供應鏈的網絡安全風險研究

李傲

【摘 要】 隨著供應鏈的全球化，使越來越多的企業依賴IT技術進行日常管理和運營，雖然通過互聯網技術提高了供應鏈的運作效率，但同時也使企業暴露在互聯網所衍生出來的一系列風險中，網絡系統的安全成為企業管理者關注的焦點。本文針對目前網絡系統安全所存在的問題、特征進行了分析，并從黑客入侵模式、技術配置、關聯企業安全投資、風險轉移方面提出了應對策略。

【關鍵詞】 供應鏈 網絡安全 風險

1.引言

2015年5月，日本的國家養老金服務系統遭到黑客攻擊，大約120萬公民的個人信息遭到泄露。2016年，OpenSSL再次曝出“水牢漏洞”這一漏洞允許黑客讀取攻擊網站的密碼、信用卡賬號、商業機密和金融數據等加密信息。在當前的互聯網環境下供應鏈中的企業的網絡系統面臨著各種各樣的風險，任何一家企業發生網絡安全事件都可能會給企業運營及整個供應鏈帶來很大的影響。計算機技術的廣泛應用給供應鏈管理帶來了便利的同時也帶來了巨大的風險性，供應鏈的網絡系統風險也成為管理者關心的重大問題。基于上述原因，本文針對供應鏈的網絡風險從網絡風險的特征、企業遭受損失的類型進行分析，最后給出應對策略。

2.供應鏈的網絡安全風險特征

（1）網絡安全事件和黑客攻擊已經成為常態

目前，絕大數企業的日常運營管理依賴于網絡系統，網絡系統在可用性、保密性、完整性等方面出現任何問題都會給企業帶來損失，甚至導致企業破產。例如，2017年5月份全球爆發的“勒索病毒”事件給許多公司帶來了巨大損失。根據Ponemon Institute對美國網絡安全事件的調查研究，平均每個企業每周大約會遭受兩起網絡安全事件。主要原因一是企業的安全意識不足，技術人員配備不足；二是企業的網絡系統存在漏洞，這包括系統漏洞、應用軟件漏洞甚至安全軟件也存在漏洞。

（2）網絡安全事件給企業乃至整個供應鏈造成的損失嚴重

在中國內地和香港，每年有網絡安全事件造成的平均經濟損失高達數百億美元，而且有逐年遞增的趨勢。如果黑客對企業的財務系統攻擊成功，往往會使企業遭受巨大經濟損失。黑客入侵企業網絡系統也可能會造成客戶個人隱私的泄露，給社會穩定帶來不利影響。

（3）黑客入侵事件的發生更加隱蔽和智能

隨著計算機技術的發展，黑客對網絡系統的入侵變得更加復雜，入侵的證據沒有較高的專業知識很難獲取，同時專業黑客也很容易銷毀入侵痕跡。此外，黑客網站隨處可見，黑客工具可以隨意下載，不法分子常常利用他人開發的工具入侵企業的網絡系統，達到一定的經濟目的。

3. 供應鏈的網絡安全事件給企業帶來的損失

（1）直接經濟損失

黑客可以利用企業網絡系統的漏洞對企業的財務賬戶進行攻擊盜取賬戶資金，例如愛爾蘭航空公司的用于飛機加油的賬戶遭到黑客惡意攻擊，由此造成了500萬美金的經濟損失。

（2）核心技術和競爭力的損失

對于一些設計和研發企業，設計作品和專有技術是企業的核心競爭力，一旦遭到泄露對企業來說是滅頂之災。

（3）社會信譽度損失

企業發生網絡安全事件，會使投資者和消費者認為企業的管理混亂，這種不信任會擴散到企業的方方面面，最終對企業的形象、品牌忠誠度、資金籌措等造成不可挽回的損失。2014年，攜程被曝出客戶隱私信息泄露，造成其第二季度客戶大量減少。

4.供應鏈的網絡安全風險的防范措施

目前，企業應充分考慮網絡系統安全形勢和威脅、網絡系統安全性和經濟性要求以及網絡系統運用特點和要求，科學制定企業網絡系統安全投資策略，合理采用相應的風險管理方法，提升網絡系統安全。企業可以從黑客入侵模式、縱深防御戰略、優化配置、多種網絡安全技術組合運用。對于相互依賴風的企業間網絡系統安全投資進行激勵機制設計，購買網絡系統安全保險或外包網絡系統業務等。具體來說，網絡系統安全風險管理相關的策略從以下四個方面入手。

（1）考慮黑客入侵模式的安全策略。黑客入侵是影響網絡系統安全的關鍵因素之一，目前黑客入侵的主要方式包括：黑客定向入侵下的網絡系統安全、黑客隨機入侵下的網絡系統安全、混合入侵下的網絡系統安全。由此可以制定技術配置計劃和投資策略，和關聯企業建立信息共享機制降低入侵概率。

（2）網絡系統安全技術配置策略。企業可以運用管理學理論和方法，以實現收益最大化為原則，對IDS和防火墻等安全設備的警報率等技術參數進行優化設置。例如：單一安全技術配置優化、兩種以上多技術組合配置策略、進行網絡系統安全技術的交互等。

（3）風險相互依賴下的企業網絡系統安全投資策略。供應鏈中企業網絡系統安全投資策略，是上下游企業網絡安全投資所面臨的重要問題之一。企業在投資時主要考慮：上下游企業之間安全投資的均衡水平、相互競爭企業的安全投資水平、外部激勵機制對上下游企業網絡系統安全投資水平的影響、網絡脆弱性和供應鏈整合程度對企業網絡系統安全投資的影響、企業網絡系統相互關聯特征和緊密程度變化對安全投資的影響、有效的信息共享激勵機制設計等等。

（4）網絡系統安全風險管理轉移策略。主要是指將網絡系統安全風險通過網絡安全業務外包轉移給網絡系統安全管理服務商，或者通過購買保險的方式將黑客攻擊帶來的損失轉移給保險商。

【參考文獻】

[1] 中國互聯網絡信息中心. 第39次《中國互聯網絡發展狀況統計報告》[R]. 北京：中國互聯網絡信息中心，2017.

[2] 顧建強. 信息系統安全投資策略及風險管理研究[D]. 東南大學，2016.

[3] 徐峰，侯云章. 供應鏈網絡風險研究述評[J]. 軟科學，2013，27（6）：125-128.

[4] 吳軍，李健，汪壽陽. 供應鏈風險管理中的幾個重要問題[J]. 管理科學學報，2006，9（6）：1-12.

[5] 胡躍群，郭進利. 關聯型供應鏈網絡風險管理研究[J]. 物流科技，2017（1）：130-133.

[6] 左曉棟. 美政府IT供應鏈安全政策和措施分析[J]. 中國信息安全，2011（3）：30-34.endprint