供应链的网络安全风险研究

李傲

【摘 要】 随着供应链的全球化，使越来越多的企业依赖IT技术进行日常管理和运营，虽然通过互联网技术提高了供应链的运作效率，但同时也使企业暴露在互联网所衍生出来的一系列风险中，网络系统的安全成为企业管理者关注的焦点。本文针对目前网络系统安全所存在的问题、特征进行了分析，并从黑客入侵模式、技术配置、关联企业安全投资、风险转移方面提出了应对策略。

【关键词】 供应链 网络安全 风险

1.引言

2015年5月，日本的国家养老金服务系统遭到黑客攻击，大约120万公民的个人信息遭到泄露。2016年，OpenSSL再次曝出“水牢漏洞”这一漏洞允许黑客读取攻击网站的密码、信用卡账号、商业机密和金融数据等加密信息。在当前的互联网环境下供应链中的企业的网络系统面临着各种各样的风险，任何一家企业发生网络安全事件都可能会给企业运营及整个供应链带来很大的影响。计算机技术的广泛应用给供应链管理带来了便利的同时也带来了巨大的风险性，供应链的网络系统风险也成为管理者关心的重大问题。基于上述原因，本文针对供应链的网络风险从网络风险的特征、企业遭受损失的类型进行分析，最后给出应对策略。

2.供应链的网络安全风险特征

（1）网络安全事件和黑客攻击已经成为常态

目前，绝大数企业的日常运营管理依赖于网络系统，网络系统在可用性、保密性、完整性等方面出现任何问题都会给企业带来损失，甚至导致企业破产。例如，2017年5月份全球爆发的“勒索病毒”事件给许多公司带来了巨大损失。根据Ponemon Institute對美国网络安全事件的调查研究，平均每个企业每周大约会遭受两起网络安全事件。主要原因一是企业的安全意识不足，技术人员配备不足；二是企业的网络系统存在漏洞，这包括系统漏洞、应用软件漏洞甚至安全软件也存在漏洞。

（2）网络安全事件给企业乃至整个供应链造成的损失严重

在中国内地和香港，每年有网络安全事件造成的平均经济损失高达数百亿美元，而且有逐年递增的趋势。如果黑客对企业的财务系统攻击成功，往往会使企业遭受巨大经济损失。黑客入侵企业网络系统也可能会造成客户个人隐私的泄露，给社会稳定带来不利影响。

（3）黑客入侵事件的发生更加隐蔽和智能

随着计算机技术的发展，黑客对网络系统的入侵变得更加复杂，入侵的证据没有较高的专业知识很难获取，同时专业黑客也很容易销毁入侵痕迹。此外，黑客网站随处可见，黑客工具可以随意下载，不法分子常常利用他人开发的工具入侵企业的网络系统，达到一定的经济目的。

3. 供应链的网络安全事件给企业带来的损失

（1）直接经济损失

黑客可以利用企业网络系统的漏洞对企业的财务账户进行攻击盗取账户资金，例如爱尔兰航空公司的用于飞机加油的账户遭到黑客恶意攻击，由此造成了500万美金的经济损失。

（2）核心技术和竞争力的损失

对于一些设计和研发企业，设计作品和专有技术是企业的核心竞争力，一旦遭到泄露对企业来说是灭顶之灾。

（3）社会信誉度损失

企业发生网络安全事件，会使投资者和消费者认为企业的管理混乱，这种不信任会扩散到企业的方方面面，最终对企业的形象、品牌忠诚度、资金筹措等造成不可挽回的损失。2014年，携程被曝出客户隐私信息泄露，造成其第二季度客户大量减少。

4.供应链的网络安全风险的防范措施

目前，企业应充分考虑网络系统安全形势和威胁、网络系统安全性和经济性要求以及网络系统运用特点和要求，科学制定企业网络系统安全投资策略，合理采用相应的风险管理方法，提升网络系统安全。企业可以从黑客入侵模式、纵深防御战略、优化配置、多种网络安全技术组合运用。对于相互依赖风的企业间网络系统安全投资进行激励机制设计，购买网络系统安全保险或外包网络系统业务等。具体来说，网络系统安全风险管理相关的策略从以下四个方面入手。

（1）考虑黑客入侵模式的安全策略。黑客入侵是影响网络系统安全的关键因素之一，目前黑客入侵的主要方式包括：黑客定向入侵下的网络系统安全、黑客随机入侵下的网络系统安全、混合入侵下的网络系统安全。由此可以制定技术配置计划和投资策略，和关联企业建立信息共享机制降低入侵概率。

（2）网络系统安全技术配置策略。企业可以运用管理学理论和方法，以实现收益最大化为原则，对IDS和防火墙等安全设备的警报率等技术参数进行优化设置。例如：单一安全技术配置优化、两种以上多技术组合配置策略、进行网络系统安全技术的交互等。

（3）风险相互依赖下的企业网络系统安全投资策略。供应链中企业网络系统安全投资策略，是上下游企业网络安全投资所面临的重要问题之一。企业在投资时主要考虑：上下游企业之间安全投资的均衡水平、相互竞争企业的安全投资水平、外部激励机制对上下游企业网络系统安全投资水平的影响、网络脆弱性和供应链整合程度对企业网络系统安全投资的影响、企业网络系统相互关联特征和紧密程度变化对安全投资的影响、有效的信息共享激励机制设计等等。

（4）网络系统安全风险管理转移策略。主要是指将网络系统安全风险通过网络安全业务外包转移给网络系统安全管理服务商，或者通过购买保险的方式将黑客攻击带来的损失转移给保险商。

【参考文献】

[1] 中国互联网络信息中心. 第39次《中国互联网络发展状况统计报告》[R]. 北京：中国互联网络信息中心，2017.

[2] 顾建强. 信息系统安全投资策略及风险管理研究[D]. 东南大学，2016.

[3] 徐峰，侯云章. 供应链网络风险研究述评[J]. 软科学，2013，27（6）：125-128.

[4] 吴军，李健，汪寿阳. 供应链风险管理中的几个重要问题[J]. 管理科学学报，2006，9（6）：1-12.

[5] 胡跃群，郭进利. 关联型供应链网络风险管理研究[J]. 物流科技，2017（1）：130-133.

[6] 左晓栋. 美政府IT供应链安全政策和措施分析[J]. 中国信息安全，2011（3）：30-34.endprint