基于信息安全的供应链系统反竞争情报策略体系研究
2018-03-14朱礼龙
〔摘要〕概述了引致供应链系统信息安全的因素,从供应链网络集成化信息系统和供应链人际情报网络两个方面深入分析了竞争情报方针对供应链系统的竞争情报工作路径,提出供应链系统反竞争情报工作的2个工作重点和5个主要工作环节,即确立供应链网络集成化信息系统和供应链人际情报网络两个工作重点,明确核心节点及其主导的供应链共享信息平台数据库、非核心节点的机密信息及其存储的供应链系统的机密信息、第三方机构的网络系统、节点企业外部人际情报网络、节点企业内部人际情报网络等5个主要工作环节。最后,从供应链网络集成化信息系统和供应链系统的人际情报网络两个方面,提出了基于信息安全的供应链系统反竞争情报策略体系。
〔关键词〕信息安全;供应链系统;网络集成化;人际情报网络;反竞争情报;策略体系
DOI:10.3969/j.issn.1008-0821.2018.02.003
〔中图分类号〕G25025〔文獻标识码〕A〔文章编号〕1008-0821(2018)02-0018-06
The Strategy System of Supply Chain Countercompetitive
Intelligence Based on the Information Security
Zhu Lilong
(School of Economics and Management,Chaohu University,Chaohu 238000,China)
〔Abstract〕The paper summarized the factors leading to the information security of supply chain system,analyzed the working paths pointing to the competition intelligence from two aspects:supply chain network integrated information system and the supply chain interpersonal intelligence network.And the paper put forward the two work priorities and five major work sessions of the supply chain system competitive intelligence work,namely establishing two priorities,the supply chain network integrated information system and the supply chain interpersonal intelligence network clearing five major work sessions as the core node and its dominant platform for the supply chain to share information database,the confidential information of the non-core node and the confidential information of the supply chain system stored,the network system of the third party organization,the external interpersonal intelligence network of the node enterprise and the interpersonal intelligence network within the node enterprise.Finally,the paper designed the supply chain systems countercompetitive intelligence strategy system from the following two aspects:the supply chain network integrated information system and the interpersonal intelligence network of supply chain system.
〔Key words〕information security;supply chain system;integrated information system;interpersonal intelligence network;countercompetitive intelligence;strategy system
