❶ 黑客盯上了民生領域,全球最大肉類供應商遭黑客攻擊,網路安全有多重要
最近黑客盯上了新的獵物,攻擊了全球最大肉類供應商JBS。這帶來的後果就是全球的肉類供應出問題,一旦發生停產,就會沖擊全球肉類供應業,引發一系列的連鎖反應。黑客對民生領域的襲擊,會帶來的不只是相關行業的金錢損失,還會帶來全球某一供應鏈的震動,引發真正的民生供應問題,造成恐慌。
一、JBS事件
五月末的時候JBS遭到黑客攻擊,受影響的部分包括美國分部和澳大利亞分部,部分工廠暫停營業。至於黑客攻擊的部分目前為止只是造成了與客戶交易的延遲,對於加工廠是否受到攻擊JBS沒有進行說明。澳大利亞獲知此事後,目前正在與JBS進行合作解決,黑客的攻擊一般是勒索錢財,但是目前為止沒有報道中出現黑客的具體利益要求,也就是說事情其實還未明朗。
❷ 工業互聯網時代的風險管理:工業4.0與網路安全
2009年,惡意軟體曾操控某核濃縮工廠的離心機,導致所有離心機失控。該惡意軟體又稱「震網」,通過快閃記憶體驅動器入侵獨立網路系統,並在各生產網路中自動擴散。通過「震網」事件,我們看到將網路攻擊作為武器破壞聯網實體工廠的可能。這場戰爭顯然是失衡的:企業必須保護眾多的技術,而攻擊者只需找到一個最薄弱的環節。
但非常重要的一點是,企業不僅需要關注外部威脅,還需關注真實存在卻常被忽略的網路風險,而這些風險正是由企業在創新、轉型和現代化過程中越來越多地應用智能互聯技術所引致的。否則,企業制定的戰略商業決策將可能導致該等風險,企業應管控並降低該等新興風險。
工業4.0時代,智能機器之間的互聯性不斷增強,風險因素也隨之增多。工業4.0開啟了一個互聯互通、智能製造、響應式供應網路和定製產品與服務的時代。藉助智能、自動化技術,工業4.0旨在結合數字世界與物理操作,推動智能工廠和先進製造業的發展 。但在意圖提升整個製造與供應鏈流程的數字化能力並推動聯網設備革命性變革過程中,新產生的網路風險讓所有企業都感到措手不及。針對網路風險制定綜合戰略方案對製造業價值鏈至關重要,因為這些方案融合了工業4.0的重要驅動力:運營技術與信息技術。
隨著工業4.0時代的到來,威脅急劇增加,企業應當考慮並解決新產生的風險。簡而言之,在工業4.0時代制定具備安全性、警惕性和韌性的網路風險戰略將面臨不同的挑戰。當供應鏈、工廠、消費者以及企業運營實現聯網,網路威脅帶來的風險將達到前所未有的廣度和深度。
在戰略流程臨近結束時才考慮如何解決網路風險可能為時已晚。開始制定聯網的工業4.0計劃時,就應將網路安全視為與戰略、設計和運營不可分割的一部分。
本文將從現代聯網數字供應網路、智能工廠及聯網設備三大方面研究各自所面臨的網路風險。3在工業4.0時代,我們將探討在整個生產生命周期中(圖1)——從數字供應網路到智能工廠再到聯網物品——運營及信息安全主管可行的對策,以預測並有效應對網路風險,同時主動將網路安全納入企業戰略。
數字化製造企業與工業4.0
工業4.0技術讓數字化製造企業和數字供應網路整合不同來源和出處的數字化信息,推動製造與分銷行為。
信息技術與運營技術整合的標志是向實體-數字-實體的聯網轉變。工業4.0結合了物聯網以及相關的實體和數字技術,包括數據分析、增材製造、機器人技術、高性能計算機、人工智慧、認知技術、先進材料以及增強現實,以完善生產生命周期,實現數字化運營。
工業4.0的概念在物理世界的背景下融合並延伸了物聯網的范疇,一定程度上講,只有製造與供應鏈/供應網路流程會經歷實體-數字和數字-實體的跨越(圖2)。從數字回到實體的跨越——從互聯的數字技術到創造實體物品的過程——這是工業4.0的精髓所在,它支撐著數字化製造企業和數字供應網路。
即使在我們 探索 信息創造價值的方式時,從製造價值鏈的角度去理解價值創造也很重要。在整個製造與分銷價值網路中,通過工業4.0應用程序集成信息和運營技術可能會達到一定的商業成果。
不斷演變的供應鏈和網路風險
有關材料進入生產過程和半成品/成品對外分銷的供應鏈對於任何一家製造企業都非常重要。此外,供應鏈還與消費者需求聯系緊密。很多全球性企業根據需求預測確定所需原料的數量、生產線要求以及分銷渠道負荷。由於分析工具也變得更加先進,如今企業已經能夠利用數據和分析工具了解並預測消費者的購買模式。
通過向整個生態圈引入智能互聯的平台和設備,工業4.0技術有望推動傳統線性供應鏈結構的進一步發展,並形成能從價值鏈上獲得有用數據的數字供應網路,最終改進管理,加快原料和商品流通,提高資源利用率,並使供應品更合理地滿足消費者需求。
盡管工業4.0能帶來這些好處,但數字供應網路的互聯性增強將形成網路弱點。為了防止發生重大風險,應從設計到運營的每個階段,合理規劃並詳細說明網路弱點。
在數字化供應網路中共享數據的網路風險
隨著數字供應網路的發展,未來將出現根據購買者對可用供應品的需求,對原材料或商品進行實時動態定價的新型供應網路。5由於只有供應網路各參與方開放數據共享才可能形成一個響應迅速且靈活的網路,且很難在保證部分數據透明度的同時確保其他信息安全,因此形成新型供應網路並非易事。
