供應鏈管理系統的信息安全問題分析

摘要：基于供應鏈管理的理論和虛擬專用網（VPN）技術，分析了當前物流信息管理及其技術平臺中存在的安全問題，并結合供應鏈信息安全需求以及VPN在供應鏈管理中可實現的功能和作用，提出了構建供應鏈管理信息安全的VPN解決方案。

關鍵詞：供應鏈管理；虛擬專用網（VPN）；信息安全；VPN解決方案

中圖分類號：TP391文獻標識碼：A

文章編號：1002-3100(2008)05-0114-03

Abstract: This paper has analyzed the security problem existing in the information management of logistics and its technological platform at present on the basis of the theory of supply chain management and technology of Virtual Private Network（VPN）. In addition， combining the demand on the information security with VPN's feasible function in supplying chain management， the VPN-solution is given for information security of supply chain management.

Key words: supply chain management; virtual private network（VPN）; information security; VPN-solution

0引言

隨著科學技術的高度進步和全球經濟的迅猛發展，基于全球化信息網和全球化市場的產品競爭日趨激烈。需求多樣化、產品快速更新、交貨期不斷縮短、產品質量和服務水平日益增高，使得橫向一體化的供應鏈管理應運而生。

供應鏈包括滿足顧客需求所直接或間接涉及的所有環節，不僅僅包括制造商和供應商，還包括運輸商、倉庫、零售商和顧客。供應鏈是一個動態系統，是各環節間持續不斷的信息流、產品流和資金流的統一。

信息流是供應鏈成功的關鍵，對供應鏈的運營至關重要，它提供了供應鏈管理者賴以決策的事實依據。然而，這些在供應鏈中扮演關鍵角色的信息流是通過一種開放的網絡結構在企業之間流動的，各成員通過開放的互聯網來實現遠程交互訪問，進行資源共享。正是這種開放的網絡給信息的流動帶來了很多安全隱患。

1供應鏈管理信息系統

成功的供應鏈戰略將整個供應鏈當作一個整體考慮，而不是只看到其中某個階段。通過供應鏈全球性視野考察，管理者就能根據影響整個供應鏈的所有因素制定供應鏈戰略，而不只是僅僅根據影響供應鏈某些階段或特定功能的因素，對整條供應鏈中的單個企業贏得較高利潤[1-2]。

管理者如何保證擁有寬廣的視野，這完全取決于信息的構成。為了獲取全球視野的供應鏈，管理者需要獲得有關供應鏈中企業所有職能部門和組織的準確、及時的信息。比如，設定庫存水平需要來自顧客的需求、可利用供應商貨源、現有庫存水平、成本和收益的有關信息；運輸策略的制定需要了解顧客、供應商、線路、成本、時間以及運輸數量的信息；設施的決策既需要了解供需信息，又需要了解企業內部的生產能力、收益及成本的相關信息。信息的有效流動直接關系著企業的決策與運營；信息共享是消除需求信息不確定性的有效方法；信息交流能強化企業的核心競爭力。

供應鏈管理信息系統則是整個供應鏈信息系統的基礎[3]。它利用各種信息技術對供應鏈中的各種信息進行實時、集中、統一管理，使信息流、產品流、資金流三者同步，及時反饋市場、企業和物資的動態信息，為企業提供實時的信息服務，做到供應鏈信息的準確、及時和必要。并可通過供應鏈信息系統著眼于供應鏈的寬度制訂企業戰略性、規劃性以及操作性決策實現各自明確的目標。

供應鏈信息系統是網絡性的。隨著互聯網技術的深入人心，Internet作為一種信息工具，一種技術平臺，成為供應鏈的載體。企業內部財務、采購、銷售、生產、庫存等子系統全部通過企業內部網運營。而企業外部網的建立，則使整個供應鏈上下游企業快速溝通、快速解決問題、協同合作，形成一種充滿合作與信任的供應鏈關系。

然而，無論是企業的生產和銷售訂單、合作企業的生產進度，還是企業間的資金轉帳、招投標信息，無一不是需要高度保密的敏感信息，這些信息的準確性、機密性將直接影響到企業的生產和經營決策。因此，供應鏈信息安全是物流發展所面臨的一個重要問題，這對物流管理信息化、網絡化的發展起到舉足輕重的作用。

2供應鏈管理信息安全問題

供應鏈管理信息系統是計算機系統、通信系統和物流系統的統一。計算機軟硬件存在的安全漏洞，通信網絡自身的松散構架、通信協議的安全缺陷，外加物流系統多元素、多層次的復雜結構導致供應鏈管理的信息安全問題面臨著多方面的威脅。

