1 引言
随着物流业的快速发展,越来越多的物流信息上传到物流信息系统和计算机网络中,信息安全问题变得日益严峻,2013年北京某物流公司约7 000条客户信息泄露,最终损失金额超过130余万,至今仍有大量快递单在多家网站被售卖,只需大约0.5元到2元就可以获取快递单的详细信息,包括收件人和发件人的姓名和手机号码、购买货物数量和名称等。物流信息保护和保存不当已经导致灰色的物流信息倒卖产业,也危害了物流业的健康发展。但由于网络本身和物流信息管理系统的复杂性和脆弱性,全部物流信息和相关信息加密的工作量大、难度高,因此从保护物流信息安全和保证物流系统正常运行的角度出发,建立物流信息安全级别分类管理已经迫在眉睫。
2 国内外物流信息分类管理研究现状
2.1 设定物流信息安全级别的重要性
传统的物流是点到点的运输服务,强调的是物资在城市与城市之间的区域运输,但激烈的市场竞争促进了物流公司服务线的延展,物流服务也逐渐从“点到点”发展到“门对门”。然而物流产业发展初级阶段的成本竞争会降低物流企业的核心竞争力,因为物流产业内部的竞争又逐渐转向了高附加值的物流服务竞争,即发展到从制造商的仓库货架到销售商的仓库货架的模式。现代计算机网络技术和条形码技术为物流产业的供应链管理理念提供了技术基础,物流企业以供应链理念和系统思想为主导提出了提供完全综合的供应链管理和全部物流的解决方案,实现了物流业务的全流程化管理,其中物流信息管理系统更是物流产业能够实现流程到流程的服务的关键。物流企业应用物流信息管理系统提高工作效率、增强跨企业合作,最终提高了物流产业链的核心竞争力。综合物流从传统意义上的多式联运逐步发展为综合物流,如图1所示。【图1】
随着综合物流的发展和信息安全意识的提高,设定物流信息安全级别的重要性体现在以下方面:
首先,设定物流信息安全级别可以提高物流信息保护效率。信息技术将供应链上的物流信息和产品信息等融合到物流信息管理中,但也增加了物流信息大规模泄露的风险,设定物流信息安全级别后,只有达到安全级别的员工才能获取保密的信息,降低了信息泄露的风险,而且在信息泄露时,也可以快速定位相关责任人,以避免更多的信息泄露。其次,设定物流信息安全级别可以协调物流流程化管理。传统的信息系统中,运输、仓储和包装等多个环节的信息比较开放,信息管理的随意性较高,不利于物流环节的流程化管理。设定物流信息安全级别后,物流信息系统中的数据录入和读取等操作都将正规化和标准化,有助于统一管理和协调物流流程化管理。
2.2 国内外研究现状
由于美国等发达国家具有十分成熟的物流管理经验,因此针对物流信息安全的研究也较为丰富。Jiri F(1998)在物流信息加密技术的研究中指出,物流信息是涉及国家安全的重要信息,应当针对军事物资的运输信息进行严格加密措施。
Sarma S.E和Weis S.A(2003)在物流信息安全研究中指出,政府应当就信息安全建立相应的法律,特别是快递过程中涉及公民财产安全的个人信息等。如今,美国的法律规定,如果快递公司或物流企业泄露了客户的个人信息,物流公司将面临严重的罚款和行政处罚,情节严重的还将对公司主管进行刑事处罚。
由于我国多数物流企业是在传统体制下物资流通企业基础上发展而来的,与发达国家先进的物流公司仍然存在一定差距。据不完全统计,我国仅有不到40%的物流企业拥有独立的物流信息管理系统,而且风险管理意识薄弱。因此,国内针对物流信息安全的研究主要集中在保证物流信息系统的安全性方面,张普洋和郭剑英(2011)分析了电子商务环境下物流信息安全的必要性,并提出了电子商务环境下的物流信息分类标准。王知强(2005)以操作性、自主性和有效性为安全方案设计原则,提出了一种基于商业系统的物流信息安全解决方案。缪立强(2012)提出物流信息安全保障正在成为供应链运作的基本要求,简单的口令认证等安全防护方式并不能确保物流信息的安全,更为可靠的是以身份认证确保物流信息的安全,以便保证物流综合信息的安全性。蒋喜趁(2012)将物流信息安全规划分为了物理安全层、信息采集安全层、信息传输安全层和信息处理安全层等管理以及技术层面,并提出了可视化物流信息系统的安全架构。我国部分专家学者研究了信息管理的重要性,张磊在对比中美的物流运输车辆空载率后,深入分析了中美物流信息管理技术的差距,并指出我国物流产业整体仍处于单机应用阶段、基础网络建设和系统建设阶段。网络技术和条码技术在中国物流企业中的应用并不理想。