因此,企業可能會設法避免信息被未授權網路用戶訪問。 此外,他們可能還需對所有支撐性流程實施統一的安全措施,如供應商驗收、信息共享和系統訪問。企業不僅對這些流程擁有專屬權利,它們也可以作為獲取其他內部信息的接入點。這也許會給第三方風險管理帶來更多壓力。在分析互聯數字供應網路的網路風險時,我們發現不斷提升的供應鏈互聯性對數據共享與供應商處理的影響最大(圖3)。
為了應對不斷增長的網路風險,我們將對上述兩大領域和應對戰略逐一展開討論。
數據共享:更多利益相關方將更多渠道獲得數據
企業將需要考慮什麼數據可以共享,如何保護私人所有或含有隱私風險的系統和基礎數據。比 如,數字供應網路中的某些供應商可能在其他領域互為競爭對手,因此不願意公開某些類型的數據,如定價或專利品信息。此外,供應商可能還須遵守某些限制共享信息類型的法律法規。因此,僅公開部分數據就可能讓不良企圖的人趁機獲得其他信息。
企業應當利用合適的技術,如網路分段和中介系統等,收集、保護和提供信息。此外,企業還應在未來生產的設備中應用可信的平台模塊或硬體安全模塊等技術,以提供強大的密碼邏輯支持、硬體授權和認證(即識別設備的未授權更改)。
將這種方法與強大的訪問控制措施結合,關鍵任務操作技術在應用點和端點的數據和流程安全將能得到保障。
在必須公開部分數據或數據非常敏感時,金融服務等其他行業能為信息保護提供範例。目前,企業紛紛開始對靜態和傳輸中的數據應用加密和標記等工具,以確保數據被截獲或系統受損情況下的通信安全。但隨著互聯性的逐步提升,金融服務企業意識到,不能僅從安全的角度解決數據隱私和保密性風險,而應結合數據管治等其他技術。事實上,企業應該對其所處環境實施風險評估,包括企業、數字供應網路、行業控制系統以及聯網產品等,並根據評估結果制定或更新網路風險戰略。總而言之,隨著互聯性的不斷增強,上述所有的方法都能找到應實施更高級預防措施的領域。
供應商處理:更廣闊市場中供應商驗收與付款
由於新夥伴的加入將使供應商體系變得更加復雜,核心供應商群體的擴張將可能擾亂當前的供應商驗收流程。因此,追蹤第三方驗收和風險的管治、風險與合規軟體需要更快、更自主地反應。此外,使用這些應用軟體的信息安全與風險管理團隊還需制定新的方針政策,確保不受虛假供應商、國際制裁的供應商以及不達標產品分銷商的影響。消費者市場有不少類似的經歷,易貝和亞馬遜就曾發生過假冒偽劣商品和虛假店面等事件。
區塊鏈技術已被認為能幫助解決上述擔憂並應對可能發生的付款流程變化。盡管比特幣是建立貨幣 歷史 記錄的經典案例,但其他企業仍在 探索 如何利用這個新工具來決定商品從生產線到各級購買者的流動。7創建團體共享 歷史 賬簿能建立信任和透明度,通過驗證商品真實性保護買方和賣方,追蹤商品物流狀態,並在處理退換貨時用詳細的產品分類替代批量分揀。如不能保證產品真實性,製造商可能會在引進產品前,進行產品測試和鑒定,以確保足夠的安全性。
信任是數據共享與供應商處理之間的關聯因素。企業從事信息或商品交易時,需要不斷更新其風險管理措施,確保真實性和安全性;加強監測能力和網路安全運營,保持警惕性;並在無法實施信任驗證時保護該等流程。
在這個過程中,數字供應網路成員可參考其他行業的網路風險管理方法。某些金融和能源企業所採用的自動交易模型與響應迅速且靈活的數字供應網路就有諸多相似之處。它包含具有競爭力的知識產權和企業賴以生存的重要資源,所有這些與數字供應網路一樣,一旦部署到雲端或與第三方建立聯系就容易遭到攻擊。金融服務行業已經意識到無論在內部或外部演算法都面臨著這樣的風險。因此,為了應對內部風險,包括顯性風險(企業間諜活動、蓄意破壞等)和意外風險(自滿、無知等),軟體編碼和內部威脅程序必須具備更高的安全性和警惕性。
事實上,警惕性對監測非常重要:由於製造商逐漸在數字供應網路以外的生產過程應用工業4.0技術,網路風險只會成倍增長。
智能生產時代的新型網路風險
隨著互聯性的不斷提高,數字供應網路將面臨新的風險,智能製造同樣也無法避免。不僅風險的數量和種類將增加,甚至還可能呈指數增長。不久前,美國國土安全部出版了《物聯網安全戰略原則》與《生命攸關的嵌入式系統安全原則》,強調應關注當下的問題,檢查製造商是否在生產過程中直接或間接地引入與生命攸關的嵌入式系統相關的風險。
「生命攸關的嵌入式系統」廣義上指幾乎所有的聯網設備,無論是車間自動化系統中的設備或是在第三方合約製造商遠程式控制制的設備,都應被視為風險——盡管有些設備幾乎與生產過程無關。
考慮到風險不斷增長,威脅面急劇擴張,工業4.0時代中的製造業必須徹底改變對安全的看法。
聯網生產帶來新型網路挑戰
隨著生產系統的互聯性越來越高,數字供應網路面臨的網路威脅不斷增長擴大。不難想像,不當或任意使用臨時生產線可能造成經濟損失、產品質量低下,甚至危及工人安全。此外,聯網工廠將難以承受倒閉或其他攻擊的後果。有證據表明,製造商仍未准備好應對其聯網智能系統可能引發的網路風險: 2016年德勤與美國生產力和創新製造商聯盟(MAPI)的研究發現,三分之一的製造商未對工廠車間使用的工業控制系統做過任何網路風險評估。
可以確定的是,自進入機械化生產時代,風險就一直伴隨著製造商,而且隨著技術的進步,網路風險不斷增強,物理威脅也越來越多。但工業4.0使網路風險實現了迄今為止最大的跨越。各階段的具體情況請參見圖4。
