、商业信誉、现金流量较好的法人投资者，公司完全可以暂借部分大股东的资金以保证生产的顺利进行，同时公司也将进一步制定良好的赊销或收款计划、保持良好的商业信誉合理使用流动周转资金，以达满足生产周转资金需要。 5.3投资具体使用计划 ,1,、固定资产投资450万元 固定资产投资表 项目 内容 资金需求 加密模块生产基地 贴片机、波峰焊、测试设备 300万 组装及测试车间 生产线、质量检验设备 100万 密码产品研发中心 示波器、逻辑分析仪 50万 (2)、成本与费用预算 , 生产办公场地租赁:1500平米，年租金60万; , 市场费用:产品销售收入的10% , 零部件成本及OEM加工费:产品销售收入的50%: , 组装成本及费用:产品销售收入的5%; , 折旧费:5年直线折旧，(300+100+50)/5=90万: , 研发投入:销售收入的5%; , 人员控制在200人以内，年费用小于销售收入的10% (3)、年资金使用 第一年: 固定资产投资450万; 研发、市场投入1100万; 公司正常运转资金3500万左右; 第二年: 生产规模扩大一倍，全部利润投入运转，同时利用配套厂家的信用解决30% 流动资金、利用银行贷款解决30%流动资金问题。 5.4本项目有关经济效益指标分析 ?净现值分析(按40%报酬率测算) 项目初期计划投资5000万人民币。 未来五年净现值=NPV(40%，300,2500，4000，8000，16000)=8004.94万元 净现值大于原始投资额项目可行。 ?投资回收期: 投资回收期=2+(5000-2800)/4000=2.55年 ?预测期内会计收益率: 年均收益率=(300+2500+4000+8000+16000)/5=6160万元 年均净收益/原始投资额=6160/5000=123.2% 结论:综合贴现和非贴现指标预测的项目收益率，收益净现值远远大于起初投资额，投资回收期仅2.55年，预测期会计收益率达123.2%。 综合判定该项目收益率符合投资者要求，投资能短期收回，项目经济效益可观。