確保供應鏈信息安全必須要做到防止企業內部機密的泄露，阻止惡意者假冒合法用戶竊取企業機密信息發送給第三方，鑒別非法用戶發送的假冒信息，防止他人篡改企業發送和接收的有效信息。

因為供應鏈是眾多企業的集成，任何一個環節的安全漏洞都會引起供應鏈上一系列的連鎖負面影響，使企業蒙受巨大的經濟損失。所以供應鏈管理的信息安全問題包括企業間在Internet上信息傳輸安全，企業與Internet間的相對安全隔離，以及節點企業自身內部的信息安全。

信息安全是一個相當廣義的范疇，是一項系統工程。它包含了網絡安全、服務器安全、操作系統安全、存儲設備安全、數據庫安全、計算機工作環境安全、備份系統安全、群集技術安全等等。本文主要將著眼點放在信息的數據安全上。

數據安全是指在數據的傳輸過程中，防止數據丟失、篡改、破壞、竊取和假冒。供應鏈中信息對應于供應鏈中的不同階段，包括供應源信息、生產信息、配送和零售信息、需求信息等。供應鏈管理者運用這些信息做出關于供應鏈中每一驅動要素的重要決策。一旦數據處理不安全，導致信息描述的事實有方向性錯誤，或者信息未能及時到達決策者手中，或者關鍵性信息被遺漏，都將給信息掌握者帶來不堪設想的后果。比如，某個企業營銷數據的失密，說不定會使產品所占市場份額受到影響，導致企業核心競爭力下降。況且由于供應鏈各個企業在空間上具有分散性和廣泛性的特點，市場信息的不對稱可能因牛鞭效應的存在而更進一步導致整個供應鏈上的上下游企業都因此而受損。因此，信息數據的安全問題具有重要的現實意義。

3供應鏈管理信息安全的VPN解決方案

目前維護數據安全主要采用防火墻技術（①IP數據包過濾技術、②應用網關技術、③代理服務器技術），CA認證技術和VPN（虛擬專用網）技術[4]。本文主要研究利用VPN來建立供應鏈管理信息系統。

3.1虛擬專用網（VPN）

VPN的基本思想就是在公共網絡上建立安全的專用網絡，來傳輸內部信息而形成邏輯網絡，從而為企業用戶提供比專線價格更低廉，安全性更高的資源共享和互聯服務[5-6]。VPN是企業內部網的擴展。

虛擬專用網指的是在公用網絡上建立專用網絡的技術，即通過對網絡數據的封包和加密傳輸，在公用網絡上傳輸私有數據，形成一種邏輯上的專用網絡。它向用戶提供一般專用網絡所具有的功能，但本身卻不是一個獨立的物理網絡。

顧名思義，所謂“虛擬”（Virtual），說明它是一種仿真物理連接的邏輯網絡連接，沒有固定的物理連接，利用的是公共網絡資源。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專用網所需的端到端的物理鏈路，而是利用公用網絡資源（如Internet、ATM網絡、幀中繼網絡等）動態組成的。所謂“專用”（Private，或譯為“私用”），說明它在功能上等同于傳統的專用網絡，具有與內部網絡相同的安全性、易管理性和穩定性，可被當作專用網絡使用。

VPN至少應能提供如下功能：加密數據，以保證通過公網傳輸的信息即使被他人截獲也不會泄露；信息認證和身份認證，保證信息的完整性、合法性，并能鑒別用戶的身份；提供訪問控制，不同的用戶有不同的訪問權限。

VPN既是一種組網技術，又是一種網絡安全技術。VPN涉及的技術和概念比較多，應用的形式也很豐富，其分類方式也很多，令人眼花繚亂。按應用范圍劃分， 大致可以劃分為遠程接入VPN（Accesss VPN）、Intranet VPN和Extranet VPN等3種應用模式。遠程接入VPN用于實現移動用戶或遠程辦公室安全訪問企業網絡；Intranet VPN用于組建跨地區的企業內部互聯網絡；Extranet VPN用于企業與客戶、合作伙伴之間建立互聯網絡。按VPN網絡結構劃分，可分為基于VPN的遠程訪問，基于VPN的網絡互聯和基于VPN的點對點通信。此外，VPN還可按接入方式，隧道協議，隧道建立方式，路由管理方式和實現方式來劃分。

3.2VPN在供應鏈管理中的作用

（1）VPN的安全性。VPN采用安全隧道技術向用戶提供無縫的和安全的端到端連接服務，確保信息資源的安全。VPN對數據的加密，信息認證、身份認證以及提供的訪問控制，使得供應鏈中通過VPN傳輸的各種機密信息或敏感信息因VPN具有的類似于專網的安全性而免受惡意病毒的感染、商業間諜的欺詐和竊取，使得其安全得到保障。