從運營的角度看,在保持高效率和實施資源控制時,工程師可在現代化的工業控制系統環境中部署無人站點。為此,他們使用了一系列聯網系統,如企業資源規劃、製造執行、監控和數據採集系統等。這些聯網系統能夠經常優化流程,使業務更加簡單高效。並且,隨著系統的不斷升級,系統的自動化程度和自主性也將不斷提高(圖5)。
從安全的角度看,鑒於工業控制系統中商業現貨產品的互聯性和使用率不斷提升,大量暴露點將可能遭到威脅。與一般的IT行業關注信息本身不同,工業控制系統安全更多關注工業流程。因此,與傳統網路風險一樣,智能工廠的主要目標是保證物理流程的可用性和完整性,而非信息的保密性。
但值得注意的是,盡管網路攻擊的基本要素未發生改變,但實施攻擊方式變得越來越先進(圖5)。事實上,由於工業4.0時代互聯性越來越高,並逐漸從數字化領域擴展到物理世界,網路攻擊將可能對生產、消費者、製造商以及產品本身產生更廣泛、更深遠的影響(圖6)。
結合信息技術與運營技術:
當數字化遇上實體製造商實施工業4.0 技術時必須考慮數字化流程和將受影響的機器和物品,我們通常稱之為信息技術與運營技術的結合。對於工業或製造流程中包含了信息技術與運營技術的公司,當我們探討推動重點運營和開發工作的因素時,可以確定多種戰略規劃、運營價值以及相應的網路安全措施(圖7)。
首先,製造商常受以下三項戰略規劃的影響:
健康 與安全: 員工和環境安全對任何站點都非常重要。隨著技術的發展,未來智能安全設備將實現升級。
生產與流程的韌性和效率: 任何時候保證連續生產都很重要。在實際工作中,一旦工廠停工就會損失金錢,但考慮到重建和重新開工所花費的時間,恢復關鍵流程可能將導致更大的損失。
檢測並主動解決問題: 企業品牌與聲譽在全球商業市場中扮演著越來越重要的角色。在實際工作中,工廠的故障或生產問題對企業聲譽影響很大,因此,應採取措施改善環境,保護企業的品牌與聲譽。
第二,企業需要在日常的商業活動中秉持不同的運營價值理念:
系統的可操作性、可靠性與完整性: 為了降低擁有權成本,減緩零部件更換速度,站點應當采購支持多個供應商和軟體版本的、可互操作的系統。
效率與成本規避: 站點始終承受著減少運營成本的壓力。未來,企業可能增加現貨設備投入,加強遠程站點診斷和工程建設的靈活性。
監管與合規: 不同的監管機構對工業控制系統環境的安全與網路安全要求不同。未來企業可能需要投入更多,以改變環境,確保流程的可靠性。
工業4.0時代,網路風險已不僅僅存在於供應網路和製造業,同樣也存在於產品本身。 由於產品的互聯程度越來越高——包括產品之間,甚至產品與製造商和供應網路之間,因此企業應該明白一旦售出產品,網路風險就不會終止。
風險觸及實體物品
預計到2020年,全球將部署超過200億台物聯網設備。15其中很多設備可能會被安裝在製造設備和生產線上,而其他的很多設備將有望進入B2B或B2C市場,供消費者購買使用。
2016年德勤與美國生產力和創新製造商聯盟(MAPI)的研究結果顯示,近一半的製造商在聯網產品中採用移動應用軟體,四分之三的製造商使用Wi-Fi網路在聯網產品間傳輸數據。16基於上述網路途徑的物聯通常會形成很多漏洞。物聯網設備製造商應思考如何將更強大、更安全的軟體開發方法應用到當前的物聯網開發中,以應對設備常常遇到的重大網路風險。
盡管這很有挑戰性,但事實證明,企業不能期望消費者自己會更新安全設置,採取有效的安全應對措施,更新設備端固件或更改默認設備密碼。
比如,2016年10月,一次由Mirai惡意軟體引發的物聯網分布式拒絕服務攻擊,表明攻擊者可以利用這些弱點成功實施攻擊。在這次攻擊中,病毒通過感染消費者端物聯網設備如聯網的相機和電視,將其變成僵屍網路,並不斷沖擊伺服器直至伺服器崩潰,最終導致美國最受歡迎的幾家網站癱瘓大半天。17研究者發現,受分布式拒絕服務攻擊損害的設備大多使用供應商提供的默認密碼,且未獲得所需的安全補丁或升級程序。18需要注意的是,部分供應商所提供的密碼被硬編碼進了設備固件中,且供應商未告知用戶如何更改密碼。
當前的工業生產設備常缺乏先進的安全技術和基礎設施,一旦外圍保護被突破,便難以檢測和應對此類攻擊。
風險與生產相伴而行
由於生產設施越來越多地與物聯網設備結合,因此,考慮這些設備對製造、生產以及企業網路所帶來的安全風險變得越來越重要。受損物聯網設備所產生的安全影響包括:生產停工、設備或設施受損如災難性的設備故障,以及極端情況下的人員傷亡。此外,潛在的金錢損失並不僅限於生產停工和事故整改,還可能包括罰款、訴訟費用以及品牌受損所導致的收入減少(可能持續數月甚至數年,遠遠超過事件實際持續的時間)。下文列出了目前確保聯網物品安全的一些方法,但隨著物品和相應風險的激增,這些方法可能還不夠。
傳統漏洞管理
漏洞管理程序可通過掃描和補丁修復有效減少漏洞,但通常仍有多個攻擊面。攻擊面可以是一個開放式的TCP/IP或UDP埠或一項無保護的技術,雖然目前未發現漏洞,但攻擊者以後也許能發現新的漏洞。
減少攻擊面