供应链系统复杂的网络结构、“四流”(商流、物流、资金流和信息流)的匹配与支撑、系统要素的管理与集成等关键问题始终影响着供应链系统的信息安全。开展反竞争情报工作,防止供应链系统机密信息的泄露,需要深入研究供应链系统的上述关键问题,理清供应链系统情报泄露的主要路径,科学研制供应链系统反竞争情报策略体系,实现供应链系统商业机密的保护和信息安全的双重目标。目前,有关企业反竞争情报策略体系的研究主要涉及云环境或网络环境下的反竞争情报策略[1-3]、企业自身商业秘密保护与反竞争情报[4-6]、企业内外部的协作开展反竞争情报工作[7-8]、多层面的反竞争情报体系[9-12]等领域。上述文献研究考虑了企业内外部的协作和企业自身商业秘密保护,在企业反竞争情报体系构建方面作了许多有益的探索,为供应链系统科学设计反竞争情报体系奠定了坚实的基础,但是现有研究大多没有从信息安全视角对供应链系统反竞争情报策略作进一步的探讨,针对性地提出供应链系统反竞争情报策略体系的研究成果仍显不足。本文拟围绕信息安全视角的供应链系统反竞争情报的工作重点和主要工作环节展开研究,探究供应链系统反竞争情报的工作重点和主要工作环节上可能采取的反竞争情报策略,进而构建基于信息安全的供应链系统反竞争情报策略体系。
1供应链系统的信息安全
供应链系统信息流的运作通常是围绕核心企业展开的。核心企业构建共享数据库,提供包含需求信息、供应信息和共享信息的信息流共享平台,通过扁平化的辐射状信息流模式,实现供应链上的信息共享,达到促进能力和物料的潜在来源的信息收集、促进节点之间的谈判、监测供应链网络的活动、提高预测的准确性、提供各种规则的切入点等目的[13],供应链系统信息流的运作模式图如图1所示。
供应链系统共享信息的特点除了带来供应链系统的整体协调、敏捷性以及对顾客需求的快速响应等优点外,也会通过独立于供应链的第三方机构、供应链各节点企业以及供应链共享信息平台等途径泄露共享信息,使得供应链系统的竞争情报方有可能获得供应链系统的关键信息,从而引发供应链系统的信息安全。
2竞争情报方针对供应链系统的竞争情报路径分析
竞争情报方针对供应链系统的竞争情報工作一般有两条路径,一条是通过传统的人际情报网络收集被侵害方的机密信息;另一条是利用被侵害方网络系统的漏洞非法获取机密信息。这两条路径互为补充,又相互验证,共同构成对供应链系统信息安全的威胁。因此,笔者认为,掌握竞争情报方针对供应链系统的竞争情报工作路径,可以为供应链系统的反竞争情报工作指明方向,也是供应链系统开展反竞争情报工作的前提条件。
21针对供应链网络集成化信息系统的竞争情报工作
211供应链网络集成化信息系统
随着Internet标准的制订与实施,供应链系统各节点企业内部独立的PC应用系统以及各节点企业间信息系统的信息交换就有了标准化的信息技术的支持,使得Intranet得以更便捷、更高效和更低成本的方式来集成各类信息系统,实现各种数据库的无缝连接[14],从而将供应链系统各节点企业内外部的信息交换环境集成为一个完整的信息平台,基于Internet和Intranet的供应链网络集成化信息系统如图2所示。
供应链网络集成化信息系统由两个部分组成:一是核心节点运营的Intranet,其系统防护为蜜网技术支持的网络反竞争情报系统;二是供应链核心节点之外的关联方,如供应商的供应商、供应商、分销商、零售商以及行业协会、消费者组织、中介组织、新闻记者等第三方机构,它们通过Internet与核心节点进行数据交换。
212针对供应链网络集成化信息系统可能开展的竞争情报工作
通过对基于Internet和Intranet的供应链网络集成化信息系统的研究,笔者认为竞争情报方针对供应链网络集成化信息系统可能开展的竞争情报工作大体有3条路径:一是竞争情报方直接攻破蜜网技术支持的网络反竞争情报系统,进入核心节点窃密以及核心节点主导的供应链共享信息平台数据库窃密;二是竞争情报方绕过核心节点之外的其他供应链节点的防火墙,窃取该节点的机密信息以及该节点存储的供应链系统的机密信息,甚至利用从该节点获取的密钥进入核心节点主导的供应链共享信息平台数据库窃密;三是竞争情报方进入与供应链紧密联系的行业协会、消费者组织、中介组织、新闻记者等第三方机构的网络系统,窃取其收集到的有关供应链系统的机密信息。
22针对供应链人际情报网络的竞争情报工作
221供应链人际情报网络
人际情报网络是应情报活动的需要而构建的一种人际网络,是情报从业者获取、分析和传播非公开信息和隐性知识的重要平台[15]。供应链人际情报网络分为供应链节点企业外部人际情报网络和供应链节点企业内部人际情报网络。供应链节点企业外部人际情报网络主要包括节点企业
