供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)研究

李傲

【摘 要】 隨著供應(yīng)鏈的全球化，使越來越多的企業(yè)依賴IT技術(shù)進(jìn)行日常管理和運(yùn)營(yíng)，雖然通過互聯(lián)網(wǎng)技術(shù)提高了供應(yīng)鏈的運(yùn)作效率，但同時(shí)也使企業(yè)暴露在互聯(lián)網(wǎng)所衍生出來的一系列風(fēng)險(xiǎn)中，網(wǎng)絡(luò)系統(tǒng)的安全成為企業(yè)管理者關(guān)注的焦點(diǎn)。本文針對(duì)目前網(wǎng)絡(luò)系統(tǒng)安全所存在的問題、特征進(jìn)行了分析，并從黑客入侵模式、技術(shù)配置、關(guān)聯(lián)企業(yè)安全投資、風(fēng)險(xiǎn)轉(zhuǎn)移方面提出了應(yīng)對(duì)策略。

【關(guān)鍵詞】 供應(yīng)鏈 網(wǎng)絡(luò)安全 風(fēng)險(xiǎn)

1.引言

2015年5月，日本的國(guó)家養(yǎng)老金服務(wù)系統(tǒng)遭到黑客攻擊，大約120萬公民的個(gè)人信息遭到泄露。2016年，OpenSSL再次曝出“水牢漏洞”這一漏洞允許黑客讀取攻擊網(wǎng)站的密碼、信用卡賬號(hào)、商業(yè)機(jī)密和金融數(shù)據(jù)等加密信息。在當(dāng)前的互聯(lián)網(wǎng)環(huán)境下供應(yīng)鏈中的企業(yè)的網(wǎng)絡(luò)系統(tǒng)面臨著各種各樣的風(fēng)險(xiǎn)，任何一家企業(yè)發(fā)生網(wǎng)絡(luò)安全事件都可能會(huì)給企業(yè)運(yùn)營(yíng)及整個(gè)供應(yīng)鏈帶來很大的影響。計(jì)算機(jī)技術(shù)的廣泛應(yīng)用給供應(yīng)鏈管理帶來了便利的同時(shí)也帶來了巨大的風(fēng)險(xiǎn)性，供應(yīng)鏈的網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)也成為管理者關(guān)心的重大問題?；谏鲜鲈?，本文針對(duì)供應(yīng)鏈的網(wǎng)絡(luò)風(fēng)險(xiǎn)從網(wǎng)絡(luò)風(fēng)險(xiǎn)的特征、企業(yè)遭受損失的類型進(jìn)行分析，最后給出應(yīng)對(duì)策略。

2.供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)特征

（1）網(wǎng)絡(luò)安全事件和黑客攻擊已經(jīng)成為常態(tài)

目前，絕大數(shù)企業(yè)的日常運(yùn)營(yíng)管理依賴于網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)系統(tǒng)在可用性、保密性、完整性等方面出現(xiàn)任何問題都會(huì)給企業(yè)帶來?yè)p失，甚至導(dǎo)致企業(yè)破產(chǎn)。例如，2017年5月份全球爆發(fā)的“勒索病毒”事件給許多公司帶來了巨大損失。根據(jù)Ponemon Institute對(duì)美國(guó)網(wǎng)絡(luò)安全事件的調(diào)查研究，平均每個(gè)企業(yè)每周大約會(huì)遭受兩起網(wǎng)絡(luò)安全事件。主要原因一是企業(yè)的安全意識(shí)不足，技術(shù)人員配備不足；二是企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在漏洞，這包括系統(tǒng)漏洞、應(yīng)用軟件漏洞甚至安全軟件也存在漏洞。

（2）網(wǎng)絡(luò)安全事件給企業(yè)乃至整個(gè)供應(yīng)鏈造成的損失嚴(yán)重

在中國(guó)內(nèi)地和香港，每年有網(wǎng)絡(luò)安全事件造成的平均經(jīng)濟(jì)損失高達(dá)數(shù)百億美元，而且有逐年遞增的趨勢(shì)。如果黑客對(duì)企業(yè)的財(cái)務(wù)系統(tǒng)攻擊成功，往往會(huì)使企業(yè)遭受巨大經(jīng)濟(jì)損失。黑客入侵企業(yè)網(wǎng)絡(luò)系統(tǒng)也可能會(huì)造成客戶個(gè)人隱私的泄露，給社會(huì)穩(wěn)定帶來不利影響。

（3）黑客入侵事件的發(fā)生更加隱蔽和智能

隨著計(jì)算機(jī)技術(shù)的發(fā)展，黑客對(duì)網(wǎng)絡(luò)系統(tǒng)的入侵變得更加復(fù)雜，入侵的證據(jù)沒有較高的專業(yè)知識(shí)很難獲取，同時(shí)專業(yè)黑客也很容易銷毀入侵痕跡。此外，黑客網(wǎng)站隨處可見，黑客工具可以隨意下載，不法分子常常利用他人開發(fā)的工具入侵企業(yè)的網(wǎng)絡(luò)系統(tǒng)，達(dá)到一定的經(jīng)濟(jì)目的。

3. 供應(yīng)鏈的網(wǎng)絡(luò)安全事件給企業(yè)帶來的損失

（1）直接經(jīng)濟(jì)損失

黑客可以利用企業(yè)網(wǎng)絡(luò)系統(tǒng)的漏洞對(duì)企業(yè)的財(cái)務(wù)賬戶進(jìn)行攻擊盜取賬戶資金，例如愛爾蘭航空公司的用于飛機(jī)加油的賬戶遭到黑客惡意攻擊，由此造成了500萬美金的經(jīng)濟(jì)損失。

