朱禮龍

〔摘要〕從信息安全決策中心、信息安全反競(jìng)爭(zhēng)情報(bào)中心、蜜網(wǎng)技術(shù)支持的網(wǎng)絡(luò)反競(jìng)爭(zhēng)情報(bào)系統(tǒng)、人際情報(bào)網(wǎng)絡(luò)系統(tǒng)、供應(yīng)鏈集成化信息系統(tǒng)等五個(gè)方面構(gòu)建了基于反競(jìng)爭(zhēng)情報(bào)技術(shù)系統(tǒng)的供應(yīng)鏈信息安全系統(tǒng)模型；系統(tǒng)梳理了供應(yīng)鏈信息安全系統(tǒng)的安全隱患；探究了供應(yīng)鏈系統(tǒng)情報(bào)泄密的路徑，認(rèn)為信息安全治理過程監(jiān)管不力造成供應(yīng)鏈系統(tǒng)情報(bào)泄密、信息安全策略管理工作滯后于供應(yīng)鏈系統(tǒng)信息安全的需要、蜜網(wǎng)技術(shù)的雙刃劍特征危及網(wǎng)絡(luò)反競(jìng)爭(zhēng)情報(bào)系統(tǒng)安全、人際情報(bào)網(wǎng)絡(luò)維護(hù)成本高，監(jiān)管困難，已成供應(yīng)鏈系統(tǒng)安全短板、供應(yīng)鏈集成化信息系統(tǒng)自身的安全漏洞給競(jìng)爭(zhēng)情報(bào)方以可乘之機(jī)。

〔關(guān)鍵詞〕供應(yīng)鏈系統(tǒng)；情報(bào)泄密；機(jī)理；信息安全；反競(jìng)爭(zhēng)情報(bào)

〔Abstract〕The paper，from the perspective of the counterintelligence technical support system，constructed the supply chain information security system model from such five parts as the information security decision center，the information security counterintelligence center，the network counterintelligence system supported by the honeynet technology，the human intelligence network system and the integrated supply chain information system；combed the security hidden danger of information security system in supply chain；and explored the path of the supply chain system information leakage to find that the ineffective supervision of information security governance process caused the leakage of supply chain system information，information security policy management lags behind the information security needs of the supply chain system，the feature of the double edged sword of the honeynet technology threatened the security of the network countercompetitive intelligence system，the human intelligence network with high maintenance cost and the regulatory difficulties had become the supply chain system security short board，and the security vulnerabilities of integrated information system in supply chain was the basis of competitive intelligence.

〔Key words〕supply chain system；information leakage；mechanism；information security；counterintelligence

隨著網(wǎng)絡(luò)和信息技術(shù)的發(fā)展，閉環(huán)的企業(yè)內(nèi)部信息管理模式逐步為開放的供應(yīng)鏈集成化信息管理模式所取代。當(dāng)供應(yīng)鏈成員通過開放的互聯(lián)網(wǎng)來實(shí)現(xiàn)遠(yuǎn)程交互訪問、進(jìn)行信息共享時(shí)，這種開放的網(wǎng)絡(luò)系統(tǒng)給需要高度保密的敏感情報(bào)如企業(yè)內(nèi)部的生產(chǎn)、銷售訂單、合作企業(yè)的生產(chǎn)進(jìn)度、企業(yè)間的資金轉(zhuǎn)帳、招投標(biāo)信息等，帶來了很多安全隱患，從而威脅到整個(gè)供應(yīng)鏈系統(tǒng)的信息安全。Sindhuja P N和Anand SKunnathur建議從管理控制的角度看，有必要對(duì)全球供應(yīng)鏈中的各類組織的信息安全紀(jì)律進(jìn)行全覆蓋[1]；Ramesh Kolluru和Paul HMeredith發(fā)現(xiàn)供應(yīng)鏈合作伙伴之間的不同類型的數(shù)據(jù)共享需求需要不同層次的安全性[2]；Peter Finch指出當(dāng)公司暴露于組織間網(wǎng)絡(luò)時(shí)，開展風(fēng)險(xiǎn)評(píng)估以及需要考慮業(yè)務(wù)連續(xù)性規(guī)劃的重要性[3]；Zachary Williams等人通過定性研究，發(fā)現(xiàn)存在4個(gè)主要的供應(yīng)鏈安全的驅(qū)動(dòng)因素，即政府、顧客、競(jìng)爭(zhēng)者和社會(huì)[4]；蔣魯寧認(rèn)為信息安全供應(yīng)鏈的安全涉及4個(gè)方面，即信息安全供給基礎(chǔ)、信息安全產(chǎn)品（包括信息安全服務(wù)）過程，信息安全能力形成過程以及對(duì)這些過程的安全確認(rèn)[5]；劉丹則認(rèn)為供應(yīng)鏈信息系統(tǒng)的安全涉及從粗到細(xì)的4個(gè)層面：系統(tǒng)級(jí)安全、程序資源訪問控制安全、功能性安全和數(shù)據(jù)域安全[6]；齊源選擇了信息共享內(nèi)容風(fēng)險(xiǎn)、委托-代理風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、成本增加風(fēng)險(xiǎn)以及技術(shù)風(fēng)險(xiǎn)等5大預(yù)警指標(biāo)，構(gòu)建了基于第三方及GAHP的供應(yīng)鏈信息共享風(fēng)險(xiǎn)預(yù)警系統(tǒng)[7]；董紹輝等認(rèn)為，供應(yīng)鏈信息泄露的途徑包括供應(yīng)鏈上游企業(yè)、下游企業(yè)、獨(dú)立第三方以及供應(yīng)鏈管理系統(tǒng)等4個(gè)方面[8]；宋偉等提出通過接入中間件，在內(nèi)、外系統(tǒng)之間進(jìn)行必要的安全隔離，從而提高整個(gè)供應(yīng)鏈協(xié)同系統(tǒng)的魯棒性和抗攻擊能力[9]；李劍鋒等提出了由信息安全治理、信息安全管理、基礎(chǔ)安全服務(wù)和架構(gòu)、第三方信息安全服務(wù)與認(rèn)證機(jī)構(gòu)和供應(yīng)鏈信息安全技術(shù)標(biāo)準(zhǔn)體系5個(gè)部分構(gòu)成的供應(yīng)鏈信息安全體系框架[10]。上述研究表明，雖然國(guó)內(nèi)外學(xué)者對(duì)于供應(yīng)鏈系統(tǒng)的信息安全問題高度關(guān)注，從供應(yīng)鏈信息安全的內(nèi)容、影響因素、風(fēng)險(xiǎn)評(píng)估、泄密途徑、體系框架到防范措施等方面都作了較為深入的研究，但是在供應(yīng)鏈信息安全系統(tǒng)的泄密源排查、泄密原因分析、泄密路徑梳理等問題上缺乏深入的研究。本文擬從供應(yīng)鏈反競(jìng)爭(zhēng)情報(bào)技術(shù)系統(tǒng)視角構(gòu)建供應(yīng)鏈信息安全系統(tǒng)模型，站在競(jìng)爭(zhēng)對(duì)手的立場(chǎng)上審視供應(yīng)鏈信息安全系統(tǒng)存在的安全隱患，進(jìn)而研究供應(yīng)鏈系統(tǒng)情報(bào)為何泄密、如何泄密、怎樣泄密的內(nèi)在機(jī)理，促使供應(yīng)鏈系統(tǒng)各參與方高度重視情報(bào)泄密的防控問題，避免或減少敏感信息情報(bào)的泄密。