综上所述,国内外物流信息管理的研究比较集中于管理方法和管理理念,缺乏基于信息安全背景视角的信息分类研究,物流信息网络中任意一个环节的安全漏洞都会引起供应链上一系列连锁的负面影响,由此可见,信息安全更应当成为物流领域的研究热点,构建完善的物流信息安全管理体系是十分必要的。
3 信息安全背景下物流信息分类管理
根据物流产业发展的要求,物流信息系统需实现不同的功能。现代的物流管理信息系统应包括物流过程中各业务模块的信息,按照信息类别可以分为客户信息、运输信息、仓储信息、报关信息、财务信息、合同信息和行政信息等,按照物流业务流程可以分为管理层信息和作业层信息等,按照信息管理系统模块可以划分为结算管理信息、行政管理信息、数据交换信息和货代管理信息等,如图2所示。【图2】
3.1 物流信息系统存在的安全隐患
设定物流信息的安全级别不但要考虑到信息的重要性,还应当考虑到信息泄露的途径和物流信息系统存在的安全隐患。物流企业内部员工、合作企业等均可能掌握到物流信息,而且跨区域的物流服务涉及省际、国际等业务信息,因此物流信息系统存在的安全隐患主要为以下几方面:第一,恶意破坏。我国互联网开放的网络环境使得黑客较容易匿名攻击物流信息系统,拦截、窃取和盗用客户信息,进而转卖或直接从事诈骗活动,而物流公司淘汰的电脑设备等也可能成为信息泄露的漏洞。第二,人为操作失误。系统管理员不恰当的设置了资料访问权限后,极易造成安全漏洞,而具体的业务员也可能会将访问密码设置成简单的六位数字,导致共享状况下物流信息的泄露。因此,必须根据物流信息的具体内容和泄露危险性对物流信息分类设定安全性级别,再采用多种不同的网络安全技术和管理手段,以确保物流信息系统的安全。
具体的物流信息安全级别分类表见表1。【表1】
3.2 物流信息安全管理体系的构建
物流信息安全管理不能完全依赖技术上的防护,更应当以制度化和技术化的管理体系构建全面的物流信息安全管理体系:首先,从组织架构层面而言,物流企业应当建立独立的信息安全管理小组或委托专业的数据分析公司进行物流信息安全管理,如在大型物流企业里面设立的技术安全部门中成立信息安全监管小组,将信息安全设定为公司层面的管理策略,避免以几个人管理全物流公司的信息安全问题,而应当将安全问题嵌入物流企业各环节。其次,从安全管理制度方面,应当建立物流信息安全管理制度,如定期将物流信息保存到无法联网的计算机中,还有定期销毁包含客户名称和联系方式的物流单据。不但要建立物流信息安全管理制度,而且要层层监督执行,以实现物流信息的系统安全。最后,制定安全管理服务流程,可参考ITIL定义的标准流程制定出符合企业自身实际情况的标准化安全服务流程,如事件管理、问题管理、配置管理、变更管理、发布管理等,随时应对各类突发事件。
在物流信息安全管理过程中仍需要注意的问题:第一,保证物流信息管理系统的稳定性。当物流信息系统的信息含量增加到一定量级后,不断的信息读取和访问容易造成物理信息管理系统的不稳定,导致物流信息的损失和断层,因此要注意保证物流信息管理系统的稳定性,从而保证物流信息的安全。其次,标准化物流信息保存。物流信息的数据格式和数据长度标准化将有利于信息管理,也有利于供应链上下游企业将物流信息整合保持,使供应链整体效率提升。
4 结束语
针对物流信息管理不当、信息泄露导致企业和客户利益受损等问题,本文在分析物流信息分类管理必要性的基础上,结合国内外研究成果,提出信息安全背景下物流信息管理系统的信息层级,并对物流信息进行分类安全级别设定,以便保护物流企业的信息资源,促进了物流业的快速发展,提高供应链整体运行效率。
[参考文献]
[1]张普洋,郭剑英.电子商务环境下物流信息安全的必要性分析[J].物流工程与管理,2011,(8):94-95.
[2]王知强.基于商业系统物流信息安全解决方案的研究[J].物流科技,2005,(6):38-40.
[3]缪立强.物流综合信息平台中信息的安全性设计与实现[D].成都:电子科技大学,2012.
[4]蒋喜趁.可视化物流信息系统的安全架构研究[D].北京:北京交通大学,2012.
