校园网网络性能评估

关键词： 供应链

校园网网络性能评估（精选五篇）

校园网网络性能评估 篇1

关键词：多级供应链网络,仿真,库存

供应链仿真是指针对现实供应链建立模型, 采用系统仿真技术在模型上进行试验, 描述供应链的动态运行及演变过程, 考察供应链中各种运作策略、竞争策略、协调策略对供应链绩效变化的影响及规律并进行优化, 即用模型代替真实的供应链的一种科学研究方法。多年以来, 人们已经分别研究了供应链中的供应—制造系统、生产—分销系统和库存—分销系统。本文通过对由一系列涉及制造商、供应商、顾客、零售商、分销商和控制库存、采购和分销等组成的供应链系统进行分析, 建立五阶的仿真模型, 利用仿真软件Flexsim采用面向对象技术、建模调试简单方便、强大的模拟应用编译器和仿真分析能力强大的主要优势。采用订单式生产推动供应链运作, 用客户订单激活供应链中的信息流与物流, 企业之间的订单、配送由流动实体模拟, 并在建立仿真模型上分析比较了两种不同库存控制策略即经济订货批量 (EOQ) 策略和 (s, S) 策略对由批量订单, 订货提前期等引起的“牛鞭效应”进行动态演示, 对各阶企业订货量-库存量动态模拟, 分析供应链运作中订货量、库存、库存周转率以及“牛鞭效应”强度等, 为企业找出最优的库存及订货策略提供依据。

1 供应链仿真模型的构建

1.1 供应链概念模型及逻辑流程

五阶供应链模型, 由原材料供应商—生产商—分销商—零售商—顾客组成, 包括各级库存S、沿级传递的需求D和订单q等。除客户外, 供应链上各阶的企业的决策问题分别采用经济订货批量 (EOQ) 策略和 (s, S) 策略。整个供应链运作中采用集中需求信息策略, 以顾客的需求信息进行订货、库存等决策。采用经济订货批量 (EOQ) 和 (s, S) 策略进行各阶企业的补货。

1.1.1 经济订货批量 (EOQ)

1.1.2 (s, S) 策略

(s, S) 策略中, 除顾客外, 供应链各阶的企业都有一定的库存量, 当收到订单时, 按需求先后根据现有库存量发货, 并在发货后更新库存, 当现有库存小于最小库存s时向上一级发出订单补充至最大库存S。

1.2 供应链仿真模型

供应链仿真模型有两层结构组成, 第一层有供应链的五阶企业的组成, 上下两阶的企业通过端口传递流动实体, 上游向下游传递产品的配送, 下游向上游产地订单的需求。第二层是每个企业的具体内部操作和相互之间交互的逻辑实现。原材料供应商、分销商、零售商内部操作主要包括订单处理、库存控制、配送管理三个模块, 生产商还包括生产管理模块。生产商的订单管理包括三部分:处理来自下游企业的产品订单, 根据自身库存状况像上游发出需求订单, 处理已向下游企业交货和收到上游企业货物的订单。

3 仿真结果及分析

3.1 参数设置

(1) 本文以某农产品加工销售企业2011年04月—2012年04月的销售量为仿真数据进行一年的仿真, 每一秒代替一分钟。每天工作8小时。则总的仿真时间为365*8*60=175200 (分) 。

(2) 订货提前期。各阶企业的订购信息一般经电子媒介传输, 并同时将销售信息反映于订购数量中, 并且运输假设在一夜之间完成, 所以在理想条件下, 假设零售商、分销商、生产商订货提前期为零。

(3) 库存。零售商每次订货的订货成本Sr为3200, 产品的年单位储存成本hr为200。分销商的每次订货的订货成本Sd为4875, 产品的年单位储存成本hd为150。生产商年度单位库存保管成本hm为320, 每次制造准备成本Ss为3295.5。零售商、分销商、生产商及生产商原材料库的最小库存值s和最大库存值S以及现有库存值N分别如表1所示。供应商各企业为供应链的初始输入, 设定其原材料库存无穷大, 能够实时满足生产商的需要。并有生产商根据需求数量及供应商选择机制决定向哪个供应商订货。

