基于信息安全的供應鏈系統反競爭情報策略體系研究

〔摘要〕概述了引致供應鏈系統信息安全的因素，從供應鏈網絡集成化信息系統和供應鏈人際情報網絡兩個方面深入分析了競爭情報方針對供應鏈系統的競爭情報工作路徑，提出供應鏈系統反競爭情報工作的2個工作重點和5個主要工作環節，即確立供應鏈網絡集成化信息系統和供應鏈人際情報網絡兩個工作重點，明確核心節點及其主導的供應鏈共享信息平臺數據庫、非核心節點的機密信息及其存儲的供應鏈系統的機密信息、第三方機構的網絡系統、節點企業外部人際情報網絡、節點企業內部人際情報網絡等5個主要工作環節。最后，從供應鏈網絡集成化信息系統和供應鏈系統的人際情報網絡兩個方面，提出了基于信息安全的供應鏈系統反競爭情報策略體系。

〔關鍵詞〕信息安全；供應鏈系統；網絡集成化；人際情報網絡；反競爭情報；策略體系

DOI：10.3969/j.issn.1008-0821.2018.02.003

〔中圖分類號〕G25025〔文獻標識碼〕A〔文章編號〕1008-0821（2018）02-0018-06

The Strategy System of Supply Chain Countercompetitive

Intelligence Based on the Information Security

Zhu Lilong

（School of Economics and Management，Chaohu University，Chaohu 238000，China）

〔Abstract〕The paper summarized the factors leading to the information security of supply chain system，analyzed the working paths pointing to the competition intelligence from two aspects：supply chain network integrated information system and the supply chain interpersonal intelligence network.And the paper put forward the two work priorities and five major work sessions of the supply chain system competitive intelligence work，namely establishing two priorities，the supply chain network integrated information system and the supply chain interpersonal intelligence network clearing five major work sessions as the core node and its dominant platform for the supply chain to share information database，the confidential information of the non-core node and the confidential information of the supply chain system stored，the network system of the third party organization，the external interpersonal intelligence network of the node enterprise and the interpersonal intelligence network within the node enterprise.Finally，the paper designed the supply chain systems countercompetitive intelligence strategy system from the following two aspects：the supply chain network integrated information system and the interpersonal intelligence network of supply chain system.

〔Key words〕information security；supply chain system；integrated information system；interpersonal intelligence network；countercompetitive intelligence；strategy system

供應鏈系統復雜的網絡結構、“四流”（商流、物流、資金流和信息流）的匹配與支撐、系統要素的管理與集成等關鍵問題始終影響著供應鏈系統的信息安全。開展反競爭情報工作，防止供應鏈系統機密信息的泄露，需要深入研究供應鏈系統的上述關鍵問題，理清供應鏈系統情報泄露的主要路徑，科學研制供應鏈系統反競爭情報策略體系，實現供應鏈系統商業機密的保護和信息安全的雙重目標。目前，有關企業反競爭情報策略體系的研究主要涉及云環境或網絡環境下的反競爭情報策略[1-3]、企業自身商業秘密保護與反競爭情報[4-6]、企業內外部的協作開展反競爭情報工作[7-8]、多層面的反競爭情報體系[9-12]等領域。上述文獻研究考慮了企業內外部的協作和企業自身商業秘密保護，在企業反競爭情報體系構建方面作了許多有益的探索，為供應鏈系統科學設計反競爭情報體系奠定了堅實的基礎，但是現有研究大多沒有從信息安全視角對供應鏈系統反競爭情報策略作進一步的探討，針對性地提出供應鏈系統反競爭情報策略體系的研究成果仍顯不足。本文擬圍繞信息安全視角的供應鏈系統反競爭情報的工作重點和主要工作環節展開研究，探究供應鏈系統反競爭情報的工作重點和主要工作環節上可能采取的反競爭情報策略，進而構建基于信息安全的供應鏈系統反競爭情報策略體系。

1供應鏈系統的信息安全

供應鏈系統信息流的運作通常是圍繞核心企業展開的。核心企業構建共享數據庫，提供包含需求信息、供應信息和共享信息的信息流共享平臺，通過扁平化的輻射狀信息流模式，實現供應鏈上的信息共享，達到促進能力和物料的潛在來源的信息收集、促進節點之間的談判、監測供應鏈網絡的活動、提高預測的準確性、提供各種規則的切入點等目的[13]，供應鏈系統信息流的運作模式圖如圖1所示。

