姚紅YAO Hong

（北京信息科技大學(xué)，北京 100192）

1 研究背景及意義

2016 年12 月27 日，國家網(wǎng)絡(luò)信息安全辦公室已印發(fā)了《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》，在其中保護(hù)重要信息安全基礎(chǔ)設(shè)施為戰(zhàn)略任務(wù)的專門表述。戰(zhàn)略明確規(guī)定，重要信息基礎(chǔ)設(shè)施是關(guān)乎我國安全、影響國計民生的能源、財政、交通、教育、科學(xué)等方面的關(guān)鍵信息系統(tǒng)。隨著經(jīng)濟(jì)和貿(mào)易全球化的加劇，供應(yīng)鏈的各個環(huán)節(jié)日益全球化，因此，供應(yīng)鏈的整合是成功供應(yīng)鏈的核心。供應(yīng)鏈管理要求對風(fēng)險管理采取整體方法，而加強(qiáng)合作和整合會產(chǎn)生自身的風(fēng)險。大多數(shù)企業(yè)和供應(yīng)商都沒有做好應(yīng)對供應(yīng)鏈風(fēng)險的有效措施，沒有預(yù)測或者防范供應(yīng)鏈風(fēng)險的有效方法和能力。

世界各地類似的國家政府網(wǎng)絡(luò)安全組織試圖保護(hù)其公民和企業(yè)免受網(wǎng)絡(luò)威脅，并與其盟友和其他中央機(jī)構(gòu)共享重要信息，以確保全球網(wǎng)絡(luò)安全。英國科學(xué)和技術(shù)辦公室提出了一個簡潔的網(wǎng)絡(luò)安全定義，即“防御通過計算機(jī)系統(tǒng)發(fā)動的電子攻擊”。盡管如此，在這樣一個緊急的領(lǐng)域，隨著技術(shù)的快速發(fā)展，也需要引起注意?！癐T 安全事件”、“網(wǎng)絡(luò)犯罪”或“網(wǎng)絡(luò)事件”等描述都實質(zhì)上是指網(wǎng)絡(luò)環(huán)境中的風(fēng)險概念。傳統(tǒng)或?qū)嶓w供應(yīng)鏈由產(chǎn)品、金融和信息的流動主導(dǎo)，而網(wǎng)絡(luò)供應(yīng)鏈?zhǔn)且粋€由IT 基礎(chǔ)設(shè)施和技術(shù)組成的網(wǎng)絡(luò)，用于連接、構(gòu)建和共享虛擬網(wǎng)絡(luò)中的數(shù)據(jù)使新形式的風(fēng)險與實物產(chǎn)品或甚至不同的物理位置無關(guān)。供應(yīng)鏈?zhǔn)遣粩喟l(fā)展的技術(shù)生態(tài)系統(tǒng)的支柱，特別在今天這樣的大環(huán)境下，隨著工業(yè)4.0 的提出，物聯(lián)網(wǎng)、智能制造、虛擬現(xiàn)實、人工智能和區(qū)塊鏈的加速發(fā)展，信息技術(shù)的加入有助于反映、擴(kuò)展、改變和創(chuàng)新供應(yīng)鏈合作伙伴之間的關(guān)系。然而，網(wǎng)絡(luò)安全對策的發(fā)展滯后于供應(yīng)鏈數(shù)字化的進(jìn)展。有人認(rèn)為，供應(yīng)鏈通過不謹(jǐn)慎地與許多不同的合作伙伴合作，無意中擴(kuò)大了其脆弱性。隨著共享IT 系統(tǒng)能力的不斷增強(qiáng)，現(xiàn)代網(wǎng)絡(luò)威脅也急劇增加，后果日益嚴(yán)重。最近在食品行業(yè)觀察到網(wǎng)絡(luò)威脅能力發(fā)展的一個例子，人們過于自信導(dǎo)致認(rèn)為與IT 相關(guān)的風(fēng)險只會影響辦公室工作。然而，更復(fù)雜的惡意軟件會超出辦公室的界限，并會感染自動化生產(chǎn)系統(tǒng)和更廣泛的供應(yīng)鏈網(wǎng)絡(luò)。網(wǎng)絡(luò)供應(yīng)鏈并不一定會使業(yè)務(wù)更簡單、更安全，它們增加了復(fù)雜性，并可能變得更具挑戰(zhàn)性。有趣的是，網(wǎng)絡(luò)風(fēng)險和傳統(tǒng)風(fēng)險之間的區(qū)別被認(rèn)為是網(wǎng)絡(luò)風(fēng)險的匿名性，因為它在影響企業(yè)之前是不可察覺的。組織越來越意識到網(wǎng)絡(luò)風(fēng)險及其后果，并增加了網(wǎng)絡(luò)安全響應(yīng)預(yù)算。關(guān)于網(wǎng)絡(luò)威脅的日常媒體報道突出了這些風(fēng)險在實踐中的重要性，然而，盡管這一主題對全球供應(yīng)鏈有重大影響，但它很少引起學(xué)術(shù)界的關(guān)注。根據(jù)多家咨詢公司和保險公司在2018 年進(jìn)行的全球風(fēng)險調(diào)查，網(wǎng)絡(luò)安全和數(shù)據(jù)泄露成為企業(yè)的首要風(fēng)險?，F(xiàn)有文獻(xiàn)未能解決供應(yīng)鏈層面上網(wǎng)絡(luò)威脅的影響。本文將分析供應(yīng)鏈網(wǎng)絡(luò)安全的現(xiàn)狀，并對供應(yīng)鏈的風(fēng)險進(jìn)行分類，最后討論供應(yīng)鏈網(wǎng)絡(luò)安全面臨的挑戰(zhàn)以及應(yīng)對策略。