3.2 仿真结果及分析

仿真实验进行了多次并收集其数据, 从各阶企业中各取一个企业数据来比较分析在不同订货策略下各阶企业的订单量和库存水平, 动态地对牛鞭效应进行可视化的观察。

3.2.1 成品库存水平。

实验分别对不同订货策略的仿真结果中收集了零售商、分销商以及生产商三阶保有成品库企业的库存水平。采用经济订货批量原则进行补货各阶企业的库存水平, 在仿真试验中, 零售商处保有成品的库存最少, 波动程度也比较小, 各企业的库存都在同一水平波动。说明市场的需求是较稳定的, 零售商对客户需求的预测相对准确。零售商的库存水平没有低于0的情况, 说明在整个仿真运行过程中不存在缺货现象。在供应链模型中两个分销商的库存水平均呈现有规律的形状, 波动都处于同一范围, 幅度居中。波动的幅度较零售商长, 采购的周期较长, 每次采购的数量相差不大, 说明分销商库存水平处在一个规律的变化范围内。生产商处的成品库存波动幅度很大, 前后两次库存补充时间间隔最长, 一次补充量大, 同时库存水平也是在一个较稳定的范围内变化。采用 (s, S) 策略原则进行补货各阶企业的库存水平, 库存水平由零售商、分销商到生产商依次增大。零售商波动程度较小, 采购较频繁, 并且没有出现缺货现象。分销商处两个企业的保有库存水平均高于零售商, 采购数量也不是很大, 但库存水平有时会低于零售商的库存, 说明分销商处存在缺货现象。生产商处的成品库存波动较规律, 每次补货的时间间隔相差不大, 补货的数量大, 这样有益于企业确定每次的补货时间。

比较来看, 采用EOQ策略订货时相比较采用 (s S) 策略订货时各阶企业的库存变化规律, 范围较小, 说明采用EOQ订货策略时各阶企业订货较频繁, 订货数量波动小, 使库存水平处在一个相对较稳定的状态。这样能使企业对需求的预测和库存的状态进行更好的掌控。

3.2.2 库存周转率 (ITO)

美国华盛顿州立大学原来从事MRP和作业管理的施恩伯教授在World Class Manufacturing III里, 根据大量数据分析表明, 库存周转率与企业的成功存在着明确的直接联系。并且将库存周转率作为长期预测企业成功的公正和可靠的指标。

库存周转率是指在一定期间库存周转的速度, 计算公式如下:库存周转率=一定期间销售额/一定期间平均库存值。我们通过对仿真试验中在两种不同的订货策略下各阶企业在供应链运作中库存数量以及需求数量的分析统计得到各阶企业中各个企业库存周转率大小并进行比较分析如图1所示。从图中可以看出在零售商各个企业采用EOQ策略库存周转率明显高于采用 (s, S) 策略, 说明在零售业采用EOQ策略资金的循环较采用 (s, S) 策略快, 也就是周转快, 在同额资金下的利益率也就高。在分销商阶段两种策略下库存的周转率相差不大。而在制造商企业采用EOQ策略库存周转率低于采用 (s, S) 策略。

3.2.3 牛鞭效应分析

F.Chen et a1 (2000) 引入指标BE来衡量牛鞭效应的严重程度。这个指标以极其简明的方式表达出牛鞭效应的不确定性本质, 能较科学地描述牛鞭效应的严重程度, BE值越大, 牛鞭效应就越严重, 供应商遭受的危害就越大。D表示客户需求 (从零售商处收集) ;k表示零售商、分销商、生产商、原材料供应商等供应链中的不同层次;表示客户需求的方差 (从零售处收集) ;表示第k层获得的需求的方差, 即第k层向第k-1层发出的需求订单的方差。

BE=Var (qk) /Var (D)

我们收集了仿真试验中在两种不同的订货策略下各阶企业订单数量, 计算了各阶企业订单数量的均值、方差及标准差。并根据此公式, 分别求得该供应链中的牛鞭效应强度

产生牛鞭效应的原因主要是由于批量的存在和订货方式以及利用过去的需求来预测未来的市场需求产生的。越往上游, 供应链的牛鞭效应强度越大。在由顾客到零售商、零售商到分销商阶段。采用EOQ策略时供应链牛鞭效应的强度要低于采用 (s, S) 策略订货时供应链牛鞭效应的强度。但在生产商处, 采用EOQ策略时供应链牛鞭效应的强度要比起采用 (s, S) 策略订货时供应链牛鞭效应的强度高了很多。

4 结束语

供应链仿真一直是学术界研究供应链问题的一个重要方法。本文从供应链的结构和实际运作出发, 研究了五阶供应链建模仿真与实现, 通过不同的订货策略仿真分析了各阶企业的库存水平和订单水平, 并分析评价了各阶企业的库存水平和牛鞭效应的强度大小。结论表明, 由于供应链是有多阶企业所构成的一个复杂系统, 所以在供应链的运作中, 为使供应链达到整体最优, 各阶企业应该根据企业本身的特点来制定订货策略以及库存策略。仿真能动态的演示系统的运行状态, 可进一步利用模型对供应链运作中的各种策略进行演示优化。

参考文献

[1]Slack N.The F lexity of manufacturing systmes[J].International Journal of Operations and Production Management, 1987, 7 (4) , 35-45.

