2022年7月14日,世界經濟論壇(World Economic Forum)發布《網絡彈性指數:提高組織網絡彈性》(The Cyber Resilience Index: Advancing Organizational Cyber Resilience)白皮書,在系統介紹組織缺乏網絡彈性原因的基礎上,白皮書基于網絡彈性框架(cyber resilience framework)和網絡彈性指數(cyber resilience index)提供了一個清晰可塑的系統框架,有助于推動網絡彈性塑造實踐。2022年9月15日,歐盟委員會提議制定《網絡彈性法案》(Cyber Resilience Act),要求所有在歐盟市場上銷售的可聯網數字化設備和軟件在設計、生產、運營及維護等全生命周期必須滿足歐盟強制性網絡安全標準。隨著數字化轉型的持續推進,人們不僅意識到虛擬空間安全與實體空間安全同等重要,而且意識到保障安全事件沖擊下任務或業務連續性的網絡彈性與供應鏈彈性更加重要。
1、網絡彈性與網絡安全內涵
網絡彈性(cyber resilience)關注組織保障業務連續性、信息系統安全性和組織彈性的能力,指網絡在面臨攻擊、設備故障、自然災害等不利情況時,能夠維持關鍵功能或者在攻擊后能夠快速恢復到正常狀態的能力。
網絡彈性與網絡安全是兩個性質不同但密切相關的概念,網絡彈性可以視為網絡安全的一部分且超越網絡安全的新概念。網絡彈性強調從業務視角保障系統運行能力,將保障目標從網絡安全轉移到維持任務或業務持續運行的網絡彈性,即一個具有網絡安全能力的系統應該具備預防和減輕網絡威脅的能力,同時也需要具備面臨攻擊、設備故障、自然災害等安全事件時保持關鍵操作和服務運行或者快速恢復到正常狀態的能力。網絡彈性與網絡安全依賴設施安全、數據安全和系統安全,依托業務場景、資源環境和核心能力培育彈性與安全網絡生態(如圖1所示)。
(1)網絡安全
網絡安全(cyber security)關注組織預防和抵御安全事件、保護網絡數據和服務不受威脅的能力,應用防火墻、加密、身份驗證、入侵檢測系統等安全技術防止未經授權的訪問、數據泄露、分布式拒絕服務(distributed denial of service, DDoS)攻擊等網絡攻擊。網絡安全的目標在于以安全為上的管理理念、以增強的網絡安全管理能力,防止攻擊發生或在攻擊發生后能夠盡可能降低不利影響。
網絡安全水平作為網絡安全測度與評估指標,用于描述一個組織預防和抵御安全事件、保護網絡數據和服務不受威脅的能力。網絡安全水平評估始于設施安全、數據安全和系統安全的風險辨識,在風險源、脆弱性等風險辨識的基礎上,經歷風險評價、風險分析和風險處置等階段,最終形成網絡安全解決方案。網絡安全水平評估流程如圖2所示,旨在尋找網絡系統的安全隱患和安全漏洞。
(2)網絡彈性
網絡彈性(cyber resilience)關注組織保障業務連續性、信息系統安全性和組織彈性的能力,指網絡在面臨攻擊、設備故障、自然災害等不利情況時,能夠維持關鍵功能或者在攻擊后能夠快速恢復到正常狀態的能力。網絡彈性塑造的關鍵是設計和實施一種具有自適應性和自修復性功能的網絡架構,通??梢圆捎秘撦d均衡、冗余設計、故障切換、災難恢復等措施加以實現。
網絡彈性機能作為網絡彈性測度與評估指標,用于描述一個組織保障業務連續性、信息系統安全性和組織彈性的綜合能力。網絡彈性機能評估始于業務場景、資源環境和核心能力的脆性辨識,在脆性源、災變性等脆性辨識的基礎上,經歷彈性評價、彈性分析和彈性修復等階段,最終形成網絡彈性解決方案。網絡彈性機能評估流程如圖3所示,旨在尋找網絡系統的脆性風險和脆性環節。
2、網絡彈性與供應鏈彈性框架
網絡彈性框架(cyber resilience framework)和供應鏈彈性框架(supply chain resilience framework)旨在描述彈性塑造的基本原則,以更好地指導網絡彈性和供應鏈彈性塑造實踐。在《網絡彈性指數:提高組織網絡彈性》白皮書中提出了網絡彈性框架,以此為基礎可以進一步提煉網絡彈性框架、提出供應鏈彈性框架,從而以虛實結合的系統性彈性框架指導網絡彈性和供應鏈彈性塑造實踐。
(1)網絡彈性框架