2 供應(yīng)鏈網(wǎng)絡(luò)安全的現(xiàn)狀

有項對全球1300 家公司進(jìn)行的調(diào)查發(fā)現(xiàn)，其中高達(dá)90%的公司沒有針對供應(yīng)鏈網(wǎng)絡(luò)攻擊設(shè)置有效應(yīng)對措施。在過去的幾年中，供應(yīng)鏈已經(jīng)已成為網(wǎng)絡(luò)安全的新戰(zhàn)場。一個很明顯的跡象：在兩大世界頂級信息安全會議BlackHat 和Defcon 上有關(guān)黑客入侵供應(yīng)鏈的演講開始增多。所以，無論是供應(yīng)鏈上的技術(shù)買家、賣家、制造商、投資者還是安全專家，都將供應(yīng)鏈網(wǎng)絡(luò)安全放在首要位置，原因有以下幾點：

黑客扎堆供應(yīng)鏈。目前，供應(yīng)鏈網(wǎng)絡(luò)安全面臨的威脅不僅在飛速增長而且遠(yuǎn)遠(yuǎn)被低估。根據(jù)行業(yè)估計，2020 年供應(yīng)鏈攻擊占所有網(wǎng)絡(luò)攻擊的50%，與上一年相比，激增了78%。多達(dá)三分之二的公司經(jīng)歷了至少一次供應(yīng)鏈攻擊事件，所花費的平均成本高達(dá)110 萬美元。數(shù)據(jù)安全中心Ponemon Institute 于2018 年進(jìn)行的一項研究發(fā)現(xiàn)，有56%的組織由于其供應(yīng)商而出現(xiàn)違規(guī)。供應(yīng)鏈的云化、物聯(lián)網(wǎng)、全球化以及向龐大互聯(lián)的數(shù)字生態(tài)系統(tǒng)的轉(zhuǎn)型是主要因素。