供應鏈系統共享信息的特點除了帶來供應鏈系統的整體協調、敏捷性以及對顧客需求的快速響應等優點外，也會通過獨立于供應鏈的第三方機構、供應鏈各節點企業以及供應鏈共享信息平臺等途徑泄露共享信息，使得供應鏈系統的競爭情報方有可能獲得供應鏈系統的關鍵信息，從而引發供應鏈系統的信息安全。

2競爭情報方針對供應鏈系統的競爭情報路徑分析

競爭情報方針對供應鏈系統的競爭情報工作一般有兩條路徑，一條是通過傳統的人際情報網絡收集被侵害方的機密信息；另一條是利用被侵害方網絡系統的漏洞非法獲取機密信息。這兩條路徑互為補充，又相互驗證，共同構成對供應鏈系統信息安全的威脅。因此，筆者認為，掌握競爭情報方針對供應鏈系統的競爭情報工作路徑，可以為供應鏈系統的反競爭情報工作指明方向，也是供應鏈系統開展反競爭情報工作的前提條件。

21針對供應鏈網絡集成化信息系統的競爭情報工作

211供應鏈網絡集成化信息系統

隨著Internet標準的制訂與實施，供應鏈系統各節點企業內部獨立的PC應用系統以及各節點企業間信息系統的信息交換就有了標準化的信息技術的支持，使得Intranet得以更便捷、更高效和更低成本的方式來集成各類信息系統，實現各種數據庫的無縫連接[14]，從而將供應鏈系統各節點企業內外部的信息交換環境集成為一個完整的信息平臺，基于Internet和Intranet的供應鏈網絡集成化信息系統如圖2所示。

供應鏈網絡集成化信息系統由兩個部分組成：一是核心節點運營的Intranet，其系統防護為蜜網技術支持的網絡反競爭情報系統；二是供應鏈核心節點之外的關聯方，如供應商的供應商、供應商、分銷商、零售商以及行業協會、消費者組織、中介組織、新聞記者等第三方機構，它們通過Internet與核心節點進行數據交換。

212針對供應鏈網絡集成化信息系統可能開展的競爭情報工作

通過對基于Internet和Intranet的供應鏈網絡集成化信息系統的研究，筆者認為競爭情報方針對供應鏈網絡集成化信息系統可能開展的競爭情報工作大體有3條路徑：一是競爭情報方直接攻破蜜網技術支持的網絡反競爭情報系統，進入核心節點竊密以及核心節點主導的供應鏈共享信息平臺數據庫竊密；二是競爭情報方繞過核心節點之外的其他供應鏈節點的防火墻，竊取該節點的機密信息以及該節點存儲的供應鏈系統的機密信息，甚至利用從該節點獲取的密鑰進入核心節點主導的供應鏈共享信息平臺數據庫竊密；三是競爭情報方進入與供應鏈緊密聯系的行業協會、消費者組織、中介組織、新聞記者等第三方機構的網絡系統，竊取其收集到的有關供應鏈系統的機密信息。

22針對供應鏈人際情報網絡的競爭情報工作

221供應鏈人際情報網絡

人際情報網絡是應情報活動的需要而構建的一種人際網絡，是情報從業者獲取、分析和傳播非公開信息和隱性知識的重要平臺[15]。供應鏈人際情報網絡分為供應鏈節點企業外部人際情報網絡和供應鏈節點企業內部人際情報網絡。供應鏈節點企業外部人際情報網絡主要包括節點企業

圖2基于Internet/Intranet的供應鏈網絡集成化信息系統

之外的參與供應鏈協作的節點、中介機構、行業協會、消費者組織[16]、新聞記者等第三方機構、競爭對手等，供應鏈節點企業內部人際情報網絡主要包括節點企業內部各級管理人員及各部門員工，供應鏈人際情報網絡如圖3所示。

圖3供應鏈人際情報網絡

222針對供應鏈人際情報網絡的競爭情報工作

通過對供應鏈人際情報網絡結構的分析，競爭情報方針對供應鏈人際情報網絡的競爭情報工作一般有兩個途徑：一是通過節點企業外部人際情報網絡獲取機密信息，由于節點企業外部人際情報網絡構成復雜且多有不穩定性，有關供應鏈系統情報的硬性保密約束難以實施，因此，極有可能成為競爭情報方的工作重點；二是通過節點企業內部人際情報網絡獲取機密信息，內部人員信息安全意識薄弱可能導致無意間的泄密，加上節點企業內部也不是鐵板一塊，特別是高管及關鍵部門、關鍵崗位人員為一己私利不惜出賣機密信息，甚至掌握機密信息后離職等，都為競爭情報方獲取機密信息成為可能。競爭情報方可以通過針對供應鏈節點企業外部人際情報網絡和供應鏈節點企業內部人際情報網絡的競爭情報工作獲取有關供應鏈系統的機密信息，從而謀得在供應鏈與供應鏈競爭中的優勢地位。

