安全供应链管理，对于供应链网络安全：你需要知道什么-人社部供应链管理师报名

.

国内外最新物流与供应链管理资讯与解决方案分享，国内外会员沟通交流平台。最新活动及培训信息分享。

编者按

网络攻击已经存在多年，它们并不是什么新鲜事，针对不同组织的各种网络威胁也是如此。在供应链网络安全方面，不同供应链节点对于网络安全的威胁各不相同，但是甚至顾客也会遭受到网络攻击的侵害。

在过去几年中，我们看到了几起备受瞩目的攻击，这些攻击被视为供应链攻击。2019年，为世界各地的许多政府和大型企业提供加密服务的大型跨国公司RSA也遭遇了网络攻击，这是通过仅发送给RSA三名员工的网络钓鱼电子邮件，其中一人点击了导致入侵的链接。而这个入侵邮件真正的目标实际上是他们的客户之一，国防公司洛克希德马丁公司。这是一次非常有针对性的攻击。

最近针对供应链网络攻击屡见不鲜如2020年的病毒攻击下，有名客户下载了自动更新的黑客插件而导致信息遭到泄露。然而，正如 （欧盟网络安全行业机构）最近发布的题为“供应链攻击的威胁形势”（2021年7月）的报告强调：“并非所有攻击都应被称为供应链网络安全攻击，但由于它们的性质，其中许多是未来新的供应链网络安全攻击的潜在载体。”

作为分析针对供应链网络攻击的基础，首先要了解供应链的定义，“供应链是指参与创建和交付最终解决方案或产品的流程、人员、组织和分销商的生态系统。” 这意味着有很多方法可以分析对供应链网络安全生态系统的攻击。

仅针对供应链网络安全的威胁

这些类型的威胁通常是会对供应商、供应商资产、客户或客户资产的攻击。随着服务通过数字化转型变得更加个性化，不仅针对每个市场部门，而且针对每个子部门都有可能受到威胁。这些软件供应商提供的数字化转型服务可能不一定像以前的解决方案那样经过试验和测试，因为数字化转型的重点在于小步快跑，系统在不断开发、测试和添加新服务中逐步完善。

尽管数字化转型项目对如此多的企业来说很重要，但在“将安全性融入其中”的开发方法方面，许多企业仍处于起步阶段。这意味着考证含金量排行榜，在这些项目团队建立了在代码中构建安全性和消除漏洞的方法之前，我们可能会看到源自旨在为供应商及其客户提供更好服务的数字化转型项目的问题。此类服务中的一些问题不太可能在多年内浮出水面，而其他问题将很快被识别和修复。

处理此类攻击的策略需要做好及时全面的系统信息安全维护。包括良好的软件系统采购治理、采购政策、流程和应用，并指定您希望立即使用的应用以及可以在商定的时间段内分阶段实施的应用。

不同层次供应链网络服务下的安全攻击

供应链网络不是一个统一的供应商组，因为通常有几个分层。关键层的可能是大型货运或航运公司使用特定软件进行物流、控制或导航这些与人产生交互的系统，并且其中的关键组件由不同的供应商提供。它可能是 GPS 软件，或者是确定最佳路线的人工智能，而提供这些系统或功能支撑的供应商则是应用程序的第二层或第三层安全供应链管理，并且离实际客户更远一层。而供应链网络的第四层供应商的则为提供给基础网络功能的服务方，包括应用程序编程接口 (API) 的编码库供应商或特定平台的 Wi-Fi 库供应商，或物联网库供应商等。

随着应用程序变得越来越轻松便捷，客户能够使用许多不同的技术（Wi-Fi、Wi-Fi 、蓝牙、近场通信 (NFC)、5G等）进行连接，并且这些技术中的每一个都在扩展和改进，这些技术和所有其他专业API库提供的安全供应链管理，对于供应链网络安全：你需要知道什么-人社部供应链管理师报名，将是供应链网络中必不可少的，并且应用普及度也会不断增加。这些供应商中的每一个都在进行自己的数字化转型，以使他们的客户更容易通过云使用他们的服务。

而在广泛的应用与普及下也存在着安全漏洞，一个完整成熟的系统可能有数十个（甚至数百个）专业服务供应商，其中一些则是至关重要的，并且代码的任何妥协都可能导致所提供的整个最终服务的妥协。对这些关键支持服务供应商的攻击一定要有的良好记录，但在2015年左右，苹果公司iOS平台的无线网络API库提供商在三个月的时间里发现了三个独立的漏洞，每个漏洞影响了1,500到 5,000个应用程序，影响了数十个应用程序数百万iOS平台的最终用户。因此在与供应链网络供应商合作时要特别注意其安全防卫能力与体系。

