方法论

MMOG V6解读之30 | 决不能轻视网络安全的威胁

颜家平

结论摘要

MMOG/LE V6明确要求企业制定供应链网络安全策略,涵盖可信采购、网络隔离、员工培训等关键措施。忽视供应商端安全将导致攻击通过薄弱环节渗透至整个供应链,造成业务中断与数据泄露。有效的网络安全管理需制度、技术与人员意识协同推进。

  • MMOG V6将供应链网络安全条款前置至第一章,凸显其战略优先级。
  • 企业必须对供应商实施安全准入审核,并将网络安全要求写入采购合同。
  • 仅靠技术防护不足,需结合FMEA流程、最小权限原则和持续员工培训构建纵深防御体系。
MMOG V6解读之30 | 决不能轻视网络安全的威胁

**MMOGV6中的1.7.1.2 F3 机构应制定有关供应链网络安全威胁的策略。特别是为减少风险而开展的典型供应链网络安全活动,包括只从可信赖的供应商处采购,将关键设备与外部网络断开连接,以及培训用户应对威胁和采取保护措施等。**本条款与V5版相比较,基本上没有变化。只是与前一条款一样,从V5版的第二章节前移到了第一章节,说明其重要性的提高。

随着供应链管理日益复杂,其中包含的信息也变得越来越多。随着数字化、智能化技术的进步,供应链管理数据的种类和数量也在迅速增长。在这些数据中,包括产品、供应商、物流和客户数据等。然而,这些数据也成为供应链管理的薄弱点,因为它们需要在多个环节中共享,并且很容易成为黑客攻击的目标。在供应链管理中,数据隐私和安全变得至关重要,因为一旦泄露,这些数据将会对企业造成巨大的损失。针对当前供应链网络安全重要性日益凸显的情况,MMOG编写者对企业和供应商提出了网络风险评估和应对条款并赋予了条款的否决权。

**企业与供应链部门首先要充分关注供应链网络安全。因为供应链在运行中可能存在漏洞和问题,或者在供应链的任何一点被攻击者利用。**当他们使用外部合作伙伴(例如供应商)拥有或使用的应用程序和服务破坏企业网络时,就会发生对于供应链所发动的网络攻击。在攻击中,攻击者会将供应链作为攻击对象,先攻击供应链中安全防护相对薄弱的企业,然后再利用供应链之间的相互连接等,将风险扩大至上下游企业,产生攻击涟漪效应和巨大的破坏性,脆弱的供应链可能会造成系统业务损害和中断。如制造企业可能会因为其中一个供应商受到软件攻击而导致关键制造组件的供应中断。但是,很多企业长期以来只关注自身内部供应链的防护,而忽略了供应商外部供应链的安全状况,导致未经过严格安全认证与审核的访问进入企业,带来巨大风险。企业制定有关供应链网络安全威胁的政策势在必行。

图片:来源于网络

**为了降低供应链的网络风险,企业及供应链部门要建立专门的组织和设立专职的岗位来关注网络安全问题。组织不但要关注企业内部,也要放眼企业外部的服务商和供应商。**组织要建立专门的流程来梳理每一个软件、每一个环节、每一个部门和每一个供应商是否存在网络安全问题,并提出相应的防范措施。这个流程应该与物流FMEA相结合,可以作为FMEA的一部分。

图片:来源于网络

为了降低供应链的网络风险,企业应制定完善的政策,包括制定有关数据安全、信息共享、访问和授权协议的明确政策。必须定义企业如何监控数据以及需要在企业级签订哪些安全协议。与合作伙伴讨论企业的要求,确定他们采取什么措施来防范网络安全威胁。聘请具有物流供应链经验的专业网络安全专家来培训管理层和员工,并从他们那里获取宝贵经验,请他们为企业提供量身定制的安全方法。

**为了降低供应链的网络风险,企业在选择软件供应商和服务商开始,从可信赖的供应商处进行采购,要了解和审核他们的背景,评审他们在网络安全上所提供的防范措施是否有效。**是否在今后运营中能够不断更新软件,提高防范等级。而且将网络安全的内容写进《采购合同》中去。确保网络运营在初始阶段就得到安全保障。

