近年來，中國供應(yīng)鏈?zhǔn)袌霭l(fā)展迅速，并呈現(xiàn)出巨大潛力。據(jù)前瞻產(chǎn)業(yè)研究院《2016-2020年中國供應(yīng)鏈管理服務(wù)行業(yè)市場前瞻與商業(yè)模式分析報告》顯示，2015年，中國物流及供應(yīng)鏈相關(guān)總支出約14815億美元，其中物流及供應(yīng)鏈成本占GDP的比重為15%。同時，70%的物流及供應(yīng)鏈外包服務(wù)提供商年均業(yè)務(wù)增幅高于20%。

另一方面，隨著中國供應(yīng)鏈?zhǔn)袌龅姆睒s發(fā)展，第三方供應(yīng)商持續(xù)遭到網(wǎng)絡(luò)威脅，致使企業(yè)安全網(wǎng)絡(luò)環(huán)境受到破壞。究其原因，是企業(yè)無法對供應(yīng)鏈伙伴所使用的安全措施實現(xiàn)持續(xù)控制，無法預(yù)知潛在威脅，也缺少足夠的資源來實施高規(guī)格安全管理，這就使得供應(yīng)鏈發(fā)展成為網(wǎng)絡(luò)中最薄弱的環(huán)節(jié)。Palo Alto Networks(派拓網(wǎng)絡(luò))認(rèn)為，企業(yè)及其合作伙伴需要充分認(rèn)識這一風(fēng)險，并采取行動相互保護(hù)。

Palo Alto Networks(派[[259844]]拓網(wǎng)絡(luò))大中華區(qū)總裁陳文俊

軟件供應(yīng)鏈威脅往往是毀滅性的，因為它破壞了軟件供應(yīng)商與消費者之間的最基本信任。黑客通常會避開傳統(tǒng)網(wǎng)絡(luò)防御系統(tǒng)，對軟件及其交付流程發(fā)起進(jìn)攻，從而破壞多個系統(tǒng)。使用這些受損軟件的企業(yè)可能被勒索軟件劫持，丟失寶貴的專利信息并遭受商業(yè)損失。

企業(yè)之間的連接性日益緊密，這種連接性在為企業(yè)帶來商業(yè)利益的同時，也帶來了安全風(fēng)險。網(wǎng)絡(luò)犯罪分子非常了解這些連接，并會利用它們訪問那些保護(hù)不佳的網(wǎng)絡(luò)，供應(yīng)鏈中涉及的企業(yè)之所以被黑客鎖定，是因為他們通常無法預(yù)知潛在威脅，也缺少足夠的資源來實施高規(guī)格安全管理。黑客會優(yōu)先選擇小型企業(yè)，在系統(tǒng)潛伏多年后尋找企業(yè)薄弱點。

在當(dāng)今物聯(lián)網(wǎng)，數(shù)字貿(mào)易關(guān)系，以及機(jī)器人流程自動化領(lǐng)域，可形成破壞的網(wǎng)絡(luò)漏洞大幅增加。企業(yè)雖已經(jīng)準(zhǔn)備好相應(yīng)安全工具并已采取相應(yīng)防護(hù)措施，但仍需咨詢供應(yīng)商，以及供應(yīng)商的供應(yīng)商，進(jìn)而確保整個供應(yīng)鏈里的各家廠商都采用統(tǒng)一的保護(hù)等級。

有鑒于此，全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè)Palo Alto Networks(派拓網(wǎng)絡(luò))推薦以下三種方法來確保供應(yīng)鏈安全無虞，包括：

1. 審查內(nèi)部和外部安全流程：企業(yè)應(yīng)審查內(nèi)部以及供應(yīng)商和合作伙伴的基礎(chǔ)設(shè)施架構(gòu)。雖然企業(yè)內(nèi)部系統(tǒng)可能采取了強(qiáng)大的安全措施來阻截各種直接發(fā)起進(jìn)攻，但第三方合作伙伴卻不一定遵循相同的嚴(yán)格標(biāo)準(zhǔn)。因此，企業(yè)在將供應(yīng)商完全整合至內(nèi)部基礎(chǔ)架構(gòu)之前，需優(yōu)先實施供應(yīng)商審查計劃。

2. 制定書面安全指南和控制措施：網(wǎng)絡(luò)犯罪分子可以使用供應(yīng)商的網(wǎng)站來托管惡意軟件。因此，無論供應(yīng)商是否有高級網(wǎng)絡(luò)安全技術(shù)資源，企業(yè)都應(yīng)盡量要求他們遵循相關(guān)流程和協(xié)議，以便盡可能地降低產(chǎn)生此類漏洞的可能性。企業(yè)可在書面協(xié)議中要求供應(yīng)商及時通告其內(nèi)部所有安全事件，并定期提交安全報告以確定其網(wǎng)絡(luò)安全狀態(tài)。

3. 對員工和供應(yīng)商進(jìn)行安全實踐培訓(xùn)/分享：技術(shù)至關(guān)重要，但人為失誤仍然是造成當(dāng)前數(shù)據(jù)泄露的頭號原因。IBM《網(wǎng)絡(luò)安全情報索引》顯示95%的安全事件都是人為失誤造成，從點擊鏈接、釣魚郵件到瀏覽不良網(wǎng)站等不同來源感染病毒，進(jìn)而成為其他高級持續(xù)性威脅(APT)的對象。

企業(yè)必須對所有員工進(jìn)行安全實踐培訓(xùn)，以幫助他們更好地識別潛在威脅。此外，安全培訓(xùn)項目應(yīng)持續(xù)更新內(nèi)容，從而將這些雇員打造成為防范此類安全事件的首道堅固防線。

此外，在保護(hù)公司知識產(chǎn)權(quán)和客戶信息方面，企業(yè)必須重視供應(yīng)鏈帶來的風(fēng)險。網(wǎng)絡(luò)犯罪分子會對企業(yè)網(wǎng)絡(luò)安全進(jìn)行地毯式掃描，一旦發(fā)現(xiàn)漏洞便發(fā)起進(jìn)攻。作為企業(yè)必須填補(bǔ)好每個漏洞，包括供應(yīng)鏈所有環(huán)節(jié)。

備注1：報告內(nèi)容來自文章《中國供應(yīng)鏈管理專題市場調(diào)研分析》