反競爭情報技術系統視角的供應鏈情報泄密機理的研究

朱禮龍

〔摘要〕從信息安全決策中心、信息安全反競爭情報中心、蜜網技術支持的網絡反競爭情報系統、人際情報網絡系統、供應鏈集成化信息系統等五個方面構建了基于反競爭情報技術系統的供應鏈信息安全系統模型；系統梳理了供應鏈信息安全系統的安全隱患；探究了供應鏈系統情報泄密的路徑，認為信息安全治理過程監管不力造成供應鏈系統情報泄密、信息安全策略管理工作滯后于供應鏈系統信息安全的需要、蜜網技術的雙刃劍特征危及網絡反競爭情報系統安全、人際情報網絡維護成本高，監管困難，已成供應鏈系統安全短板、供應鏈集成化信息系統自身的安全漏洞給競爭情報方以可乘之機。

〔關鍵詞〕供應鏈系統；情報泄密；機理；信息安全；反競爭情報

〔Abstract〕The paper，from the perspective of the counterintelligence technical support system，constructed the supply chain information security system model from such five parts as the information security decision center，the information security counterintelligence center，the network counterintelligence system supported by the honeynet technology，the human intelligence network system and the integrated supply chain information system；combed the security hidden danger of information security system in supply chain；and explored the path of the supply chain system information leakage to find that the ineffective supervision of information security governance process caused the leakage of supply chain system information，information security policy management lags behind the information security needs of the supply chain system，the feature of the double edged sword of the honeynet technology threatened the security of the network countercompetitive intelligence system，the human intelligence network with high maintenance cost and the regulatory difficulties had become the supply chain system security short board，and the security vulnerabilities of integrated information system in supply chain was the basis of competitive intelligence.

〔Key words〕supply chain system；information leakage；mechanism；information security；counterintelligence

隨著網絡和信息技術的發展，閉環的企業內部信息管理模式逐步為開放的供應鏈集成化信息管理模式所取代。當供應鏈成員通過開放的互聯網來實現遠程交互訪問、進行信息共享時，這種開放的網絡系統給需要高度保密的敏感情報如企業內部的生產、銷售訂單、合作企業的生產進度、企業間的資金轉帳、招投標信息等，帶來了很多安全隱患，從而威脅到整個供應鏈系統的信息安全。Sindhuja P N和Anand SKunnathur建議從管理控制的角度看，有必要對全球供應鏈中的各類組織的信息安全紀律進行全覆蓋[1]；Ramesh Kolluru和Paul HMeredith發現供應鏈合作伙伴之間的不同類型的數據共享需求需要不同層次的安全性[2]；Peter Finch指出當公司暴露于組織間網絡時，開展風險評估以及需要考慮業務連續性規劃的重要性[3]；Zachary Williams等人通過定性研究，發現存在4個主要的供應鏈安全的驅動因素，即政府、顧客、競爭者和社會[4]；蔣魯寧認為信息安全供應鏈的安全涉及4個方面，即信息安全供給基礎、信息安全產品（包括信息安全服務）過程，信息安全能力形成過程以及對這些過程的安全確認[5]；劉丹則認為供應鏈信息系統的安全涉及從粗到細的4個層面：系統級安全、程序資源訪問控制安全、功能性安全和數據域安全[6]；齊源選擇了信息共享內容風險、委托-代理風險、管理風險、成本增加風險以及技術風險等5大預警指標，構建了基于第三方及GAHP的供應鏈信息共享風險預警系統[7]；董紹輝等認為，供應鏈信息泄露的途徑包括供應鏈上游企業、下游企業、獨立第三方以及供應鏈管理系統等4個方面[8]；宋偉等提出通過接入中間件，在內、外系統之間進行必要的安全隔離，從而提高整個供應鏈協同系統的魯棒性和抗攻擊能力[9]；李劍鋒等提出了由信息安全治理、信息安全管理、基礎安全服務和架構、第三方信息安全服務與認證機構和供應鏈信息安全技術標準體系5個部分構成的供應鏈信息安全體系框架[10]。上述研究表明，雖然國內外學者對于供應鏈系統的信息安全問題高度關注，從供應鏈信息安全的內容、影響因素、風險評估、泄密途徑、體系框架到防范措施等方面都作了較為深入的研究，但是在供應鏈信息安全系統的泄密源排查、泄密原因分析、泄密路徑梳理等問題上缺乏深入的研究。本文擬從供應鏈反競爭情報技術系統視角構建供應鏈信息安全系統模型，站在競爭對手的立場上審視供應鏈信息安全系統存在的安全隱患，進而研究供應鏈系統情報為何泄密、如何泄密、怎樣泄密的內在機理，促使供應鏈系統各參與方高度重視情報泄密的防控問題，避免或減少敏感信息情報的泄密。