簡單來說,減少攻擊面即指減少或消除攻擊,可以從物聯網設備製造商設計、建造並部署只含基礎服務的固化設備時便開始著手。安全所有權不應只由物聯網設備製造商或用戶單獨所有;而應與二者同樣共享。
更新悖論
生產設施所面臨的另一個挑戰被稱為「更新悖論」。很多工業生產網路很少更新升級,因為對製造商來說,停工升級花費巨大。對於某些連續加工設施來說,關閉和停工都將導致昂貴的生產原材料發生損失。
很多聯網設備可能還將使用十年到二十年,這使得更新悖論愈加嚴重。認為設備無須應用任何軟體補丁就能在整個生命周期安全運轉的想法完全不切實際。20 對於生產和製造設施,在縮短停工時間的同時,使生產資產利用率達到最高至關重要。物聯網設備製造商有責任生產更加安全的固化物聯網設備,這些設備只能存在最小的攻擊表面,並應利用默認的「開放」或不安全的安全配置規劃最安全的設置。
製造設施中聯網設備所面臨的挑戰通常也適用基於物聯網的消費產品。智能系統更新換代很快,而且可能使消費型物品更容易遭受網路威脅。對於一件物品來說,威脅可能微不足道,但如果涉及大量的聯網設備,影響將不可小覷——Mirai病毒攻擊就是一個例子。在應對威脅的過程中,資產管理和技術戰略將比以往任何時候都更重要。
人才缺口
2016年德勤與美國生產力和創新製造商聯盟(MAPI)的研究表明,75%的受訪高管認為他們缺少能夠有效實施並維持安全聯網生產生態圈的技能型人才資源。21隨著攻擊的復雜性和先進程度不斷提升,將越來越難找到高技能的網路安全人才,來設計和實施具備安全性、警覺性和韌性的網路安全解決方案。
網路威脅不斷變化,技術復雜性越來越高。搭載零日攻擊的先進惡意軟體能夠自動找到易受攻擊的設備,並在幾乎無人為參與的情況下進行擴散,並可能擊敗已遭受攻擊的信息技術/運營技術安全人員。這一趨勢令人感到不安,物聯網設備製造商需要生產更加安全的固化設備。
多管齊下,保護設備
在工業應用中,承擔一些非常重要和敏感任務——包括控制發電與電力配送,水凈化、化學品生產和提純、製造以及自動裝配生產線——的物聯網設備通常最容易遭受網路攻擊。由於生產設施不斷減少人為干預,因此僅在網關或網路邊界採取保護措施的做法已經沒有用(圖8)。
從設計流程開始考慮網路安全
製造商也許會覺得越來越有責任部署固化的、接近軍用級別的聯網設備。很多物聯網設備製造商已經表示他們需要採用包含了規劃和設計的安全編碼方法,並在整個硬體和軟體開發生命周期內採用領先的網路安全措施。22這個安全軟體開發生命周期在整個開發過程中添加了安全網關(用於評估安全控制措施是否有效),採用領先的安全措施,並用安全的軟體代碼和軟體庫生產具備一定功能的安全設備。通過利用安全軟體開發生命周期的安全措施,很多物聯網產品安全評估所發現的漏洞能夠在設計過程中得到解決。但如果可能的話,在傳統開發生命周期結束時應用安全修補程序通常會更加費力費錢。
從聯網設備端保護數據
物聯網設備所產生的大量信息對工業4.0製造商非常重要。基於工業4.0的技術如高級分析和機器學習能夠處理和分析這些信息,並根據計算分析結果實時或近乎實時地做出關鍵決策。這些敏感信息並不僅限於感測器與流程信息,還包括製造商的知識產權或者與隱私條例相關的數據。事實上,德勤與美國生產力和創新製造商聯盟(MAPI)的調研發現,近70%的製造商使用聯網產品傳輸個人信息,但近55%的製造商會對傳輸的信息加密。
生產固化設備需要採取可靠的安全措施,在整個數據生命周期間,敏感數據的安全同樣也需要得到保護。因此,物聯網設備製造商需要制定保護方案:不僅要安全地存放所有設備、本地以及雲端存儲的數據,還需要快速識別並報告任何可能危害這些數據安全的情況或活動。
保護雲端數據存儲和動態數據通常需要採用增強式加密、人工智慧和機器學習解決方案,以形成強大的、響應迅速的威脅情報、入侵檢測以及入侵防護解決方案。
隨著越來越多的物聯網設備實現聯網,潛在威脅面以及受損設備所面臨的風險都將增多。現在這些攻擊面可能還不足以形成嚴重的漏洞,但僅數月或數年後就能輕易形成漏洞。因此,設備聯網時必須使用補丁。確保設備安全的責任不應僅由消費者或聯網設備部署方承擔,而應由最適合實施最有效安全措施的設備製造商共同分擔。
應用人工智慧檢測威脅
2016年8月,美國國防高級研究計劃局舉辦了一場網路超級挑戰賽,最終排名靠前的七支隊伍在這場「全機器」的黑客競賽中提交了各自的人工智慧平台。網路超級挑戰賽發起於2013年,旨在找到一種能夠掃描網路、識別軟體漏洞並在無人為干預的情況下應用補丁的、人工智慧網路安全平台或技術。美國國防高級研究計劃局希望藉助人工智慧平台大大縮短人類以實時或接近實時的方式識別漏洞、開發軟體安全補丁所用的時間,從而減少網路攻擊風險。
真正意義上警覺的威脅檢測能力可能需要運用人工智慧的力量進行大海撈針。在物聯網設備產生海量數據的過程中,當前基於特徵的威脅檢測技術可能會因為重新收集數據流和實施狀態封包檢查而被迫達到極限。盡管這些基於特徵的檢測技術能夠應對流量不斷攀升,但其檢測特徵資料庫活動的能力仍舊有限。
在工業4.0時代,結合減少攻擊面、安全軟體開發生命周期、數據保護、安全和固化設備的硬體與固件以及機器學習,並藉助人工智慧實時響應威脅,對以具備安全性、警惕性和韌性的方式開發設備至關重要。如果不能應對安全風險,如「震網」和Mirai惡意程序的漏洞攻擊,也不能生產固化、安全的物聯網設備,則可能導致一種不好的狀況:關鍵基礎設施和製造業將經常遭受嚴重攻擊。
