[摘 要] 价值链信息技术平台是价值链管理的基础。作为价值链管理的支撑系统,价值链信息技术平台必须作为一个整体设计,这要求整个价值链设计一体化的安全保证体系。本文首先分析了价值链信息技术平台面临的风险,在此基础上提出从技术、管理、组织3个方面构建价值链信息技术平台的安全保证体系。
　　[关键词] 价值链管理;信息技术平台;控制
　　[中图分类号]F270.7[文献标识码]A[文章编号]1673-0194(2008)10-0051-04
　　
　　一、 引 言
　　
　　信息技术平台是实现价值链管理的物质基础和基本条件。这个平台既包括由计算机网络硬件设备及构成体系构建的硬件设施,也包括操作系统、数据库管理系统、数据仓库、应用系统等软件系统,还包括企业间协调机制、信息和过程集成机制、标准体系等软机制。信息技术平台的安全有效关系到价值链管理能否顺利开展,正如安永零售业与消费产品行业经理Jay Mcintosh所说:“随着零售业和消费产品行业内的公司通过供应链技术与客户或供应商进行交互,整个运营变得越来越依赖技术和接口。如果出现任何技术问题、数据完整性问题等,就会对他们的运营造成很大影响”。作为价值链管理的支撑系统,价值链信息技术平台必须作为一个整体来设计,它的安全保证体系也必须统筹考虑:各企业的安全目标应该一致,要采用统一的风险判别和安全控制标准,构建相互兼容、协调一致的控制体系。
　　价值链信息技术平台安全保证体系的构建应该按照一定的步骤进行,构建流程如图1所示。
　　
　　1)确定安全目标。明确整个价值链信息技术平台的安全需求,确定整个平台控制应该达到的目标。
　　2)分析安全风险。在明确安全需求的基础上,分析整个价值链信息技术平台的安全脆弱性,获取关于信息技术平台的安全薄弱环节、面临的安全风险等方面的详细信息。
　　3)制定安全方针。针对信息技术平台的安全风险,考虑信息技术平台的安全目标,确定信息技术平台安全防范的方针、策略、指导思想和遵循的原则。
　　4)构建控制体系。在安全方针的指导下,构建切实可行的信息技术平台控制体系。
　　
　　二、 价值链信息技术平台风险分析
　　
　　价值链信息技术平台是一个复杂的系统,本文将其投入运行后所面临的风险归为以下几方面:
　　1. 信息技术平台面临的安全风险
　　信息技术平台的安全风险来源于内、外两个方面。其中信息技术平台及其组件的脆弱性是安全风险产生的内因;威胁、攻击、舞弊以及系统应用、管理等方面的问题是产生安全风险的外因。
　　(1)信息技术平台组件固有的脆弱性和缺陷
　　信息技术平台的组件在设计、制造和组装中,由于人为和自然的原因,可能留下各种隐患。这些脆弱性和缺陷会制约价值链作用的发挥,如采用的网络协议本身的缺欠,网络传输速度,服务器等硬件设施的稳定性和运行速度,软件设计中的缺陷,链中不同企业信息技术平台的兼容与接口等产生的信息技术平台的安全风险,无时不在考验和威胁着价值链的正常运转。
　　(2)来自信息技术平台内外的威胁、攻击、舞弊产生的风险
　　对信息技术平台的威胁、攻击、舞弊产生的风险表现在对信息技术平台的硬件设施、软件系统和数据的破坏。其中针对硬件设施的破坏主要来自于毁坏硬件设施,掩盖舞弊、非法操作硬件设备、盗窃硬件来获得对方企业的重要信息、硬件设施中非法插入硬件装置窃取其他企业的重要信息、破坏平台的传输系统等方面;针对软件和数据的破坏主要来自于软件系统中插入非法程序、毁坏软件、篡改输入、非法操作系统、篡改输出、数据传输泄露、数据存储泄露、废载体信息泄露等。
　　2. 信息技术平台的应用、管理风险
　　在战略规划上,价值链上的每个企业都会有自己的信息技术平台规划,因此要构建一个统一的价值链信息技术平台不只是一般意义上的信息化建设,也不只是简单的计算机硬件、软件和互联网系统的建设,它是一个系统工程,无论采取什么方案都会面临许多问题,存在巨大风险。在信息技术平台的应用和管理上存在的风险包括:
　　(1)信息技术平台薄弱环节带来的整体风险
　　价值链上企业的信息技术应用水平、应用能力参差不齐。那些水平较低、又没有充足资金支持的企业,常常是价值链管理的薄弱环节,不仅可能使整个价值链信息技术平台面临风险,而且也使整个价值链信息技术平台抵御风险的能力减弱。
　　(2)平台应用和信息传递方面的问题