（2）核心技術(shù)和競(jìng)爭(zhēng)力的損失

對(duì)于一些設(shè)計(jì)和研發(fā)企業(yè)，設(shè)計(jì)作品和專有技術(shù)是企業(yè)的核心競(jìng)爭(zhēng)力，一旦遭到泄露對(duì)企業(yè)來說是滅頂之災(zāi)。

（3）社會(huì)信譽(yù)度損失

企業(yè)發(fā)生網(wǎng)絡(luò)安全事件，會(huì)使投資者和消費(fèi)者認(rèn)為企業(yè)的管理混亂，這種不信任會(huì)擴(kuò)散到企業(yè)的方方面面，最終對(duì)企業(yè)的形象、品牌忠誠(chéng)度、資金籌措等造成不可挽回的損失。2014年，攜程被曝出客戶隱私信息泄露，造成其第二季度客戶大量減少。

4.供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的防范措施

目前，企業(yè)應(yīng)充分考慮網(wǎng)絡(luò)系統(tǒng)安全形勢(shì)和威脅、網(wǎng)絡(luò)系統(tǒng)安全性和經(jīng)濟(jì)性要求以及網(wǎng)絡(luò)系統(tǒng)運(yùn)用特點(diǎn)和要求，科學(xué)制定企業(yè)網(wǎng)絡(luò)系統(tǒng)安全投資策略，合理采用相應(yīng)的風(fēng)險(xiǎn)管理方法，提升網(wǎng)絡(luò)系統(tǒng)安全。企業(yè)可以從黑客入侵模式、縱深防御戰(zhàn)略、優(yōu)化配置、多種網(wǎng)絡(luò)安全技術(shù)組合運(yùn)用。對(duì)于相互依賴風(fēng)的企業(yè)間網(wǎng)絡(luò)系統(tǒng)安全投資進(jìn)行激勵(lì)機(jī)制設(shè)計(jì)，購(gòu)買網(wǎng)絡(luò)系統(tǒng)安全保險(xiǎn)或外包網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)等。具體來說，網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)管理相關(guān)的策略從以下四個(gè)方面入手。

（1）考慮黑客入侵模式的安全策略。黑客入侵是影響網(wǎng)絡(luò)系統(tǒng)安全的關(guān)鍵因素之一，目前黑客入侵的主要方式包括：黑客定向入侵下的網(wǎng)絡(luò)系統(tǒng)安全、黑客隨機(jī)入侵下的網(wǎng)絡(luò)系統(tǒng)安全、混合入侵下的網(wǎng)絡(luò)系統(tǒng)安全。由此可以制定技術(shù)配置計(jì)劃和投資策略，和關(guān)聯(lián)企業(yè)建立信息共享機(jī)制降低入侵概率。

（2）網(wǎng)絡(luò)系統(tǒng)安全技術(shù)配置策略。企業(yè)可以運(yùn)用管理學(xué)理論和方法，以實(shí)現(xiàn)收益最大化為原則，對(duì)IDS和防火墻等安全設(shè)備的警報(bào)率等技術(shù)參數(shù)進(jìn)行優(yōu)化設(shè)置。例如：?jiǎn)我话踩夹g(shù)配置優(yōu)化、兩種以上多技術(shù)組合配置策略、進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全技術(shù)的交互等。

（3）風(fēng)險(xiǎn)相互依賴下的企業(yè)網(wǎng)絡(luò)系統(tǒng)安全投資策略。供應(yīng)鏈中企業(yè)網(wǎng)絡(luò)系統(tǒng)安全投資策略，是上下游企業(yè)網(wǎng)絡(luò)安全投資所面臨的重要問題之一。企業(yè)在投資時(shí)主要考慮：上下游企業(yè)之間安全投資的均衡水平、相互競(jìng)爭(zhēng)企業(yè)的安全投資水平、外部激勵(lì)機(jī)制對(duì)上下游企業(yè)網(wǎng)絡(luò)系統(tǒng)安全投資水平的影響、網(wǎng)絡(luò)脆弱性和供應(yīng)鏈整合程度對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)安全投資的影響、企業(yè)網(wǎng)絡(luò)系統(tǒng)相互關(guān)聯(lián)特征和緊密程度變化對(duì)安全投資的影響、有效的信息共享激勵(lì)機(jī)制設(shè)計(jì)等等。

（4）網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)管理轉(zhuǎn)移策略。主要是指將網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)通過網(wǎng)絡(luò)安全業(yè)務(wù)外包轉(zhuǎn)移給網(wǎng)絡(luò)系統(tǒng)安全管理服務(wù)商，或者通過購(gòu)買保險(xiǎn)的方式將黑客攻擊帶來的損失轉(zhuǎn)移給保險(xiǎn)商。

【參考文獻(xiàn)】

[1] 中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心. 第39次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》[R]. 北京：中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心，2017.

[2] 顧建強(qiáng). 信息系統(tǒng)安全投資策略及風(fēng)險(xiǎn)管理研究[D]. 東南大學(xué)，2016.

[3] 徐峰，侯云章. 供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險(xiǎn)研究述評(píng)[J]. 軟科學(xué)，2013，27（6）：125-128.

[4] 吳軍，李健，汪壽陽(yáng). 供應(yīng)鏈風(fēng)險(xiǎn)管理中的幾個(gè)重要問題[J]. 管理科學(xué)學(xué)報(bào)，2006，9（6）：1-12.

[5] 胡躍群，郭進(jìn)利. 關(guān)聯(lián)型供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險(xiǎn)管理研究[J]. 物流科技，2017（1）：130-133.

[6] 左曉棟. 美政府IT供應(yīng)鏈安全政策和措施分析[J]. 中國(guó)信息安全，2011（3）：30-34.endprint