供应链选择中信息安全问题的研究
高小芹 朱礼龙
【摘? 要】供应链是企业的生命线,供应链选择在企业的战略发展中发挥着重要的作用。信息时代的到来既为企业供应链的选择提供了支撑,也给企业带来了不小的挑战。论文从信息安全视角出发,分析了供应链选择中信息安全的构成与特点,探讨了供应链选择中的信息安全问题,包括信息安全意识薄弱、信息安全管理落后、信息战略规划缺失、身份管理工作滞后,从保障信息安全的角度提出了对策。
【Abstract】Supply chain is the lifeline of an enterprise. Supply chain selection plays an important role in the strategic development of an enterprise. The advent of the information age not only provides support for the choice of enterprise supply chain, but also brings great challenges to enterprises. From information security perspective, this paper analyzes the selection of supply chain in the composition and characteristics of information security, discusses the information security problems in supply chain selection, including the weak awareness of information security, the backward management of information security, the lack of information strategic planning and the lag of identity management, and puts forward countermeasures from the perspective of information security protection.
【關键词】信息安全;供应链管理;供应链选择
【Keywords】information security; supply chain management; supply chain selection
【中图分类号】F274? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文献标志码】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章编号】1673-1069(2021)06-0084-03
1 引言
供应链管理(Supply Chain Manufacturing)最早出现于20世纪80年代,是针对企业供应链管理活动的统称。供应链管理具有非常重要的作用。一方面,供应链管理不仅关注企业内部的优化,更加注重企业与外部的合作,并且,随着企业生产规模与市场占有率的不断扩大,企业外部合作的对象也更加复杂;另一方面,供应链管理致力于以系统工程的方法来优化整个供应链,并从供应链出发,进行战略决策。信息时代的到来为供应链管理带来了便利,更对供应链管理,特别是供应链选择提出了更高的要求。
2 供应链选择中的信息安全分析
供应链系统安全主要有以下几部分内容构成:第一,物理安全。物理安全包括设备安全与环境安全2个方面的内容,具体的措施包括对关键物理设备制定实体访问规则,通过视频监控系统、门禁系统等构建物理保护架构等。第二,主机安全。主机安全主要针对的是因操作系统内在缺陷而导致的安全隐患,具体的防御措施以系统检测、检查配置、安装防病毒软件为主,需要运行主体构建完善的主机安全保护体系,提升系统整体安全性。第三,网络安全。网络安全主要来自于网络入侵等行为。供应链系统可采用冗余配置,以免出现关键节点单点故障的问题,同时,通过安全域的划分,实现安全、可控的逻辑隔离,特别是重要安全域与一般安全域之间,需要采取相应的技术隔离手段,以确保网络系统的安全性。第四,应用安全。应用安全主要表现为漏洞对系统所形成的安全隐患,需要通过定期的系统扫描来发现漏洞。供应链系统网络安全的多样性决定了必须构建完善的网络安全等级保护体系。
3 供应链选择中的信息安全问题分析
3.1 信息安全意识薄弱
信息资源在供应链选择中发挥着重要的作用,而信息安全意识薄弱则是供应链节点企业常见的问题。随着信息技术的不断发展,企业信息化建设取得了长足的发展,这为企业经营管理带来巨大便利的同时,也对企业的安全工作提出了更高的要求,信息安全日益成为企业安全管理的重点、要点。然而,从供应链选择的现状来看,节点企业信息安全意识薄弱是显而易见的问题,突出体现在以下2点:首先,未能深刻认识到信息资源的重要价值。作为信息时代的宝贵资源,信息资源蕴藏着重要的价值,已经成为企业资产的重要组成部分,但企业对信息资源的价值认知存在局限性,这从源头上制约了企业对信息安全的投入。其次,信息安全意识较差。供应链信息安全对细节有着很高的要求,多数节点企业在敏感数据保护、数据备份、密集资料处理等中的安全意识较差,难以满足信息安全保护的需求。