图2基于Internet/Intranet的供应链网络集成化信息系统
之外的参与供应链协作的节点、中介机构、行业协会、消费者组织[16]、新闻记者等第三方机构、竞争对手等,供应链节点企业内部人际情报网络主要包括节点企业内部各级管理人员及各部门员工,供应链人际情报网络如图3所示。
图3供应链人际情报网络
222针对供应链人际情报网络的竞争情报工作
通过对供应链人际情报网络结构的分析,竞争情报方针对供应链人际情报网络的竞争情报工作一般有两个途径:一是通过节点企业外部人际情报网络获取机密信息,由于节点企业外部人际情报网络构成复杂且多有不稳定性,有关供应链系统情报的硬性保密约束难以实施,因此,极有可能成为竞争情报方的工作重点;二是通过节点企业内部人际情报网络获取机密信息,内部人员信息安全意识薄弱可能导致无意间的泄密,加上节点企业内部也不是铁板一块,特别是高管及关键部门、关键岗位人员为一己私利不惜出卖机密信息,甚至掌握机密信息后离职等,都为竞争情报方获取机密信息成为可能。竞争情报方可以通过针对供应链节点企业外部人际情报网络和供应链节点企业内部人际情报网络的竞争情报工作获取有关供应链系统的机密信息,从而谋得在供应链与供应链竞争中的优势地位。
3供应链系统反竞争情报策略体系设计
供应链系统的反竞争情报工作应确立竞争情报方的两条路径为工作重点,即确立供应链网络集成化信息系统和供应链人际情报网络为供应链系统反竞争情报的两个工作重点。在供应链网络集成化信息系统反竞争情报工作中,需要明确核心节点及其主导的供应链共享信息平台数据库、非核心节点的机密信息及其存储的供应链系统的机密信息、第三方机构的网络系统为3个主要工作环节。而在供应链人际情报网络反竞争情报工作中,则需要重视节点企业外部人际情报网络和节点企业内部人际情报网络两个主要工作环节。
31供应链网络集成化信息系统的反竞争情报工作
311核心节点及其主导的供应链共享信息平台数据库的安全防护
1)核心节点的机密信息以及该节点存储的供应链系统的机密信息防护
核心节点的机密信息以及该节点存储的供应链系统的机密信息防护是指综合应用管理手段和技术手段,对核心节点的信息系统及其存储在核心节点应用服务器上的机密信息(即核心节点的机密信息以及该节点存储的供应链系统的机密信息)进行保护,防止机密信息的泄露。
首先,对核心节点的信息系统及其存储在核心节点应用服务器上的各类信息加以识别,确定需要保护的机密信息;其次,评估核心节点的竞争对手。梳理从目前到将来的时间段,对核心节点构成现实和潜在威胁的竞争对手,分析其未来目标(战略与财务目标)、关于自身与产业假设、现行竞争战略、资源与能力(优势与劣势)等关键因素,识别其对核心节点各类信息资产的偏好程度;再者,评估核心节点自身的弱点。梳理核心节点的信息系统及其存储在核心节点应用服务器上可能被竞争对手利用的薄弱环节;第四,开展风险评估。根据核心节点的机密信息以及该节点存储的供应链系统的机密信息被窃取可能引起的市场风险,以及该风险可能给核心节点乃至整个供应链系统造成的危害,根据风险等级认定准则,确定风险等级;第五,防御措施影响评价。根据确定的信息安全风险等级,区别对待。如果信息安全风险在可控范围内,那么就坦然的接受风险;对于不可接受的信息安全风险,可以考虑规避风险或者将风险转移;对于不可规避又不可转移的风险应该采取适当的安全措施,将其降低到可接受的风险水平。第六,防御措施实施。根据防御措施影响评价的结果,采取相应的风险应对策略。核心节点机密信息防护过程如图4所示。
图4核心节点机密信息防护过程图
2)核心节点主导的供应链共享信息平台数据库的安全防护
核心节点主导的供应链共享信息平台数据库的安全防护涉及三阶段的防护体系,即服务器安全管理、数据库安全管理以及数据库对象的用户访问权限管理。第一阶段:用户首先登陆到核心节点主导的供应链共享信息平台数据库管理系统。在登陆时,系统要对其进行身份验证,判明访问者为合法的供应链节点企业,才能登录到供应链共享信息平台数据库管理系统。第二阶段:采用主动防御技术的数据库防火墙能够有效防护竞争情报方的数据攻击。从数据库SQL语句精细化控制的技术层面来看,用户在每个要访问的数据库里必须获得一个用户账号。将用户对供应链共享信息平台数据库管理系统的访问映射到数据库用户账号上,而数据库用户账号则预先定义了数据库管理和数据对象的安全访问策略,比对无误后,允许进入下一阶段。第三个阶段:用户访问数据库。用户进入供应链共享信息平台数据库访问数据对象时,系统要检查用户是否具有相应访问与执行权限,通过语句许可权限验证的用户,才能实现对数据进行操作。
312非核心节点的机密信息及其存储的供应链系统的机密信息的防护
