李傲

【摘 要】 隨著供應鏈的全球化，使越來越多的企業(yè)依賴IT技術(shù)進行日常管理和運營，雖然通過互聯(lián)網(wǎng)技術(shù)提高了供應鏈的運作效率，但同時也使企業(yè)暴露在互聯(lián)網(wǎng)所衍生出來的一系列風險中，網(wǎng)絡系統(tǒng)的安全成為企業(yè)管理者關(guān)注的焦點。本文針對目前網(wǎng)絡系統(tǒng)安全所存在的問題、特征進行了分析，并從黑客入侵模式、技術(shù)配置、關(guān)聯(lián)企業(yè)安全投資、風險轉(zhuǎn)移方面提出了應對策略。

【關(guān)鍵詞】 供應鏈 網(wǎng)絡安全 風險

1.引言

2015年5月，日本的國家養(yǎng)老金服務系統(tǒng)遭到黑客攻擊，大約120萬公民的個人信息遭到泄露。2016年，OpenSSL再次曝出“水牢漏洞”這一漏洞允許黑客讀取攻擊網(wǎng)站的密碼、信用卡賬號、商業(yè)機密和金融數(shù)據(jù)等加密信息。在當前的互聯(lián)網(wǎng)環(huán)境下供應鏈中的企業(yè)的網(wǎng)絡系統(tǒng)面臨著各種各樣的風險，任何一家企業(yè)發(fā)生網(wǎng)絡安全事件都可能會給企業(yè)運營及整個供應鏈帶來很大的影響。計算機技術(shù)的廣泛應用給供應鏈管理帶來了便利的同時也帶來了巨大的風險性，供應鏈的網(wǎng)絡系統(tǒng)風險也成為管理者關(guān)心的重大問題。基于上述原因，本文針對供應鏈的網(wǎng)絡風險從網(wǎng)絡風險的特征、企業(yè)遭受損失的類型進行分析，最后給出應對策略。

2.供應鏈的網(wǎng)絡安全風險特征

（1）網(wǎng)絡安全事件和黑客攻擊已經(jīng)成為常態(tài)

目前，絕大數(shù)企業(yè)的日常運營管理依賴于網(wǎng)絡系統(tǒng)，網(wǎng)絡系統(tǒng)在可用性、保密性、完整性等方面出現(xiàn)任何問題都會給企業(yè)帶來損失，甚至導致企業(yè)破產(chǎn)。例如，2017年5月份全球爆發(fā)的“勒索病毒”事件給許多公司帶來了巨大損失。根據(jù)Ponemon Institute對美國網(wǎng)絡安全事件的調(diào)查研究，平均每個企業(yè)每周大約會遭受兩起網(wǎng)絡安全事件。主要原因一是企業(yè)的安全意識不足，技術(shù)人員配備不足；二是企業(yè)的網(wǎng)絡系統(tǒng)存在漏洞，這包括系統(tǒng)漏洞、應用軟件漏洞甚至安全軟件也存在漏洞。

（2）網(wǎng)絡安全事件給企業(yè)乃至整個供應鏈造成的損失嚴重

在中國內(nèi)地和香港，每年有網(wǎng)絡安全事件造成的平均經(jīng)濟損失高達數(shù)百億美元，而且有逐年遞增的趨勢。如果黑客對企業(yè)的財務系統(tǒng)攻擊成功，往往會使企業(yè)遭受巨大經(jīng)濟損失。黑客入侵企業(yè)網(wǎng)絡系統(tǒng)也可能會造成客戶個人隱私的泄露，給社會穩(wěn)定帶來不利影響。

（3）黑客入侵事件的發(fā)生更加隱蔽和智能

隨著計算機技術(shù)的發(fā)展，黑客對網(wǎng)絡系統(tǒng)的入侵變得更加復雜，入侵的證據(jù)沒有較高的專業(yè)知識很難獲取，同時專業(yè)黑客也很容易銷毀入侵痕跡。此外，黑客網(wǎng)站隨處可見，黑客工具可以隨意下載，不法分子常常利用他人開發(fā)的工具入侵企業(yè)的網(wǎng)絡系統(tǒng)，達到一定的經(jīng)濟目的。

3. 供應鏈的網(wǎng)絡安全事件給企業(yè)帶來的損失

（1）直接經(jīng)濟損失

黑客可以利用企業(yè)網(wǎng)絡系統(tǒng)的漏洞對企業(yè)的財務賬戶進行攻擊盜取賬戶資金，例如愛爾蘭航空公司的用于飛機加油的賬戶遭到黑客惡意攻擊，由此造成了500萬美金的經(jīng)濟損失。