一次攻擊，多方受害。供應(yīng)鏈網(wǎng)絡(luò)攻擊存在的威脅主要有兩種。第一種嘗試擾亂或削弱物理的供應(yīng)鏈，例如國家黑客對關(guān)鍵基礎(chǔ)設(shè)施或能源系統(tǒng)的襲擊。第二種是攻擊者將供應(yīng)鏈作為攻擊數(shù)十、數(shù)百甚至數(shù)千個鏈上合作伙伴的渠道。研究人員Cybereason 表示，供應(yīng)鏈攻擊的最大特點是“突破一點，傷及一片”，是低成本高回報的“一本萬利”的黑客商業(yè)模式。通過查找和利用供應(yīng)鏈薄弱環(huán)節(jié)，攻擊者可以在供應(yīng)鏈實體之間跳來跳去，竊取數(shù)據(jù)，并監(jiān)視或銷毀它們。供應(yīng)鏈攻擊的這種由點到面的巨大破壞性吸引了大量黑客。

硬件成為新的攻擊目標(biāo)。由于軟件安全的保護(hù)在不斷增強(qiáng)，黑客們開始將攻擊目標(biāo)轉(zhuǎn)向硬件。在任何環(huán)境中，惡意入侵硬件堆棧都是一個巨大的威脅。而這種威脅在供應(yīng)鏈中被放大了許多倍。

損害的范圍廣。供應(yīng)鏈違規(guī)造成的危害是長期隱患，因為這讓人們對產(chǎn)品的可靠性和安全性產(chǎn)生了懷疑。制造過程中存在一系列潛在的危害，最高端是供應(yīng)鏈攻擊。在制造過程的每個階段都存在供應(yīng)鏈風(fēng)險：設(shè)計、開發(fā)和生產(chǎn)、分配、購置和部署、維護(hù)和處置。同樣，違規(guī)會給企業(yè)造成一系列的傷害，包括聲譽(yù)受損和業(yè)務(wù)損失?？萍己碗娮赢a(chǎn)品是國防、金融服務(wù)和能源領(lǐng)域最喜歡的目標(biāo)，但沒有哪個行業(yè)能幸免。《2019 年全球威脅報告》發(fā)現(xiàn)，現(xiàn)在有超過一半的網(wǎng)絡(luò)攻擊利用了所謂的“跳島攻擊”，這意味著攻擊者不僅針對一個組織。攻擊者不只是要搶劫您和您整個供應(yīng)鏈中的人員。他們想要“擁有”您的整個系統(tǒng)。

綜上所述，當(dāng)前供應(yīng)鏈網(wǎng)絡(luò)安全面臨的現(xiàn)狀是：供應(yīng)鏈威脅嚴(yán)重且范圍廣深度深，并且可能逐步惡化。

3 供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險分類

為了理解這些新的和未被探索的風(fēng)險，Gordon 和Ford 等人將供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險分為第一類和第二類網(wǎng)絡(luò)風(fēng)險。第一類網(wǎng)絡(luò)風(fēng)險包括網(wǎng)絡(luò)釣魚、盜竊或操縱數(shù)據(jù)或服務(wù)的事件；第二類風(fēng)險包括網(wǎng)絡(luò)跟蹤和騷擾、操縱股市或勒索以及公司間諜活動。然而，這種對網(wǎng)絡(luò)風(fēng)險的分類只集中在惡意行為人的蓄意行為上。網(wǎng)絡(luò)風(fēng)險的其他分類，如Smith 等人提供的分類，要么錯過了主要風(fēng)險，要么非常關(guān)注其他風(fēng)險。Simily 和英國國家網(wǎng)絡(luò)安全中心將網(wǎng)絡(luò)攻擊分為無目標(biāo)攻擊和有目標(biāo)攻擊。網(wǎng)絡(luò)釣魚、勒索軟件和掃描屬于無目標(biāo)攻擊，因為它們針對多個設(shè)備或用戶。魚叉式網(wǎng)絡(luò)釣魚、拒絕服務(wù)和顛覆供應(yīng)鏈都是在有針對性的攻擊下捕獲的?，F(xiàn)對網(wǎng)絡(luò)風(fēng)險進(jìn)行了整體分類，如圖1所示。下文解釋了每種已識別的“網(wǎng)絡(luò)風(fēng)險”。

