自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

从供应链安全看企业信息化系统的风险管控与防范机制

——以SONY东南亚总部为例

文 | 张永宏

张永宏

毕业于西安电子科技大学，计算机信息管理专业。现担任高校客座讲师及企业信息化管理咨询工作。

供应链与信息系统的安全的辩证关系

现代企业对供应链的认知比以往更加显得重要，供应链的安危直接关乎企业的生死存亡，这已经不是危言耸听而是绕不开的一种存在。

自从有了人类，信息交互就如影随形，在历朝历代的大事件和各种斗争中信息系统发挥着及其重要的作用，很多时候都是因此而改变了历史走向甚至改朝换代。在网络时代供应链的决策者虽然依然是人，但整改供应链的视觉系统、神经系统以及决策系统的关键还是在信息系统。如果是供应链是整个企业、产业甚至行业的生态，信息化系统的存在就是阳光、空气、水一样的资源。信息系统的风险直接影响到了供应链安全，由此产生的叠加效应会不断放大，如同冲击波一样造成难以想象的灾难。

SONY是一家国际著名跨国企业，其视听产品在全球都有领袖的地位，自从有了世界500强的概念，SONY在上个世纪90年代排名从没有离开前五，最佳排名仅次于HP具有第二位。我就用自己在SONY东南亚总部工作的五年多时间的切实感受和企业文化浸润来分享下这个著名跨国企业的供应链管理典型特点和经典案例。

战后的日本从废墟上快速崛起的最关键要素就是创新。而创新的根本就是重视学习和对知识的反复思考以及对细节的精细琢磨。日本是一个资源严重匮乏的岛国、虽然四周环海似乎能带来海洋交通的便利但岛弧链正好在板块交界的地震带上。险恶的自然环境让大和民族从远古就奠定了求生图存的基因，好学勤思是其显著特点，二战后抓住和平时机快速崛起也诞生了推动世界进步的著名企业和经营管理知识。这也给上世纪八十年代改革开发的中国掀起了学习日本企业精细化管理的热潮。SONY公司虽然今非昔比，但她与松下东芝等领导消费电子风骚几十年的成绩还是有目共睹的。特别是SONY这个对技术研发投入极大的公司，可以对供应链做到极致，对突发的危机应对从容，对未来的风险精准预测和提前防范的理念在当下依然有着极强的生命力和存在意义。

SONY的70%生产和销售是面向海外市场的，她把经营能力、技术力量和市场力量完美统一，成为现代企业国际化战略的先驱和经典代表；把生产和销售做到一元化的国际企业就这一家别无分号。首先是SONY的多变化特征就是和著名的海外一流企业结缘；以信誉做背书推荐国际化战略。第二就是以人才为中心开展活动，这与中国华为的战略非常相似。第三就是其体制有别于复合型企业。美资的复合型企业是对资金和经营能力不足的企业通过收购形成的，而SONY的经营能力是自己播种，长期培养而形成的体制。

在战略、人才、体制三位一体的合力下，结合自研的EICT信息化系统并使用当时非常先进的软件GEIS，加上SONY 自己保存业务独立并和全球船务公司保持长期密切的联系和互动，SONY是一个很有特殊绝无仅有的供应链安全的国际化企业。人的作用是关键中的关键，管理方式虽然是方法论，但辅之于先进的理念就完全不一样了，所以战略+人才+体制是三足支鼎的秘密所在，SONY的技术论坛something is wrong至今让我很怀念。分类、分段、0库存、运输、货仓、时间管控、协调成本、技术优化、倒排工期等非常先进的理念构成了精细化管理的主干。

2021年已经发生的重大影响网络攻击案件

对供应链的破坏作用

以下是2021年很严重的网络安全漏洞事件，如果你考虑从事网络安全的话，来看看它们的影响，以及它意味着什么。

Microsoft Exchange Server，一个电子邮件、联系人、日程安排、日历和协作平台，经历了影响全球数百万客户的大规模网络攻击，包括疾病研究人员、国防承包商、大学和其他具有高度敏感信息的组织。攻击者利用了四个单独的零日漏洞，这些漏洞是已知的尚未修补的软件安全漏洞。其结果是持续攻击了大约25万台服务器。作为回应，微软必须发布服务器更新，以防范关键漏洞和消除检测到的威胁的工具。该公司正在与各国政府合作，努力控制损害，保护客户免受持续的威胁。

