何欣 劉帥 許暖

摘要：現代供應鏈面臨的風險日益嚴峻。隨著信息技術的發(fā)展和應用，數字供應鏈的安全性在一定程度上得到了提高，但同時也面臨著巨大的風險和挑戰(zhàn)。本文首先介紹了供應鏈的定義和發(fā)展概況，以及提出信息化背景下數字供應鏈安全管理面臨的幾個潛在或現有的安全問題和挑戰(zhàn)。最后討論數字供應鏈安全管理的應對策略。本文分析了數字供應鏈當前的現狀和挑戰(zhàn)，特別是在管理系統(tǒng)的安全方面問題，發(fā)現通過應用先進的信息技術，如物聯網、云計算和區(qū)塊鏈，可提高系統(tǒng)的各種性能和屬性，即透明度、可見性、可問責性、可追溯性和可靠性。

關鍵詞：供應鏈；安全管理；風險管理；物聯網；云計算；區(qū)塊鏈

供應鏈作為一種傳統(tǒng)的供需模式，已有悠久的100多年歷史。它涵蓋了從制造原材料到加工生產，最后將產品銷售給客戶的整個過程。供應鏈可以被看作是由所有參與產品創(chuàng)造、交付和銷售的個人、組織、資源、活動和技術組成的網絡[1]。供應鏈通過實物流（Physical Flow）和信息流（Information Flow）連接在一起，實物流包括生產、運輸、移動和儲存貨物和材料，信息流則使供應鏈各成員能夠協調他們的長期計劃，控制供應鏈上下每天的貨物和材料流[2]。傳統(tǒng)的供應鏈系統(tǒng)可以在相對安全的環(huán)境中為人類生活提供服務，但要滿足日益多樣化的商品種類和復雜的客戶需求并不容易，這要求供應鏈在更加復雜的消費信息網絡中高效且低成本地工作。

一、數字供應鏈驅動因素

（一）物聯網

1999年MITs Auto-ID中心正式提出物聯網（IoT）概念。Benabdesalem等人[3]將物聯網定義為一個對象網絡，在該網絡中，所有的物體都可以通過一些可靠的機制來進行識別，并且通過與物聯網所需的技術（如RFID、傳感器、GPS芯片和移動電話）相結合，在內部和外部相互連接，以提供集成服務。

（二）云計算

云計算是一種超級計算模型，將計算任務分布到遠程數據中心，該數據中心有數千臺計算機和服務器連接到計算機云上，為各種計算需求分配不同的資源，例如存儲空間、計算能力和各種軟件服務等。云計算源于網絡計算、分布式計算、并行計算、虛擬化技術、應用計算和其他計算機技術，是一種新的計算模式。云計算具有幾個特點，包括大數據存儲和計算、硬件服務的虛擬化、可擴展性和可靠性以及低成本。這種計算模式基本上是這樣的想法，即所有數據和應用程序集中存儲并安裝在數據中心和云服務器中，可以通過互聯網、筆記本電腦、移動電話或任何在線設備從世界任何地方使用。每個組織都需要自己的身份管理系統(tǒng)來控制對計算資源和信息的訪問。云計算提供商或客戶身份管理系統(tǒng)將其基礎設施與單點登錄（SSO）技術集成，或提供專有的身份管理解決方案[4]。出于個人和物理安全的考慮，提供商保證物理機器足夠安全，對這些機器和客戶數據的訪問不是唯一的限制，并且所有訪問都記錄在案。為了保證可用性，提供商確保對其應用程序和數據的定期和可預測訪問。提供商保證應用程序作為云計算的服務可用，并通過對打包應用程序進行測試和驗收程序來確保其安全性。該機制還要求客戶端環(huán)境中應用程序的安全標準。

最后，為了實現私有化目的，云計算提供商確保所有敏感數據（例如信用卡號）都是隱藏的，只有授權用戶才能訪問這些數據。此外，必須保護數字ID和證書不受提供商收集或生成的有關客戶活動的任何數據的影響。此外，客戶和提供商應考慮法律問題，例如合同和相關法律，這些法律可能因國家而異。云安全架構只有在適當的防御措施到位時才有效。高效的云安全架構必須在管理層識別安全問題，并解決安全控制問題。這些控制措施旨在防止系統(tǒng)中的任何漏洞，并減少攻擊的影響。

