前沿Front
供应链信息安全服务与
认证模型 O文／李剑锋魏军
一、概述
近年来，供应链管理领域的研究主要集中在企业间如何建立更加紧密的关系以提高竞争优势。随着互联网的普及应用，现代通信与网络技术为企业间的紧密协作扫清了障碍。信息是企业及其供应链伙伴交流中的重要资产，在供应链上下游组织间进行信息交互式，除了考虑物理层传输安全，还需要在发送和接受方确保信息安全。供应链信息安全的目标是减少由入侵、系统误用、溢用权限、篡改、欺诈等造成的损失。因此，供应链必须具备抵御内部和外部双重威胁的防护措施。
大部分供应链管理领域的研究成果是基于供应链合作伙伴均为同质企业的假定前提，该假设在现实中很少存在。基于该假设得出的解决方案可能只适合于一个企业的商品交易商，而不适合其战略伙伴（如与其合作新产品开发等）。供应链合作伙伴之间实现信息共享，这些信息的内容往往来自供应链上不同类型、不同层次的企业，从而改变了信息的边界，因此，需要设定不同的信息安全保护级别。例如，企业与战略伙伴交流新产品开发计划时需要的信息安全级别高，而当企业给他的批发商诸如货物装船通知时，信息安全级别则相对较务冷峦》2013·02
低，而现有的供应链软件系统（如 ERP）不能充分解决这些复杂性，因此，在如何部署有效的供应链信息安全解决方案的问题上，不能给供应链从业人员提供指导。
本文提出了一个信息安全服务与认证模型，可以满足供应链企业需要，实现各种信息安全服务，保证供应链成员与其贸易伙伴开展安全、可扩展的信息通信。同时，根据供应链上不同类型、不同层次企业的安全需求，提供相应的从低到高级别的信息安全服务。
二、供应链信息安全服务需求 1.模型针对的供应链及成员安
全隐患
信息和资源的故意破坏或未授权使用；信息和资源的损坏或修改，信息和资源的盗取、删除和丢失；未授权的信息披露；未授权的资源使用：通过提交虚假数据欺骗；软硬件系统组件的破坏和侵占：信息安全意识淡薄；安全管理制度无章可循，有章不循，故意泄露供应链内共享的机密信息；人力、财力投入不足，缺乏信息安全的技术与经验。
2.模型可提供的安全服务
安全模型可以克服上述安全隐患提供以下安全服务。
(1）认证
编辑/徐航
基于证书或其他一些身份证明文件进行用户（人或进程）的验证。
(2）委托
转让权利给一个用户(进程）
或者公司，因此，他能代表他人行使该权利。
(3）授权
授予管理员和用户访问某些资源的权利。
(4）访问控制
确定用户或应用程序是否被允许使用计算机资源。
（5）保密
防止向未被授权的用户泄露信息。
(6）信息完整性
通过阻止访问、信息破坏行为检测和防止未授权修改信息等手段，预防损坏或修改信息（有意或无意的）。
（7）审计
利用必要的工具和日志等手段安全地安装、操作、维护和监督系统的安全。
（8）抗抵赖
在传输数据时携带含有自身特质、别人无法复制的信息，防止交易发生后对行为的否认。
(9）安全培训
通过培训提高员工的安全意识，培养急需的信息安全人才。