[摘 要] 價值鏈信息技術平臺是價值鏈管理的基礎。作為價值鏈管理的支撐系統,價值鏈信息技術平臺必須作為一個整體設計,這要求整個價值鏈設計一體化的安全保證體系。本文首先分析了價值鏈信息技術平臺面臨的風險,在此基礎上提出從技術、管理、組織3個方面構建價值鏈信息技術平臺的安全保證體系。
[關鍵詞] 價值鏈管理;信息技術平臺;控制
[中圖分類號]F270.7[文獻標識碼]A[文章編號]1673-0194(2008)10-0051-04
一、 引 言
信息技術平臺是實現價值鏈管理的物質基礎和基本條件。這個平臺既包括由計算機網絡硬件設備及構成體系構建的硬件設施,也包括操作系統、數據庫管理系統、數據倉庫、應用系統等軟件系統,還包括企業間協調機制、信息和過程集成機制、標準體系等軟機制。信息技術平臺的安全有效關系到價值鏈管理能否順利開展,正如安永零售業與消費產品行業經理Jay Mcintosh所說:“隨著零售業和消費產品行業內的公司通過供應鏈技術與客戶或供應商進行交互,整個運營變得越來越依賴技術和接口。如果出現任何技術問題、數據完整性問題等,就會對他們的運營造成很大影響”。作為價值鏈管理的支撐系統,價值鏈信息技術平臺必須作為一個整體來設計,它的安全保證體系也必須統籌考慮:各企業的安全目標應該一致,要采用統一的風險判別和安全控制標準,構建相互兼容、協調一致的控制體系。
價值鏈信息技術平臺安全保證體系的構建應該按照一定的步驟進行,構建流程如圖1所示。
1)確定安全目標。明確整個價值鏈信息技術平臺的安全需求,確定整個平臺控制應該達到的目標。
2)分析安全風險。在明確安全需求的基礎上,分析整個價值鏈信息技術平臺的安全脆弱性,獲取關于信息技術平臺的安全薄弱環節、面臨的安全風險等方面的詳細信息。
3)制定安全方針。針對信息技術平臺的安全風險,考慮信息技術平臺的安全目標,確定信息技術平臺安全防范的方針、策略、指導思想和遵循的原則。
4)構建控制體系。在安全方針的指導下,構建切實可行的信息技術平臺控制體系。
二、 價值鏈信息技術平臺風險分析
價值鏈信息技術平臺是一個復雜的系統,本文將其投入運行后所面臨的風險歸為以下幾方面:
1. 信息技術平臺面臨的安全風險
信息技術平臺的安全風險來源于內、外兩個方面。其中信息技術平臺及其組件的脆弱性是安全風險產生的內因;威脅、攻擊、舞弊以及系統應用、管理等方面的問題是產生安全風險的外因。
(1)信息技術平臺組件固有的脆弱性和缺陷
信息技術平臺的組件在設計、制造和組裝中,由于人為和自然的原因,可能留下各種隱患。這些脆弱性和缺陷會制約價值鏈作用的發揮,如采用的網絡協議本身的缺欠,網絡傳輸速度,服務器等硬件設施的穩定性和運行速度,軟件設計中的缺陷,鏈中不同企業信息技術平臺的兼容與接口等產生的信息技術平臺的安全風險,無時不在考驗和威脅著價值鏈的正常運轉。
(2)來自信息技術平臺內外的威脅、攻擊、舞弊產生的風險
對信息技術平臺的威脅、攻擊、舞弊產生的風險表現在對信息技術平臺的硬件設施、軟件系統和數據的破壞。其中針對硬件設施的破壞主要來自于毀壞硬件設施,掩蓋舞弊、非法操作硬件設備、盜竊硬件來獲得對方企業的重要信息、硬件設施中非法插入硬件裝置竊取其他企業的重要信息、破壞平臺的傳輸系統等方面;針對軟件和數據的破壞主要來自于軟件系統中插入非法程序、毀壞軟件、篡改輸入、非法操作系統、篡改輸出、數據傳輸泄露、數據存儲泄露、廢載體信息泄露等。
2. 信息技術平臺的應用、管理風險
在戰略規劃上,價值鏈上的每個企業都會有自己的信息技術平臺規劃,因此要構建一個統一的價值鏈信息技術平臺不只是一般意義上的信息化建設,也不只是簡單的計算機硬件、軟件和互聯網系統的建設,它是一個系統工程,無論采取什么方案都會面臨許多問題,存在巨大風險。在信息技術平臺的應用和管理上存在的風險包括:
(1)信息技術平臺薄弱環節帶來的整體風險
價值鏈上企業的信息技術應用水平、應用能力參差不齊。那些水平較低、又沒有充足資金支持的企業,常常是價值鏈管理的薄弱環節,不僅可能使整個價值鏈信息技術平臺面臨風險,而且也使整個價值鏈信息技術平臺抵御風險的能力減弱。
(2)平臺應用和信息傳遞方面的問題
