供應鏈網絡安全問題及對策研究

姚紅YAO Hong

（北京信息科技大學，北京 100192）

1 研究背景及意義

2016 年12 月27 日，國家網絡信息安全辦公室已印發了《國家網絡空間安全戰略》，在其中保護重要信息安全基礎設施為戰略任務的專門表述。戰略明確規定，重要信息基礎設施是關乎我國安全、影響國計民生的能源、財政、交通、教育、科學等方面的關鍵信息系統。隨著經濟和貿易全球化的加劇，供應鏈的各個環節日益全球化，因此，供應鏈的整合是成功供應鏈的核心。供應鏈管理要求對風險管理采取整體方法，而加強合作和整合會產生自身的風險。大多數企業和供應商都沒有做好應對供應鏈風險的有效措施，沒有預測或者防范供應鏈風險的有效方法和能力。

世界各地類似的國家政府網絡安全組織試圖保護其公民和企業免受網絡威脅，并與其盟友和其他中央機構共享重要信息，以確保全球網絡安全。英國科學和技術辦公室提出了一個簡潔的網絡安全定義，即“防御通過計算機系統發動的電子攻擊”。盡管如此，在這樣一個緊急的領域，隨著技術的快速發展，也需要引起注意?！癐T 安全事件”、“網絡犯罪”或“網絡事件”等描述都實質上是指網絡環境中的風險概念。傳統或實體供應鏈由產品、金融和信息的流動主導，而網絡供應鏈是一個由IT 基礎設施和技術組成的網絡，用于連接、構建和共享虛擬網絡中的數據使新形式的風險與實物產品或甚至不同的物理位置無關。供應鏈是不斷發展的技術生態系統的支柱，特別在今天這樣的大環境下，隨著工業4.0 的提出，物聯網、智能制造、虛擬現實、人工智能和區塊鏈的加速發展，信息技術的加入有助于反映、擴展、改變和創新供應鏈合作伙伴之間的關系。然而，網絡安全對策的發展滯后于供應鏈數字化的進展。有人認為，供應鏈通過不謹慎地與許多不同的合作伙伴合作，無意中擴大了其脆弱性。隨著共享IT 系統能力的不斷增強，現代網絡威脅也急劇增加，后果日益嚴重。最近在食品行業觀察到網絡威脅能力發展的一個例子，人們過于自信導致認為與IT 相關的風險只會影響辦公室工作。然而，更復雜的惡意軟件會超出辦公室的界限，并會感染自動化生產系統和更廣泛的供應鏈網絡。網絡供應鏈并不一定會使業務更簡單、更安全，它們增加了復雜性，并可能變得更具挑戰性。有趣的是，網絡風險和傳統風險之間的區別被認為是網絡風險的匿名性，因為它在影響企業之前是不可察覺的。組織越來越意識到網絡風險及其后果，并增加了網絡安全響應預算。關于網絡威脅的日常媒體報道突出了這些風險在實踐中的重要性，然而，盡管這一主題對全球供應鏈有重大影響，但它很少引起學術界的關注。根據多家咨詢公司和保險公司在2018 年進行的全球風險調查，網絡安全和數據泄露成為企業的首要風險?，F有文獻未能解決供應鏈層面上網絡威脅的影響。本文將分析供應鏈網絡安全的現狀，并對供應鏈的風險進行分類，最后討論供應鏈網絡安全面臨的挑戰以及應對策略。

2 供應鏈網絡安全的現狀

有項對全球1300 家公司進行的調查發現，其中高達90%的公司沒有針對供應鏈網絡攻擊設置有效應對措施。在過去的幾年中，供應鏈已經已成為網絡安全的新戰場。一個很明顯的跡象：在兩大世界頂級信息安全會議BlackHat 和Defcon 上有關黑客入侵供應鏈的演講開始增多。所以，無論是供應鏈上的技術買家、賣家、制造商、投資者還是安全專家，都將供應鏈網絡安全放在首要位置，原因有以下幾點：

黑客扎堆供應鏈。目前，供應鏈網絡安全面臨的威脅不僅在飛速增長而且遠遠被低估。根據行業估計，2020 年供應鏈攻擊占所有網絡攻擊的50%，與上一年相比，激增了78%。多達三分之二的公司經歷了至少一次供應鏈攻擊事件，所花費的平均成本高達110 萬美元。數據安全中心Ponemon Institute 于2018 年進行的一項研究發現，有56%的組織由于其供應商而出現違規。供應鏈的云化、物聯網、全球化以及向龐大互聯的數字生態系統的轉型是主要因素。

一次攻擊，多方受害。供應鏈網絡攻擊存在的威脅主要有兩種。第一種嘗試擾亂或削弱物理的供應鏈，例如國家黑客對關鍵基礎設施或能源系統的襲擊。第二種是攻擊者將供應鏈作為攻擊數十、數百甚至數千個鏈上合作伙伴的渠道。研究人員Cybereason 表示，供應鏈攻擊的最大特點是“突破一點，傷及一片”，是低成本高回報的“一本萬利”的黑客商業模式。通過查找和利用供應鏈薄弱環節，攻擊者可以在供應鏈實體之間跳來跳去，竊取數據，并監視或銷毀它們。供應鏈攻擊的這種由點到面的巨大破壞性吸引了大量黑客。