攻擊不可避免時,保持韌性
恰當利用固化程度很高的目標設備的安全性和警惕性,能夠有效震懾絕大部分攻擊者。然而,值得注意的是,雖然企業可以減少網路攻擊風險,但沒有一家企業能夠完全避免網路攻擊。保持韌性的前提是,接受某一天企業將遭受網路攻擊這一事實,而後謹慎行事。
韌性的培養過程包含三個階段:准備、響應、恢復。
准備。企業應當准備好有效應對各方面事故,明確定義角色、職責與行為。審慎的准備如危機模擬、事故演練和戰爭演習,能夠幫助企業了解差異,並在真實事故發生時採取有效的補救措施。
響應。應仔細規劃並對全公司有效告知管理層的響應措施。實施效果不佳的響應方案將擴大事件的影響、延長停產時間、減少收入並損害企業聲譽。這些影響所持續的時間將遠遠長於事故實際持續的時間。
恢復。企業應當認真規劃並實施恢復正常運營和限制企業遭受影響所需的措施。應將從事後分析中汲取到的教訓用於制定之後的事件響應計劃。具備韌性的企業應在迅速恢復運營和安全的同時將事故影響降至最低。在准備應對攻擊,了解遭受攻擊時的應對之策並快速消除攻擊的影響時,企業應全力應對、仔細規劃、充分執行。
推動網路公司發展至今日的比特(0和1)讓製造業的整個價值鏈經歷了從供應網路到智能工廠再到聯網物品的巨大轉變。隨著聯網技術應用的不斷普及,網路風險可能增加並發生改變,也有可能在價值鏈的不同階段和每一家企業有不同的表現。每家企業應以最能滿足其需求的方式適應工業生態圈。
企業不能只用一種簡單的解決方法或產品或補丁解決工業4.0所帶來的網路風險和威脅。如今,聯網技術為關鍵商業流程提供支持,但隨著這些流程的關聯性提高,可能會更容易出現漏洞。因此,企業需要重新思考其業務連續性、災難恢復力和響應計劃,以適應愈加復雜和普遍的網路環境。
法規和行業標准常常是被動的,「合規」通常表示最低安全要求。企業面臨著一個特別的挑戰——當前所採用的技術並不能完全保證安全,因為干擾者只需找出一個最薄弱的點便能成功入侵企業系統。這項挑戰可能還會升級:不斷提高的互聯性和收集處理實時分析將引入大量需要保護的聯網設備和數據。
企業需要採用具備安全性、警惕性和韌性的方法,了解風險,消除威脅:
安全性。採取審慎的、基於風險的方法,明確什麼是安全的信息以及如何確保信息安全。貴公司的知識產權是否安全?貴公司的供應鏈或工業控制系統環境是否容易遭到攻擊?
警惕性。持續監控系統、網路、設備、人員和環境,發現可能存在的威脅。需要利用實時威脅情報和人工智慧,了解危險行為,並快速識別引進的大量聯網設備所帶來的威脅。
韌性。隨時都可能發生事故。貴公司將會如何應對?多久能恢復正常運營?貴公司將如何快速消除事故影響?
由於企業越來越重視工業4.0所帶來的商業價值,企業將比以往任何時候更需要提出具備安全性、警惕性和韌性的網路風險解決方案。
報告出品方:德勤中國
獲取本報告pdf版請登錄【遠瞻智庫官網】或點擊鏈接:「鏈接」
❸ 供應商生產系統網路安全標準的三條紅線要求分別是什麼
標准線,警戒線,平安線。供應商生產系統網路安全標準的三條紅線要求分別是標准線,警戒線,平安線,供應商是向企業及其競爭對手供應各種所需資源的企業和個人,包括提供原材料、設備、能源、勞務和資金等。
❹ 當今網路安全的四個主要特點是什麼
網路安全的四個主要特點是:網路安全是整體的而不是割裂的、網路安全是動態的而不是靜態的、網路安全是開放的而不是封閉的、網路安全是共同的而不是孤立的。
信息網路無處不在,網路安全已經成為一個關乎國家安全、國家主權和每一個互聯網用戶權益的重大問題。在信息時代,國家安全體系中的政治安全、國土安全、軍事安全、經濟安全、文化安全、社會安全、科技安全、信息安全、生態安全、資源安全、核安全等都與【網路安全】密切相關。保證網路安全不是一勞永逸的。計算機和互聯網技術更新換代速度超出想像,網路滲透、攻擊威脅手段花樣翻新、層出不窮,安全防護一旦停滯不前則無異於坐以待斃。安全不是一個狀態而是一個過程,安全是相對的,不安全是絕對的。 網路安全是一種適度安全。過去相對獨立分散的網路已經融合為深度關聯、相互依賴的整體,形成了全新的網路空間。各個網路之間高度關聯,相互依賴,網路犯罪分子或敵對勢力可以從互聯網的任何一個節點入侵某個特定的計算機或網路實施破壞活動,輕則損害個人或企業的利益,重則危害社會公共利益和國家安全。
更多關於網路安全的相關知識,建議到達內教育了解一下。達內網路運維與安全全新升級OMO教學模式,1v1督學,跟蹤式學習,有疑問隨時溝通。隨時對標企業人才標准制定專業學習計劃囊括主流熱點技術,實戰講師經驗豐富,多種班型任你選擇。
❺ 供應鏈分析方法
供應鏈分析方法
供應鏈分析方法,事實表明,越來越多的企業採用數據分析來應對供應鏈中斷,並加強供應鏈管理(SCM),目前有幾項重大中斷正在影響供應鏈。以下分享供應鏈分析方法。
供應鏈分析方法1
供應鏈案例分析的方法
一、供應鏈案例的類型