攻击者破水系统在佛罗里达州的Oldsmar。在很短的一段时间里，黑客们能够将城市水资源中的氢氧化钠含量提高到潜在的危险水平。如果没有及时发现突然的变化，污染的水源可能会毒害城市居民。从国家安全的角度来看，网络安全专业人士正与联邦调查局合作，调查这起事件，并在全国范围内防止进一步的攻击。

CNA金融是美国最大的网络保险公司之一。被迫将他们的系统与他们的网络断开并关闭正常的业务运作。网络安全漏洞对包括公司电子邮件在内的系统造成了持续的网络破坏。该公司要求第三方网络安全法医专家进行调查，并迅速启动缓解措施。

当总部位于台湾的跨国电脑制造商宏碁在2021年3月遭到赎金攻击时，袭击者索要5,000万美元是迄今为止已知的最大的网络犯罪赎金。据信，网络罪犯利用了Microsoft Exchange攻击造成的漏洞。宏碁宣布，他们将不断更新网络安全基础设施，并与执法机构合作。

Accellion 供应链攻击，Accellion是一家专门从事安全文件共享和协作的技术公司。修补安全漏洞发生在2020年12月。在接下来的几个月里，一系列漏洞暴露出来，使数十家大公司、大学和政府机构面临来自网络罪犯的敲诈和威胁。该公司称，其网络安全团队一直在日以继夜地致力于开发和发布修补程序，以解决漏洞。

美国时间5月7日，受黑客侵袭，美国最大燃油管道运营商Colonial被迫关闭了整个管道系统，直接导致美国汽油期货价格飙涨4%，一度创出近3年新高。5月11日，全美汽油零售价上升至每加仑2.985美元，刷新了近六年来的最高水平，更是引起民众恐慌，一度掀起抢油潮，导致美国多个地区的加油站一度无油可卖克罗尼尔公司每天运送多达1亿加仑的汽油、柴油、航空煤油与家用燃料油，占美国东岸燃油供应的45%，负责美国7个机场的燃油供应。在遭受涉及勒索的网络安全攻击后，Colonial迅速采取系统脱机的预防性关闭方式控制威胁蔓延，同时也自然中止了所有管道的运营。

5月9日，为解决各地能源短期供应问题，联邦交通部在总统拜登的指示下发布“区域紧急状态”进行时间豁免，允许成品油以非管道形式的紧急调配来保障短时间内的各地供应，克罗尼尔公司也将采取移至码头的海运方式实现交付。本次事件不仅将对该公司的运营能力和声誉造成严重打击，而且随着时间推移，还将对全美能源供应稳定、基础设施网络安全形势、国内国际油价波动产生重要影响。Colonial公司是以无法追踪交易往来的加密货币支付的赎金，将75个比特币转到了黑客指定的钱包中，大约500万美元（约合人民币3200万元），黑客收到付款后提供了解密工具帮助恢复其计算机网络。当地时间5月13日，遭到黑客攻击被迫关闭输油管道的Colonial，最终还是向黑客支付了赎金以恢复被攻击的系统。

成功勒索美国最大燃油管道运营商Colonial后，黑客又攻击了全球最大的肉类供应商JBS。当地时间5月31日，JBS向外界表示，公司服务器遭到黑客有组织的攻击，受影响的系统包括美国分部和澳大利亚分部，部分工厂暂停作业。JBS总部位于巴西圣保罗，是巴西最大的跨国食品加工集团，也是全球最大的肉食加工企业，年营收超过500亿美元（约合人民币3185亿元），在财富全球500强中排名第191位，其在全球20多个国家拥有肉类加工工厂，全球员工多达24万余人，澳大利亚和新西兰的业务占公司收入的4%，加拿大业务占3%，其在美国业务至关重要，每年营收占比都超过50%。作为全球最大的动物蛋白供应商，JBS的员工多达24万余人，产品出口到150多个国家和地区，不免令人担忧，一旦长时间大面积停产，可能会再次冲击全球肉类供应链。作为全球最大的动物蛋白供应商，JBS在全球范围每天屠宰约10万头牛、1400万只鸡、14万头猪、近3万头羊，是全球第一大牛肉公司、第一大鸡肉公司、第二大猪肉公司、第四大羊肉公司，产品出口到150多个国家和地区。如今向亚洲出口的总量中，中国市场的份额达到20%左右，中国已经成为了JBS全球的重要市场之一。仅澳大利亚的网络攻击便会影响成千上万的JBS工人，他们将无法重返工作岗位。导致本已受到疫情冲击的全球食品供应链又遇新威胁。

