供应链信息安全现状及安全体系框架设计

一、导言

供应链是以完成从供应商采购原材料、产品或服务，到制成中间产品或最终产品，然后将最终产品交付用户为功能，由一系列设施和分布选择形成的网络。［1］由于涉及的环节众多、地域跨度大、参与主体多样化等，供应链非常容易受到各种来自内部以及外部环境的安全威胁， 如网络黑客、木马、病毒、恶意代码、物理故障、人为破坏等，供应链信息安全问题日益突出。［2］

目前，国内外学者对供应链安全风险做了较多研究，一些经典的定量方法已经被引入到供应链风险领域。供应链信息安全风险作为供应链风险中一个重要领域，相关论文和研究成果较少。目前国内普遍的观点是将企业信息安全分为物理安全、运行安全、内容安全、数据安全和管理安全五个领域。IBM 将企业信息安全框架分为三个层次，分别是战略层、管理层和技术层。相比而言，IBM 的观点更具可操作性。在参照前两种观点的基础上，分析我国供应链信息安全存在的问题，结合供应链信息安全的特点，提出供应链信息安全体系框架，为供应链提供一个全面的安全模型，帮助供应链及其节点企业开展信息安全架构设计。

二、供应链信息安全的特点

现代供应链中无论是企业内部的生产、销售订单、合作企业的生产进度，还是企业间的资金转帐、招投标信息，都是需要高度保密的敏感信息，这些信息的准确性、机密性将直接影响到供应链企业的生产和经营决策。［3］在供应链中，由于信息在节点企业间共享，对信息安全提出了新的要求：

1.信息安全不再是某个企业个体的事情，而是整条供应链所有节点企业共同面临的问题，任何一家企业由于自身原因导致的信息安全事故，将可能危害整条供应链的利益。供应链信息安全保障工作要远比单个企业复杂。

2.供应链上下游企业形成“委托-代理”关系，具有优势的代理方往往倾向于增加信息不对称，来获得额外的利益。

3.由于供应链企业间共享的信息具有较高的商业价值，有些企业为了自身利益，可能会将共享的信息泄露给供应链外企业。如何既保证节点企业间的信息共享，又防止企业泄露信息、身份欺诈等有害行为的发生是供应链信息安全需要研究的问题。

三、供应链信息安全现状与问题

目前，我国企业在供应链管理的实践中，对供应链信息安全或者重视不够或者束手无策，存在一些较为突出的问题。

1.信息安全意识淡薄

目前我国很多供应链节点企业没有意识到信息是重要资产，没有把信息安全管理工作作为日常工作的重点。据北京谷安天下公司开展的《2011 年度中国企业员工信息安全意识调查》活动结果显示，受访者的工作胸卡保管、个人及公司物品保管、出差物理环境安全、办公桌面安全、打印机安全、口令/密码设置、敏感数据保护、数据备份、密级资料处理、电脑桌面安全等涉及到安全的意识较差。

2.信息安全管理很少建立相应的制度

企业的信息安全与日常生产安全互相间存在内容交叉甚至矛盾，边界定义不明确，安全职责模糊不清， 部门责任和岗位责任制得不到真正落实，执行监督机制薄弱。许多企业对移动存储设备的使用无严格规定，员工可以随意使用移动存储设备对文件进行存储备份，企业信息逐步成为个人资产，随着人员流动而广泛传播。员工工作时间上网畅通无阻， 无限制地使用QQ、MSN 等传送、接收文件，容易导致机密泄露和病毒、木马、黑客的攻击。甚至有的主管和技术研发人员还将掌握的机密信息出售给企业的竞争对手。

3.缺乏信息安全技术、管理人才与战略规划

信息化建设中存在重硬件，轻软件和管理的现象，对信息人才的培养与引进关注不够。为了节约人力成本，往往一个信息安全管理员既要负责系统的配置，又要负责系统安全管理， 使其权力过于集中，导致泄密。同时，有些企业的安全措施随意性很强，缺少严格的科学论证，采取的是“贴膏药”式的安全策略，从而引起软硬件安全设备（系统）间防护功能的重叠和弱化，导致管理难度加大，重复投资现象普遍。［4］有些企业有“先业务，后安全”的现象，安全管理落后于业务的发展。［5］