　　如果价值链的规模很大,结构就会很复杂,发生信息错误的机会也随之增多,即数据完整性就较难保证。例如,如果一个销售员对销售订单输入不完整,就会造成对用户需求的错误理解,不知不觉中会夸大或缩小市场需求。如果再填制新的订单进行调整,会使后续的供应商无法清楚知道真实的市场需求,因而无法合理地安排生产,容易出现供应过剩或短缺。这种对市场的不确定性极易传染给价值链上的所有成员,并且这种传递会趋于膨胀化。于是一个环节的不规范行为,带来了整个价值链的信息风险。
　　(3)其他管理因素
　　由于价值链上的各企业都有自身的利益需求和价值追求,它们决策时不可能完全从价值链的整体利益出发。在这种情况下,如果企业间没有建立起有效的协调机制、信息和过程集成机制、制约机制、价值链风险防范标准体系等平台软环境,那么价值链信息技术平台的正常运转不仅成了一句空话,而且可能给链上企业带来信息外泄、资财损失、业务不能正常开展等额外风险。
　　
　　三、 价值链信息技术平台的控制方案
　　针对价值链信息技术平台的风险,考虑价值链和企业自身情况,价值链信息技术平台控制方案的构建可以从组织控制、管理控制和技术控制3个方面考虑。
　　1. 组织控制体系
　　组织控制体系是指通过组织机构设置、岗位职责的划分等构建起来的信息技术平台组织保障体系。除了应强调树立全员安全意识、构建安全管理制度、提高员工的道德水平和建立完善的法律法规以外,还应该设置专门的信息技术平台安全管理机构,配备专门人员负责信息技术平台的安全管理。
　　(1)设置信息技术平台安全管理机构
　　信息技术平台安全管理机构的大小、性质和定位取决于价值链和链中企业的情况,可以设在信息技术部门,也可以设在风险管理部门,或设独立部门。该机构专门负责与信息安全有关的规划、建设、投资、人事、安全政策、资源利用和事故处理等方面的决策、实施和管理。一般来说,信息技术平台安全管理机构应该设置管理监督委员会、信息安全管理组、计算机或数据安全组、网络管理员、信息技术平台管理员、业务部门信息化主管、业务处理操作员、信息技术平台档案保管员和风险督导员等岗位,分别负责信息技术平台各层次和各项业务的管理工作。
　　(2)强化人员风险意识,加强人员管理
　　除了设置专门的组织机构外,要实现控制目标还依赖于员工的安全风险意识、思想道德水平、企业文化、完善的员工管理和评价体系等。管理者高屋建瓴的能力对减少信息技术平台的安全风险也是至关重要的。
　　2. 管理控制体系
　　信息技术平台管理控制体系由管理控制标准和管理控制活动两部分组成。其中管理控制标准是对保证信息技术平台正常运行所必须的各种法律、法规、制度、规定的总称。它既包括国家发布实行的有关法律法规,也包括企业自己制定的规章制度。管理控制活动是对管理控制标准的制定、培训、执行、监管和评价活动的总称。
　　管理控制体系是价值链信息技术平台控制的灵魂,是技术控制体系能够发挥效能的基础。
　　
　　(1)国家的相关法律、法规
　　信息技术平台的管理制度和规范都要建立在国家相关法律、法规基础上,不得与国家法律、法规相违背。由于我国信息化起步较晚,有关信息化安全的立法还处于建立、发展阶段,尚没有形成一个完善的法律、法规体系。目前与信息化安全相关的法律、法规大致可分为3个层次:《中华人民共和国宪法》、《中华人民共和国国家安全法》、《中华人民共和国刑法》等对个人、组织的有关信息活动涉及国家安全的权利、义务进行规范的法律;《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等直接约束计算机安全和互联网安全的法规;《电子出版物管理暂行规定》、《商用密码管理条例》、《计算机病毒防治管理办法》、《中国互联网络域名注册暂行管理办法》等对信息内容、信息产品安全标准的规定。
　　(2)加强对信息技术平台构建的管理
　　站在使用者的角度,信息技术平台风险控制的技术防范主要体现在硬件设施和软件系统的选择、配置、安装和测试上。比如构建硬件系统时应该尽量采用我国自主开发研制的信息安全技术和设备,必须采用境外信息安全产品时,该产品也必须通过国家信息安全测评机构的认可,严禁采购和使用未经国家信息安全测评机构认可的其他信息安全产品,严禁直接采用境外密码设备,严禁使用未经国家密码管理部门批准和未通过国家信息安全质量认证的国内密码设备;所有硬件设备都必须是经过测评认证的合格产品;信息技术平台中的安全设备应进行试运行,试运行通过后,才能投入正式运行。
　　构建软件系统时,除了关注功能外,还要关注软件的安全性能,详细了解、检查、检测应用软件的控制功能。
　　(3)加强对信息技术平台使用和维护的管理