[2]Voudouris V.M athematical programming techniquestodebo ttleneck the supply chain of the chemical in2dustries[J].Computers and Chem ical Engineer ing, 1996, 20 (6) :1369-1274.

无线校园网络教学效果评估 篇2

【关键词】无线；WiFi；校园网；正确上网

随着无线互联网技术的飞速发展，“无线宽带”正在取代“宽带”成为校园网建设的热点。“无线数字校园”也成为近来数字化校园和教育信息化建设的热门话题。利用无线网络，学生可以在校园的任何一个角落享用互联网的便利。

与有线校园网相比，无线校园网具有很强的灵活性，克服了有线网络布线的制约、固定的网络各节点无法移动等困难。无线校园网具有传统有线网络无法比拟的可扩容性，网络的传输范围得到了拓宽。

一、无线网络的优势

（一）无线提高教学质量

无线校园网可以对教学资源进行有效地整合和利用，其中包括已经存储在服务器中的资料，以及正在上的某一节课，从而改变传统的教学方式，解决了学校学生多机器少的问题。如今一些中小学“大班化”，教学内容多，师生互动起来有难度。用“无线课堂”打开教学的空间，具有前瞻意义，可能会带来课堂教学模式的变革。

我们课题组在清河县城关中学设了两个网络教学试验班，其中一个班采用封闭式有线网络进行教学，学校多媒体网络教室归这个班使用，学校微机室对这个班学生在工作时间开放。另一个班使用开放式无线网络进行教学，学生可以携带笔记本电脑、平板电脑、智能手机参加学习。经对比研究发现，开放式无线教学网络具有明显的优势，教学效果较好。相对于封闭式有线网络，开放式无线教学网络环境下，学生通过网络进行学习活动的热情较高，学习的积极性、主动性、灵活性较强，学习的效果较好。

经过问卷调查，80%以上的学生认为无线的网络好用且方便，90%以上的学生认为无线的网络对他的学习帮助更大，而几乎100%的学生认为校园无线网络是一个学校应该必备的。85%以上的教师认为无线校园网对他们的教学很有帮助，必将取代现有的有线校园网络。

根据Educause的研究显示，有78%的美国学生认为wifi对于专业成绩的提高有价值，而60%的学生表示不会考虑在不提供免费wifi的学校就读。

（二）无线给师生松绑

采用无线网络教学的形式，可以进行更为生动的互动教学，无论是学生间的协作学习还是学生和老师间的交流都将得到极大的强化。在传统的计算机机房进行网络教学，由于采用的是台式机和固线接入网络的方式，学生间无法进行面对面的沟通，分组讨论更是无从谈起。而利用无线网络和笔记本电脑，学生可以不受时间和空间的限制，随意分组，从而大大提高了协作学习的效率。

这种教与学的无线网络应用环境是开放的、自由的、伸展的。有分析人士指出，无线网络因其更自由的上网方式、更宽松的上网时间和连接的灵活性，可以实现随时随地上网学习及便利的双向沟通。

（三）无线加强师生互动

在无线网络覆盖的教学楼内，教师可以充分利用该网络开展网络多媒体教学，在授课过程中通过无线网络下载校园网服务器上已做好的课件演示文档，给学生作现场演示。拥有笔记本电脑的学生只需加装一块无线网卡后，就可以利用现有的无线网络与教师互动，学生作实验前还可以通过点播网上实时多媒体课件，仔细观看试验的细节及注意事项。经过问卷调查，我们发现无线教学网络环境下80%以上的學生经常通过微信、QQ等软体和教师沟通，用于解决学习中存在的问题或加强师生之间的交流。

据北京二中的无线校园网应用得出：采用无线网络教学的形式，可以进行更为生动的互动教学，无论是学生间的协作学习还是学生和老师间的交流都将得到极大的强化。

2013年03月，意大利佛罗伦萨中文学校正式启用无线校园网络，开展课堂讲学。“WIFI的运用最大的优点是‘及时性’很多，如上课过程中往往学生会产生很多问题，很多思考的提问，有些是老师备课的时候没有顾及到的，而WIFI可以及时解决这个问题，不让问题遗留到课后。”佛罗伦萨中文学校老师金丹丹深有体会地说。