3.2 信息安全管理落后
信息安全管理落后是供应链选择中的常见问题,首先,信息安全管理制度建设落后。“没有规矩,不成方圆”,制度建设是信息安全管理中的首要内容。供应链节点企业信息安全管理工作多以经验为主,制度约束不足,极大地增加了人为因素风险发生的可能性。其次,专业化信息安全人才不足。供应链选择中的信息安全工作,归根到底由人来完成,相关人员的专业能力与综合素质直接关系到供应链选择中信息安全的效果。因此,必须要重视人员培训工作,围绕岗位职责以及供应链选择的内容和要求,建立健全人员培训机制,全面提升工作人员的专业能力,建立专业化的安全团队。然而,多数供应链节点企业在专业化人才的培训与建设中存在不足,难以满足信息安全管理的实际需要。
3.3 信息战略规划缺失
以数据安全为例,数据中心具有网络入侵防御、网络入侵检测、网络访问限制等功能。但在内部分区分域隔离措施的设计上还有所欠缺,如未规范网络安全区域划分的基本原则及内部边界安全防护要求,意味着在数据处理中心存在领域之间交叉融合或者多个系统归属于同一安全域中的可能,还可能存在不同系统、同一系统内不同功能主机间可任意互访的情况。安全域隔离措施的缺乏现状,会增加数据处理中心内部所受攻击范围,也会成为攻击者对供应链管理系统进行攻击的重要目标,大范围的攻击会造成系统破坏、数据泄露等严重后果。供应链系统包含的数据资料、数据库种类及数量很大,只有从海量数据中准确筛选出敏感数据,才能确保敏感数据能够得到有效保护。当前,节点企业对数据总量、敏感数据的判定及所在位置的掌控不足,同时对这些数据的后续划分与管理方案也尚未明确。
3.4 身份管理工作滞后
供应链系统涉及多个利益主体,尽管不同利益主体在某些时候具有利益一致性的特征,但作为独立的企业,节点企业也存在利益不一致的地方,因此,加强身份管理,严格使用权限就成为维护供应链系统安全的客观需要。但从供应链系统管理现状来看,身份管理工作滞后的问题非常严峻。首先,访问系统缺乏创新与完善。物联网环境下供应链系统网络依然采用的是原有的传统访问系统,虽然对网络内的设备和用户具备一定的权限及访问控制效果,但缺少对其行为的监管,在物联网环境下它无法更有效地应对内部和外部存在的安全威胁,存在较大安全隐患。其次,访问控制与身份管理不够统一。当前供应链系统网对用户的身份认证及访问控制主要依赖于用户名口令实现,具有较大局限性。最后,缺乏对特殊用户的管理。供应链系统网络具有规模庞大、网络分支较多的特点,这些特点在一定程度上增加了设备的安全接入、人员账号的访问控制等方面的安全管理难度,带来了一定安全风险。
4 信息安全视角下的企业供应链选择对策
4.1 签订企业多方保密协议
信息泄密是供应链选择中常见的安全问题,导致信息泄密的因素有很多,如网络信息安全防护不到位、供应链构成单位主动泄密等。供应链信息系统中信息总量巨大、信息来源广泛,且处于不断更新的状态中,其中不少信息均为企业乃至行业机密信息,如用户资料、技术研发资料等,一旦出现泄密现象,不仅会损坏企业利益,更会使广大用户暴露在信息安全风险中。对此,必须签订供应链企业多方保密协议,以多方保密协议作为供应链选择的先决条件。保密协议的要点有2点:一是明确呈现保密信息的种类以及共享要求,为信息保护提供准确的参考依据,以免出现无意泄密的问题;二是合理规定企业间的责任与权力,对信息泄密后,企业所需承担的法律责任作出明确的规定。在协议编写过程中,为保障协议的标准性、规范性,可聘请专业法律人士来完善协议,如此,既能充分发挥好保密协议在维护信息安全中的作用,也有助于事后企业以法律武器来維护自身的权益。网络信息技术的广泛使用为供应链信息协同提供了便利的条件,但也极大地增加了信息协同中信息泄密的风险,因此,既要重视网络信息安全机制以及企业保密机制的建设,也要建立信息泄露应急机制。一旦出现信息泄露现象,应急机制会第一时间响应,以信息安全手段、法律手段等切实保障企业权益,最大程度降低信息泄露对供应链结构的负面影响。
4.2 强化信息安全技术使用
从信息安全的角度来看,供应链选择中存在着大量的风险,既有网络层面的安全风险,也有信息操作层面的安全风险,而强化信息安全技术的使用则是提高供应链选择信息安全的客观需要。VPN技术是保障供应链选择信息安全的常见技术。VPN指专用虚拟网络,指建立在公共网络上的专用网络,VPN虽然不是真正的网络,但在网络安全防护中发挥着巨大的作用。例如,供应链选择涉及的企业较多,一些企业出于保密需要,不便在网络空间中公开信息资源,其他企业可以借助VPN来获得想要的信息。例如,供应上能够通过VPN获得制造上的生产计划以及库存情况,从而有针对性地提供相应的货源,而制造上则可以通过VPN把握分销商的订单数量、产品市场容纳情况,从而调整生产计划,改进产品性能。VPN保证了信息共享的安全性。VPN技术具有显著的优势:首先,成本低。