供應鏈案例可以是從原材料供應一直到最終產品送到最終用戶手中的整個供應鏈的案例,也可以是只涉及供應鏈一個環節或只關注於單一的物流活動的案例。無論哪一種案例,在分析時都應該從供應鏈整體的角度進行,要考慮單一環節的變化對供應鏈中其他環節產生的影響。
二、供應鏈案例分析的目標
提高客戶服務水平和降低總的運作成本是供應鏈管理的兩大目標,在案例分析時,必須牢記這兩大目標。
三、供應鏈案例分析的方法
供應鏈案例分析可分為這樣幾步進行:
第一,分析供應鏈現狀。
首先分析供應鏈的結構,在分析時可繪制一個從原材料或零配件供應的起點開始,通過生產製造環節和分銷配送環節,直到最終用戶手中的貨物流動示意圖,示意圖目的是為了描述供應鏈中各固定節點(如工廠、倉庫)的結構和貨物在這些節點之間的流動模式。即貨物流。
然後分析支撐貨物移動的信息流和信息系統,包括訂單信息處理、需求預測信息、管理信息和計算機系統。其次對現行的供應鏈績效進行分析,這對改進措施的提出是非常有效的,績效分析可包括供應鏈的總體績效、供應鏈的相對績效和單項物流功能的績效。
第二,在現狀分析的基礎上找出問題。
這常常是案例分析最困難的也是最重要的一步。因為如果無法正確地鑒別出主要問題,也就無法作出正確的選擇。在分析時要注意症狀與原因的區分,通常在分析時症狀是比較容易明確的。
例如,經理可能認為倉儲能力短缺是一個問題,實際上,這可能僅僅是一個症狀,造成的原因可能是庫存管理不良或生產安排不合理而使得庫存的大大超過了實際需求。因此在分析時,必須找到真正造成問題的原因。
第三,設想並提出解決問題方案
解決方案的提出是和現狀分析緊密聯系在一起的,一個好的現狀分析能夠對主要問題進行清晰的確定,從而指出正確的解決問題或行動路線。提出解決問題方案時通常可從三個層面上考慮:具體功能部門層面;公司層面,在公司內實行跨部門的改革;供應鏈層面,同一供應鏈上的公司間相互配合上進行改革。
最後對提出的方案應當做全面的說明。
以上是對分析供應鏈問題提供一個思考分析的框架,這不是一個應用於所有供應鏈問題的萬能方法,而是列出了在分析問題時可考慮的因素,案例分析時應根據實際問題確定相關的研究因素。
供應鏈分析方法2
"以零售門店為中心"的供應鏈分析框架
一、目的
本文旨在介紹「以零售門店為中心」的供應鏈管理,簡要介紹此框架下供應鏈管理的具體內容及行業痛點。
二、供應鏈是什麼?
供應鏈
所謂供應鏈,是指由涉及將產品或服務提供給最終消費者的整個活動過程的上游、中游和下游企業所構成的網路。包括從原材料采購開始,歷經供應商、製造商、分銷商、零售商,直至最終消費者的整個運作過程。
供應鏈管理
供應鏈管理,指的是圍繞核心企業,對供應鏈中的物流、信息流、資金流以及貿易夥伴關系等進行組織、計劃、協調、控制和優化的一系列現代化管理。
它將企業內部經營所有的業務單元如訂單、采購、庫存、計劃、生產、質量、運輸、市場、銷售、服務等以及相應的財務活動、人事管理均納入一條供應鏈內進行統籌管理。
在傳統零售或者傳統行業中,供應鏈主要局限在供應鏈的`後端,即采購、生產、物流等職能,與消費者、銷售渠道的協同整合嚴重不足,導致牛鞭效應、孤島現象、的出現,讓供應鏈的反應總是很滯後。
三、「以零售門店為中心」的供應鏈管理
供應鏈網路
「以零售門店為中心」的供應鏈網路(見下圖),即以滿足門店銷售及運營核心、銷售利潤最大化的供應鏈管理。
在此分析框架上,核心目標是最大條件滿足消費者需求,即管理缺貨、減少缺貨,管理滯銷、處理滯銷。此框架下供應鏈管理的內容為:門店補貨、門店調撥、缺貨管理管理、滯銷管理、促銷管理等。
供應鏈管理
需求預測
需求預測是所有供應鏈規劃的基礎;供應鏈中所有的流程都是根據對顧客需求的預測來進行的。因此,供應鏈管理的首要工作是對未來顧客的需求進行預測。
1、預測需要考慮的影響因素
需求預測需要考慮的重要影響因素:
歷史需求
產品補貨提前期
節假日
廣告或其他營銷活動的力度
競爭對手採取的行動
價格及促銷計劃
經濟狀況
2、預測方法
定性預測法
主要依賴於人的主觀判斷。當可供參考的歷史數據很少或專家擁有影響預測的需求市場信息時,採用定性預測方法最合適。
時間序列預測法
運用歷史需求數據對未來需求進行預測,它尤其適用於每年基本需求模式變化不大的場景。
因果關系預測法
假定需求預測與某些環境因素(經濟狀況、稅率等)調度相關,因果關系預測法可以找到這些環境因素與需求的關聯性,通過預測這些外界因素的變化來預測未來需求。
模擬法
通過模擬消費者的選擇來預測需求。如價格促銷將會帶來什麼樣的影響?競爭對手在附近開設一家新店會帶來什麼樣的影響?
門店補貨
1、什麼時候補貨?
什麼時候補貨?它是時間與頻次的問題,即補貨的觸發點問題。
通常有兩種策略:
策略一、設置庫存閥值,若庫存低於閥值則補貨。通過連續檢查的方法,判斷某個時刻是否需要補貨。
策略二、設置固定的補貨周期,零售門店通常按周來設置補貨頻次,即一周設置多次補貨頻次,並固定在某幾天,如某門店在周一、周三、周五補貨。
連鎖零售企業一般採用第二種策略,主要是因為零售企業經營的SKU數量眾多;另一方面,策略一的物流及倉庫排班及排車不確定高,不適合物流及倉庫的管理及運營。
本文的供應鏈鏈管理以策略二為基礎,並依此展開分析及研究。
2、補什麼商品?