二、无线任重道远

有了无线网，教师教学变方便了。但有些父母却有了顾虑：有手机的孩子会不会上课蹭网，沉迷于网络呢？重庆十八中学王老师认为，无线网覆盖校园不用大惊小怪，万事都有利弊，网络本来就是一柄双刃剑，我们要好好地利用它，而不是因噎废食。我们通过问卷调查发现，60%的学生经常在课余时间上网娱乐，或上网做一些和自己的学习无关的闲事，10%的学生经常在深夜偷偷上网，所以加强对学生正确上网的教育，对学生不良上网行为的矫正尤其重要，加强对学生宿舍的管理，强化对学生上网活动的监督也很重要。

安装网络监控软件是解决规范学生上网行为的最佳选择，对学生浏览的网页进行监控，也可以根据需要屏蔽某些网址。网络覆盖校园是大势所趋，伴随着无线网络进入校园的，还有如何培养学生网络素养、引导学生理智使用网络资源的新课题。简单的限制是目前无奈的选择，如何变堵为疏，有待教育工作者创新思路、探索实践。我们通过问卷调查发现，90%以上的家长支持子女在校通过上网进行学习，说明家长的思想观念已经发生了变化，如果学生的进步带给家长们惊喜，家长的顾虑就会解除，防止学生沉迷于网络，这项工作任重道远。

作者简介：

校园网络安全风险评估 篇3

1 网络安全

网络安全就是在分布式网络环境中, 对信息载体 (处理载体、存储载体、传输载体) 和信息的处理、传输、存储、访问提供安全保护, 以防止数据、信息内容遭到破坏、更改、泄露, 或网络服务中断或拒绝服务或被非授权使用和篡改。

2 校园网络面临的安全威胁风险

校园网络面临的安全威胁形式各种各样, 主要可以归纳为以下几种情况:

1) 获取对网络信息的非授权访问, 即侵犯信息的机密性或隐秘性。

2) 冒充别的用户或盗用他人的合法权限, 以达到制造欺诈信息、篡改合法信息、使用欺诈性的身份获取非授权访问或进行欺诈性的认证等。

3) 抵赖欺诈引起的责任;否认接收到了信息或接收信息的时间;或否认已经给某人发送了某种信息等。

4) 伪造其他用户信息, 骗取信任, 扩大合法访问权限, 进行截获、窃取、破译以获得重要机密信息, 包括内部、外部泄密等。

5) 隐藏某些恶意信息其他通信之中, 或将自身作为中继插入到其他用户的通信链路中。

6) 通过网络系统的漏洞、后门及隐蔽通道入侵他人系统, 窃取机密数据或实施破坏活动。

7) 通过加入一个秘密函数, 使软件功能异常改变, 破坏网络系统的正常运行。

8) 破坏网络通信基础设施, 使网络用户无法进行通信;或阻止其他用户之间的通信;特别是通过秘密介入, 使合法通信被拒绝。

上述安全威胁风险, 可以大体分为两种, 一种是对校园网络中信息的威胁;另一种是对网络设备的威胁。而保护校园网络安全的关键和终极目标是保护校园网络的信息安全。

3 基于专家评分法的校园网络安全评估

3.1 专家评分法

专家评分法也是一种定性描述定量化方法, 它首先根据评价对象的具体要求选定若干个评价项目, 再根据评价项目制定出评价标准, 聘请若干个代表性专家凭借自己的经验按此评价标准给出各项目的评价分值, 然后对其进行综合。

其特点: (1) 简便。根据具体评价对象, 确定恰当的评价项目, 并制定评价等级和标准。 (2) 直观性强。每个等级标准用打分的形式体现。 (3) 计算方法简单, 且选择余地比较大。 (4) 将能够进行定量计算的评价项目和无法进行计算的评价项目都加以考虑。

3.2 使用专家评分法, 对该校园网络安全进行评价

作为全方位的网络安全防护体系是有层次的, 不同层次反映了不同的安全需求。根据网络的应用现状和拓扑结构, 可以将安全防护体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全。即将校园网络面临的安全风险分为物理层风险安全风险、系统层安全风险、网络层安全风险和应用层安全风险。

专家评分法是一种最常用、最简单的定性分析方法。使用过程中对于风险事件的概率和风险影响值, 需要邀请一定数量的专家进行主观打分, 并根据不同专家的资历和经验赋予不同的权重。因为主观打分法受人为因素影响很大, 因此在专家的选择上要十分慎重。在打分时根据各种风险的内容及专家对此风险的掌握程度设定了专家权重, 而且在对部分项目风险评估时, 为了体现专家的特殊性, 在打分的专家中选出2位对相应风险掌握程度较高的专家, 设定了高于其余专家的权重。

