導(dǎo)語：供應(yīng)鏈選擇信息安全問題研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

【摘要】供應(yīng)鏈是企業(yè)的生命線，供應(yīng)鏈選擇在企業(yè)的戰(zhàn)略發(fā)展中發(fā)揮著重要的作用。信息時代的到來既為企業(yè)供應(yīng)鏈的選擇提供了支撐，也給企業(yè)帶來了不小的挑戰(zhàn)。論文從信息安全視角出發(fā)，分析了供應(yīng)鏈選擇中信息安全的構(gòu)成與特點，探討了供應(yīng)鏈選擇中的信息安全問題，包括信息安全意識薄弱、信息安全管理落后、信息戰(zhàn)略規(guī)劃缺失、身份管理工作滯后，從保障信息安全的角度提出了對策。

【關(guān)鍵詞】信息安全；供應(yīng)鏈管理；供應(yīng)鏈選擇

1引言

供應(yīng)鏈管理（SupplyChainManufacturing）最早出現(xiàn)于20世紀80年代，是針對企業(yè)供應(yīng)鏈管理活動的統(tǒng)稱。供應(yīng)鏈管理具有非常重要的作用。一方面，供應(yīng)鏈管理不僅關(guān)注企業(yè)內(nèi)部的優(yōu)化，更加注重企業(yè)與外部的合作，并且，隨著企業(yè)生產(chǎn)規(guī)模與市場占有率的不斷擴大，企業(yè)外部合作的對象也更加復(fù)雜；另一方面，供應(yīng)鏈管理致力于以系統(tǒng)工程的方法來優(yōu)化整個供應(yīng)鏈，并從供應(yīng)鏈出發(fā)，進行戰(zhàn)略決策。信息時代的到來為供應(yīng)鏈管理帶來了便利，更對供應(yīng)鏈管理，特別是供應(yīng)鏈選擇提出了更高的要求。

2供應(yīng)鏈選擇中的信息安全分析

供應(yīng)鏈系統(tǒng)安全主要有以下幾部分內(nèi)容構(gòu)成：第一，物理安全。物理安全包括設(shè)備安全與環(huán)境安全2個方面的內(nèi)容，具體的措施包括對關(guān)鍵物理設(shè)備制定實體訪問規(guī)則，通過視頻監(jiān)控系統(tǒng)、門禁系統(tǒng)等構(gòu)建物理保護架構(gòu)等。第二，主機安全。主機安全主要針對的是因操作系統(tǒng)內(nèi)在缺陷而導(dǎo)致的安全隱患，具體的防御措施以系統(tǒng)檢測、檢查配置、安裝防病毒軟件為主，需要運行主體構(gòu)建完善的主機安全保護體系，提升系統(tǒng)整體安全性。第三，網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全主要來自于網(wǎng)絡(luò)入侵等行為。供應(yīng)鏈系統(tǒng)可采用冗余配置，以免出現(xiàn)關(guān)鍵節(jié)點單點故障的問題，同時，通過安全域的劃分，實現(xiàn)安全、可控的邏輯隔離，特別是重要安全域與一般安全域之間，需要采取相應(yīng)的技術(shù)隔離手段，以確保網(wǎng)絡(luò)系統(tǒng)的安全性。第四，應(yīng)用安全。應(yīng)用安全主要表現(xiàn)為漏洞對系統(tǒng)所形成的安全隱患，需要通過定期的系統(tǒng)掃描來發(fā)現(xiàn)漏洞。供應(yīng)鏈系統(tǒng)網(wǎng)絡(luò)安全的多樣性決定了必須構(gòu)建完善的網(wǎng)絡(luò)安全等級保護體系。