非核心节点的机密信息及其存储的供应链系统的机密信息防护是指非核心节点综合应用管理手段和技术手段,对其信息系统及存储在其应用服务器上的机密信息(即非核心节点的机密信息及其存储的供应链系统的机密信息)进行保护,防止机密信息的泄露。其防护工作类似于核心节点的机密信息及其存储的供应链系统的机密信息的防护过程,非核心节点机密信息防护过程如图5所示。
313第三方机构的网络系统的安全维护
第三方机构的网络系统的安全维护是指与供应链系统紧密联系的行业协会、消费者组织、中介组织、新闻记者等第三方机构的网络系统的安全维护,防止竞争情报方进入其网络系统窃取其收集到的有关供应链系统的机密信息。一般来说,合作关系越密切,泄漏情報的可能就越大,伙伴关系越亲密,泄漏情报的机会就越多,合作内容越丰富、全面,泄漏情报的内容就可能越多,合作的方式越多,泄漏情报的渠道就会越多,合作关系的级别越高,则关键性情报泄漏的可能性就会越大[17]。因此,第三方机构的网络系统的安全维护工作重点应放在与供应链系统有着良好合作关系的第三方机构上,协助其加强自身的网络安全管理,提醒第三方机构在涉及供应链系统的重要的机密信息的收集、存储、加工和使用的各个环节提高保密意识,避免在业务拓展过程中泄露供应链系统的机密信息,防止竞争情报方通过第三方机构的网络系统获取供应链系统的机密信息。
32供应链人际情报网络的反竞争情报工作
供应链人际情报网络的反竞争情报工作是供应链人际情报网络应对竞争情报方的情报活动而开展反竞争情报工作,目的在于阻止竞争情报方获取、分析和传播有关供应链系统非公开信息和隐性知识,保护供应链系统的机密信息。供应链人际情报网络的反竞争情报工作可以从供应链节点企业外部人际情报网络的反竞争情报工作和供应链节点企业内部人际情报网络的反竞争情报工作两方面展开。
321节点企业外部人际情报网络的反竞争情报工作
由于供应链节点企业外部人际情报网络构成复杂且多有不稳定性,供应链节点企业内部人员尤其是掌握机密信息的企业高管以及关键部门、关键岗位上的员工与外部人际情报网络中的某个组织及其人员有着错综复杂的人际关系网,在正式和非正式的人际交往中,往往会有意或无意地泄露供应链系统的机密信息,此时,有关供应链系统情报的硬性保密约束无法发挥作用,极有可能成为竞争情报方获取供应链系统机密情报的重要途径。
有关节点企业外部人际情报网络的反竞争情报工作大体有以下三方面的构想:其一,对供应链节点企业外部人际情报网络中的各类组织进行分类,确定信息安全风险等级,明确每一等级的组织可以了解的有关供应链系统机密信息的类型、内容、程度和范围;其二,加强对供应链节点企业内部人员尤其是掌握机密信息的企业高管以及关键部门、关键岗位上的员工的信息安全意识教育和安全守法责任教育,避免在与外部人际情报网络打交道时有意或无意地泄露供应链系统的机密信息;其三,进一步强化节点企业外部人际情报网络的信息安全保密约束工作,从合作关系维护、信息安全维护的道德义务以及信息安全保障的法律责任等多方面,做好外部人际情报网络的信息安全工作。
322节点企业内部人际情报网络的反竞争情报工作
竞争情报方通过节点企业内部人际情报网络获取机密信息,如利用节点企业内部人员信息安全意识薄弱套取机密信息;利益诱导个别高管及关键部门、关键岗位人员出卖机密信息,甚至掌握机密信息后离职等;利用节点企业保密纪律松弛,对涉密人员管理松懈的漏洞,有意接近涉密人员获取机密信息;涉密人员无视保密规章,在人际交往过程中,不执行提供情报资料的保密规定,不经审批,随意将供应链系统的机密信息提供给对方使用等,都为竞争情报方获取机密信息成为可能。
有关节点企业内部人际情报网络的反竞争情报工作大体有以下四方面的构想,第一,加强对节点企业内部人员的保密教育,提高信息安全意识;第二,加强对个别高管及关键部门、关键岗位人员的理想信念教育和法制教育,自觉抵制利益诱导;第三,加强节点企业的保密管理,尤其是涉密人员的管理,不给有意接近涉密人员的竞争情报方以可乘之机;第四,严格保密规章执行情况检查,警示内部人员在外部交往过程中可能的泄密行为及其后果,做到防患于未然。
至此,笔者围绕供应链系统的反竞争情报工作两个工作重点,即供应链网络集成化信息系统的反竞争情报工作和供应链人际情报网络的反竞争情报工作,对基于信息安全的供应链系统反竞争情报策略体系进行了深入的探讨。构建了以核心节点及其主导的供应链共享信息平台数据库、非核心节点的机密信息及其存储的供应链系统的机密信息、第三方机构的网络系统等3个方面为供应链网络集成化信息系统反竞争情报工作的主要工作环节,以节点企业外部人际情报网络和节点企业内部人际情报网络等两个方面为供应链人际情报网络反竞争情报工作的主要工作环节。基于信息安全的供应链系统反竞争情报策略体系如图6所示。