第一步:确定风险因素对校园网络安全的风险影响等级;分为“可忽略、微小、一般、严重、关键”五种等级, 并赋予一定的数值, 即风险影响值, 便于进行计算, 见表1风险影响等级说明。

第二步, 确定风险发生的可能性大小即概率等级, 分为“很大、较大、中等、较小、很小”五个等级, 并赋予一定范围的分值, 即风险概率, 便于进行计算, 见表2风险发生概率等级说明。

第三步:根据风险影响等级和发生概率等级, 确定风险等级, 分为“高、中、低”三个级别, 见表3风险等级对照表。

第四步, 确定每个风险的风险值的计算方法, 目的是能够根据风险值的大小对各个风险进行排序, 风险值越高, 表示风险越高。计算公式如下:

风险值=风险影响值×风险概率 (公式1)

第五步, 对各类风险的风险影响值及风险发生概率进行打分, 并与风险等级对照表对照出相应的风险等级, 及利用公式1计算出相应的风险值。

1) 、物理层安全评估:

2) 、系统层安全风险评估:

3) 、网络层安全风险评估:

4) 、应用层安全风险评估:

5) 、综合评估

4 总体风险较高

该结果表明, 该校园网络安全总体风险水平较高, 校园网络安全水平较低。对计算机网络安全进行准确、定量的评估较为困难, 本文采用专家评价法, 结合实际给出了评价步骤和模型, 进行了定性评估, 从实践角度, 风险影响值和风险概率的准确计量是需要解决的问题。

参考文献

[1]刘光富, 陈晓莉.基于德尔菲法与层次分析法的项目风险评估[J].项目管理技术, 2008 (1) .

[2]王登科.校园网的安全性设计与实现[J].牡丹江师范学院学报:自然科学版, 2008 (1) .

校园网网络性能评估 篇4

校园网络是学校教学、科研、管理和对外交流的主要平台之一, 由于网络的对外开放, 对网络的安全性有很大的威胁, 常常受到来自外部的网络攻击。但网络管理员虽然经常对计算机系统和网络进行检查, 却很难发现其脆弱性。校园网安全评估能对其安全状况进行评估、风险分析、安全趋势分析, 并对发现的安全隐患提出针对性的解决方案和建议。

2. 总体设计思想

校园网络安全评估系统是对网络设备或计算机系统进行有关与安全相关的检测, 找出安全隐患和可能被利用的漏洞, 并根据检测结果自动生成可靠的安全性分析报告, 提早采取措施, 确保计算机系统和网络设备能正常运行。

3. 校园网网络安全评估系统的实现

3.1 系统总体结构

本文设计的校园网网络安全评估系统采用客户端/服务器的结构, 客户端是一个控制平台, 它为用户提供了方便、友好的界面, 在扫描检测前设置服务器, 在扫描检测过程显示扫描进度, 在扫描检测和评估后提交评估报告。服务器端集成了脆弱性数据库、扫描结果库、扫描协调模块、各个检测模块、安全评估模块, 它主要用于脆弱性扫描和安全评估。采用客户端/服务器这种结构能够在不同的操作平台上使用, 从而可以减少系统开发和维护的难度。

3.2 客户端的设计

客户端为用户提供了方便、友好的界面, 在扫描检测前设置服务器, 在扫描检测过程显示扫描进度, 在扫描检测和评估后提交评估报告。它主要由用户登陆模块、扫描信息显示模块、扫描和评估结果报告模块组成。

3.3 客户端的实现

在本文所设计的系统中, 客户端和服务器端的通信使用套接字即Windows Socket。

(1) 客户端的工作流程

1) 客户端连接服务器的流程

2) 扫描流程

(2) 客户端实现

客户端操作界面由主程序界面、扫描界面、服务器连接界面构成。下面给出构造主程序界面时系统所采用的变量和函数。

变量或函数功能描述

CMainView () 构造函数CMainView () 解析函数

OnServerDisconnect () 响应断开服务器OnServerPluginList () 响应服务器插件列表

OnServerPluginPara () 响应服务器插件参数OnServer Parameter () 响应服务器参数

OnSessionNew () 响应新建一个会话OnSessionDelete () 响应删除一个会话

OnSessionResult () 响应会话结果OnSessionAttribute () 响应会话属性

OnSessionExec () 响应会话执行OnServerConnect () 响应连接服务器

(3) 采用的主要数据结构

struct brg{

char*name;/*节点名字*/

folat*value;/*节点值*/

int*type;/*节点类型*/

long lenth;/*节点值的长度*/

struct brg*next;/*下一个节点的位置*/

};