3供應(yīng)鏈選擇中的信息安全問題分析

3.1信息安全意識薄弱

信息資源在供應(yīng)鏈選擇中發(fā)揮著重要的作用，而信息安全意識薄弱則是供應(yīng)鏈節(jié)點企業(yè)常見的問題。隨著信息技術(shù)的不斷發(fā)展，企業(yè)信息化建設(shè)取得了長足的發(fā)展，這為企業(yè)經(jīng)營管理帶來巨大便利的同時，也對企業(yè)的安全工作提出了更高的要求，信息安全日益成為企業(yè)安全管理的重點、要點。然而，從供應(yīng)鏈選擇的現(xiàn)狀來看，節(jié)點企業(yè)信息安全意識薄弱是顯而易見的問題，突出體現(xiàn)在以下2點：首先，未能深刻認識到信息資源的重要價值。作為信息時代的寶貴資源，信息資源蘊藏著重要的價值，已經(jīng)成為企業(yè)資產(chǎn)的重要組成部分，但企業(yè)對信息資源的價值認知存在局限性，這從源頭上制約了企業(yè)對信息安全的投入。其次，信息安全意識較差。供應(yīng)鏈信息安全對細節(jié)有著很高的要求，多數(shù)節(jié)點企業(yè)在敏感數(shù)據(jù)保護、數(shù)據(jù)備份、密集資料處理等中的安全意識較差，難以滿足信息安全保護的需求。

3.2信息安全管理落后

信息安全管理落后是供應(yīng)鏈選擇中的常見問題，首先，信息安全管理制度建設(shè)落后。“沒有規(guī)矩，不成方圓”，制度建設(shè)是信息安全管理中的首要內(nèi)容。供應(yīng)鏈節(jié)點企業(yè)信息安全管理工作多以經(jīng)驗為主，制度約束不足，極大地增加了人為因素風(fēng)險發(fā)生的可能性。其次，專業(yè)化信息安全人才不足。供應(yīng)鏈選擇中的信息安全工作，歸根到底由人來完成，相關(guān)人員的專業(yè)能力與綜合素質(zhì)直接關(guān)系到供應(yīng)鏈選擇中信息安全的效果。因此，必須要重視人員培訓(xùn)工作，圍繞崗位職責(zé)以及供應(yīng)鏈選擇的內(nèi)容和要求，建立健全人員培訓(xùn)機制，全面提升工作人員的專業(yè)能力，建立專業(yè)化的安全團隊。然而，多數(shù)供應(yīng)鏈節(jié)點企業(yè)在專業(yè)化人才的培訓(xùn)與建設(shè)中存在不足，難以滿足信息安全管理的實際需要。

3.3信息戰(zhàn)略規(guī)劃缺失

以數(shù)據(jù)安全為例，數(shù)據(jù)中心具有網(wǎng)絡(luò)入侵防御、網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)訪問限制等功能。但在內(nèi)部分區(qū)分域隔離措施的設(shè)計上還有所欠缺，如未規(guī)范網(wǎng)絡(luò)安全區(qū)域劃分的基本原則及內(nèi)部邊界安全防護要求，意味著在數(shù)據(jù)處理中心存在領(lǐng)域之間交叉融合或者多個系統(tǒng)歸屬于同一安全域中的可能，還可能存在不同系統(tǒng)、同一系統(tǒng)內(nèi)不同功能主機間可任意互訪的情況。安全域隔離措施的缺乏現(xiàn)狀，會增加數(shù)據(jù)處理中心內(nèi)部所受攻擊范圍，也會成為攻擊者對供應(yīng)鏈管理系統(tǒng)進行攻擊的重要目標，大范圍的攻擊會造成系統(tǒng)破壞、數(shù)據(jù)泄露等嚴重后果。供應(yīng)鏈系統(tǒng)包含的數(shù)據(jù)資料、數(shù)據(jù)庫種類及數(shù)量很大，只有從海量數(shù)據(jù)中準確篩選出敏感數(shù)據(jù)，才能確保敏感數(shù)據(jù)能夠得到有效保護。當前，節(jié)點企業(yè)對數(shù)據(jù)總量、敏感數(shù)據(jù)的判定及所在位置的掌控不足，同時對這些數(shù)據(jù)的后續(xù)劃分與管理方案也尚未明確。