4.供应链企业之间信息的共享与交流存在安全问题

供应链各节点企业在合作过程中一再强调依靠信息共享实现双赢， 但又都是独立的利益个体，一旦企业之间发生利益冲突，则容易出现的主要问题有：①合作伙伴的逆向选择风险。［6］②供应链节点企业的败德行为。当前我国企业与供应链（网络信息犯罪）相关法律法规不健全的法制环境下，有些节点企业会将企业信息泄露给没有参与共享的企业来获得额外利益。企业成员间还存在欺诈行为，如不法企业利用身份欺骗， 以某企业成员的名义，欺骗其他企业成员。［7］诸如此类败德行为如不加控制会降低供应链的服务水准，导致供应链其余节点企业、顾客的不满和利益流失。

三、供应链信息安全体系框架

供应链信息安全系统中的各个安全组件或要素只有整合成为一个整体协同作用时，才能有效保证整体安全管控的目标得以实现。然而，对于我国大多数供应链企业说， 信息安全存在上述诸多问题，主要原因是在信息安全建设之初，没有根据供应链整体业务发展的需要确立合理的信息安全需求，导致供应链信息安全架构不合理。供应链信息安全框架旨在为供应链及其节点企业提供一个全面的、自上而下的、结合了国际国内相关安全标准的安全模型，［8］如图1 所示。

图1 供应链信息安全体系框架

供应链信息安全框架由企业信息安全治理、信息安全管理、基础安全服务和架构、第三方信息安全服务与认证机构和供应链信息安全技术标准体系五个模块构成。安全治理作为架构的核心内容，是安全管理模块的服务对象，同时，它们也是信息安全策略制定的基础和依据，还是基础安全服务和架构模块中的各个子系统提供选择和建设的依据。

基础安全服务和架构模块是信息安全建设技术需求和功能的实现者，是信息安全建设的重要支柱。中间的安全管理模块则通过一系列控制措施， 确保基础安全服务功能的实现，最终实现安全治理的要求，满足供应链系统的信息安全需求。供应链信息技术标准体系为供应链和第三方信息安全服务与认证机构提供了标准保障和依据， 有利于形成健康法制的第三方信息安全服务市场环境。第三方信息安全服务与认证机构可弥补供应链企业信息安全技术和经验的不足，提供安全托管及信息安全认证服务。

四、结论

本文分析了我国供应链普遍存在的信息安全问题，认为企业员工的信息安全意识淡薄；信息安全管理有章不循现象普遍；缺少信息安全技术与管理人才； 缺乏统一的信息安全战略规划和防范机制；合作企业间存在逆向选择风险和各种败德行为等。上述问题阻碍了我国供应链信息安全水平的提高。本文参考了众多企业所积累的经验，吸取了供应链信息安全领域的最新理论研究成果，从信息安全战略、信息安全技术和信息安全管理三方面提出了供应链信息安全框架。在具体运用中可结合信息安全相关方法论、模型及标准，从供应链整体业务需求出发，参照供应链信息安全管理框架，通过评估和风险分析等方法，定义供应链及其节点企业的信息安全需求，据此确定供应链及其节点企业的信息安全建设的内容和方向。

需要指出的是，供应链信息安全问题是一个系统工程，其中供应链信息安全标准体系、第三方信息安全服务和信息安全管理体系认证是建立完善的信息安全服务市场的关键。这需要深入供应链企业做大量的调查研究，并对比借鉴国际上ISO28000等标准，研究适合我国供应链实际的信息安全标准体系，这正是笔者下一步要尝试解决的问题。

文 / 李剑锋 钮亮 段林茂 魏军

参考文献

［1］李民，黎建强.基于模拟方法的供应链风险与成本［J］.系统工程理论与实践，2012，（3）:580-588.

［2］齐兴敏，沈绪明.信息安全技术在供应链管理系统中的应用［J］.物流技术:装备版，2012，（3）:51-55.

［3］薛伟莲，王蕾.电子商务环境下供应链信息风险评估指标体系研究［J］.情报科学，2011，（1）:28-31.

［4］叶友良.供应链信息安全关键技术研究与开发［D］.南京航空航天大学，2005.

［5］刘福来.中小企业信息化安全管理盲区探析［J］.企业经济，2010，（1）:42-44.

［6］薛伟莲，王蕾.电子商务环境下供应链的信息风险防范研究［J］.东北财经大学学报，2011，（2）:73-77.

［7］刘玮瑶.基于供应链联盟的信息安全管理［D］.西安电子科技大学，2007.

［8］李遥，杨斌，谢海涛，高峰.企业信息安全框架V5.0 白皮书［M］.IBM 中国，2010.