图6基于信息安全的供应链系统反竞争情报策略体系图
4结束语
基于信息安全的供应链系统反竞争情报策略体系的研究是一项十分复杂却又高度系统化的工作,笔者试图沿着供应链系统的信息安全、竞争情报方针对供应链系统的竞争情报工作路径、供应链系统反竞争情报的工作重点和工作环节这条主线,来设计基于信息安全的供应链反竞争情报策略体系。因此,本研究侧重于从信息安全视角对供应链系统整体协作开展反竞争情报策略作了较为粗浅的探讨,为供应链系统有效地地开展反竞争情报工作提供一些借鉴,希望对更好地保守供应链系统的机密信息有所裨益。
参考文献
[1]Ian Smith.Defensive Competitive Intelligence In A Web 20 Environment[EB/OL].http://www.scip.org/NewsRoom/PRDetail.cfm?ItemNumber=7779,2009-09-12.
[2]王丹丹,李玉海.云计算环境下企业反竞争情报体系的构建研究[J].情报科学,2014,(11):36-40,70.
[3]吴琼.网络环境下企业反竞争情报探讨[J].情报探索,2014,(5):61-63.
[4]Jordan Shropshire.A Canonical Analysis of Intentional Information Security Breaches By Insiders[J].Journal of Information Management & Computer Security,2009,(4):296-310.
[5]Roborta B.Issues in Defining Competitive Intelligence:An Exploration[J].Journal of Competitive Intelligence and Management,2008,(3):3-14.
[6]Bill DeGenaro.A Case for Business Counterintelligence[J].Journal of Competitive Intelligence Magazine,2005,(5):12-16.
[7]Zhang C,Li S.Secure Information Sharing in Internet-Based Supply Chain Management Systems[J].Journal of Computer Information Systems.2006,(4):18-24.
[8]Peter R J Trim.Counteracting Industrial Espionage Through Counterintelligence:The Case for a Corporate Intelligence Unit and Collaboration with Government Agencies[J].Journal of Security Journal,October 2002,15(4):7-24.
[9]Fielding,M.Damage Control-Firms Must Plan for Counterintelligence[J].Journal of Marketing News,2004,(38):19-22.
[10]朱禮龙.科技型企业反竞争情报体系建设水平研究——合芜蚌自主创新综合试验区科技型企业为例[J].安徽科技学院学报,2011,(5):94-99.
[11]周九常.新形势下我国企业情报保护体系的基本架构[J].情报理论与实践,2010,(11):15-18.
[12]刘圣君.基于商业秘密防护的企业反竞争情报体系构建[J].科技情报开发与经济,2010,(7):80-83.
[13]Fu-Ren Lin,Michael JShaw.Reengineering the Order Fulfillment Process in Supply Chain Networks[J].International Journal of Flexible Manufacturing Systems,1998,10(3):197–229.
[14]马士华,林勇.供应链管理(第三版)[M].北京:机械工业出版社,2010.
[15]晏创业.竞争情报活动中的人际网络研究[D].北京:北京大学,2005.
[16]朱礼龙.国际科技合作中企业科技情报泄密源探究[J].现代情报,2014,(1):115-118.
[17]周九常.第三方情报泄密及其防范[J].情报理论与实践,2010,(8):57-60.
(责任编辑:孙国雷)