**为了降低供应链的网络风险,企业需查看第三方供应商和服务商的背景和资质,确保对方可靠后才允许其访问。应落实完备的第三方风险管理计划,**通过最小特权原则限制第三方访问,确保第三方在相关工作完成后系统权限被终止。企业在使用外部网络时,必须使用旨在检测意外行为、发现恶意代码并拒绝访问潜在威胁的工具来控制第三方连接,进而具备在需要时将关键设备与外部网络断开连接的能力。

**为了降低供应链的网络风险,企业需要在供应链网络应用中采用加密技术。加密技术是一种保护数据安全的有效方式。**在供应链管理中,加密可以在数据传输和存储过程中保护数据的机密性。因此,加密技术应该在企业好他们的供应商中得到广泛应用。企业应该采用强加密算法来加密数据,以确保数据不会在传输和存储过程中被窃取或篡改。此外,还应该使用密码学技术来保护数据的完整性和真实性,以避免数据被篡改。

**为了降低供应链的网络风险,企业需要对网络安全进行持续维护,实施复杂的方法并非一蹴而就。**原因是恶意软件、勒索软件、威胁和漏洞会不时演变。因此,更新和修补软件系统对于防范网络安全风险和威胁至关重要。它需要持续监控软件功能和网络安全、识别漏洞并采取相应措施。企业应对其管理系统进行定期检查,有许多企业曾遭受过被数据和网络攻击。

图片:来源于网络

**为了降低供应链的网络风险,企业必须加强员工的网络安全防范意识。**严格培训员工的供应链安全意识,以及制定严格的安全规范,建立可信的办公环境,如采购安全可信的办公应用工具等等,确保员工随时随地办公(即使在家办公)的安全性。要培训用户供应商应对威胁和采取保护措施的能力,一旦发现供应链网络上有问题,立刻实施预定的保障方案,把事故限定在最小范围内。

供应链管理是一种优化运营、带来稳定性并提高公司整体运营能力的复杂方法。然而,企业供应链近年来变得容易受到网络攻击,因为越来越多的企业对供应链的网络安全没有足够的重视,在没有可靠安全协议的情况下对其系统进行了数字化。这给网络罪犯带来了机会,他们实施恶意软件(例如勒索软件和恶意软件)并破坏它,以窃取敏感数据和信息**。因此,企业必须为供应商建立合规标准,包括制造商,物流商,供应商和分销商。**

在数字化应用覆盖企业方方面面的今天,人为因素构成的威胁也进一步放大。新的时代下,网络安全技术防御体系依然十分关键。但良好的防护能力中,起关键性作用的仍然是有效的网络安全管理体系。

核心要点

  1. 1 供应链网络安全不再是IT部门的专属责任,而是贯穿采购、物流与运营的跨职能管理议题。
  2. 2 将关键设备与外部网络物理或逻辑隔离,是阻断横向移动攻击的有效手段之一。
  3. 3 员工安全意识薄弱是重大风险源,常态化培训与模拟演练不可或缺。

常见问题

为什么MMOG V6特别强调供应链网络安全?
因为现代供应链高度互联,任一供应商的安全漏洞都可能被攻击者利用,引发连锁反应。V6将相关条款从第二章移至第一章,表明其已从操作要求升级为战略风险管控重点。
企业该如何落实1.7.1.2 F3条款中的网络安全策略?
应建立专职团队,制定覆盖数据加密、第三方访问控制、软件更新和应急响应的政策,并将安全要求嵌入供应商选择、合同签订及日常协作全流程,同时定期开展供应链网络风险评估。
只保护企业内部网络是否足够?
远远不够。大量攻击通过供应商系统或第三方服务切入,如未对合作伙伴实施同等安全标准,企业内网仍会暴露在风险中。必须将安全边界扩展至整个供应链生态。