3.4身份管理工作滯后

供應(yīng)鏈系統(tǒng)涉及多個利益主體，盡管不同利益主體在某些時候具有利益一致性的特征，但作為獨立的企業(yè)，節(jié)點企業(yè)也存在利益不一致的地方，因此，加強身份管理，嚴格使用權(quán)限就成為維護供應(yīng)鏈系統(tǒng)安全的客觀需要。但從供應(yīng)鏈系統(tǒng)管理現(xiàn)狀來看，身份管理工作滯后的問題非常嚴峻。首先，訪問系統(tǒng)缺乏創(chuàng)新與完善。物聯(lián)網(wǎng)環(huán)境下供應(yīng)鏈系統(tǒng)網(wǎng)絡(luò)依然采用的是原有的傳統(tǒng)訪問系統(tǒng)，雖然對網(wǎng)絡(luò)內(nèi)的設(shè)備和用戶具備一定的權(quán)限及訪問控制效果，但缺少對其行為的監(jiān)管，在物聯(lián)網(wǎng)環(huán)境下它無法更有效地應(yīng)對內(nèi)部和外部存在的安全威脅，存在較大安全隱患。其次，訪問控制與身份管理不夠統(tǒng)一。當前供應(yīng)鏈系統(tǒng)網(wǎng)對用戶的身份認證及訪問控制主要依賴于用戶名口令實現(xiàn)，具有較大局限性。最后，缺乏對特殊用戶的管理。供應(yīng)鏈系統(tǒng)網(wǎng)絡(luò)具有規(guī)模龐大、網(wǎng)絡(luò)分支較多的特點，這些特點在一定程度上增加了設(shè)備的安全接入、人員賬號的訪問控制等方面的安全管理難度，帶來了一定安全風(fēng)險。

4信息安全視角下的企業(yè)供應(yīng)鏈選擇對策

4.1簽訂企業(yè)多方保密協(xié)議

信息泄密是供應(yīng)鏈選擇中常見的安全問題，導(dǎo)致信息泄密的因素有很多，如網(wǎng)絡(luò)信息安全防護不到位、供應(yīng)鏈構(gòu)成單位主動泄密等。供應(yīng)鏈信息系統(tǒng)中信息總量巨大、信息來源廣泛，且處于不斷更新的狀態(tài)中，其中不少信息均為企業(yè)乃至行業(yè)機密信息，如用戶資料、技術(shù)研發(fā)資料等，一旦出現(xiàn)泄密現(xiàn)象，不僅會損壞企業(yè)利益，更會使廣大用戶暴露在信息安全風(fēng)險中。對此，必須簽訂供應(yīng)鏈企業(yè)多方保密協(xié)議，以多方保密協(xié)議作為供應(yīng)鏈選擇的先決條件。保密協(xié)議的要點有2點：一是明確呈現(xiàn)保密信息的種類以及共享要求，為信息保護提供準確的參考依據(jù)，以免出現(xiàn)無意泄密的問題；二是合理規(guī)定企業(yè)間的責(zé)任與權(quán)力，對信息泄密后，企業(yè)所需承擔(dān)的法律責(zé)任作出明確的規(guī)定。在協(xié)議編寫過程中，為保障協(xié)議的標準性、規(guī)范性，可聘請專業(yè)法律人士來完善協(xié)議，如此，既能充分發(fā)揮好保密協(xié)議在維護信息安全中的作用，也有助于事后企業(yè)以法律武器來維護自身的權(quán)益。網(wǎng)絡(luò)信息技術(shù)的廣泛使用為供應(yīng)鏈信息協(xié)同提供了便利的條件，但也極大地增加了信息協(xié)同中信息泄密的風(fēng)險，因此，既要重視網(wǎng)絡(luò)信息安全機制以及企業(yè)保密機制的建設(shè)，也要建立信息泄露應(yīng)急機制。一旦出現(xiàn)信息泄露現(xiàn)象，應(yīng)急機制會第一時間響應(yīng)，以信息安全手段、法律手段等切實保障企業(yè)權(quán)益，最大程度降低信息泄露對供應(yīng)鏈結(jié)構(gòu)的負面影響。

