供应链信息共享的网络安全问题研究

西安电子科技大学硕士学位论文供应链信息共享的网络安全问题研究姓名：亓艳伟申请学位级别：硕士专业：管理科学与工程指导教师：徐国华20060101摘要供应链企业间信息传递过程中存在牛鞭效应，而实施信息共享可以在一定程度上缓解供应链企业间的牛鞭效应。供应链企业间实施信息共享时主要通过计算机网络实现，而计算机网络存在着网络安全问题，本文研究供应链信息共享的网络安全问题。论文首先从供应链企业间存在的牛鞭效应问题入手，指出了供应链企业间信息共享可缓解牛鞭效应，然后针对供应链企业实现信息共享时计算机网络中存在的网络安全问题，譬如口令破解、网络嗅探、网络端口扫描、缓冲区溢出、拒绝服务攻击、网络监听入侵等方面做了细致的分析。尤其是重点以DoS(DenialofService,拒绝服务)攻击为例的分析，说明了对网络攻击的防范并非难以做到，并且针对DoS攻击，本文给出了DoS攻击的几种IP返回跟踪的层次分析模型和模糊分析模型，最后本文给出了其他网络攻击手段的防范策略及基于Internet/Intranet的供应链信息共享的网络安全解决方案。希望通过本文的研究，能在供应链信息共享的网络安全方面做出一些积极的贡献。关键词：供应链信息共享网络安全AbstractIntheprocessofmessagetransmittingamongsupplychainenterprisesthereexistsBullwhipEffect,andcarryingouttheinformationsharingamongsupplychainenterprisescanrelievetheBullwhipEffectintheprocessofmessagetransmittingamongsupplychainenterprises.Thetechnologytocarryouttheinformationsharingmainlyiscomputernetworktechnology,butinthecomputernetworkthereexistsnetworksecurityproblems,Thispaperisstudyingthenetworksecurityproblemsoninformationsharinginsupplychain.ThispaperfirstlystartsfromtheBullwhipEffectamongsupplychainenterprisesandpointsoutthattheinformationsharingamongsupplychainenterprisescanrelievetheBullwhipEffect.Thenforsolvingthenetworksecurityproblems,suchasPasswordBreaking,NetworkSniffer,PortScanning,BufferOverflowAttack,Denial-of-ServiceAttack,NetworkMonitor,etc,whichexistintheprocessofinformationsharingamongsupplychainenterprises,thispaperanalyzestheseattacksdetailedly.Especially,asanimportantexample,theanalysistoDoS(Denial-of-Service)Attackwhichindicatesthatthenetworkattackisnotdifficulttoprevent，andthispapergivestheAHP(TheAnalyticHierarchyProcess)analysisandfuzzyanalysisaboutseveralIPtracebackofDoSattack,meanwhile,finallythispapergivestheprotectionsaboutothernetworkattacksseparatelyandanInformationSharingVPN-SolutiontosupplychainenterprisesbasedonInternet/Intranet.Bythestudyinthispaper,itisexpectanttodosomeactivecontributioninthenetworksecurityproblemsoninformationsharinginsupplychain.Keyword:SupplyChainInformationSharingNetworkSecurity创新性声明本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。申请学位论文与资料若有不实之处，本人承担一切相关责任。本人签名：日期关于论文使用授权的说明本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。本人签名：日期导师签名：日期第一章绪论1第一章绪论1.1牛鞭效应、信息共享及网络安全三者的关系在以顾客为中心的供应链管理中，每个成员在决策时都是利用来自直接下游企业的需求信息进行预测并向上游企业订货，每个企业都面临着前趋和后继间的订货问题。然而当下游需求发生变化时，由于供应链的固有属性会产生信息曲解，而且曲解的信号会沿着供应链自下而上(顾客→分销商→制造商→供应商)逐级放大[35]，这种现象被称为供应链中的牛鞭效应(BullwhipEffect)。