3供應鏈系統反競爭情報策略體系設計

供應鏈系統的反競爭情報工作應確立競爭情報方的兩條路徑為工作重點，即確立供應鏈網絡集成化信息系統和供應鏈人際情報網絡為供應鏈系統反競爭情報的兩個工作重點。在供應鏈網絡集成化信息系統反競爭情報工作中，需要明確核心節點及其主導的供應鏈共享信息平臺數據庫、非核心節點的機密信息及其存儲的供應鏈系統的機密信息、第三方機構的網絡系統為3個主要工作環節。而在供應鏈人際情報網絡反競爭情報工作中，則需要重視節點企業外部人際情報網絡和節點企業內部人際情報網絡兩個主要工作環節。

31供應鏈網絡集成化信息系統的反競爭情報工作

311核心節點及其主導的供應鏈共享信息平臺數據庫的安全防護

1）核心節點的機密信息以及該節點存儲的供應鏈系統的機密信息防護

核心節點的機密信息以及該節點存儲的供應鏈系統的機密信息防護是指綜合應用管理手段和技術手段，對核心節點的信息系統及其存儲在核心節點應用服務器上的機密信息（即核心節點的機密信息以及該節點存儲的供應鏈系統的機密信息）進行保護，防止機密信息的泄露。

首先，對核心節點的信息系統及其存儲在核心節點應用服務器上的各類信息加以識別，確定需要保護的機密信息；其次，評估核心節點的競爭對手。梳理從目前到將來的時間段，對核心節點構成現實和潛在威脅的競爭對手，分析其未來目標（戰略與財務目標）、關于自身與產業假設、現行競爭戰略、資源與能力（優勢與劣勢）等關鍵因素，識別其對核心節點各類信息資產的偏好程度；再者，評估核心節點自身的弱點。梳理核心節點的信息系統及其存儲在核心節點應用服務器上可能被競爭對手利用的薄弱環節；第四，開展風險評估。根據核心節點的機密信息以及該節點存儲的供應鏈系統的機密信息被竊取可能引起的市場風險，以及該風險可能給核心節點乃至整個供應鏈系統造成的危害，根據風險等級認定準則，確定風險等級；第五，防御措施影響評價。根據確定的信息安全風險等級，區別對待。如果信息安全風險在可控范圍內，那么就坦然的接受風險；對于不可接受的信息安全風險，可以考慮規避風險或者將風險轉移；對于不可規避又不可轉移的風險應該采取適當的安全措施，將其降低到可接受的風險水平。第六，防御措施實施。根據防御措施影響評價的結果，采取相應的風險應對策略。核心節點機密信息防護過程如圖4所示。

圖4核心節點機密信息防護過程圖

2）核心節點主導的供應鏈共享信息平臺數據庫的安全防護

核心節點主導的供應鏈共享信息平臺數據庫的安全防護涉及三階段的防護體系，即服務器安全管理、數據庫安全管理以及數據庫對象的用戶訪問權限管理。第一階段：用戶首先登陸到核心節點主導的供應鏈共享信息平臺數據庫管理系統。在登陸時，系統要對其進行身份驗證，判明訪問者為合法的供應鏈節點企業，才能登錄到供應鏈共享信息平臺數據庫管理系統。第二階段：采用主動防御技術的數據庫防火墻能夠有效防護競爭情報方的數據攻擊。從數據庫SQL語句精細化控制的技術層面來看，用戶在每個要訪問的數據庫里必須獲得一個用戶賬號。將用戶對供應鏈共享信息平臺數據庫管理系統的訪問映射到數據庫用戶賬號上，而數據庫用戶賬號則預先定義了數據庫管理和數據對象的安全訪問策略，比對無誤后，允許進入下一階段。第三個階段：用戶訪問數據庫。用戶進入供應鏈共享信息平臺數據庫訪問數據對象時，系統要檢查用戶是否具有相應訪問與執行權限，通過語句許可權限驗證的用戶，才能實現對數據進行操作。