（三）區(qū)塊鏈

1990年首次提出了加密安全鏈體系結構的概念，用于其防篡改時間戳機制。2008年正式提出了區(qū)塊鏈，作為其加密貨幣系統(tǒng)比特幣的核心組成部分[5]。區(qū)塊鏈是由越來越多的加密鏈接塊組成的去中心化體系結構，每個加密鏈接塊存儲先前塊的哈希值[6]。

區(qū)塊鏈能夠通過驗證身份和拒絕其他成員的惡意方，保護網絡中的信息免受任何被破壞或易受攻擊的設備。存儲在一個區(qū)塊中的數據是不可變的，極難被篡改（防篡改）。這意味著黑客必須操縱所有區(qū)塊的數據，直到頭鎖才能實現網絡攻擊，這在真實的區(qū)塊鏈世界中是不可能的。

二、 數字供應鏈要求

（一）成本控制

將IT技術應用于供應鏈系統(tǒng)可以通過自動化和優(yōu)化流程，降低人力成本、物流成本、庫存成本等，以經濟的方式控制供應鏈的總體成本。

（二）可追溯性

可追溯性是指通過IT技術實現對產品狀態(tài)和條件的實時跟蹤，特別是在需要保持特定條件的環(huán)境中，如冷鏈、食品和農業(yè)鏈。高效的可追溯性可以快速發(fā)現問題并做出及時決策，提高供應鏈協調和計劃的靈活性。

（三）透明度

透明度是指通過IT技術獲取供應鏈生命周期中的行動、時間和地點等信息。通過透明度，供應鏈管理者可以了解整個供應鏈的運作情況，從而更好地做出決策、優(yōu)化流程和降低風險。

（四）問責制

通過IT技術記錄供應鏈中各個環(huán)節(jié)的活動，可以在發(fā)生問題或意外事件時追溯責任。分析活動的證據記錄可以找出問題的根源，了解負責成員或流程，從而對責任進行追究，提高供應鏈中的問責制和問題解決能力。

三、數字供應鏈系統(tǒng)風險

（一）物聯網系統(tǒng)安全風險分析

IoT旨在通過一系列智能平臺以及數字、網絡、物理和社交系統(tǒng)的廣泛耦合。這種耦合需要建立系統(tǒng)之間的關系，而這些關系在密度、時間和自動化方面可能會發(fā)生巨大變化。目前提出的技術和安全方法基本上都是基于傳統(tǒng)的網絡安全方法，但由于設備和協議的異構性以及系統(tǒng)中節(jié)點的規(guī)?；驍盗?，物聯網系統(tǒng)中應用安全機制比在傳統(tǒng)網絡中更具挑戰(zhàn)性。在應用物聯網安全緩解方面的挑戰(zhàn)涉及物理耦合、異構性、資源約束、隱私性、大規(guī)模、信任管理和安全準備不足。IoT是由于高度異構技術的集成，以及智能城市、建筑、電子醫(yī)療系統(tǒng)、智能制造系統(tǒng)和智能交通系統(tǒng)等不同領域的新型物聯網應用的不斷興起。這種動態(tài)性的一個副作用是缺乏共享的、普遍認可和采用的物聯網架構和功能愿景。主要供應商通常提出自己的架構，在研究和學術領域也是如此。由于涉及的異構性和由此產生的集成問題，設計安全的物聯網系統(tǒng)非常具有挑戰(zhàn)性，需要深入了解所采用的技術和部署配置，包括具體安裝的設備、用于通信的網絡技術（從自組織、低功耗連接到WiFi網絡）、設計的用戶交互以及所采用的后端技術（例如，云服務或本地服務）。

由于大多數互聯網技術和通信協議都不是為支持物聯網而設計的，因此智能設備集成到公共互聯網服務中導致的不可預測的安全后果加劇了這種情況。由于物聯網系統(tǒng)中設備的多樣性和通信協議的多樣性，以及所提供的各種接口和服務，不適合基于傳統(tǒng)的IT網絡解決方案來實現安全緩解。事實上，目前在傳統(tǒng)網絡中應用的安全措施可能還不夠。開放Web應用安全項（OWASP）列出的攻擊向量涉及物聯網系統(tǒng)的三個層面，即硬件、通信鏈路和接口/服務。因此，不安全的Web和云接口可能成為應用層物聯網系統(tǒng)攻擊向量的漏洞。傳感器和執(zhí)行器是物聯網網絡中的重要元素。盡管這些設備通常是低功率和資源受限的，但它們共享信息。同時，它們還充當數據存儲和執(zhí)行一些計算的角色。因此，可伸縮性、自治能力和能源效率對于任何路由解決方案都非常重要。其中一些傳感器節(jié)點是邊界路由器，用于將低功耗無線個人區(qū)域網絡（LLN）連接到互聯網或通過局域網（LAN）連接到鄰近網絡。由于物聯網網絡規(guī)模龐大，這些設備的IP地址都是基于IPv6的。IPv6 over低功耗無線個人區(qū)域網絡（6LoWPAN）是一種IETF IPv6自適應層，可在低功耗和低損耗網絡上實現IP連接。然而，由于在6LoWPAN層沒有身份驗證，存在很大的安全漏洞。