硬件成為新的攻擊目標。由于軟件安全的保護在不斷增強，黑客們開始將攻擊目標轉向硬件。在任何環境中，惡意入侵硬件堆棧都是一個巨大的威脅。而這種威脅在供應鏈中被放大了許多倍。

損害的范圍廣。供應鏈違規造成的危害是長期隱患，因為這讓人們對產品的可靠性和安全性產生了懷疑。制造過程中存在一系列潛在的危害，最高端是供應鏈攻擊。在制造過程的每個階段都存在供應鏈風險：設計、開發和生產、分配、購置和部署、維護和處置。同樣，違規會給企業造成一系列的傷害，包括聲譽受損和業務損失。科技和電子產品是國防、金融服務和能源領域最喜歡的目標，但沒有哪個行業能幸免。《2019 年全球威脅報告》發現，現在有超過一半的網絡攻擊利用了所謂的“跳島攻擊”，這意味著攻擊者不僅針對一個組織。攻擊者不只是要搶劫您和您整個供應鏈中的人員。他們想要“擁有”您的整個系統。

綜上所述，當前供應鏈網絡安全面臨的現狀是：供應鏈威脅嚴重且范圍廣深度深，并且可能逐步惡化。

3 供應鏈網絡風險分類

為了理解這些新的和未被探索的風險，Gordon 和Ford 等人將供應鏈網絡風險分為第一類和第二類網絡風險。第一類網絡風險包括網絡釣魚、盜竊或操縱數據或服務的事件；第二類風險包括網絡跟蹤和騷擾、操縱股市或勒索以及公司間諜活動。然而，這種對網絡風險的分類只集中在惡意行為人的蓄意行為上。網絡風險的其他分類，如Smith 等人提供的分類，要么錯過了主要風險，要么非常關注其他風險。Simily 和英國國家網絡安全中心將網絡攻擊分為無目標攻擊和有目標攻擊。網絡釣魚、勒索軟件和掃描屬于無目標攻擊，因為它們針對多個設備或用戶。魚叉式網絡釣魚、拒絕服務和顛覆供應鏈都是在有針對性的攻擊下捕獲的?，F對網絡風險進行了整體分類，如圖1所示。下文解釋了每種已識別的“網絡風險”。

硬件風險。硬件上的風險包括交換機、服務器、路由器和其他ICT 設備等有形物。在談到網絡風險時，許多風險經理似乎忽視了物理和環境風險的存在。通過查閱文獻了解到，一些外國學者承認自然災害是網絡風險的關鍵驅動因素。例如，當洪水或龍卷風破壞了服務器的功能，從而干擾了網絡供應鏈網絡的無縫流動。同時，Smith、Urciouli 和Hintsa 更進一步研究到，將故意破壞或盜竊物理基礎設施組件的行為添加到該物理風險類別中。還有學者認為恐怖襲擊是網絡風險的物理方面的一部分。

系統崩潰。由于過時的防火墻和過期的安全更新等原因導致系統或資源崩潰的少見風險很少被學者研究。盡管如數據流量峰值導致的網站故障是不可忽略的，但此類故障比自然災害或故意攻擊更容易預測，其潛在的后果也同樣嚴重。

直接和間接攻擊。有意攻擊的網絡風險分為直接攻擊和間接攻擊兩類。直接攻擊包括黑客攻擊、拒絕服務或盜取密碼以獲取經濟利益。在間接攻擊中，攻擊者布置“誘餌”，使他們能夠訪問目標系統。文獻中經常討論的方法包括病毒、蠕蟲和特洛伊木馬、假冒產品、軟硬件、惡意代碼和欺騙攻擊。如果員工通過訪問網站或下載軟件等方式接受誘餌，攻擊者將獲得對系統的訪問權。通過網絡釣魚發起的網絡攻擊正在不斷增加，為了應對此類偽裝攻擊，必須提高網絡意識。

內部威脅。Tokunathur 研究得出，員工往往是公司網絡安全的最大風險。在內部，員工被發現在密碼保密方面粗心大意，包括寫下密碼以便于回憶。在與同事或其他人討論時心不在焉地披露敏感信息是公司需要意識到的風險。有文獻還指出員工有意識地濫用甚至破壞公司信息的事件。由于員工的網絡威脅是內部的，無論是故意的還是意外的，都被稱為內部威脅。無論是疏忽還是預謀，人為因素都會對公司的網絡安全構成最大、最不可預測的威脅。員工可以充當內部人，支持犯罪分子使其行為永久化，也可以自己犯罪，因為他們可能很容易獲得設施或貨物。