如果價值鏈的規模很大,結構就會很復雜,發生信息錯誤的機會也隨之增多,即數據完整性就較難保證。例如,如果一個銷售員對銷售訂單輸入不完整,就會造成對用戶需求的錯誤理解,不知不覺中會夸大或縮小市場需求。如果再填制新的訂單進行調整,會使后續的供應商無法清楚知道真實的市場需求,因而無法合理地安排生產,容易出現供應過剩或短缺。這種對市場的不確定性極易傳染給價值鏈上的所有成員,并且這種傳遞會趨于膨脹化。于是一個環節的不規范行為,帶來了整個價值鏈的信息風險。
(3)其他管理因素
由于價值鏈上的各企業都有自身的利益需求和價值追求,它們決策時不可能完全從價值鏈的整體利益出發。在這種情況下,如果企業間沒有建立起有效的協調機制、信息和過程集成機制、制約機制、價值鏈風險防范標準體系等平臺軟環境,那么價值鏈信息技術平臺的正常運轉不僅成了一句空話,而且可能給鏈上企業帶來信息外泄、資財損失、業務不能正常開展等額外風險。
三、 價值鏈信息技術平臺的控制方案
針對價值鏈信息技術平臺的風險,考慮價值鏈和企業自身情況,價值鏈信息技術平臺控制方案的構建可以從組織控制、管理控制和技術控制3個方面考慮。
1. 組織控制體系
組織控制體系是指通過組織機構設置、崗位職責的劃分等構建起來的信息技術平臺組織保障體系。除了應強調樹立全員安全意識、構建安全管理制度、提高員工的道德水平和建立完善的法律法規以外,還應該設置專門的信息技術平臺安全管理機構,配備專門人員負責信息技術平臺的安全管理。
(1)設置信息技術平臺安全管理機構
信息技術平臺安全管理機構的大小、性質和定位取決于價值鏈和鏈中企業的情況,可以設在信息技術部門,也可以設在風險管理部門,或設獨立部門。該機構專門負責與信息安全有關的規劃、建設、投資、人事、安全政策、資源利用和事故處理等方面的決策、實施和管理。一般來說,信息技術平臺安全管理機構應該設置管理監督委員會、信息安全管理組、計算機或數據安全組、網絡管理員、信息技術平臺管理員、業務部門信息化主管、業務處理操作員、信息技術平臺檔案保管員和風險督導員等崗位,分別負責信息技術平臺各層次和各項業務的管理工作。
(2)強化人員風險意識,加強人員管理
除了設置專門的組織機構外,要實現控制目標還依賴于員工的安全風險意識、思想道德水平、企業文化、完善的員工管理和評價體系等。管理者高屋建瓴的能力對減少信息技術平臺的安全風險也是至關重要的。
2. 管理控制體系
信息技術平臺管理控制體系由管理控制標準和管理控制活動兩部分組成。其中管理控制標準是對保證信息技術平臺正常運行所必須的各種法律、法規、制度、規定的總稱。它既包括國家發布實行的有關法律法規,也包括企業自己制定的規章制度。管理控制活動是對管理控制標準的制定、培訓、執行、監管和評價活動的總稱。
管理控制體系是價值鏈信息技術平臺控制的靈魂,是技術控制體系能夠發揮效能的基礎。
(1)國家的相關法律、法規
信息技術平臺的管理制度和規范都要建立在國家相關法律、法規基礎上,不得與國家法律、法規相違背。由于我國信息化起步較晚,有關信息化安全的立法還處于建立、發展階段,尚沒有形成一個完善的法律、法規體系。目前與信息化安全相關的法律、法規大致可分為3個層次:《中華人民共和國憲法》、《中華人民共和國國家安全法》、《中華人民共和國刑法》等對個人、組織的有關信息活動涉及國家安全的權利、義務進行規范的法律;《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《中華人民共和國計算機信息網絡國際聯網安全保護管理辦法》等直接約束計算機安全和互聯網安全的法規;《電子出版物管理暫行規定》、《商用密碼管理條例》、《計算機病毒防治管理辦法》、《中國互聯網絡域名注冊暫行管理辦法》等對信息內容、信息產品安全標準的規定。
(2)加強對信息技術平臺構建的管理
站在使用者的角度,信息技術平臺風險控制的技術防范主要體現在硬件設施和軟件系統的選擇、配置、安裝和測試上。比如構建硬件系統時應該盡量采用我國自主開發研制的信息安全技術和設備,必須采用境外信息安全產品時,該產品也必須通過國家信息安全測評機構的認可,嚴禁采購和使用未經國家信息安全測評機構認可的其他信息安全產品,嚴禁直接采用境外密碼設備,嚴禁使用未經國家密碼管理部門批準和未通過國家信息安全質量認證的國內密碼設備;所有硬件設備都必須是經過測評認證的合格產品;信息技術平臺中的安全設備應進行試運行,試運行通過后,才能投入正式運行。
構建軟件系統時,除了關注功能外,還要關注軟件的安全性能,詳細了解、檢查、檢測應用軟件的控制功能。
(3)加強對信息技術平臺使用和維護的管理