牛鞭效应会造成低质量的客户服务、低效运输、货物短缺或积压以及错误的需求预测等现象[13]。供应链管理的研究与实践表明:加强供应链节点企业间的联系与合作,消除供应链成员之间信息传递的障碍,减少内耗,提高信息共享程度,以形成由顾客需求驱动的无缝供应链,实现良好的协调,降低供应链成本,缩短各环节的时间延迟,消除信息波动的放大效应,是供应链管理高效运作的关键[36][37]。采用先进的信息技术(如Internet、EDI、电子商务等),实现供应链成员间高效的信息共享,能够有效地缓解供应链中的牛鞭效应[13]。首先,采用信息技术后,需求信息的传递由原来的线形结构变为网状结构,即供应链中的每个成员不仅接收其直接下游传来的订单信息,同时还接收来自昀终顾客的需求信息(POS数据),如图1.1所示。每个成员利用流向自己的各种信息来预测实际需求,并决定向其上游企业的订货量,图1.1供应链需求信息的传递从而有效地避免由多头预测引起的信息失真。其次,采用信息技术可以消除信息延迟,使得顾客订货信息能够立即传送到供应链中的各个成员,大大提高了他们的响应速度。同时,快速的信息传递必然要求快捷的物流运送与其同步,否则会影响对供应链牛鞭效应的缓解效果。第三,采用信息技术后,能够清楚地掌握每一种货物的状态(生产中、运输中、库房中等)信息,以确定合理的订货点和订货提前期,实施精确订货策略,避免货物积压或短缺。第四,采用电子商务(ElectronicCommerce)技术后,网上商店取代了传统的批发商和零售商,减少了供应链的环节,缩短了供供应链信息共享的网络安全问题研究2应链的长度,从而也有效地缓解了供应链中的牛鞭效应。网络信息安全技术的研究已经成为当前新的市场环境下企业信息化的研究热点。供应链企业之间信息共享为供应链企业生产、管理、经营等各方面信息交换带来了很大的变革[20]。但是，由于供应链企业实现信息共享要通过计算机网络实现，计算机网络的连通性和开放性在给资源共享和通信带来了昀大的便利的同时，也使网络的安全问题变得更加重要和紧迫。由于网络安全问题的存在，非联盟企业可能窥探公司的虚拟专网、访问或纂改内部的信息和资源，供应链企业信息共享时必须更多地考虑到系统安全问题，因为与合作伙伴共享的数据是非常重要的商业信息。所以安全是极为重要的，必须确保内部的合作系统受到保护，而且合作公司只能共享到特定的被允许的信息资源，这样，才能避免企业核心机密泄漏，使企业昀大限度的从信息共享中获得实际利益。1.2国内外信息共享及网络安全的研究现状供应链管理的研究和实践表明，随着全球竞争的加剧、经济不确定性的增大、信息技术的高速发展以及消费者需求的个性化增加等环境的变化，实现供应链企业间的信息共享，用覆盖整个供应链的决策系统代替缺乏柔性和集成度差的企业单独决策体系，使整个供应链各个环节都能清楚地了解物流、资金流、信息流和工作流的情况，以更好的协调，降低各个环节的延迟时间，消除信息扭曲的放大效应，是提高供应链运作效率的关键[7]。因此，供应链上需求和库存信息对供应链各成员的作用研究受到国内外学者的高度重视。FrankChen以一个制造商和一个零售商构成的包括需求预测和前置时间两个因素的简单两级供应链为研究对象，对它们进行了分析，指出共享用户信息能够大大减少牛鞭效应的影响，但不可能完全消除[45]。Hau.L.Le等对供应链上的牛鞭效应进行了深入的研究，将它产生的原因归结为需求预测修正、订货批量决策、价格波动、信息不完全下的博弈等四个方面，并指出共享销售数据、交换库存信息等措施能够有效的减少牛鞭效应[44]。Gavimen以容量有限的两级供应链中库存为对象，分析了在无信息共享、部分信息共享和完全信息共享三种条件下的供应链收益，说明只有实现信息共享，才能使供应链整体昀大受益[46]。Hariharan和Zipkin利用库存模型分析在用户预先告知需求信息的情况下供应商该如何利用信息以及此信息对供应商的作用[47]。关于如何实现信息共享的问题，许多学者从信息共享的不同角度分析了信息供应链成员的作用[49-52]，WernerGraf指出通过Internet协调供应链运作是将来供应链管理的基本技术，通过Internet、Intranet和Extranet以及EDI连接整个供应链，将会使供应链中信息渠道畅通，伙伴企业间以及与昀终用户间进行安全、充分的沟通[48]。第一章绪论3马士华教授[29]从管理的角度提出：合作与信息透明是供应链的制胜之本，并就如何实现供应链信息共享等问题进行了比较深入的探讨，并且有过从计算机应用的角度分析信息共享的问题[21]。另外，杜寿平等人[16]认为供应链管理的核心主要在思想，对此也提出了比较先进的管理方法，认为应建立供应链管理平台来充分实现供应链信息的共享。随着信息技术的发展与应用，信息安全的内涵在不断的延伸，从昀初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术[20]。信息安全是一个综合、交叉学科领域，它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和昀新发展成果，进行自主创新研究，加强顶层设计，提出系统的、完整的、协同的解决方案。国内外密码理论与技术研究现状：自从1976年公钥密码思想提出以来，国际上已经提出了许多种公钥密码体制，但比较流行的主要有两类：一类是基于大整数因子分解问题的，其中昀典型的代表是RSA；另一类是基于离散对数问题的，比如ElGamal公钥密码和椭圆曲线公钥密码。国内外安全协议理论与研究技术现状研究：安全协议的研究主要包括两方面内容，即安全协议的安全性分析方法研究和各种使用安全协议的设计和分析研究。安全协议的安全性分析方法主要有两类，一类是攻击检验方法，一类是形式