4.2強化信息安全技術(shù)使用

從信息安全的角度來看，供應(yīng)鏈選擇中存在著大量的風(fēng)險，既有網(wǎng)絡(luò)層面的安全風(fēng)險，也有信息操作層面的安全風(fēng)險，而強化信息安全技術(shù)的使用則是提高供應(yīng)鏈選擇信息安全的客觀需要。VPN技術(shù)是保障供應(yīng)鏈選擇信息安全的常見技術(shù)。VPN指專用虛擬網(wǎng)絡(luò)，指建立在公共網(wǎng)絡(luò)上的專用網(wǎng)絡(luò)，VPN雖然不是真正的網(wǎng)絡(luò)，但在網(wǎng)絡(luò)安全防護中發(fā)揮著巨大的作用。例如，供應(yīng)鏈選擇涉及的企業(yè)較多，一些企業(yè)出于保密需要，不便在網(wǎng)絡(luò)空間中公開信息資源，其他企業(yè)可以借助VPN來獲得想要的信息。例如，供應(yīng)上能夠通過VPN獲得制造上的生產(chǎn)計劃以及庫存情況，從而有針對性地提供相應(yīng)的貨源，而制造上則可以通過VPN把握分銷商的訂單數(shù)量、產(chǎn)品市場容納情況，從而調(diào)整生產(chǎn)計劃，改進產(chǎn)品性能。VPN保證了信息共享的安全性。VPN技術(shù)具有顯著的優(yōu)勢：首先，成本低。VPN以遠程用戶接入取代了傳統(tǒng)的遠程訪問與遠程技術(shù)支持，供應(yīng)鏈各節(jié)點企業(yè)無需花費大量的資金來建設(shè)、維護專網(wǎng)，企業(yè)成本大為降低。其次，安全性高。VPN具有多重安全保護功能，整合了數(shù)據(jù)加密技術(shù)、身份認證技術(shù)等，為機密信息的傳遞提供了安全的途徑，能夠有效減少木馬、惡意病毒的攻擊，保證了信息安全的可靠性。最后，便捷性。VPN能夠經(jīng)由公共基礎(chǔ)設(shè)施和ISP接入，這為企業(yè)加入或退出供應(yīng)鏈提供了極大的便利。基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用始終是技術(shù)保障的核心內(nèi)容，在構(gòu)建網(wǎng)絡(luò)與信息安全體系中發(fā)揮著至關(guān)重要的作用。等保2.0結(jié)合近年來網(wǎng)絡(luò)與信息技術(shù)發(fā)展的新變化、新成果，多角度補充了安全防護的要求，包括云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等層面的內(nèi)容，突破了等保1.0的不足。需要從等保2.0的角度出發(fā)，創(chuàng)新信息安全技術(shù)的使用。

4.3建立安全評估預(yù)警模型

防患于未然是保障供應(yīng)鏈選擇信息安全的基本要求，而安全評估預(yù)警模型的構(gòu)建則是防患于未然的戰(zhàn)略舉措。對供應(yīng)鏈選擇而言，安全評估預(yù)警模型需要具備5項基本能力：第一，全要素數(shù)據(jù)采集與處理能力，能夠全方位、全天候地采集數(shù)據(jù)并作出分析處理；第二，威脅情報獲取與應(yīng)用能力，能夠準確及時捕捉威脅情報，并應(yīng)用于網(wǎng)絡(luò)安全等級保護中；第三，數(shù)據(jù)綜合分析能力，能夠綜合利用本地數(shù)據(jù)、互聯(lián)網(wǎng)數(shù)據(jù)以及大數(shù)據(jù)；第四，安全運營支撐能力，能夠全過程支撐安全閉環(huán)運營；第五，安全事件的取證、分析、追蹤能力。借助安全預(yù)警模型，可以在信息安全事件爆發(fā)前，便采取有效的遏制措施，從而降低信息安全事件發(fā)生的幾率。對此，供應(yīng)鏈企業(yè)要從以下幾點建立安全評估預(yù)警模型：首先，評估危害程度，主要評估內(nèi)容為安全預(yù)警中漏洞、惡意代碼的危害性。針對供應(yīng)鏈管理系統(tǒng)的攻擊方式，包括遠程攻擊和本地攻擊2種形式，危害程度則包括高、中、低3個層次，其中，高危害程度需要重點防范。其次，評估危害部位，主要評估受影響業(yè)務(wù)系統(tǒng)的重要性，包括關(guān)鍵業(yè)務(wù)系統(tǒng)和一般業(yè)務(wù)系統(tǒng)2個方面。關(guān)鍵業(yè)務(wù)系統(tǒng)指數(shù)據(jù)敏感性高的核心業(yè)務(wù)系統(tǒng)，是安全評估預(yù)警的重點內(nèi)容。再次，評估危害范圍，主要評估信息安全事件對供應(yīng)鏈選擇危害的范圍，分類方式包括定性分析和定量分析2種。以定性分析為例，危害可以分為大范圍危害、中等范圍危害以及小范圍危害3類。最后，評估修復(fù)方式，指對修復(fù)方式針對性、可行性的評估。常見的修復(fù)方式包括修改系統(tǒng)配置、升級系統(tǒng)組件、修改系統(tǒng)代碼、外圍安全防護等，也有可能存在無法正常修復(fù)的問題。供應(yīng)鏈選擇，特別是供應(yīng)鏈中供應(yīng)上的選擇，存在著大量的風(fēng)險，安全評估預(yù)警模型的構(gòu)建可以有效保障信息安全，從而提升供應(yīng)鏈整體的安全性。