（2）鏈路的可靠性。VPN有強大的再生能力，局部通信線路的損壞不影響整個信息系統的運行。這保證了在線傳輸的信息流、資金流的順暢，從而使整個供應鏈運作正常。

（3）不受地理位置的限制。VPN可利用公共基礎設施和ISP接入。目前通信網絡發展極為迅速，Internet無處不在，VPN可隨時隨地接入。這樣，全球空間范圍內的任何企業都可加入到某條供應鏈中，成為其節點企業。

（4）可擴展性強。供應鏈是眾多企業的集成，也是一個動態聯盟。某個企業隨時都有可能成為你的供應商、或者分銷商、或者其他合作者，這些企業的加入或退出都可利用VPN輕松辦到，同時接入的用戶不受線路限制。

（5）節省大量成本。VPN提供廉價可靠的遠程用戶接入代替傳統遠程訪問、移動辦公、遠程辦公、遠程商務洽談、遠程技術支持，可以不用租用昂貴的專用線路，不用支付昂貴的長途通信費用，不用購置開銷大、升級成本高、非高峰期閑置的調制解調器池等設備。而且在基于VPN的網絡互聯已成為一種熱門的新型WAN技術的情勢下，還可節省WAN帶寬的費用。不僅如此，如果需要升級，企業只需考慮自己機器的升級，而無需考慮Internet的升級。這樣，供應鏈各節點企業可節約大量成本用于其他投資事業。

3.3基于供應鏈的VPN系統

VPN主要用作遠程訪問和網絡互聯的廉價、安全、可靠的解決方案；幫助遠程用戶、公司分支機構商業伙伴及供應商同企業內部建立可信的安全連接，并保證數據的安全傳輸。

供應鏈上的核心企業通常是分支機構、遠程用戶、合作伙伴眾多的企業，有需要擴展企業網，實現遠程訪問和局域網互聯，并且在企業內部，比如財務子系統和研發部門等關鍵的應用系統需要進行隔離，實現訪問控制，實現安全保密通信，所以可以使用VPN技術達到此目的。Access VPN處理可移動用戶、遠程交換和小部門的遠程訪問的連通性；企業內部網VPN用Internet連接遠程部門；Extranet VPN允許供應商、客戶、合伙人和利益相關的團體形成在Internet之上的VPN。

基于Internet VPN的簡易供應鏈管理信息系統的安全拓撲如圖1。中心站點VPN網關設置VPN服務器，配置VPN集中器、路由器和防火墻，連接VPN客戶端和VPN遠程驅動。分支機構、移動用戶等需配置路由器和防火墻。安全VPN服務器是整個系統的核心，可建立保護數據的安全通道——靜態和動態WAN連接上的動態VPN隧道。該系統便于擴充，可實現外部信息交換，完成對核心企業在不同地域的分支機構、合作企業的信息溝通與控制，實現重要數據、敏感信息、及時資料的收集與傳輸。同時也可實現企業內部信息交換，企業的事務處理、協同合作、信息共享與控制等都可建立在Intranet上。

4結束語

供應鏈企業注重信息化、網絡化建設的同時，不得不考慮信息的安全性問題。網絡環境下供應鏈信息系統的安全涉及到企業所處環境、自身條件、營銷策略等多方面的綜合因素，同時數據安全也有多種實現方法。本文針對供應鏈管理系統運行的實際信息安全需要，利用虛擬專用網VPN來構架信息安全框架。這里進行的分析和解決方案希望能對供應鏈企業的信息安全架設有所幫助。

參考文獻：

[1] Sunil Chopra， Peter Meindl. Supply Chain Management Strategy， Planning， and Operation[M]. 北京：清華大學出版社，2001.

[2] 馬士華，林勇. 供應鏈管理[M]. 北京：機械工業出版社，2000.

[3] 尤海燕. 網絡環境下物流信息管理安全模型和應用研究[J]. 物流技術，2007，26(1):111-113.

[4] 葛勤耕，汪海航. 基于Internet/Intranet供應鏈管理中的信息安全問題研究[J]. 組合機床與自動化加工技術，2002(5):46-50.

[5] Casey Wilson， Peter Doak. 虛擬專用網的創建與實現[M]. 鐘鳴，魏允韜，譯. 北京：機械工業出版社，2000.

[6] Matin W. Murhammer. 虛擬私用網絡技術[M]. 孔雷，劉云新，譯. 北京：清華大學出版社，2000.