客户端的所有全局变量都连接在brg结构组成的一个链表globals上, 该链表上包括设置信息、用户信息。

3.4 服务器端的设计与实现

服务器端主要由系统控制模块、扫描数据库、扫描程序库、安全评估模块组成。

(1) 系统控制模块

系统控制模块是服务器端的重要部分, 它不断的接收客户端的请求, 然后根据请求的内容, 调用相应的扫描模块进行处理, 对客户端的请求进行响应。

(2) 扫描数据库

1) 脆弱性数据库。

由于每个插件和脆弱性是一对一的关系, 所以脆弱性应包括。具体包括:脆弱性编号、插件ID号、插件名称、CVE编号、发布日期、更新日期、脆弱性名称、脆弱性描述、脆弱性级别、脆弱性类型、风险系数、风险系数权重、受影响的操作系统、系统开启的服务、相应的解决方法或补丁程序的说明字段等。

2) 扫描结果库。

它主要存放经检测验证后确实存在的脆弱性的相关检测信息, 包括目标主机信息表、发现脆弱性表、发现服务表等字段, 用于记录目前检测到的相关信息。

3) 扫描历史记录库。

它主要记录在某段时间内所有的扫描记录。包括目标主机的基本信息、扫描的日期和时间等。根据该扫描历史记录库能够对同一目标主机或网络的扫描结果进行比较, 可以得出该目标系统安全趋势, 从而帮助系统安全管理员根据目标系统安全趋势, 采取相应的安全措施做到防患于未然。

(3) 安全评估模块

该模块通过扫描结果、前面建立的脆弱性风险评估模型以及构造的比较矩阵求出网络的风险大小, 从而可以帮助网络安全管理员采取相应的安全防御措施。

4. 测试用例

在这里我们对某职业技术学院校园网络进行了测试, 在这个网络中有一个防火墙A3, IP地址为:100.100.100.3, 一个服务器A2, IP地址为:100.100.100.4, 三个客户机, 客户机B1, IP地址为:100.100.100.13, 客户机B2, IP地址为100.100.100.24, 客户机B3, IP地址为:100.100.100.29。

(1) 服务器A2上的信息:

1) 打开的端口和提供的服务有:

21/tcp ftp服务

23/tcp telnet服务

25/tcp smtp服务

80/tcp http服务

139/tcp netbios-ssn服务

2) 扫描到的系统信息有:

通过扫描发现这个主机使用的操作系统Linux2.1。

3) 扫描到的脆弱性信息有:

在端口21/tcp上发现wu-ftp 2.60远程溢出脆弱性。具体为只要有一个匿名FTP帐号就能够获取远程管理员权限。它的破坏系数为0.9, 传播系数为0.7, 容易系数为0.6, 追查系数为0.7, 它的风险大小=0.9*0.55+0.7*0.10+0.6*0.30+0.7*0.05=0.78

(2) 客户机上的信息

1) 打开的端口和提供的服务有:

135/tcp loc-srv服务

139/tcp netbios-ssn服务

2) 扫描到的系统信息有:

通过扫描发现这个主机使用的操作系统Windows NT4

3) 扫描到的脆弱性信息有:

在端口139/tcp上发现netbios共享脆弱性。具体为主机允许文件共享使得它们容易受到黑客和某种快速移动的病毒的攻击。它的破坏系数为0.6, 传播系数为0.7, 容易系数为0.4, 追查系数为0.5, 它的风险大小=0.6*0.55+0.7*0.10+0.4*0.30+0.5*0.05=0.545

5. 安全评估

经过以上脆弱性和其他安全的扫描所得到的信息, 通过评估模块, 结合模块的系统评估方法, 对系统的风险等级及安全性能进行评估, 并给出提高系统安全性能的专家意见。

5.1 漏洞风险等级存在不同类型的系统漏洞

包括:允许拒绝服务的漏洞:允许有限权限的本地用户未经授权提高其权限的漏洞:允许外来团体未经授权访问网络的漏洞。

漏洞的类型按照受害主机的危险程度分为A、B、C三个等级。其中A级漏洞能够使远程主机的恶意入侵者获得有限的访问权限或administrator/root权限, 进而控制整个系统。B级漏洞指允许本地用户获得增加非授权的访问。C类是使用应用系统的漏洞获得某个入侵点, 采用上传木马等途径获得系统的权限从而入侵并达到破坏目的。