4.4完善信息安全體系框架

供應(yīng)鏈選擇中的信息安全建設(shè)是一項長期性、艱巨性、復(fù)雜性的問題，因為供應(yīng)鏈涉及眾多的節(jié)點企業(yè)，任何一個節(jié)點企業(yè)出現(xiàn)問題，都會導(dǎo)致供應(yīng)鏈信息安全風(fēng)險。因此，必須做好供應(yīng)鏈系統(tǒng)中信息安全組件的有效整合，發(fā)揮好信息安全要件的協(xié)同作用，而供應(yīng)鏈信息安全體系框架的構(gòu)建則在其中占據(jù)著重要的位置。供應(yīng)鏈信息安全體系框架主要包括以下5個模塊：第一，安全治理模塊。該模塊是信息安全體系框架的核心內(nèi)容，能夠為其他模塊的建設(shè)提供基礎(chǔ)和依據(jù)。第二，信息安全管理模塊。該模塊圍繞安全治理模塊開展，以保障供應(yīng)鏈系統(tǒng)的安全為目標。第三，基礎(chǔ)安全服務(wù)和架構(gòu)模塊。該模塊是供應(yīng)鏈信息安全體系框架建設(shè)的支柱內(nèi)容，主要通過一系列的控制措施來確保安全服務(wù)功能的實現(xiàn)，從而實現(xiàn)安全治理的要求，在維護供應(yīng)鏈選擇中的信息安全發(fā)揮著至關(guān)重要的作用。第四，第三方信息安全服務(wù)與認證機構(gòu)。該模塊以專業(yè)化的信息安全服務(wù)來彌補供應(yīng)鏈企業(yè)信息安全層面的缺陷與不足，能夠為供應(yīng)鏈企業(yè)提供托管以及信息安全服務(wù)。第五，信息安全技術(shù)標準體系模塊。該模塊的主要作用是為第4個模塊提供保障和依據(jù)，從而形成健康法制的第三方信息安全市場服務(wù)環(huán)境。信息安全體系框架中的五大模塊，既有獨立的作用與價值，也在供應(yīng)鏈信息安全中發(fā)揮著協(xié)同作用。

5結(jié)語

在信息技術(shù)不斷發(fā)展的今天，企業(yè)供應(yīng)鏈選擇中的信息安全問題日益嚴峻，暴露了不少的風(fēng)險。對此，要從簽訂企業(yè)多方保密協(xié)議、強化信息安全技術(shù)使用、建立安全評估預(yù)警模型、完善信息安全體系框架等角度采取好措施。

【參考文獻】

【1】畢婷,陳雪鴻,楊帥峰.等保2.0下工控安全防護新變化[J].信息技術(shù)與網(wǎng)絡(luò)安全,2019(10):120-121.

【2】劉瑋瑤.基于供應(yīng)鏈聯(lián)盟的信息安全管理[D].西安:西安電子科技大學(xué),2007.

【3】薛偉蓮,王蕾.電子商務(wù)環(huán)境下供應(yīng)鏈信息風(fēng)險評估指標體系研究[J].情報科學(xué),2011(1):28-31.

【4】齊興敏,沈緒明.信息安全技術(shù)在供應(yīng)鏈管理系統(tǒng)中的應(yīng)用[J].物流技術(shù)：裝備版,2012(3):51-55.

【5】段利鈞.供應(yīng)鏈信息協(xié)同中信息安全概述[J].信息與安全,2019(06):197-198.

【6】齊興敏,沈緒明.信息安全技術(shù)在供應(yīng)鏈管理系統(tǒng)中的應(yīng)用[J].物流技術(shù),2012(03):51-55.

【7】邱永哲,張智南.事件驅(qū)動的供應(yīng)鏈安全評估預(yù)警模型研究[J].科技傳播,2018(03):135-137.

【8】李健峰,鈕亮,段林茂.供應(yīng)鏈信息安全現(xiàn)狀及體系框架研究[J].江蘇商論,2013(03):36-38.

作者：高小芹 朱禮龍 單位：巢湖學(xué)院工商管理學(xué)院