常见网络安全问题在供应链中的影响

一些在互联网上流传的勒索软件是所有用户共有的威胁，这些类型的攻击源于同时影响许多组织的偶然事件，攻击者也是在网络上随机挑选实施攻击的目标对象。这些类型的攻击有时可能是所谓的实时攻击的结果；漏洞太新以至于系统供应商不知道，系统供应商生产安全补丁的时间周期较长，导致攻击者可以自由支配软件进行违法犯罪。

尽管从弹性的角度来看，通常很难对这些类型的攻击采取战略性措施，但让所有技术保持最新的安全更新和补丁对于减少此类威胁的影响大有帮助。此外，为了跟上最新的漏洞，无论补丁是否可用，这对于使组织至少能够实施一些其他控制措施来限制此类攻击的影响。

来自常见的非目标机会主义攻击的威胁

就像旧式广告过去的工作方式一样，每个人都是潜在目标，总会有一些攻击，无论是无目标的网络钓鱼电子邮件，还是对您的网络IP地址的探测，或对您的网络服务器的探测，或易受攻击的 Wi-Fi 网络。此类攻击者往往不清楚实际的最终路径在哪，但凭借足够的信息库以及适配性，任何的操作模式都有机会受到威胁。

许多此类攻击还依赖于未更新的系统。没有最新安全补丁的系统可能总是存在安全问题。比如有一些组织正在并且一直在运行在 XP上运行的系统，这些系统在20多年前就停止接收安全补丁。此类系统通常受到多层控制的保护，尽管本意是最好的，但网络设置的更改可以使它们都可以通过互联网访问——即使它们没有连接到任何连接到互联网的设备。

对供应链网络安全威胁的弹性实践

在应对供应链网络安全，每个企业每个人都不应该掉以轻心。并且要清楚：

1.你们拥有的网络可延伸的资产都有什么

2.你们应该保护什么

3.应该在哪里加强护卫与检测

4.对于不用类型的攻击所采取的相应

5.如遇到网络安全事故的恢复能力

翻译整理：金圣轩 高珉

供应链管理大师系列公开课以供应链管理专业协会（）的核心知识体系为依托，计划在2022年全年开设24期（每月两期），方便全国各地学员不受疫情、异地等因素限制，随时随地进行供应链管理专业知识的学习。同时，供应链管理大师系列公开课也会定期推出多样化的专业社群交流活动，比如企业参观交流、行业圆桌分会、主题沙龙等精彩活动。为广大供应链管理从业者搭建一个知识传递、学习交流、切磋互动的供应链从业之家平台。

开设这个系列课程，不仅能让大家系统化学习端到端的供应链管理核心专业知识，也可以使得学员和同业管理者、专家导师探讨工作实践中遇到的实际问题，获得管理上的外脑支持，真正做到助力管理者的职业发展，进而提升企业在供应链管理上的竞争力！

相关课程也将在随后的时间里，每月两次、精彩放送！第三季度供应链管理大师系列公开课（直播）火热报名中！

建立完善的安全管理体系，《四川省人民政府关于全面加强危爆物品管控工作的意见》解读二

四川省人民政府关于全面加强危爆物品管控工作的意见

2月1日，记者获悉省政府出台了《关于全面加强危爆物品管控工作的意见》（下简称《意见》），《意见》称，四川将在省内探索民用爆炸物品、射钉弹生产包装统一标识（危险品标志、生产点简称及生产日期），严格落实易制爆和剧毒化学品包装“一书一签”，确保危爆物品可以追踪溯源，同时，将建立全省统一的危爆物品综合管理信息平台，全面采集危爆行业相关信息，以全面加强危爆物品管控，坚决遏制重特大危爆案件和事故发生，切实维护人民群众生命财产安全和社会治安稳定。

全流程监管：购买民用爆炸物品、易制爆和剧毒化学品等严格实行实名制

《意见》称，四川将加强生产、销售环节安全监管，借鉴雷管生产编码模式，在省内探索民用爆炸物品、射钉弹生产包装统一标识（危险品标志、生产点简称及生产日期），严格落实易制爆和剧毒化学品包装“一书一签”，确保危爆物品可以追踪溯源。

制造、销售企业销售射钉器材、射钉弹应严格落实流向登记管理制度。购买民用爆炸物品、易制爆和剧毒化学品等严格实行实名制。

在储存环节，危爆物品储存仓库、容器及设施必须达到规定安全标准考证含金量排行榜，落实人防、物防、技防、犬防和视频监控等措施，确保所有设施设备正常使用。四川将严格把好危爆物品储存库（容器）选址、建设、安全评价和验收关。严禁在已有的危爆物品生产厂区、仓库外部安全距离内规划新建建筑设施，现有违规建筑由相关部门督促依法限期拆除。

运输环节中，严禁非专用运输车辆从事危爆物品运输，不得超量、超范围、超时限运输危爆物品。《意见》强调，危险货物运输车辆必须全部安装、使用具有行驶记录功能的卫星定位装置，保持规定路线和车速，途中经停应有专人看守，并远离建筑设施和人口密集区域，不得在许可以外的地点经停。寄递、物流企业必须严格执行收寄验视和实名寄递制度，严禁违法收寄、运输危爆物品。