VPN以远程用户接入取代了传统的远程访问与远程技术支持,供应链各节点企业无需花费大量的资金来建设、维护专网,企业成本大为降低。其次,安全性高。VPN具有多重安全保护功能,整合了数据加密技术、身份认证技术等,为机密信息的传递提供了安全的途径,能够有效减少木马、恶意病毒的攻击,保证了信息安全的可靠性。最后,便捷性。VPN能够经由公共基础设施和ISP接入,这为企业加入或退出供应链提供了极大的便利。基础设施和业务应用始终是技术保障的核心内容,在构建网络与信息安全体系中发挥着至关重要的作用。等保2.0结合近年来网络与信息技术发展的新变化、新成果,多角度补充了安全防护的要求,包括云计算、物联网、移动互联网等层面的内容,突破了等保1.0的不足。需要从等保2.0的角度出发,创新信息安全技术的使用。
4.3 建立安全评估预警模型
防患于未然是保障供应链选择信息安全的基本要求,而安全评估预警模型的构建则是防患于未然的战略举措。对供应链选择而言,安全评估预警模型需要具备5项基本能力:第一,全要素数据采集与处理能力,能够全方位、全天候地采集数据并作出分析处理;第二,威胁情报获取与应用能力,能够准确及时捕捉威胁情报,并应用于网络安全等级保护中;第三,数据综合分析能力,能够综合利用本地数据、互联网数据以及大数据;第四,安全运营支撑能力,能够全过程支撑安全闭环运营;第五,安全事件的取证、分析、追踪能力。借助安全预警模型,可以在信息安全事件爆发前,便采取有效的遏制措施,从而降低信息安全事件发生的几率。对此,供应链企业要从以下几点建立安全评估预警模型:首先,评估危害程度,主要评估内容为安全预警中漏洞、恶意代码的危害性。针对供应链管理系统的攻击方式,包括远程攻击和本地攻击2种形式,危害程度则包括高、中、低3个层次,其中,高危害程度需要重点防范。其次,评估危害部位,主要评估受影响业务系统的重要性,包括关键业务系统和一般业务系统2个方面。关键业务系统指数据敏感性高的核心业务系统,是安全评估预警的重点内容。再次,评估危害范围,主要评估信息安全事件对供应链选择危害的范围,分类方式包括定性分析和定量分析2种。以定性分析为例,危害可以分为大范围危害、中等范围危害以及小范围危害3类。最后,评估修复方式,指对修复方式针对性、可行性的评估。常见的修复方式包括修改系统配置、升级系统组件、修改系统代码、外围安全防护等,也有可能存在无法正常修复的问题。供应链选择,特别是供应链中供应上的选择,存在着大量的风险,安全评估预警模型的构建可以有效保障信息安全,从而提升供应链整体的安全性。
4.4 完善信息安全体系框架
供应链选择中的信息安全建设是一项长期性、艰巨性、复杂性的问题,因为供应链涉及众多的节点企业,任何一个节点企业出现问题,都会导致供应链信息安全风险。因此,必须做好供应链系统中信息安全组件的有效整合,发挥好信息安全要件的协同作用,而供应链信息安全体系框架的构建則在其中占据着重要的位置。供应链信息安全体系框架主要包括以下5个模块:第一,安全治理模块。该模块是信息安全体系框架的核心内容,能够为其他模块的建设提供基础和依据。第二,信息安全管理模块。该模块围绕安全治理模块开展,以保障供应链系统的安全为目标。第三,基础安全服务和架构模块。该模块是供应链信息安全体系框架建设的支柱内容,主要通过一系列的控制措施来确保安全服务功能的实现,从而实现安全治理的要求,在维护供应链选择中的信息安全发挥着至关重要的作用。第四,第三方信息安全服务与认证机构。该模块以专业化的信息安全服务来弥补供应链企业信息安全层面的缺陷与不足,能够为供应链企业提供托管以及信息安全服务。第五,信息安全技术标准体系模块。该模块的主要作用是为第4个模块提供保障和依据,从而形成健康法制的第三方信息安全市场服务环境。信息安全体系框架中的五大模块,既有独立的作用与价值,也在供应链信息安全中发挥着协同作用。
5 结语
在信息技术不断发展的今天,企业供应链选择中的信息安全问题日益严峻,暴露了不少的风险。对此,要从签订企业多方保密协议、强化信息安全技术使用、建立安全评估预警模型、完善信息安全体系框架等角度采取好措施。
【参考文献】
【1】毕婷,陈雪鸿,杨帅峰.等保2.0下工控安全防护新变化[J].信息技术与网络安全,2019(10):120-121.
【2】刘玮瑶.基于供应链联盟的信息安全管理[D].西安:西安电子科技大学,2007.
【3】薛伟莲,王蕾.电子商务环境下供应链信息风险评估指标体系研究[J].情报科学,2011(1):28-31.
【4】齐兴敏,沈绪明.信息安全技术在供应链管理系统中的应用[J].物流技术:装备版,2012(3):51-55.
【5】段利钧.供应链信息协同中信息安全概述[J].信息与安全,2019(06):197-198.
【6】齐兴敏,沈绪明.信息安全技术在供应链管理系统中的应用[J].物流技术,2012(03):51-55.
【7】邱永哲,张智南.事件驱动的供应链安全评估预警模型研究[J].科技传播,2018(03):135-137.
【8】李健峰,钮亮,段林茂.供应链信息安全现状及体系框架研究[J].江苏商论,2013(03):36-38.