（2）核心技術(shù)和競爭力的損失

對于一些設(shè)計和研發(fā)企業(yè)，設(shè)計作品和專有技術(shù)是企業(yè)的核心競爭力，一旦遭到泄露對企業(yè)來說是滅頂之災。

（3）社會信譽度損失

企業(yè)發(fā)生網(wǎng)絡安全事件，會使投資者和消費者認為企業(yè)的管理混亂，這種不信任會擴散到企業(yè)的方方面面，最終對企業(yè)的形象、品牌忠誠度、資金籌措等造成不可挽回的損失。2014年，攜程被曝出客戶隱私信息泄露，造成其第二季度客戶大量減少。

4.供應鏈的網(wǎng)絡安全風險的防范措施

目前，企業(yè)應充分考慮網(wǎng)絡系統(tǒng)安全形勢和威脅、網(wǎng)絡系統(tǒng)安全性和經(jīng)濟性要求以及網(wǎng)絡系統(tǒng)運用特點和要求，科學制定企業(yè)網(wǎng)絡系統(tǒng)安全投資策略，合理采用相應的風險管理方法，提升網(wǎng)絡系統(tǒng)安全。企業(yè)可以從黑客入侵模式、縱深防御戰(zhàn)略、優(yōu)化配置、多種網(wǎng)絡安全技術(shù)組合運用。對于相互依賴風的企業(yè)間網(wǎng)絡系統(tǒng)安全投資進行激勵機制設(shè)計，購買網(wǎng)絡系統(tǒng)安全保險或外包網(wǎng)絡系統(tǒng)業(yè)務等。具體來說，網(wǎng)絡系統(tǒng)安全風險管理相關(guān)的策略從以下四個方面入手。

（1）考慮黑客入侵模式的安全策略。黑客入侵是影響網(wǎng)絡系統(tǒng)安全的關(guān)鍵因素之一，目前黑客入侵的主要方式包括：黑客定向入侵下的網(wǎng)絡系統(tǒng)安全、黑客隨機入侵下的網(wǎng)絡系統(tǒng)安全、混合入侵下的網(wǎng)絡系統(tǒng)安全。由此可以制定技術(shù)配置計劃和投資策略，和關(guān)聯(lián)企業(yè)建立信息共享機制降低入侵概率。

（2）網(wǎng)絡系統(tǒng)安全技術(shù)配置策略。企業(yè)可以運用管理學理論和方法，以實現(xiàn)收益最大化為原則，對IDS和防火墻等安全設(shè)備的警報率等技術(shù)參數(shù)進行優(yōu)化設(shè)置。例如：單一安全技術(shù)配置優(yōu)化、兩種以上多技術(shù)組合配置策略、進行網(wǎng)絡系統(tǒng)安全技術(shù)的交互等。

（3）風險相互依賴下的企業(yè)網(wǎng)絡系統(tǒng)安全投資策略。供應鏈中企業(yè)網(wǎng)絡系統(tǒng)安全投資策略，是上下游企業(yè)網(wǎng)絡安全投資所面臨的重要問題之一。企業(yè)在投資時主要考慮：上下游企業(yè)之間安全投資的均衡水平、相互競爭企業(yè)的安全投資水平、外部激勵機制對上下游企業(yè)網(wǎng)絡系統(tǒng)安全投資水平的影響、網(wǎng)絡脆弱性和供應鏈整合程度對企業(yè)網(wǎng)絡系統(tǒng)安全投資的影響、企業(yè)網(wǎng)絡系統(tǒng)相互關(guān)聯(lián)特征和緊密程度變化對安全投資的影響、有效的信息共享激勵機制設(shè)計等等。

（4）網(wǎng)絡系統(tǒng)安全風險管理轉(zhuǎn)移策略。主要是指將網(wǎng)絡系統(tǒng)安全風險通過網(wǎng)絡安全業(yè)務外包轉(zhuǎn)移給網(wǎng)絡系統(tǒng)安全管理服務商，或者通過購買保險的方式將黑客攻擊帶來的損失轉(zhuǎn)移給保險商。

【參考文獻】

[1] 中國互聯(lián)網(wǎng)絡信息中心. 第39次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》[R]. 北京：中國互聯(lián)網(wǎng)絡信息中心，2017.

[2] 顧建強. 信息系統(tǒng)安全投資策略及風險管理研究[D]. 東南大學，2016.

[3] 徐峰，侯云章. 供應鏈網(wǎng)絡風險研究述評[J]. 軟科學，2013，27（6）：125-128.

[4] 吳軍，李健，汪壽陽. 供應鏈風險管理中的幾個重要問題[J]. 管理科學學報，2006，9（6）：1-12.

[5] 胡躍群，郭進利. 關(guān)聯(lián)型供應鏈網(wǎng)絡風險管理研究[J]. 物流科技，2017（1）：130-133.

[6] 左曉棟. 美政府IT供應鏈安全政策和措施分析[J]. 中國信息安全，2011（3）：30-34.endprint