供應鏈選擇信息安全問題研究

導語：供應鏈選擇信息安全問題研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

【摘要】供應鏈是企業的生命線，供應鏈選擇在企業的戰略發展中發揮著重要的作用。信息時代的到來既為企業供應鏈的選擇提供了支撐，也給企業帶來了不小的挑戰。論文從信息安全視角出發，分析了供應鏈選擇中信息安全的構成與特點，探討了供應鏈選擇中的信息安全問題，包括信息安全意識薄弱、信息安全管理落后、信息戰略規劃缺失、身份管理工作滯后，從保障信息安全的角度提出了對策。

【關鍵詞】信息安全；供應鏈管理；供應鏈選擇

1引言

供應鏈管理（SupplyChainManufacturing）最早出現于20世紀80年代，是針對企業供應鏈管理活動的統稱。供應鏈管理具有非常重要的作用。一方面，供應鏈管理不僅關注企業內部的優化，更加注重企業與外部的合作，并且，隨著企業生產規模與市場占有率的不斷擴大，企業外部合作的對象也更加復雜；另一方面，供應鏈管理致力于以系統工程的方法來優化整個供應鏈，并從供應鏈出發，進行戰略決策。信息時代的到來為供應鏈管理帶來了便利，更對供應鏈管理，特別是供應鏈選擇提出了更高的要求。

2供應鏈選擇中的信息安全分析

供應鏈系統安全主要有以下幾部分內容構成：第一，物理安全。物理安全包括設備安全與環境安全2個方面的內容，具體的措施包括對關鍵物理設備制定實體訪問規則，通過視頻監控系統、門禁系統等構建物理保護架構等。第二，主機安全。主機安全主要針對的是因操作系統內在缺陷而導致的安全隱患，具體的防御措施以系統檢測、檢查配置、安裝防病毒軟件為主，需要運行主體構建完善的主機安全保護體系，提升系統整體安全性。第三，網絡安全。網絡安全主要來自于網絡入侵等行為。供應鏈系統可采用冗余配置，以免出現關鍵節點單點故障的問題，同時，通過安全域的劃分，實現安全、可控的邏輯隔離，特別是重要安全域與一般安全域之間，需要采取相應的技術隔離手段，以確保網絡系統的安全性。第四，應用安全。應用安全主要表現為漏洞對系統所形成的安全隱患，需要通過定期的系統掃描來發現漏洞。供應鏈系統網絡安全的多樣性決定了必須構建完善的網絡安全等級保護體系。

3供應鏈選擇中的信息安全問題分析

3.1信息安全意識薄弱

信息資源在供應鏈選擇中發揮著重要的作用，而信息安全意識薄弱則是供應鏈節點企業常見的問題。隨著信息技術的不斷發展，企業信息化建設取得了長足的發展，這為企業經營管理帶來巨大便利的同時，也對企業的安全工作提出了更高的要求，信息安全日益成為企業安全管理的重點、要點。然而，從供應鏈選擇的現狀來看，節點企業信息安全意識薄弱是顯而易見的問題，突出體現在以下2點：首先，未能深刻認識到信息資源的重要價值。作為信息時代的寶貴資源，信息資源蘊藏著重要的價值，已經成為企業資產的重要組成部分，但企業對信息資源的價值認知存在局限性，這從源頭上制約了企業對信息安全的投入。其次，信息安全意識較差。供應鏈信息安全對細節有著很高的要求，多數節點企業在敏感數據保護、數據備份、密集資料處理等中的安全意識較差，難以滿足信息安全保護的需求。

3.2信息安全管理落后

信息安全管理落后是供應鏈選擇中的常見問題，首先，信息安全管理制度建設落后?！皼]有規矩，不成方圓”，制度建設是信息安全管理中的首要內容。供應鏈節點企業信息安全管理工作多以經驗為主，制度約束不足，極大地增加了人為因素風險發生的可能性。其次，專業化信息安全人才不足。供應鏈選擇中的信息安全工作，歸根到底由人來完成，相關人員的專業能力與綜合素質直接關系到供應鏈選擇中信息安全的效果。因此，必須要重視人員培訓工作，圍繞崗位職責以及供應鏈選擇的內容和要求，建立健全人員培訓機制，全面提升工作人員的專業能力，建立專業化的安全團隊。然而，多數供應鏈節點企業在專業化人才的培訓與建設中存在不足，難以滿足信息安全管理的實際需要。

3.3信息戰略規劃缺失

以數據安全為例，數據中心具有網絡入侵防御、網絡入侵檢測、網絡訪問限制等功能。但在內部分區分域隔離措施的設計上還有所欠缺，如未規范網絡安全區域劃分的基本原則及內部邊界安全防護要求，意味著在數據處理中心存在領域之間交叉融合或者多個系統歸屬于同一安全域中的可能，還可能存在不同系統、同一系統內不同功能主機間可任意互訪的情況。安全域隔離措施的缺乏現狀，會增加數據處理中心內部所受攻擊范圍，也會成為攻擊者對供應鏈管理系統進行攻擊的重要目標，大范圍的攻擊會造成系統破壞、數據泄露等嚴重后果。供應鏈系統包含的數據資料、數據庫種類及數量很大，只有從海量數據中準確篩選出敏感數據，才能確保敏感數據能夠得到有效保護。當前，節點企業對數據總量、敏感數據的判定及所在位置的掌控不足，同時對這些數據的后續劃分與管理方案也尚未明確。