4 網絡安全所面臨的的挑戰

4.1 組織間的協作

傳統的供應鏈中，雙方可能會共享一些信息，偶爾還會共享同一個IT 平臺。當網絡供應鏈和訂單管理系統將多個供應方連接在一起或在外包平臺上共享數據時，風險會被放大。缺乏公認的標準和指南阻礙了強大網絡防御的發展。供應鏈合作伙伴之間必須在安全問題上更加透明，并應結合安全資源和專門知識來應對日益復雜的網絡風險。網絡后果的傳播意味著公司不能只關注其安全系統，還必須了解其合作伙伴的安全狀況。為了有效應對供應鏈網絡相關風險，需要基于開放、誠實和信任的關系進行供應鏈協作。有學者建議供應鏈整合，通過協調系統和流程，通過標準化的工作方式、共享的安全目標和更好的一般溝通，將產生更好的回報。

4.2 員工知識

到目前為止，網絡威脅的速度超過了培訓和學習計劃。理想情況下，這些工作人員是與網絡應用程序接觸的積極主動的員工，他們不僅需要知道如何操作系統，還需要知道如何應對攻擊。一種理想狀況，即高技能員工不僅對網絡風險反應靈敏，而且具備先發制人網絡流行風險的技能。

4.3 政府的參與

政府的利益與軍事和國家情報機構的安全息息相關?，F在供應鏈安全也對國家的經濟有著重要的影響力度。50多個國家已經發布了具有明確目標的國家網絡安全戰略。歐盟定期更新歐盟網絡安全戰略。網絡信息安全日益復雜，使得單個公司無法單獨行動來促進和協調整體安全工作。政府必須贊助和指導網絡安全項目，并創建平臺，以便企業更方便地溝通和規劃管理網絡風險。

5 對策

傳統供應鏈風險管理模式可分為風險識別、風險評估、風險處理和風險監控。在供應鏈網絡所處的動態環境下，考慮到供應鏈網絡的復雜結構，為有效應對供應鏈網絡的協作風險及外部風險，本文在傳統供應鏈風險管理模式的基礎上，提出要加強契約機制、學習機制、彈性機制、政府公共機制，建立全面風險管理模式。

5.1 契約機制

供應鏈契約是協調供應鏈上下游企業同關系的管理工具，是一種激勵機制。供應鏈網絡中各企業通過簽訂契約來進行合作，其協商項目主要是決策權力的分配成本、定價、庫存、雙方信息合作方式等問題，期望通過契約達到合作及收益共享的目的。

5.2 學習機制

建立供應鏈網絡學習機制首先要強調學習力，學習力是把知識資源轉化為知識資本的能力。學習的能力來源于供應鏈網絡中各企業本身的技能和知識，以及將實踐中的經驗提煉成理論的能力。

5.3 彈性機制

在應對突發和中斷風險過程中，彈性管理是極其重要的風險管理機制。彈性強度對突發和中斷風險的影響具有一定的抵御能力。整個供應鏈網絡要提高彈性，應使供應鏈網絡中的子供應鏈具有柔性、敏捷性、適應性和成員目標一致性等特征。企業可以通過以下幾條途徑來增強供應鏈彈性：①設置生產冗余和戰略安全庫存。②企業可以通過降低供應鏈網絡的復雜性和耦合性來增強供應鏈柔性，如重新設計產品和流程使之更加標準化減少零部件的種類以及采用延遲策略，將產品的復雜度以及供應鏈網絡企業間的依賴性都降低，從而提高對不確定事件的反應速度。③供應鏈網絡上的“瓶頸點”及供應鏈較長、提前期較長的關鍵路線上都需要“預嵌”一定的彈性，以降低供應中斷帶來的風險。④實現并行工程的應用，通過安排整個供應鏈網絡的運行時間，減少供應鏈網絡上非增值的作業活動來縮短反應時間。

5.4 政府公共機制

政府在應對突發事件方面的能力、信任度、影力等優勢是企業無法企及的，因此政府應當建立健全突發事件應急信息發布機制。突發事件發生后，政府要及時向社會公眾公開信息，主流媒體應將政府的聲音傳達給公眾，使社會輿論朝向有利的方向。供應鏈網絡中其他企業也可在第一時間掌握有效信息，及時準確地調整自身決策，避免不良影響的進一步蔓延，多數供應鏈網絡成員的有效應對可降低供應鏈網絡發生重大供應中斷的風險。同時，對受影響企業，由于信息及時發布，供應鏈網絡中其他成員可積極主動地參與突發事件處理，幫助受損企業盡快恢復正常經營。

本文將供應鏈網絡風險定義為威脅供應鏈基礎設施完整性、導致連鎖中斷的意外或故意的IT 事件。與傳統的供應鏈風險類似，網絡風險在短期內對財務損失、延誤和客戶服務損失產生影響，對市場價值和品牌聲譽造成長期影響。由于工業4.0 革命后供應鏈的快速轉變，所有這些破壞性技術都容易受到網絡風險的影響。供應鏈整合和數字化齊頭并進，提高對供應鏈中網絡安全風險的認識，并幫助從業者和學者管理未來的破壞性網絡風險至關重要。