　　对硬件设施的管理应该做到:建立设备经常性检查和定期维护保养制度;对机器设备的运行情况及维修情况进行记录;建立必要的应急计划和损害补救措施,并制定措施以保证发生故障时系统能及时得到恢复;建立健全设备管理制度;对外来设备、材料等进行管理;对设备的操作流程以及操作人员进行管理等。
　　对软件系统和数据的管理应该做到:按照事先编制的规范化的系统维护流程和操作流程进行软件的操作;对机内运行的应用软件进行加密处理;建立软件修改的审批制度、监督制度和登记制度;建立操作日志及分权管理制度等。
　　除了加强软硬件管理外,还要建立灾难预警和恢复机制。事先制订灾难预警应对方案和灾难恢复策略,对灾难预警后的反应做出规定,对企业信息技术平台受到灾难性打击或破坏后的恢复进行详细计划,以便将灾难带来的损失尽可能地减少到最小。
　　(4)加强信息资产的管理
　　信息资产包括硬件设备、运行的软件和档案,应该对其进行分类管理。
　　(5)实施信息技术平台审计
　　信息技术平台的构建需要投入大量资金,这些资产的使用效率、有效性、效益性如何只有经过使用才能体现出来,对信息技术平台的效率、有效性等进行评价也是控制的一种方法和手段,因此实施信息技术平台审计是信息技术平台管理不可缺少的手段。
　　3. 技术控制体系
　　技术控制体系是建立保障信息技术平台安全,防范信息技术平台风险的技术控制系统。由于不同类别资产面临的风险不同,因此要按照信息技术平台资产的类别,设计和采取不同的控制策略和措施。
　　(1)物理与环境安全控制
　　价值链信息技术平台是一个网络化系统。因此物理与环境安全控制体系除了从物理设施的选购、使用和维护几个方面构建外,还应该制定协议和网络安全策略。
　　在物理设施中加入安全保护设备,保护计算机系统、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击,验证用户的身份和使用权限,防止用户越权操作和使用设备,抑制和防止电磁泄漏以确保计算机系统有一个良好的电磁兼容工作环境,按照正确的操作流程使用硬件设备等都是物理与环境控制的重要手段与内容。
　　网络化系统中协议和网络安全是非常重要的,它是网络上信息传输安全的基础。因此要制定协议和网络安全策略,利用加密机制、访问控制策略、安全认证机制等手段保证网络传输与访问的安全。
　　(2)软件系统安全控制
　　价值链管理的软件系统一般包括操作系统(包括网络操作系统和单用户操作系统)、工具软件(包括数据库管理系统,编译器和程序设计语言,Excel等电子表格处理软件,Web 服务、发布和浏览软件,信息采集、FTP、Telnet等软件)、应用系统软件三大部分。
　　操作系统处于信息系统软件平台的最底层,因此它的安全是整个软件平台安全的基础,其安全脆弱性和安全漏洞会导致整个信息系统平台的安全脆弱性。操作系统自身具备一定的错误处理、文件保护、安全保护的控制措施,这些措施用户无法修改。
　　工具软件介于操作系统和应用软件之间,是应用系统开发所用的软件,它的安全风险同样威胁着处于其上层的应用系统。
　　应用系统处于最上层,是完成具体业务处理的软件,由于各种业务处理对安全的需求程度不同,因此应用软件自身提供的控制措施也有很大区别。为了减少应用系统的安全隐患和漏洞,应该对应用系统的开发与运行实施管理。比如规范开发过程;软件测试时除了测试功能和软件应有的控制外,还要重点检查和测试软件的漏洞和是否具有非法程序块;软件开发过程要编制和保存完整的文档资料;对机内运行的系统进行加密处理;指定专人保管软件和数据文件的备份件,并实行严格的登记、监督制度。
　　(3)数据的管理
　　数据是企业的重要资源,这些数据都以记录的形式存储在系统的数据库中,因此,数据管理的重点是数据库的管理控制,其主要目的是防止系统内外人员对数据库的非法访问,以及系统故障、误操作或人为破坏造成数据库毁损。为此,应采取访问控制、建立数据备份和恢复制度等措施。
　　此外,信息技术平台档案资料的管理也是至关重要的。
　　
　　主要参考文献
　　[1] 王海林. 企业价值链信息技术平台及硬件结构解决方案研究[J]. 中国管理信息化,2005(10):30.
　　[2] 程虹. 供应链管理平台:最佳实现方式[M]. 北京:机械工业出版社,2003.
　　[3] Gerhard Plenert. The eManager:Value Chain Management in an eCommerce World[M]. Dublin:Blackhall Publishing,2001:1-20.