此次黑客攻击，发生在美国最大的油气管道运营商，惊动了在休假的美国总统拜登，当地时间5月9日，美国宣布进入国家紧急状态。根据网络安全机构的调查，实施此次袭击的黑客团体名为“黑暗面”，他们的手段是对目标系统植入恶意软件，以索要赎金。这种恶意软件被称作“勒索病毒”，它可对目标系统内的数据进行强行加密，直至受害者支付赎金，黑客才将其解锁，才能恢复系统正常运转。这标志着黑客将大宗商品业务纳入了他们的攻击视野每一次网络攻击都证明了这一点，网络攻击每天都变得越来越复杂和大胆。在各个行业，网络安全专业人员在保护公司、组织、政府和个人免受伤害方面发挥关键作用。

值得一提的是，在拿到赎金后，黑客团队“黑暗面”运营的一个网站便进入瘫痪状态，“黑暗面”已通知其伙伴公司，由于美执法机构的干扰和压力，该团队正在解散。但有网络安全研究专家表示，该黑客团队解散大概率只是噱头，黑客只是想以此方式隐藏自己的踪迹，躲避执法部门的追捕，不排除他们会以另一个名字重启。攻击者选择在周末攻击公司系统，大概率也涉及勒索软件。

后疫情时代网络安全

为关乎民生国计的供应链安全

有着重大战略意义

C-TPAT这个成立于2005年3月25日的海关与商界反恐计划，历尽十多年依然发挥着极其重要的作用。ISO PAS17712安全封条是为了保障货柜安全；门岗控制与人员安全发挥的作用在高科技的赋能下为供应链安全起着封印的作用！再次启用马克思在资本论中对人的定义，在生产力和生产关系中，人是最活跃最革命的因素。所以培训和宣传对于营造良好的供应链生态环境有着决定性的战略意义。供应链影响面从小处看是一个企业、大的方面看与之相关联的上下游点、线、面、域都会或多或少的发挥着关系上的互动作用。就那近期的能源危机、油气涨价、煤电涨价导致的限电限产，导致镁矿因限电不得不限产，而镁的产量与煤又有密切关系，在碳达峰和碳中和的大背景下，汽车芯片还在扼喉、新能源的关键材料镁又出状况，这些联动的关系影响到了国际市场股价大幅波动，股市是经济的晴雨表，而资本又以逐利为根本目的，这一切环环相扣无法解开而独立存在的现象对于供应链安全提出了更深刻的思考和部署。人、软硬件、信息系统、控管策略、政策法规以及最重要的因素之一环境都是非常关键的链条部位。从索马里海盗，地缘政治，历史怨缘等都是对公平公正和世界规则提出挑战。对于一个企业而言，虽然从宏观面上看只是一个点，一个大链上的环节，但对于自身或者行业来说缺是一个完整的供应链。其社会责任与企业担当对于安全的认知绝对不应该只考虑自身利益。

（注：作者于2000年5月到2005年8月在SONY东南亚总部SDS供职）

诸子笔会 |11月征文合集《供应链安全》

蔚晨：金融机构供应链安全的分析方法和应对之道

诸子笔会 |10月征文合集《安全周》

张永宏 王振东 赵锐 蔚晨

刘志诚 刘顺 肖文棣 季奖公布

诸子笔会 |9月征文合集《安全团队》

刘志诚  张永宏  刘顺  杨文斌  蔚晨

王振东  孙琦  肖文棣  赵锐 月奖公布

诸子笔会 |8月征文合集《数据安全》

诸子笔会 | 7月征文合集《安全自动化》

诸子笔会 | 6月征文合集《安全数字化》

齐心抗疫 与你同在