3.4身份管理工作滯后

供應鏈系統涉及多個利益主體，盡管不同利益主體在某些時候具有利益一致性的特征，但作為獨立的企業，節點企業也存在利益不一致的地方，因此，加強身份管理，嚴格使用權限就成為維護供應鏈系統安全的客觀需要。但從供應鏈系統管理現狀來看，身份管理工作滯后的問題非常嚴峻。首先，訪問系統缺乏創新與完善。物聯網環境下供應鏈系統網絡依然采用的是原有的傳統訪問系統，雖然對網絡內的設備和用戶具備一定的權限及訪問控制效果，但缺少對其行為的監管，在物聯網環境下它無法更有效地應對內部和外部存在的安全威脅，存在較大安全隱患。其次，訪問控制與身份管理不夠統一。當前供應鏈系統網對用戶的身份認證及訪問控制主要依賴于用戶名口令實現，具有較大局限性。最后，缺乏對特殊用戶的管理。供應鏈系統網絡具有規模龐大、網絡分支較多的特點，這些特點在一定程度上增加了設備的安全接入、人員賬號的訪問控制等方面的安全管理難度，帶來了一定安全風險。

4信息安全視角下的企業供應鏈選擇對策

4.1簽訂企業多方保密協議

信息泄密是供應鏈選擇中常見的安全問題，導致信息泄密的因素有很多，如網絡信息安全防護不到位、供應鏈構成單位主動泄密等。供應鏈信息系統中信息總量巨大、信息來源廣泛，且處于不斷更新的狀態中，其中不少信息均為企業乃至行業機密信息，如用戶資料、技術研發資料等，一旦出現泄密現象，不僅會損壞企業利益，更會使廣大用戶暴露在信息安全風險中。對此，必須簽訂供應鏈企業多方保密協議，以多方保密協議作為供應鏈選擇的先決條件。保密協議的要點有2點：一是明確呈現保密信息的種類以及共享要求，為信息保護提供準確的參考依據，以免出現無意泄密的問題；二是合理規定企業間的責任與權力，對信息泄密后，企業所需承擔的法律責任作出明確的規定。在協議編寫過程中，為保障協議的標準性、規范性，可聘請專業法律人士來完善協議，如此，既能充分發揮好保密協議在維護信息安全中的作用，也有助于事后企業以法律武器來維護自身的權益。網絡信息技術的廣泛使用為供應鏈信息協同提供了便利的條件，但也極大地增加了信息協同中信息泄密的風險，因此，既要重視網絡信息安全機制以及企業保密機制的建設，也要建立信息泄露應急機制。一旦出現信息泄露現象，應急機制會第一時間響應，以信息安全手段、法律手段等切實保障企業權益，最大程度降低信息泄露對供應鏈結構的負面影響。

4.2強化信息安全技術使用

從信息安全的角度來看，供應鏈選擇中存在著大量的風險，既有網絡層面的安全風險，也有信息操作層面的安全風險，而強化信息安全技術的使用則是提高供應鏈選擇信息安全的客觀需要。VPN技術是保障供應鏈選擇信息安全的常見技術。VPN指專用虛擬網絡，指建立在公共網絡上的專用網絡，VPN雖然不是真正的網絡，但在網絡安全防護中發揮著巨大的作用。例如，供應鏈選擇涉及的企業較多，一些企業出于保密需要，不便在網絡空間中公開信息資源，其他企業可以借助VPN來獲得想要的信息。例如，供應上能夠通過VPN獲得制造上的生產計劃以及庫存情況，從而有針對性地提供相應的貨源，而制造上則可以通過VPN把握分銷商的訂單數量、產品市場容納情況，從而調整生產計劃，改進產品性能。VPN保證了信息共享的安全性。VPN技術具有顯著的優勢：首先，成本低。VPN以遠程用戶接入取代了傳統的遠程訪問與遠程技術支持，供應鏈各節點企業無需花費大量的資金來建設、維護專網，企業成本大為降低。其次，安全性高。VPN具有多重安全保護功能，整合了數據加密技術、身份認證技術等，為機密信息的傳遞提供了安全的途徑，能夠有效減少木馬、惡意病毒的攻擊，保證了信息安全的可靠性。最后，便捷性。VPN能夠經由公共基礎設施和ISP接入，這為企業加入或退出供應鏈提供了極大的便利?；A設施和業務應用始終是技術保障的核心內容，在構建網絡與信息安全體系中發揮著至關重要的作用。等保2.0結合近年來網絡與信息技術發展的新變化、新成果，多角度補充了安全防護的要求，包括云計算、物聯網、移動互聯網等層面的內容，突破了等保1.0的不足。需要從等保2.0的角度出發，創新信息安全技術的使用。