312非核心節點的機密信息及其存儲的供應鏈系統的機密信息的防護

非核心節點的機密信息及其存儲的供應鏈系統的機密信息防護是指非核心節點綜合應用管理手段和技術手段，對其信息系統及存儲在其應用服務器上的機密信息（即非核心節點的機密信息及其存儲的供應鏈系統的機密信息）進行保護，防止機密信息的泄露。其防護工作類似于核心節點的機密信息及其存儲的供應鏈系統的機密信息的防護過程，非核心節點機密信息防護過程如圖5所示。

313第三方機構的網絡系統的安全維護

第三方機構的網絡系統的安全維護是指與供應鏈系統緊密聯系的行業協會、消費者組織、中介組織、新聞記者等第三方機構的網絡系統的安全維護，防止競爭情報方進入其網絡系統竊取其收集到的有關供應鏈系統的機密信息。一般來說，合作關系越密切，泄漏情報的可能就越大，伙伴關系越親密，泄漏情報的機會就越多，合作內容越豐富、全面，泄漏情報的內容就可能越多，合作的方式越多，泄漏情報的渠道就會越多，合作關系的級別越高，則關鍵性情報泄漏的可能性就會越大[17]。因此，第三方機構的網絡系統的安全維護工作重點應放在與供應鏈系統有著良好合作關系的第三方機構上，協助其加強自身的網絡安全管理，提醒第三方機構在涉及供應鏈系統的重要的機密信息的收集、存儲、加工和使用的各個環節提高保密意識，避免在業務拓展過程中泄露供應鏈系統的機密信息，防止競爭情報方通過第三方機構的網絡系統獲取供應鏈系統的機密信息。

32供應鏈人際情報網絡的反競爭情報工作

供應鏈人際情報網絡的反競爭情報工作是供應鏈人際情報網絡應對競爭情報方的情報活動而開展反競爭情報工作，目的在于阻止競爭情報方獲取、分析和傳播有關供應鏈系統非公開信息和隱性知識，保護供應鏈系統的機密信息。供應鏈人際情報網絡的反競爭情報工作可以從供應鏈節點企業外部人際情報網絡的反競爭情報工作和供應鏈節點企業內部人際情報網絡的反競爭情報工作兩方面展開。

321節點企業外部人際情報網絡的反競爭情報工作

由于供應鏈節點企業外部人際情報網絡構成復雜且多有不穩定性，供應鏈節點企業內部人員尤其是掌握機密信息的企業高管以及關鍵部門、關鍵崗位上的員工與外部人際情報網絡中的某個組織及其人員有著錯綜復雜的人際關系網，在正式和非正式的人際交往中，往往會有意或無意地泄露供應鏈系統的機密信息，此時，有關供應鏈系統情報的硬性保密約束無法發揮作用，極有可能成為競爭情報方獲取供應鏈系統機密情報的重要途徑。

有關節點企業外部人際情報網絡的反競爭情報工作大體有以下三方面的構想：其一，對供應鏈節點企業外部人際情報網絡中的各類組織進行分類，確定信息安全風險等級，明確每一等級的組織可以了解的有關供應鏈系統機密信息的類型、內容、程度和范圍；其二，加強對供應鏈節點企業內部人員尤其是掌握機密信息的企業高管以及關鍵部門、關鍵崗位上的員工的信息安全意識教育和安全守法責任教育，避免在與外部人際情報網絡打交道時有意或無意地泄露供應鏈系統的機密信息；其三，進一步強化節點企業外部人際情報網絡的信息安全保密約束工作，從合作關系維護、信息安全維護的道德義務以及信息安全保障的法律責任等多方面，做好外部人際情報網絡的信息安全工作。

322節點企業內部人際情報網絡的反競爭情報工作

競爭情報方通過節點企業內部人際情報網絡獲取機密信息，如利用節點企業內部人員信息安全意識薄弱套取機密信息；利益誘導個別高管及關鍵部門、關鍵崗位人員出賣機密信息，甚至掌握機密信息后離職等；利用節點企業保密紀律松弛，對涉密人員管理松懈的漏洞，有意接近涉密人員獲取機密信息；涉密人員無視保密規章，在人際交往過程中，不執行提供情報資料的保密規定，不經審批，隨意將供應鏈系統的機密信息提供給對方使用等，都為競爭情報方獲取機密信息成為可能。