季節性的品類調整
門店必須根據季節的變化,對商品陳列位置、商品結構、店鋪氛圍進行調整。一般來講,門店應該每年進行兩次大的調整,即:每年3-4月份針對春夏季的調整,每年國慶節過後的10-11月份期間的針對秋冬季節的調整; 每個季度針對本季度特殊季節、節日的變化進行的小調整,或臨時調整。
調整商品結構
商品結構必須根據季節變化進行調整。季節變化對商品結構的影響是非常大的,必須在季節變化到來之前,及時調整品類結構,壓縮過季商品品類,擴大應季商品的品類。
調整陳列位置和陳列資源
門店的陳列位置、陳列資源,對商品銷售產出的貢獻非常巨大,不同的陳列位置商品銷售會有幾倍甚至幾十倍的差距。門店的重點陳列位置、陳列資源必須隨季節變化而調整。一是季節商品是產生銷售貢獻*大的商品,二是季節商品是*能體現門店經營特色的商品,三是季節商品是*能提示消費者購物的商品。
重大節慶的品類調整
在快時尚、輕奢的品類中,很容易出現春節、婦女節(女王節)、情人節、開學季、聖誕節、雙十一等的節慶影響,表現出銷量井噴。零售企業需要根據節慶來完善豐富的品類結構,滿足顧客在特定節慶時期的消費需求。
市場變化導致的品類調整
禁配策略
地理環境因素,如西北地區處於內陸、遠離海洋,夏天不適合配沙灘遊玩類用品。風俗、宗教類因素,穆斯林地區禁止配送豬肉類食品。
新品策略
若零售公司准備投放一批新品,零售門店則需要為新品調整貨架,增加新品的曝光度,引導消費者產生首次購買、重復購買。
3、補多少量?
補貨量 = 需求量 – 門店庫存
計算門店需求時以需求預測為基礎,同時考慮下述影響需求及供給的約束條件:
倉庫容量
門店貨架容量
過去需求
產品補貨提前期
廣告計劃或其他營銷活動的力度
價格促銷計劃
競爭企業採取的行動
4、缺貨場景的庫存分配策略
策略一:增加相似商品的補貨庫存 相似商品:功能、顏色、功效相似的商品。
策略二:增加其他暢銷品的庫存 根據商品的銷售量排名,根據一定的分配策略來補貨。
缺貨管理
連鎖零售企業商品缺貨狀況會引發消費者的各種反應, 最終導致零售企業的銷售損失,48%的人會購買同一品種的替代品,15%的消費者不再購買,31%的顧客會到另一家店購買時再實施消費行為,顧客的轉店率是37%。
1、缺貨原因及應對策略
倉庫缺貨
渠道單一。單純地依靠某一個供應商或過分依賴某些材料部件,一旦某個供應環節中斷,將影響整個供應鏈的正常運作。缺乏預見能力。由於缺乏對供應鏈上的可預測性,不具有對供應商的供應能力和不確定性的前向洞察力,常常會面臨種種不確定因素影響所帶來的庫存短缺。應對措施:替代商品
補貨量不足
某商品銷售出現顯著增長,且明顯大於預期、門店庫存不足,但補貨不及時。應對措施:門店調撥 在零售行業中,線上線下競爭如此激烈,誰能快速解決各個商圈內門店之間、商圈之間超密集的調撥需求,實現高效調撥、把握銷售機會,實現銷售業績的新突破。
滯銷管理
1、滯銷危害
在陳列空間上,滯銷商品大量陳列占據了門店的貨架空間,迫使其他暢銷品的陳列空間不夠,新上市商品無法正常上貨。
滯銷商品佔用大量的資金,使得零售門店的流動資金日益萎縮,嚴重的會影響到正常商品采購、甚至導致門店倒閉。
對於顧客來說,滯銷商品大量陳列在貨架上,這樣既影響了顧客挑選自己需要的商品,浪費了消費者的注意力,甚至導致顧客無法找到正常的商品,損失了門店應該獲取的利潤。
從門店商圈來看,門店大量商品長期不做銷售周轉,消費可能會對門店失去信息,減少或改變原本的購物需求,轉向其他門店進行消費。
2、滯銷原因
季節因素
部分商品因地區差異存在明顯的季節之分,該部分商品由於季末沒有做特殊處理,導致在庫時間高於規定的天數,形成滯銷,體現在換季時門店任務按正常時段的銷售量作為補貨的依據產生。
補貨模型不合理因素
行業中大多數公司會把門店庫存管理權交給店長,由於公司的高速發展,門店會不斷地有新店長上任,店長庫存管理概念模糊,在補貨時大多憑借個人經驗確定補貨數量,容易導致部分補貨量較大的商品滯銷。
價格因素滯銷
部分商品會因為價格不合理而導致滯銷,一種是低價格商品,由於門店所處的商圈消費水平較高,價格低廉的老葯滯銷;另一種則是因為門店商品售價明顯高於競爭對手的售價導致滯銷。
陳列因素
與海量商品相比,門店的貨架資源永遠都是稀缺的,部分企業會給予部分商品特殊待遇,不能公平合理地分配貨架資源,導致部分商品因陳列位置差、曝光率低,從而導致滯銷。
淘汰商品不順暢
商品都會存在生命周期,特別是一些廣告商品,然而大多數公司更新商品都比較被動,不會主動去優化商品,會導致商品因同質化嚴重而引起滯銷。
批量采購決策失誤
供應鏈上游對市場需求及銷售情況沒有準確把握,商品采購數量過多,從而導致滯銷。
突發因素
某些突發因素導致消費行為發生重大變化。如」非洲豬瘟」導致豬肉類食品無法銷售出去,從而導致滯銷。
痛點
供應鏈上游滯銷引發的風險轉稼
在零售連鎖供應鏈網路中,供應鏈上游由於產品開發、采購失誤等決策失誤導致的庫存積壓,上游往往會將庫存風險轉稼到供應鏈末端(零售門店),從而佔用零售門店大量的流動資金及貨架資源。
市場快速變化,難以准確預測和判斷供貨情況。
門店端某款產品突然爆發,致使供應鏈上下游倉庫出現大面積缺貨,此種情況供應鏈無法快速反應或供應周期過長,從而導致銷售機會的浪費。
預期范圍內、延遲或產能不足,導致銷售機會的損失。
某些品類由於供應鏈上游(采購、供應商)等原因,如產能不足或機器故障等原因導致交付延遲,從而導致銷售機會的浪費。