對硬件設施的管理應該做到:建立設備經常性檢查和定期維護保養制度;對機器設備的運行情況及維修情況進行記錄;建立必要的應急計劃和損害補救措施,并制定措施以保證發生故障時系統能及時得到恢復;建立健全設備管理制度;對外來設備、材料等進行管理;對設備的操作流程以及操作人員進行管理等。
對軟件系統和數據的管理應該做到:按照事先編制的規范化的系統維護流程和操作流程進行軟件的操作;對機內運行的應用軟件進行加密處理;建立軟件修改的審批制度、監督制度和登記制度;建立操作日志及分權管理制度等。
除了加強軟硬件管理外,還要建立災難預警和恢復機制。事先制訂災難預警應對方案和災難恢復策略,對災難預警后的反應做出規定,對企業信息技術平臺受到災難性打擊或破壞后的恢復進行詳細計劃,以便將災難帶來的損失盡可能地減少到最小。
(4)加強信息資產的管理
信息資產包括硬件設備、運行的軟件和檔案,應該對其進行分類管理。
(5)實施信息技術平臺審計
信息技術平臺的構建需要投入大量資金,這些資產的使用效率、有效性、效益性如何只有經過使用才能體現出來,對信息技術平臺的效率、有效性等進行評價也是控制的一種方法和手段,因此實施信息技術平臺審計是信息技術平臺管理不可缺少的手段。
3. 技術控制體系
技術控制體系是建立保障信息技術平臺安全,防范信息技術平臺風險的技術控制系統。由于不同類別資產面臨的風險不同,因此要按照信息技術平臺資產的類別,設計和采取不同的控制策略和措施。
(1)物理與環境安全控制
價值鏈信息技術平臺是一個網絡化系統。因此物理與環境安全控制體系除了從物理設施的選購、使用和維護幾個方面構建外,還應該制定協議和網絡安全策略。
在物理設施中加入安全保護設備,保護計算機系統、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊,驗證用戶的身份和使用權限,防止用戶越權操作和使用設備,抑制和防止電磁泄漏以確保計算機系統有一個良好的電磁兼容工作環境,按照正確的操作流程使用硬件設備等都是物理與環境控制的重要手段與內容。
網絡化系統中協議和網絡安全是非常重要的,它是網絡上信息傳輸安全的基礎。因此要制定協議和網絡安全策略,利用加密機制、訪問控制策略、安全認證機制等手段保證網絡傳輸與訪問的安全。
(2)軟件系統安全控制
價值鏈管理的軟件系統一般包括操作系統(包括網絡操作系統和單用戶操作系統)、工具軟件(包括數據庫管理系統,編譯器和程序設計語言,Excel等電子表格處理軟件,Web 服務、發布和瀏覽軟件,信息采集、FTP、Telnet等軟件)、應用系統軟件三大部分。
操作系統處于信息系統軟件平臺的最底層,因此它的安全是整個軟件平臺安全的基礎,其安全脆弱性和安全漏洞會導致整個信息系統平臺的安全脆弱性。操作系統自身具備一定的錯誤處理、文件保護、安全保護的控制措施,這些措施用戶無法修改。
工具軟件介于操作系統和應用軟件之間,是應用系統開發所用的軟件,它的安全風險同樣威脅著處于其上層的應用系統。
應用系統處于最上層,是完成具體業務處理的軟件,由于各種業務處理對安全的需求程度不同,因此應用軟件自身提供的控制措施也有很大區別。為了減少應用系統的安全隱患和漏洞,應該對應用系統的開發與運行實施管理。比如規范開發過程;軟件測試時除了測試功能和軟件應有的控制外,還要重點檢查和測試軟件的漏洞和是否具有非法程序塊;軟件開發過程要編制和保存完整的文檔資料;對機內運行的系統進行加密處理;指定專人保管軟件和數據文件的備份件,并實行嚴格的登記、監督制度。
(3)數據的管理
數據是企業的重要資源,這些數據都以記錄的形式存儲在系統的數據庫中,因此,數據管理的重點是數據庫的管理控制,其主要目的是防止系統內外人員對數據庫的非法訪問,以及系統故障、誤操作或人為破壞造成數據庫毀損。為此,應采取訪問控制、建立數據備份和恢復制度等措施。
此外,信息技術平臺檔案資料的管理也是至關重要的。
主要參考文獻
[1] 王海林. 企業價值鏈信息技術平臺及硬件結構解決方案研究[J]. 中國管理信息化,2005(10):30.
[2] 程虹. 供應鏈管理平臺:最佳實現方式[M]. 北京:機械工業出版社,2003.
[3] Gerhard Plenert. The eManager:Value Chain Management in an eCommerce World[M]. Dublin:Blackhall Publishing,2001:1-20.