有關節點企業內部人際情報網絡的反競爭情報工作大體有以下四方面的構想，第一，加強對節點企業內部人員的保密教育，提高信息安全意識；第二，加強對個別高管及關鍵部門、關鍵崗位人員的理想信念教育和法制教育，自覺抵制利益誘導；第三，加強節點企業的保密管理，尤其是涉密人員的管理，不給有意接近涉密人員的競爭情報方以可乘之機；第四，嚴格保密規章執行情況檢查，警示內部人員在外部交往過程中可能的泄密行為及其后果，做到防患于未然。

至此，筆者圍繞供應鏈系統的反競爭情報工作兩個工作重點，即供應鏈網絡集成化信息系統的反競爭情報工作和供應鏈人際情報網絡的反競爭情報工作，對基于信息安全的供應鏈系統反競爭情報策略體系進行了深入的探討。構建了以核心節點及其主導的供應鏈共享信息平臺數據庫、非核心節點的機密信息及其存儲的供應鏈系統的機密信息、第三方機構的網絡系統等3個方面為供應鏈網絡集成化信息系統反競爭情報工作的主要工作環節，以節點企業外部人際情報網絡和節點企業內部人際情報網絡等兩個方面為供應鏈人際情報網絡反競爭情報工作的主要工作環節。基于信息安全的供應鏈系統反競爭情報策略體系如圖6所示。

圖6基于信息安全的供應鏈系統反競爭情報策略體系圖

4結束語

基于信息安全的供應鏈系統反競爭情報策略體系的研究是一項十分復雜卻又高度系統化的工作，筆者試圖沿著供應鏈系統的信息安全、競爭情報方針對供應鏈系統的競爭情報工作路徑、供應鏈系統反競爭情報的工作重點和工作環節這條主線，來設計基于信息安全的供應鏈反競爭情報策略體系。因此，本研究側重于從信息安全視角對供應鏈系統整體協作開展反競爭情報策略作了較為粗淺的探討，為供應鏈系統有效地地開展反競爭情報工作提供一些借鑒，希望對更好地保守供應鏈系統的機密信息有所裨益。

參考文獻

[1]Ian Smith.Defensive Competitive Intelligence In A Web 20 Environment[EB/OL].http：//www.scip.org/NewsRoom/PRDetail.cfm？ItemNumber=7779，2009-09-12.

[2]王丹丹，李玉海.云計算環境下企業反競爭情報體系的構建研究[J].情報科學，2014，（11）：36-40，70.

[3]吳瓊.網絡環境下企業反競爭情報探討[J].情報探索，2014，（5）：61-63.

[4]Jordan Shropshire.A Canonical Analysis of Intentional Information Security Breaches By Insiders[J].Journal of Information Management & Computer Security，2009，（4）：296-310.

[5]Roborta B.Issues in Defining Competitive Intelligence：An Exploration[J].Journal of Competitive Intelligence and Management，2008，（3）：3-14.

[6]Bill DeGenaro.A Case for Business Counterintelligence[J].Journal of Competitive Intelligence Magazine，2005，（5）：12-16.

[7]Zhang C，Li S.Secure Information Sharing in Internet-Based Supply Chain Management Systems[J].Journal of Computer Information Systems.2006，（4）：18-24.

[8]Peter R J Trim.Counteracting Industrial Espionage Through Counterintelligence：The Case for a Corporate Intelligence Unit and Collaboration with Government Agencies[J].Journal of Security Journal，October 2002，15（4）：7-24.

[9]Fielding，M.Damage Control-Firms Must Plan for Counterintelligence[J].Journal of Marketing News，2004，（38）：19-22.

[10]朱禮龍.科技型企業反競爭情報體系建設水平研究——合蕪蚌自主創新綜合試驗區科技型企業為例[J].安徽科技學院學報，2011，（5）：94-99.

[11]周九常.新形勢下我國企業情報保護體系的基本架構[J].情報理論與實踐，2010，（11）：15-18.

[12]劉圣君.基于商業秘密防護的企業反競爭情報體系構建[J].科技情報開發與經濟，2010，（7）：80-83.

[13]Fu-Ren Lin，Michael JShaw.Reengineering the Order Fulfillment Process in Supply Chain Networks[J].International Journal of Flexible Manufacturing Systems，1998，10（3）：197–229.

[14]馬士華，林勇.供應鏈管理（第三版）[M].北京：機械工業出版社，2010.

[15]晏創業.競爭情報活動中的人際網絡研究[D].北京：北京大學，2005.

[16]朱禮龍.國際科技合作中企業科技情報泄密源探究[J].現代情報，2014，（1）：115-118.

[17]周九常.第三方情報泄密及其防范[J].情報理論與實踐，2010，（8）：57-60.

（責任編輯：孫國雷）