5.2 系统风险等级

目前国际上没有一个统一的被广泛接受的网络安全标准, 而一个安全标准的制定是一个国家, 甚至是互联网师姐才可以完成的。我们这里将系统扫描出来的风险分为A、B、C、D四级, 对应的安全等级为低级、中级、中高级、高级。在此我们认识到制定一个科学的被广泛接受的系统风险等级标准还有很多工作要做。

5.3 网络安全评估

网络安全评估原则“最薄弱环节公理”任何计算机网络安全性的强度取决于它的最薄弱环节。本网络安全评估系统为:根据漏洞的风险等级和各个模块对校园网络总体的安全性能的重要性来进行评估。其中漏洞风险等级根据扫描检测出的漏洞风险等级的综合度来确定。其他应用系统的评估根据应用系统提供的服务来确定。如防火墙、路由器、DNS等是等级最高的, FTP、WWW等应用次之, 其他个人主机等级最低。网络安全风险=漏洞风险x应用系统重要性等级, 经过本文的架构大致分析, 就能大体确定校园网络的安全性。

6. 结束语

校园网的安全成为一个涉及技术、管理的综合性工程, 运用本文的提出的扫描手段, 可以找出校园网各系统中存在的技术上的安全隐患, 通过实施安全评估可以消除系统上的高等级风险。但要做到校园网各类信息系统的安全, 还必须建立一套完整的管理方法, 形成一套适合自己校园信息系统各类事件的方法论, 特别是提高信息系统的使用者的安全意识, 才能有效确保校园信息系统的安全。

参考文献

[1] (美) Thomas A Wadlow.网络安全实施方法.潇湘工作室译.人民邮电出版社, 2000

[2]刘欣欣, 郑纪蛟.端口扫描与漏洞安全检测系统SD.计算机工程与应用.2001.1

校园网网络性能评估 篇5

随着网络和通信技术的发展,各个大学的校园网络越来越大,结构也越来越复杂,安全问题也越来越严重。特别是复合式攻击、分布式攻击和来自内网的攻击对网络安全管理提出了严峻的挑战。IDS,Firewall,蜜罐等安全工具满足了部分安全需求,却存在网络安全布防重复、布防漏洞和缺乏协同解决复合攻击能力等问题。本文利用态势感知理论对网络安全体系中的各个设备的配置和性能进行评估,提供给网络安全管理员直观的网络安全设备工作效果,并通过网络安全态势调整系统的安全策略,有力的提高网络系统的安全性能。

1 网络安全态势评估概述

1999年,T.Bass等人首次提出了网络态势感知(cyberspace situation awareness,network situation awareness)概念,即网络安全态势感知,并对网络态势感知与空中交通监管(Air Traffic Control,ATC)态势感知进行了对比,旨在把ATC态势感知的成熟理论和技术推广到网络态势感知中。网络安全态势是对网络运行状况的宏观反映,它反映了一个网络过去和当前的状况,并预测下一个阶段可能的网络状态。我们可以对网络原始事件和安全设备报警日志进行预处理,把具有一定相关性、反映某些网络安全事件的特征的信息提取出来,通过一系列数学方法处理,将网络安全特征信息归并融合成有意义的数值。

国内外对网络态势感知的研究目前还停留在学术理论阶段,多是围绕网络安全态势评估模型、网络预警等来开展的,在技术上主要通过对IDS等设备数据源进行数据挖掘实现。模型方面美国国防部JDL(Joint Director of Laborato-ries)给出的JDL模型和Endsley所给出的态势感知模型具有很好的代表性。在国内,西安交通大学实现了基于IDS和防火墙的集成化网络安全监控平台,国防科技大学的胡华平等人提出了面向大规模网络的入侵检测与预警系统的基本框架。这些研究还无法形成成熟的网络产品,但是其中某些技术可以应用于网络设备配置评估和建议中。本文通过网络安全态势感知的结果、网络设备的能力和网络拓扑信息给出网络安全配置评估和调整建议。

2 网络安全配置评估主要功能

(1)漏洞发现。目前校园网中攻击相当一部分是来自内网的攻击,而网络布防的时候往往会将防御设置在网络外出口上。网络安全配置评估应当能够发现重要主机的防御漏洞。

(2)重复布防发现。许多网络设备要耗费很大的系统资源,而不同网络安全设备往往具有相同功能,在保证网络体系安全的情况下,应当尽量减少系统的重复布防。

(3)可协同布防发现。单一的安全设备很难发现复杂攻击,通过网络安全配置评估生成可协同布防的网络设备清单和最佳的协同布防位置。

3 校园网安全配置评估模型

如图1所示,模型分为以下几个主要部分:

(1)网络元素信息采集:在本评价体系中,采集的网络元素信息主要包含来自主机的信息、来自安全设备的信息和来自网络设备的信息。采集的网络信息包含设备资产信息、设备管理的LAN信息、设备特征、设备资源性能和运行状态信息、各种告警、警报、事件、日志,等等。直接采集的信息格式并不统一不能直接入库,必须采用XML语言进行标准化。标准化过程中同时进行归一化处理:对采集上来的各种要素信息进行事件标准化、归一化。在事件归一化过程中最重要的就是统一网络对象的特征、事件的严重等级和事件的意图及结果。事件归一化为后续的事件分析提供了准备。

(2)安全评估:安全评估主要通过漏洞扫描技术和聚类技术实现。安全扫描是自动探测远程主机或本地主机安全脆弱性的技术。它从外部通过一定的方式查询网络服务端口,根据其反馈信息来探测,然后将收集到的信息与已知的安全漏洞相比较,如果匹配,则找出了其中存在的安全隐患。聚类分析是安全评估的重要环节。通过基于攻击类型、LAN类型和主机类型的聚类结果横向对比给出布防重复报告和布防漏洞报告。

(3)态势评估:主要通过数据挖掘中的关联分析发现复杂攻击的中子攻击的时序性和因果性,通过来自不同网络安全设备的攻击间时序关系和因果关系的确立形成网络协同布防报告,并通过专家建议和横向对比给出协同布防建议。

4 网络安全配置评估关键技术

(1)数据挖掘技术:数据挖掘在评估模型中使用了4种分析方法:关联分析、序列模式分析、分类分析和聚类分析。关联分析用于挖掘数据之间的联系,起到加强报警确认度的作用,常用算法有Apriori算法、AprioriTid算法等。序列模式分析和关联分析相似,但侧重于分析数据间的前后(因果)关系,在模型中用于寻找复杂攻击协同解决网络策略,常用算法有DynamicSome算法、Apriori Some算法等。分类和聚类分析主要是为网络漏洞分析和布防重复提供横向比较资源。

(2)数据融合技术:为了加强对分散的协同攻击的发现,网络评估引入了数据融合技术。它通过对对来自网络环境中的具有相似或不同特征模式的多源信息进行互补集成,从而获得对当前网络状态的准确判断。目前用于数据融合领域的典型算法有贝叶斯网络和D-S证据推理。贝叶斯网络是神经网络和贝叶斯推理的结合。它使用节点和弧来代表域知识,节点之间可通过弧来传播新的信息。网络中保存的知识可以由专家指定,也可以通过样本进行学习。D-S证据理论用概率上下限来表示实际问题中的不确定性。它允许人们对不精确和不确定性问题进行建模、推理,为融合不确定信息提供了一条思路。

(3)拓扑发现技术:网络配置评估中要将网络安全事件和网络安全设备关联在一起分析,而网络安全事件的来源非常复杂。网络评估认为同一子网中发生的网络事件和网络设备是关联在一起的,这种关联的验证需要通过拓扑发现技术来验证。这种验证可以在网络接入层实现。南京航空航天大学提出一种基于地址转发表的网络拓扑发现算法,利用简单网络管理协议获得网桥MIB中的地址转发表信息,从而推导出连接关系。它不要求各个网桥转发表的信息是完备的,也无须进行大量比较,能够准确地计算出整个被管网络的二层拓扑结构。

5 结论及展望

网络安全态势评估具有对网络安全设备性能和配置强大检验能力,特别是对发现复杂攻击漏洞和来自内网的攻击漏洞具有十分重要的意义。但是,国内目前对NSAS研究才刚刚起步,相关理论和技术还很不成熟,特别是复杂网络安全设备态势评估的标准、利用态势评估激发安全策略的自动调整和触发多种设备的协同防御等方面均有许多问题需要研究。

参考文献

[1]Bass T,Gruber D,A glimpse into the future of id.http://www.usenix.org/publications/login/1999-9/features/future.html.1999.

[2]D.L.Hall Mathematical Techniques in Multisensor Data Fusion[M].Bosston:Artech House.2004.

[3]陈秀真.网络化系统安全态势评估的研究.西安交通大学学报.2004.

[4]胡华平等.面向大规模网络的入侵检测与预警系统研究.国防科技大学学报.2003.

[5]Braun J J.Dempster-Shafer Theory and Bayesian Reasoningin Multisensor Data Fusion in Sensor Fusion:Achitectures.Algorithms.and Applications IV.Dasarathy B V,eds.In:Proceedings ofSPIE.Vol 4051.2000.