硬件風(fēng)險。硬件上的風(fēng)險包括交換機(jī)、服務(wù)器、路由器和其他ICT 設(shè)備等有形物。在談到網(wǎng)絡(luò)風(fēng)險時，許多風(fēng)險經(jīng)理似乎忽視了物理和環(huán)境風(fēng)險的存在。通過查閱文獻(xiàn)了解到，一些外國學(xué)者承認(rèn)自然災(zāi)害是網(wǎng)絡(luò)風(fēng)險的關(guān)鍵驅(qū)動因素。例如，當(dāng)洪水或龍卷風(fēng)破壞了服務(wù)器的功能，從而干擾了網(wǎng)絡(luò)供應(yīng)鏈網(wǎng)絡(luò)的無縫流動。同時，Smith、Urciouli 和Hintsa 更進(jìn)一步研究到，將故意破壞或盜竊物理基礎(chǔ)設(shè)施組件的行為添加到該物理風(fēng)險類別中。還有學(xué)者認(rèn)為恐怖襲擊是網(wǎng)絡(luò)風(fēng)險的物理方面的一部分。

系統(tǒng)崩潰。由于過時的防火墻和過期的安全更新等原因?qū)е孪到y(tǒng)或資源崩潰的少見風(fēng)險很少被學(xué)者研究。盡管如數(shù)據(jù)流量峰值導(dǎo)致的網(wǎng)站故障是不可忽略的，但此類故障比自然災(zāi)害或故意攻擊更容易預(yù)測，其潛在的后果也同樣嚴(yán)重。

直接和間接攻擊。有意攻擊的網(wǎng)絡(luò)風(fēng)險分為直接攻擊和間接攻擊兩類。直接攻擊包括黑客攻擊、拒絕服務(wù)或盜取密碼以獲取經(jīng)濟(jì)利益。在間接攻擊中，攻擊者布置“誘餌”，使他們能夠訪問目標(biāo)系統(tǒng)。文獻(xiàn)中經(jīng)常討論的方法包括病毒、蠕蟲和特洛伊木馬、假冒產(chǎn)品、軟硬件、惡意代碼和欺騙攻擊。如果員工通過訪問網(wǎng)站或下載軟件等方式接受誘餌，攻擊者將獲得對系統(tǒng)的訪問權(quán)。通過網(wǎng)絡(luò)釣魚發(fā)起的網(wǎng)絡(luò)攻擊正在不斷增加，為了應(yīng)對此類偽裝攻擊，必須提高網(wǎng)絡(luò)意識。

內(nèi)部威脅。Tokunathur 研究得出，員工往往是公司網(wǎng)絡(luò)安全的最大風(fēng)險。在內(nèi)部，員工被發(fā)現(xiàn)在密碼保密方面粗心大意，包括寫下密碼以便于回憶。在與同事或其他人討論時心不在焉地披露敏感信息是公司需要意識到的風(fēng)險。有文獻(xiàn)還指出員工有意識地濫用甚至破壞公司信息的事件。由于員工的網(wǎng)絡(luò)威脅是內(nèi)部的，無論是故意的還是意外的，都被稱為內(nèi)部威脅。無論是疏忽還是預(yù)謀，人為因素都會對公司的網(wǎng)絡(luò)安全構(gòu)成最大、最不可預(yù)測的威脅。員工可以充當(dāng)內(nèi)部人，支持犯罪分子使其行為永久化，也可以自己犯罪，因為他們可能很容易獲得設(shè)施或貨物。

4 網(wǎng)絡(luò)安全所面臨的的挑戰(zhàn)

4.1 組織間的協(xié)作

傳統(tǒng)的供應(yīng)鏈中，雙方可能會共享一些信息，偶爾還會共享同一個IT 平臺。當(dāng)網(wǎng)絡(luò)供應(yīng)鏈和訂單管理系統(tǒng)將多個供應(yīng)方連接在一起或在外包平臺上共享數(shù)據(jù)時，風(fēng)險會被放大。缺乏公認(rèn)的標(biāo)準(zhǔn)和指南阻礙了強(qiáng)大網(wǎng)絡(luò)防御的發(fā)展。供應(yīng)鏈合作伙伴之間必須在安全問題上更加透明，并應(yīng)結(jié)合安全資源和專門知識來應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)風(fēng)險。網(wǎng)絡(luò)后果的傳播意味著公司不能只關(guān)注其安全系統(tǒng)，還必須了解其合作伙伴的安全狀況。為了有效應(yīng)對供應(yīng)鏈網(wǎng)絡(luò)相關(guān)風(fēng)險，需要基于開放、誠實和信任的關(guān)系進(jìn)行供應(yīng)鏈協(xié)作。有學(xué)者建議供應(yīng)鏈整合，通過協(xié)調(diào)系統(tǒng)和流程，通過標(biāo)準(zhǔn)化的工作方式、共享的安全目標(biāo)和更好的一般溝通，將產(chǎn)生更好的回報。