4.3建立安全評估預警模型

防患于未然是保障供應鏈選擇信息安全的基本要求，而安全評估預警模型的構建則是防患于未然的戰略舉措。對供應鏈選擇而言，安全評估預警模型需要具備5項基本能力：第一，全要素數據采集與處理能力，能夠全方位、全天候地采集數據并作出分析處理；第二，威脅情報獲取與應用能力，能夠準確及時捕捉威脅情報，并應用于網絡安全等級保護中；第三，數據綜合分析能力，能夠綜合利用本地數據、互聯網數據以及大數據；第四，安全運營支撐能力，能夠全過程支撐安全閉環運營；第五，安全事件的取證、分析、追蹤能力。借助安全預警模型，可以在信息安全事件爆發前，便采取有效的遏制措施，從而降低信息安全事件發生的幾率。對此，供應鏈企業要從以下幾點建立安全評估預警模型：首先，評估危害程度，主要評估內容為安全預警中漏洞、惡意代碼的危害性。針對供應鏈管理系統的攻擊方式，包括遠程攻擊和本地攻擊2種形式，危害程度則包括高、中、低3個層次，其中，高危害程度需要重點防范。其次，評估危害部位，主要評估受影響業務系統的重要性，包括關鍵業務系統和一般業務系統2個方面。關鍵業務系統指數據敏感性高的核心業務系統，是安全評估預警的重點內容。再次，評估危害范圍，主要評估信息安全事件對供應鏈選擇危害的范圍，分類方式包括定性分析和定量分析2種。以定性分析為例，危害可以分為大范圍危害、中等范圍危害以及小范圍危害3類。最后，評估修復方式，指對修復方式針對性、可行性的評估。常見的修復方式包括修改系統配置、升級系統組件、修改系統代碼、外圍安全防護等，也有可能存在無法正常修復的問題。供應鏈選擇，特別是供應鏈中供應上的選擇，存在著大量的風險，安全評估預警模型的構建可以有效保障信息安全，從而提升供應鏈整體的安全性。

4.4完善信息安全體系框架

供應鏈選擇中的信息安全建設是一項長期性、艱巨性、復雜性的問題，因為供應鏈涉及眾多的節點企業，任何一個節點企業出現問題，都會導致供應鏈信息安全風險。因此，必須做好供應鏈系統中信息安全組件的有效整合，發揮好信息安全要件的協同作用，而供應鏈信息安全體系框架的構建則在其中占據著重要的位置。供應鏈信息安全體系框架主要包括以下5個模塊：第一，安全治理模塊。該模塊是信息安全體系框架的核心內容，能夠為其他模塊的建設提供基礎和依據。第二，信息安全管理模塊。該模塊圍繞安全治理模塊開展，以保障供應鏈系統的安全為目標。第三，基礎安全服務和架構模塊。該模塊是供應鏈信息安全體系框架建設的支柱內容，主要通過一系列的控制措施來確保安全服務功能的實現，從而實現安全治理的要求，在維護供應鏈選擇中的信息安全發揮著至關重要的作用。第四，第三方信息安全服務與認證機構。該模塊以專業化的信息安全服務來彌補供應鏈企業信息安全層面的缺陷與不足，能夠為供應鏈企業提供托管以及信息安全服務。第五，信息安全技術標準體系模塊。該模塊的主要作用是為第4個模塊提供保障和依據，從而形成健康法制的第三方信息安全市場服務環境。信息安全體系框架中的五大模塊，既有獨立的作用與價值，也在供應鏈信息安全中發揮著協同作用。

5結語

在信息技術不斷發展的今天，企業供應鏈選擇中的信息安全問題日益嚴峻，暴露了不少的風險。對此，要從簽訂企業多方保密協議、強化信息安全技術使用、建立安全評估預警模型、完善信息安全體系框架等角度采取好措施。

【參考文獻】

【1】畢婷,陳雪鴻,楊帥峰.等保2.0下工控安全防護新變化[J].信息技術與網絡安全,2019(10):120-121.

【2】劉瑋瑤.基于供應鏈聯盟的信息安全管理[D].西安:西安電子科技大學,2007.

【3】薛偉蓮,王蕾.電子商務環境下供應鏈信息風險評估指標體系研究[J].情報科學,2011(1):28-31.

【4】齊興敏,沈緒明.信息安全技術在供應鏈管理系統中的應用[J].物流技術：裝備版,2012(3):51-55.

【5】段利鈞.供應鏈信息協同中信息安全概述[J].信息與安全,2019(06):197-198.

【6】齊興敏,沈緒明.信息安全技術在供應鏈管理系統中的應用[J].物流技術,2012(03):51-55.

【7】邱永哲,張智南.事件驅動的供應鏈安全評估預警模型研究[J].科技傳播,2018(03):135-137.

【8】李健峰,鈕亮,段林茂.供應鏈信息安全現狀及體系框架研究[J].江蘇商論,2013(03):36-38.

作者：高小芹 朱禮龍 單位：巢湖學院工商管理學院