（二）云計算系統(tǒng)安全風險分析

云計算領域因其眾多優(yōu)點而受到了廣泛關注。這些好處包括成本、時間的節(jié)約和計算機資源的最佳使用。但是，安全和隱私問題是導致人們對這一現象持懷疑態(tài)度的主要問題。云計算的本質要求用戶將其數據傳輸到云服務器。一些研究集中于服務器端應用程序安全、操作系統(tǒng)安全、虛擬機安全或硬件級安全問題等主題。然而，這些研究通常并不全面，且與用戶的數據安全相關的問題僅在服務器本身的控制范圍內。另一種保護用戶數據的方法是使用由第三方公司提供的技術，稱為信任計算。盡管這些方法允許用戶使用特定的工具監(jiān)視和評估其數據的安全方面，但它們不能真正提供對安全問題實際方面的控制。

研究表明，在云計算中，安全性是最大且最重要的挑戰(zhàn)。由于云計算涵蓋了許多技術，包括網絡、數據庫、操作系統(tǒng)、資源調度、事務管理、并發(fā)控制和內存管理，因此可以根據不同的安全要求（機密性、完整性、訪問控制和隱私）來設想不同的安全處理方法。研究了數據安全和隱私的挑戰(zhàn)，通過強調在云中處理用戶數據的過程中的信息保密原則。

在云計算中，有以下兩個關鍵問題受到特別關注：如何更好地確保數據安全？即如何解決信息泄露和違反保密性問題的缺點；如何對基于云的客戶端的私人信息進行完全保密？即意味著用戶的私人信息在云計算環(huán)境中應得到充分的保護，防止未經授權地訪問和使用。

在當今的計算機系統(tǒng)中，任何人想要分析加密數據中包含的信息，首先要對數據進行解密。在這種情況下，存在被黑客攻擊和濫用信息的風險。當數據通過互聯網傳輸時，在云中維護其安全性是一個主要問題。因此，存儲在云中的信息也需要通過標準加密技術進行保護。另外，在密碼系統(tǒng)中，第二方或接收方必須擁有發(fā)送方的私鑰才能解密信息。因此，每當客戶端向其云中的“虛擬環(huán)境”發(fā)送請求，并且希望對其數據進行快速、安全的重新計算時，必須提供一個私鑰（通過將用戶的請求發(fā)送到云），并且在數據解密后進行計算。然而，這將增加每次處理密鑰時密鑰被泄露的風險。在這種情況下，客戶端將不得不更改密鑰。如果使用對稱加密，雙方必須擁有相同的密鑰。如果發(fā)生泄漏，他們必須再次生成密鑰，這將增加處理時間和計算開銷。保護數據機密性的綜合解決方案和技術被稱為“密碼學”。但是什么樣的密碼可以安全地分析加密信息，對稱加密還是非對稱加密更合適？

四、數字供應鏈安全管理

安全管理在信息技術環(huán)境中發(fā)揮著重要的作用。它可以實現可靠的數據融合和挖掘，增強用戶隱私和信息安全，使系統(tǒng)能夠克服對意外情況和風險的感知。數字供應鏈管理系統(tǒng)安全管理的定義是指管理隨著信息技術在供應鏈上的應用而出現的任何環(huán)節(jié)或流程都可能發(fā)生的隱私泄露和惡意成員操縱等潛在風險。

（一）云計算安全管理

云計算的集中式云服務器架構可以有效地管理和協作不同系統(tǒng)之間收集的信息，從而提高整個供應鏈系統(tǒng)中信息共享和協作性能。傳統(tǒng)的供應鏈管理系統(tǒng)只關注物理的、面對面的信息管理方法，但云計算環(huán)境下，可以按需訪問對采購實踐、商店貨架排布、銷售和運營規(guī)劃至關重要的信息。云安全體系結構只有在適當的防御措施存在時才能發(fā)揮作用。以下是對云安全體系的一些建議信息技術管理方法。