4.2 員工知識

到目前為止，網(wǎng)絡(luò)威脅的速度超過了培訓(xùn)和學(xué)習(xí)計劃。理想情況下，這些工作人員是與網(wǎng)絡(luò)應(yīng)用程序接觸的積極主動的員工，他們不僅需要知道如何操作系統(tǒng)，還需要知道如何應(yīng)對攻擊。一種理想狀況，即高技能員工不僅對網(wǎng)絡(luò)風(fēng)險反應(yīng)靈敏，而且具備先發(fā)制人網(wǎng)絡(luò)流行風(fēng)險的技能。

4.3 政府的參與

政府的利益與軍事和國家情報機(jī)構(gòu)的安全息息相關(guān)?，F(xiàn)在供應(yīng)鏈安全也對國家的經(jīng)濟(jì)有著重要的影響力度。50多個國家已經(jīng)發(fā)布了具有明確目標(biāo)的國家網(wǎng)絡(luò)安全戰(zhàn)略。歐盟定期更新歐盟網(wǎng)絡(luò)安全戰(zhàn)略。網(wǎng)絡(luò)信息安全日益復(fù)雜，使得單個公司無法單獨行動來促進(jìn)和協(xié)調(diào)整體安全工作。政府必須贊助和指導(dǎo)網(wǎng)絡(luò)安全項目，并創(chuàng)建平臺，以便企業(yè)更方便地溝通和規(guī)劃管理網(wǎng)絡(luò)風(fēng)險。

5 對策

傳統(tǒng)供應(yīng)鏈風(fēng)險管理模式可分為風(fēng)險識別、風(fēng)險評估、風(fēng)險處理和風(fēng)險監(jiān)控。在供應(yīng)鏈網(wǎng)絡(luò)所處的動態(tài)環(huán)境下，考慮到供應(yīng)鏈網(wǎng)絡(luò)的復(fù)雜結(jié)構(gòu)，為有效應(yīng)對供應(yīng)鏈網(wǎng)絡(luò)的協(xié)作風(fēng)險及外部風(fēng)險，本文在傳統(tǒng)供應(yīng)鏈風(fēng)險管理模式的基礎(chǔ)上，提出要加強(qiáng)契約機(jī)制、學(xué)習(xí)機(jī)制、彈性機(jī)制、政府公共機(jī)制，建立全面風(fēng)險管理模式。

5.1 契約機(jī)制

供應(yīng)鏈契約是協(xié)調(diào)供應(yīng)鏈上下游企業(yè)同關(guān)系的管理工具，是一種激勵機(jī)制。供應(yīng)鏈網(wǎng)絡(luò)中各企業(yè)通過簽訂契約來進(jìn)行合作，其協(xié)商項目主要是決策權(quán)力的分配成本、定價、庫存、雙方信息合作方式等問題，期望通過契約達(dá)到合作及收益共享的目的。

5.2 學(xué)習(xí)機(jī)制

建立供應(yīng)鏈網(wǎng)絡(luò)學(xué)習(xí)機(jī)制首先要強(qiáng)調(diào)學(xué)習(xí)力，學(xué)習(xí)力是把知識資源轉(zhuǎn)化為知識資本的能力。學(xué)習(xí)的能力來源于供應(yīng)鏈網(wǎng)絡(luò)中各企業(yè)本身的技能和知識，以及將實踐中的經(jīng)驗提煉成理論的能力。