在使用环节，危爆物品使用单位和作业人员必须落实作业现场安全责任,爆破作业现场领取、发放、使用民用爆炸物品必须有完整记录并签字确认；严格落实危爆物品出库登记、作业实施用量核查、安全使用检查制度，坚决防止危爆物品在使用环节漏管失控、丢失被盗，杜绝安全事故发生。落实爆破安全规程要求，规范爆破作业活动项目管理。严格落实过期危爆物品销毁审核和现场监督制度。

建立信息平台：危爆物品将实现信息化、一体化管理

《意见》提出，四川将建立全省统一的危爆物品综合管理信息平台。该平台由公安厅牵头建立，为覆盖危爆物品生产、销售、储存、运输、使用（含销毁）全流程的省级危爆物品综合管理信息平台（以下简称“信息平台”），将整合省级公安、安全监管、国防科工、交通运输、质监、环境保护、工商等部门（单位）现有涉危爆从业单位、从业人员和危爆物品流向等相关信息，实现资源共享、一网统管。

《意见》要求，危爆物品生产、销售、储存、运输、使用（含销毁）单位应将危爆物品各环节信息即时录入信息平台，有关管理部门（单位）应对企业录入信息进行严格审查和核实，确保数据准确、录入更新及时。危爆物品生产车间、储存库房全部按标准建设视频监控系统，并接入主管部门平台实行动态监控，同时就近接入安全监管、公安消防部门监控系统。此外，危险货物运输车辆卫星定位系统数据也将接入信息平台，实现信息共享和动态监管。

《意见》要求，危爆物品所有行政管理业务一律通过政务服务和公共资源交易服务中心办理，杜绝体外循环和手工开证，实现危爆物品流向全程信息化监控。公安机关要充分运用危爆物品运输车辆轨迹信息，有针对性地强化治安卡口定点检查和路面动态巡查，并协调有关主管部门从严查处违法违规行为。

强化责任落实：建立危爆物品安全监管体系

《意见》要求，危爆物品从业单位要按照国家法律法规和安全标准，认真落实安全责任和安全制度，及时开展隐患自查和问题整改，坚决防患于未然。涉危爆单位必须逐一签订安全生产责任书，并全面落实单位法人的安全生产责任。对违法违规从事危爆物品生产经营运输活动、存在安全隐患不予整改的单位，依法停业整顿或吊销许可。

同时，四川将建立健全涉危爆物品岗位安全责任制度,对从业人员进行安全教育、法治教育和岗位技术培训,考核合格后才能上岗作业。对违规销售危爆物品的建立完善的安全管理体系，发生危爆物品丢失、被盗案件和爆炸等事故以及寄递企业违法收寄危爆物品的，要迅速查明原因，从严查处直接责任人及相关责任人的责任，依法予以处罚；涉嫌犯罪的，依法追究刑事责任。对违法违规的从业人员，记入社会征信系统。

此外，《意见》还要求各级人民政府要加强组织领导建立完善的安全管理体系，《四川省人民政府关于全面加强危爆物品管控工作的意见》解读二，认真落实党政同责、一岗双责、失职追责的要求，切实承担起危爆物品安全监管第一责任，坚决将安全监管抓紧抓实、将危爆物品管严管牢。对因安全监管工作不到位导致危爆物品丢失、被盗或发生重大安全事故的，要追究相关部门负责人和直接责任人的责任。对主管部门和工作人员陷入非法利益格局、插手干预危爆行业市场行为的，必须依法依纪严肃处理，绝不姑息纵容。

完善长效机制：涉危爆单位需落实24小时值班守护和视频巡查制度

《意见》要求，省直有关部门（单位）应建立危爆物品管控联席会议制度，定期分析安全监管形势、通报工作情况、协商解决行业问题，促进行业健康发展。针对危爆物品安全领域存在的普遍性问题或严重安全隐患，相关监管部门（单位）要统一认识、协调联动、无缝对接，适时开展集中检查、联合整治，形成监管执法工作合力。

相关部门需依法对涉危爆单位进行日常安全检查，全面排查安全隐患，坚决堵塞安全管理漏洞。对检查中发现的违法违规单位和个人，依法依规坚决予以打击查处。督促各涉危爆单位建立完善安全制度，加强安全设施投入，落实24小时值班守护和视频巡查制度。加强对安全隐患整改措施的跟踪督查，凡拒不整改或整改不到位的依法停业整顿。

此外，四川还将加大危爆物品行业内的安全宣传，建立举报奖励制度，鼓励群众检举揭发违法违规企业和违法购买、私藏、改制、使用危爆物品的行为。对举报属实的，要及时予以奖励，特别是举报有价值且可能制造暴力恐怖或报复社会重大案件线索的，要予以重奖。 （记者 董焦）