①每個組織都需要擁有自己的身份管理系統(tǒng)，以控制對計算資源和信息的訪問。云計算提供商或客戶身份管理系統(tǒng)將其基礎設施與單點登錄（SSO）技術集成，或提供專有的身份管理解決方案。

②提供商應確保物理機器足夠安全，以保護個人和物理安全，并限制對這些機器和客戶數據的訪問，所有訪問都應記錄在案。

③提供商應確保應用程序和數據的定期和可預測的訪問性。為此，提供商需要保證云計算上的服務應用程序的可用性，并通過對打包應用程序進行測試和驗收來確保其安全性?？蛻舳谁h(huán)境中的應用程序也需符合安全標準。

④為了保護隱私，云計算提供商應確保所有敏感數據（例如信用卡號）都是隱藏的，并只允許授權用戶訪問。

⑤數字身份和證書的安全性必須受到保護，不受提供商收集或生成的有關客戶活動的任何數據的影響。

（二）區(qū)塊鏈安全管理

區(qū)塊鏈是當前最熱門的研究課題之一，其具有分布式和分散式賬本的可靠架構和加密鏈接的區(qū)塊，可以為供應鏈上的整個運輸過程中測量產品質量提供準確的方法。例如，供應鏈中的利益相關者可以通過分析收集到的旅行路徑和持續(xù)時間數據，收集有關產品是否處于錯誤位置或從源頭到目的地的整個旅程的位置信息。此外，區(qū)塊鏈還可以通過降低風險，提高信任管理績效，在交易中驗證參與者身份。只有在網絡中相互接受的成員才能參與交易。

本文討論了供應鏈管理系統(tǒng)的現狀和環(huán)境，以及各種信息技術的支持，以提高滿足多樣化需求的性能。在發(fā)揮這些信息技術優(yōu)勢的同時，供應鏈必須面臨各種安全風險和挑戰(zhàn)，需要在未來的研究工作中解決。加強供應鏈管理系統(tǒng)的信任管理并不是一項短期工作。

五、結束語

總之，區(qū)塊鏈技術在供應鏈管理系統(tǒng)中發(fā)揮了重要作用，提供了可靠的分布式賬本和身份驗證機制。通過利用區(qū)塊鏈的特性，供應鏈可以更好地監(jiān)測和管理產品的運輸過程，并提高信任管理的效果。然而，也需要認識到，加強供應鏈的信任管理是一個長期的任務，需要不斷研究和解決安全風險和挑戰(zhàn)。只有持續(xù)努力改進和創(chuàng)新，才能實現供應鏈管理系統(tǒng)的信任和可持續(xù)發(fā)展。希望本文的討論能夠為供應鏈管理領域的研究和實踐提供一些有益的參考和啟示。

作者單位：何欣劉帥 中移動信息技術有限公司

許暖 中國移動通信集團安徽有限公司

參? 考? 文? 獻

[1] Mbang J J A. A New Introduction to Supply Chains and Supply Chain. Management： Definitions and Theories Perspective[J]. International Business Research， 2011， 5（1）：194.

[2] Zhou， W.， Piramuthu， S. （2015， June）. IoT and supply chain traceability. In. International Conference on Future Network Systems and Security （pp. 156-165）. Springer， Cham.

[3] Benabdessalem， R.， Hamdi， M.， Kim， T. H. （2014， December）. A surveyon. security models， techniques， and tools for the internet of things. InAdvanced Software Engineering and Its Applications （ASEA）， 2014 7thInternational Conference on （pp. 44-48）. IEEE.

[4] Mell， P.; Grance， T. The NIST defifinition of cloud computing. In Cloud Computing and Government： Background， Benefifits， Risks;

Nova Science Publishers， Inc.： Hauppauge， NY， USA， 2011; ISBN 9781617617843.

[5] Nakamoto， S. （2008）. Bitcoin： A peer-to-peer electronic cash system.

何欣（1978.08-），女，漢族，吉林省吉林市，碩士，工程師，研究方向：網絡安全規(guī)劃、數據安全管理、個人信息保護、信息安全操作審計等；

劉帥（1990.06-），男，漢族，北京，本科，工程師，研究方向：數據安全、安全攻防；

許暖（1980.07-），女，漢族，河南魯山，碩士，工程師，研究方向：通信網絡安全規(guī)劃與管理、網絡安全防御、供應鏈安全、數據安全。