天津市建筑业协会
1供应链信息安全的特点
现代供应链中无论是内部的生产、销售订单、合作的生产进度,还是间的资金转帐、招投标信息,都是需要高度保密的敏感信息,这些信息的准确性、机密性将直接影响到供应链的生产和经营决策。在供应链中,由于信息在节点间共享,对信息安全提出了新的要求:(1)信息安全不再是某个个体的事情,而是整条供应链所有节点共同面临的问题,任何一家由于自身原因导致的信息安全事故,将可能危害整条供应链的利益。供应链信息安全保障工作要远比单个复杂。(2)供应链上下游形成“委托—代理”关系,具有优势的代理方往往倾向于增加信息不对称,来获得额外的利益。(3)由于供应链间共享的信息具有较高的商业价值,有些为了自身利益,可能会将共享的信息泄露给供应链外。如何既保证节点间的信息共享,又防止泄露信息、身份欺诈等有害行为的发生是供应链信息安全需要研究的问题。 2供应链信息安全现状与问题
目前,我国在供应链管理的实践中,对供应链信息安全或者重视不够或者束手无策,存在一些较为突出的问题。 (1)信息安全意识淡薄目前我国很多供应链节点没有意识到信息是重要资产,没有把信息安全管理工作作为日常工作的重点。据北京谷安天下公司开展的《20XX年度中国员工信息安全意识调查》活动结果显示,受访者的工作胸卡保管、个人及公司物品保管、出差物理环境安全、办公桌面安全、打印机安全、尾随、口令/密码设置、敏感数据保护、数据备份、密级资料处理、电脑桌面安全等相关安全意识相对较差。
(2)信息安全管理无章可循、有章不循现象普遍供应链信息安全工作缺乏统一的依据和准则,节点的安全制度互相间存在内容交叉甚至矛盾,边界定义不明确,安全职责模糊不清,部门责任和岗位责任制得不到真正落实,执行监督机制薄弱。许多对移动存储设备的使用无严格规定,员工可以随意使用移动存储设备对文件进行存储备份,信息逐步成为个人资产,随着人员流动而广泛传播。员工工作时间上畅通无阻,无限制地使用、MSN等传送、接收文件,容易导致机密泄露和病毒、木马、黑客的攻击。掌握大量机密信息的特权员工,例如数据库管理员、络管理员、营销主管和技术研发人员容易将掌握的机密信息出售给的竞争对手。
索爱w980i
(3)缺乏信息安全技术与管理人才信息化建设中存在重硬件,轻软件和管理的现象,对信息人才的培养与引进关注不够。为了节约人力成本,往往一个信息安全管理员既要负责系统的配置,又要负责系统安全管理,管理权限过于集中,一旦出现管理员的权限失控或离职等情况,极易导致重要信息泄露。
(4)缺乏统一的信息安全战略规划和防范机制许多的信息安全措施随意性很强,缺少严格的科学论证,采取的是“贴膏药”式的安全策略,从而引起软硬件安全设备(系统)间防护功能的重叠和弱化,导致管理难度加大,重复投资现象普遍。有些经常出现“先业务,后安全”的现象,安全管理严重滞后于业务的发展。安全事件发生后才去解决,信息安全人员变成“救火员”,安全建设经常是“亡羊补牢”。
(5)供应链之间信息的共享与交流存在安全问题供应链各节点在合作过程中一再强调依靠信息共享实现双赢,但又都是独立的利益个体,一旦之间发生利益冲突,则容易出现的主要问题有:①合作伙伴的逆向选择风险。由于信息不对称,各节点形成的“委托—代理”关系往往导致了一种逆向选择的风险。委托方往往比代理方处于更不利的位置,往往通过
中国 东盟自由贸易区
河北大学人民武装学院
阻碍信息共享,增加供应链中信息的不对称,从合作伙伴那里获得更大利益。②供应链节点的败德行为。当前我国与供应链(络信息犯罪)相关法律法规不健全的法制环境下,节点会利用信息优势而采取一些违背供应链整体利益或者其它成员利益的措施。会主动或有意将供应链内共享的信息泄露给没用参与共享的来获得额外利益。成员间还存在欺诈行为,如不法利用身份欺骗,以某成员的名义,欺骗其他成员。诸如此类败德行为如不加控制会降低供应链的服务水准,导致供应链其余节点、顾客的不满和利益流失。 3供应链信息安全体系框架
velcade 供应链信息安全系统中的各个安全组件或要素只有整合成为一个整体协同作用时,才能有效保证整体安全管控的目标得以实现。然而,对于我国大多数供应链说,信息安全存在上述诸多问题,主要原因是在信息安全建设之初,没有根据供应链整体业务发展的需要确立合理的信息安全需求,导致供应链信息安全架构不合理。供应链信息安全框架旨在为供应链及其节点提供一个全面的、自上而下的、结合了国际国内相关安全标准的安全模172型。供应链信息安全框架由信息安全治理、信息安全管理、基础安全服务和架构、第三方信息安全服务与认证机构和供应链信息安全技术标准体系五个模块构成。安全治理作为架构的核心内
拟合直线容,是安全管理模块的服务对象,同时,它们也是信息安全策略制定的基础和依据,还是基础安全服务和架构模块中的各个子系统提供选择和建设的依据。基础安全服务和架构模块是信息安全建设技术需求和功能的实现者,是信息安全建设的重要支柱。中间的安全管理模块则通过一系列控制措施,确保基础安全服务功能的实现,最终实现安全治理的要求,满足供应链系统的信息安全需求。供应链信息技术标准体系为供应链和第三方信息安全服务与认证机构提供了标准保障和依据,有利于形成健康法制的第三方信息安全服务市场环境。第三方信息安全服务与认证机构可弥补供应链信息安全技术和经验的不足,提供安全托管及信息安全认证服务。
4供应链信息安全体系框架的应用
供应链信息安全框架参考了众多所积累的经验,吸取了供应链信息安全领域的最新理论研究成果。在具体运用中可结合信息安全相关方法论、模型及标准,从需求出发,参照供应链信息安全管理框架,通过评估和风险分析等方法,定义供应链及其节点安全需求,再根据安全需求定义信息安全建设的内容和方向,如图2所示。图2供应链信息安全体系框架应用。
5结论
首先分析了我国供应链普遍存在的信息安全问题,主要有:员工的信息安全意识淡薄;信息安全管理有章不循现象普遍;缺少信息安全技术与管理人才;缺乏统一的信息安全战略规划和防范机制;合作间存在逆向选择风险和各种败德行为等。上述问题阻碍了我国供应链信息安全水平的提高。本文参考了众多所积累的经验,吸取了供应链信息安全领域的最新理论研究成果,从信息安全战略、信息安全技术和信息安全管理三方面提出了供应链信息安全框架。在具体运用中可结合信息安全相关方法论、模型及标准,从供应链整体业务需求出发,参照供应链信息安全管理框架,通过评估和风险分析等方法,定义供应链及其节点的信息安全需求,据此确定供应链及其节点的信息安全建设的内容和方向。需要指出的是,供应链信息安全问题是一个系统工程,其中供应链信息安全标准体系、第三方信息安全服务和信息安全管理体系认证是建立完善的信息安全服务市场的关键。这需要深入供应链做大量的调查研究,并对比借鉴国际上ISO28等标准,研究适合我国供应链实际的信息安全标准体系,这正是笔者下一步要尝试解决的问题。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议