5.3 彈性機(jī)制

在應(yīng)對突發(fā)和中斷風(fēng)險過程中，彈性管理是極其重要的風(fēng)險管理機(jī)制。彈性強(qiáng)度對突發(fā)和中斷風(fēng)險的影響具有一定的抵御能力。整個供應(yīng)鏈網(wǎng)絡(luò)要提高彈性，應(yīng)使供應(yīng)鏈網(wǎng)絡(luò)中的子供應(yīng)鏈具有柔性、敏捷性、適應(yīng)性和成員目標(biāo)一致性等特征。企業(yè)可以通過以下幾條途徑來增強(qiáng)供應(yīng)鏈彈性：①設(shè)置生產(chǎn)冗余和戰(zhàn)略安全庫存。②企業(yè)可以通過降低供應(yīng)鏈網(wǎng)絡(luò)的復(fù)雜性和耦合性來增強(qiáng)供應(yīng)鏈柔性，如重新設(shè)計產(chǎn)品和流程使之更加標(biāo)準(zhǔn)化減少零部件的種類以及采用延遲策略，將產(chǎn)品的復(fù)雜度以及供應(yīng)鏈網(wǎng)絡(luò)企業(yè)間的依賴性都降低，從而提高對不確定事件的反應(yīng)速度。③供應(yīng)鏈網(wǎng)絡(luò)上的“瓶頸點”及供應(yīng)鏈較長、提前期較長的關(guān)鍵路線上都需要“預(yù)嵌”一定的彈性，以降低供應(yīng)中斷帶來的風(fēng)險。④實現(xiàn)并行工程的應(yīng)用，通過安排整個供應(yīng)鏈網(wǎng)絡(luò)的運行時間，減少供應(yīng)鏈網(wǎng)絡(luò)上非增值的作業(yè)活動來縮短反應(yīng)時間。

5.4 政府公共機(jī)制

政府在應(yīng)對突發(fā)事件方面的能力、信任度、影力等優(yōu)勢是企業(yè)無法企及的，因此政府應(yīng)當(dāng)建立健全突發(fā)事件應(yīng)急信息發(fā)布機(jī)制。突發(fā)事件發(fā)生后，政府要及時向社會公眾公開信息，主流媒體應(yīng)將政府的聲音傳達(dá)給公眾，使社會輿論朝向有利的方向。供應(yīng)鏈網(wǎng)絡(luò)中其他企業(yè)也可在第一時間掌握有效信息，及時準(zhǔn)確地調(diào)整自身決策，避免不良影響的進(jìn)一步蔓延，多數(shù)供應(yīng)鏈網(wǎng)絡(luò)成員的有效應(yīng)對可降低供應(yīng)鏈網(wǎng)絡(luò)發(fā)生重大供應(yīng)中斷的風(fēng)險。同時，對受影響企業(yè)，由于信息及時發(fā)布，供應(yīng)鏈網(wǎng)絡(luò)中其他成員可積極主動地參與突發(fā)事件處理，幫助受損企業(yè)盡快恢復(fù)正常經(jīng)營。

本文將供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險定義為威脅供應(yīng)鏈基礎(chǔ)設(shè)施完整性、導(dǎo)致連鎖中斷的意外或故意的IT 事件。與傳統(tǒng)的供應(yīng)鏈風(fēng)險類似，網(wǎng)絡(luò)風(fēng)險在短期內(nèi)對財務(wù)損失、延誤和客戶服務(wù)損失產(chǎn)生影響，對市場價值和品牌聲譽(yù)造成長期影響。由于工業(yè)4.0 革命后供應(yīng)鏈的快速轉(zhuǎn)變，所有這些破壞性技術(shù)都容易受到網(wǎng)絡(luò)風(fēng)險的影響。供應(yīng)鏈整合和數(shù)字化齊頭并進(jìn)，提高對供應(yīng)鏈中網(wǎng)絡(luò)安全風(fēng)險的認(rèn)識，并幫助從業(yè)者和學(xué)者管理未來的破壞性網(wǎng)絡(luò)風(fēng)險至關(guān)重要。