市場競爭加劇,線下實體店客流下滑
總結
供應鏈末端(零售門店)缺乏足夠或針對性的應對措施
供應鏈上下游協同是解決」零售門店」問題的重要方向
科學、精準的貨架管理將是提升門店銷售、實現供應鏈價值的重要方向
四、供應鏈的發展趨勢
全渠道趨勢
移動互聯網的迅猛發展催生了O2O、C2B、P2P等新業態,全球傳統產業開始受沖擊,受互聯網思維與互聯網、大數據、雲計算等技術深度影響出現變革,全球傳統行業將互聯網化,擁抱O2O全渠道零售大時代。
供應鏈日趨可視化
在運營中對商品廣泛使用了電子標簽,將線上線下數據同步,如SKU同步、庫存同步、價格同步、促銷同步;實現線上下單,線下有貨,後台統一促銷和價格。
供應鏈可視化以後,未來所有業務職能包括銷售、市場、財務、研發、采購和物流等進行有機的集成和協同就有了可能,可以對消費者需求、門店或網上庫存、銷售趨勢、物流信息、原產地信息等進行可視化展示,實現供應鏈敏捷和迅速反應。
新時代下的供應鏈可視化未來將持續向消費者、SKU、店員延伸,通過可視化集成平台,戰略計劃與業務緊密鏈接,需求與供應的平衡,訂單履行策略的實施,庫存與服務水平的調整等具體策略將得到高效的執行。
供應鏈預測智能化
在新零售的業態中,大量零售運營數據包括消費者、商品、銷售、庫存、訂單等在不同的應用場景中海量產生,結合在不同業務場景和業務目標,如商品品類管理、銷售預測、動態定價、促銷安排、自動補貨、安全庫存設定、倉店和店店之間的調撥、供應計劃排程、物流計劃制定等,再匹配上合適的演算法,即可對這些應用場景進行數字建模,邏輯簡單來說就是「獲取數據—分析數據—建立模型—預測未來—支持決策」。
本質上說,智能演算法是一項預測科技,而預測的目的不是為預測而預測,而是用來指導人類的各項行為決策,以免人在決策時因為未知和不確定而焦慮。
當全新的供應鏈體系,能夠實時顯示運營動態,如貨齡、售罄率、缺貨率、暢售滯銷佔比、退貨率、訂單滿足率、庫存周轉率、目標完成比率等,同時又能相互鏈接和協同,那麼將很容易形成通用運營決策建議,如智能選品、智能定價、自動預測、自動促銷、自動補貨和下單等。
在此基礎之上,供應鏈管理人員所做的事情就是搜集信息、判斷需求、和客戶溝通、協同各種資源、尋找創新機會等。
供應鏈分析方法3
金融機構供應鏈安全現狀
什麼是供應鏈安全?
本文討論的供應鏈安全是指由信息通信技術供應鏈產生安全的問題。2009年S. Boyson和H. Rossman提出信息通信技術供應鏈的概念,信息通信技術供應鏈被認為「是其他所有供應鏈的基礎,是供應鏈的供應鏈」。
信息通信技術供應鏈包括硬體供應鏈和軟體供應鏈,通常涵蓋采購、開發、外包、集成等環節。信息通信技術供應鏈最終的安全很大程度上取決於這些關鍵環節,並涉及到采購方、系統集成方、網路提供方以及軟硬體供應商等。
我國金融機構供應鏈安全現狀
我國某金融機構的供應鏈安全事件。2021年我國某銀行部分源代碼被泄露到互聯網,隨著這一事件的發生,供應鏈安全再次成為金融機構和安全從業者討論的重點。近幾年來,不只銀行,微軟、Adobe、聯想、AMD、高通、華為海思等大量知名企業都曾經發生過類似的供應鏈安全事件。
金融機構要警示開源軟體的風險。根據Synopsys新思科技發布的《開源安全和風險分析報告》顯示,開源軟體在金融行業的滲透率已超過60%。因此開源軟體的漏洞也同步滲透到金融行業中,在國家互聯網應急中心公布的《2021 年開源軟體供應鏈安全風險研究報告》中,2020年開源軟體漏洞數量達到5728項,因此金融行業一定要提高對開源軟體安全的管控能力。
中國人民銀行副行長范一飛在2020年金融街論壇上強調,金融機構供應鏈安全可控迫在眉睫,必須提前謀劃、構建安全可控的供應鏈體系。本文作者認為,金融行業主管單位應組織或要求開展金融行業供應鏈安全檢查與完善工作,及早解決金融行業信息通信技術供應鏈安全隱患。
多項法律法規的供應鏈安全要求
我國行業監管單位和標准制定單位,在多項法律法規及標准規范中,對供應鏈安全提出管控要求:
在《網路安全法》中要求使用的關鍵信息基礎設施,要選擇《網路關鍵設備和網路安全專用產品目錄》產品。
在《網路安全等級保護基本要求》中,從通用要求和雲計算擴展要求兩部分,提出了供應鏈安全管控措施。在通用要求中,主要從對供應商的選擇、監督、評審等角度進行說明;在雲計算擴展要求中,主要從供應鏈安全事件信息、安全威脅信息以及供應鏈上其它重要信息同步的角度進行說明。
《關鍵信息基礎設施網路安全保護基本要求》尤其重視供應鏈安全,要求建立供應鏈安全管理制度、明確安全管理策略、供應商選擇保障、采購過程規范、響應處置及時,保證產品的設計、研發、交付、使用、廢棄等各階段安全可控。
2021年10月27日中國人民銀行、中央網信辦等五部門為規範金融機構合理應用開源技術,提高應用水平和自主可控能力,促進開源技術健康可持續發展提出若干《關於規範金融業開源技術應用與發展的意見》。
意見要求金融機構在使用開源技術時應遵循安全可控、合規使用、問題導向、開放創新的原則。並應建立健全金融機構使用開源技術的協調機制、制度體系、技術路線、風險管控、合規審查、標准制度與知識產權保護能力。
❻ 運營商對供應商在網路安全方面的需求有哪幾層
主要有兩層:
1、運營商加碼網路安全產業,助力信息社會平穩運行。
2、網路安全產業將形成發展新路徑。