為保障網絡彈性與安全,網絡彈性框架應涵蓋風險評估、設施安全、彈性治理、彈性生態、彈性設計和彈性文化六大原則(如圖4所示),旨在辨識風險源、保障關鍵設施設備安全、全面開展彈性治理、履行彈性生態系統維護職責、以自適應性和自修復性設計提升彈性機能、培育組織彈性文化,以綜合性措施提高網絡彈性機能和安全水平。網絡彈性框架集聚了網絡彈性管理領域的知識和經驗,為提升網絡彈性提供了系統性解決方案。
網絡彈性框架貫穿組織價值增值的業務流程,體現了增加冗余、提高柔性和改變組織文化的彈性管理核心思想。在網絡彈性與安全目標驅動下,網絡彈性框架成為網絡彈性塑造的行動指南,用于指導組織不同層次的網絡彈性塑造行動。在具體的網絡彈性塑造實踐中,指導戰略層維護彈性生態系統、培育彈性文化,指導管理層開展彈性治理和彈性設計,指導操作層進行風險評估、保障關鍵設施設備安全。
(2)供應鏈彈性框架
為保障供應鏈彈性與安全,供應鏈彈性框架應涵蓋風險評估、彈性資源、彈性治理、彈性生態、彈性戰略和彈性文化六大原則(如圖5所示),旨在辨識風險源、保障核心資源冗余、全面開展彈性治理、履行彈性生態系統維護職責、制定具有自適應性和自修復性的彈性戰略、培育供應鏈彈性文化,以綜合性措施提高供應鏈彈性機能和安全水平。供應鏈彈性框架以充分整合供應鏈信息、資源和能力為基礎,確保供應鏈具有孕育自適應性和自修復性的能力。
供應鏈彈性框架的核心在于喚醒供應鏈成員的彈性意識、履行彈性責任、培育彈性文化,以更緊密的戰略伙伴關系塑造彈性能力。在供應鏈彈性與安全目標驅動下,供應鏈彈性框架成為供應鏈彈性塑造的行動指南,用于指導供應鏈成員深層次開展供應鏈彈性塑造行動。供應鏈彈性框架有助于協調供應鏈成員彈性生態培育、彈性戰略制定和彈性文化建設,在風險評估、彈性資源和彈性治理過程中形成合力、協同運營。
3、網絡彈性與供應鏈彈性指數
網絡彈性指數(cyber resilience index)和供應鏈彈性指數(supply chain resilience index)旨在以最佳的性能指標定量描述彈性,以更精準地描述網絡彈性和供應鏈彈性塑造的真實狀況和演化趨勢。在《網絡彈性指數:提高組織網絡彈性》白皮書中提出了網絡彈性指數,以此為基礎可以進一步提煉網絡彈性指數、提出供應鏈彈性指數,從而以虛實結合的系統性彈性指數描述網絡彈性和供應鏈彈性塑造的真實狀況和演化趨勢。
(1)網絡彈性指數
網絡彈性框架提供了網絡彈性塑造的基本原則,即風險評估、設施安全、彈性治理、彈性生態、彈性設計和彈性文化六大原則,也應該是網絡彈性性能指標定量描述的一級指數。在網絡彈性指數設計過程中,應考慮可度量、可量化、靈活性、便利性等基本屬性,可以不受行業、不受地域的限制快速應用,可以依據自身需要量身定制、持續改進,為管理決策者尋找網絡彈性缺陷、尋找改進契機提供可行的工具。參考《網絡彈性指數:提高組織網絡彈性》白皮書,以提高組織網絡彈性為目標設計的網絡彈性指數如表1所示。
表1 網絡彈性指數
一級指標 | 二級指標 | 三級指標 |
風險評估(12.0%) | 風險管理職責分工與工作報告(4.0%) | 風險管理崗位或專職人員職責分工明確(2.0%) |
每年發布網絡風險管理工作年度報告(2.0%) | ||
風險管理資源配置與評估報告(4.0%) | 網絡風險管理預算和資源配置合理(2.0%) | |
每年發布網絡彈性與安全評估年度報告(2.0%) | ||
風險管理員工知曉率與參與度(4.0%) | 員工知曉公開報告潛在風險的預警渠道(2.0%) | |
員工參與風險管理合規性修正交流活動(2.0%) | ||
設施安全(28.0%) | 安全框架與行業標準應用評估(4.0%) | 安全框架、行業標準和合規性法規應用(2.0%) |
每年發布安全框架與行業標準評估年度報告(2.0%) | ||
關鍵資產與核心業務保障(4.0%) | 關鍵資產與核心業務分級分類重點保障(2.0%) | |
關鍵資產與核心業務能夠安全可靠運營(2.0%) | ||
關鍵供應鏈安全穩定運營(4.0%) | 網絡關鍵設備、網絡安全專用產品渠道可靠(2.0%) | |
網絡關鍵設備、網絡安全專用產品供應穩定(2.0%) | ||
關鍵設施設備減少暴露率(4.0%) | 減少攻擊面、增加配置資源以隔離潛在風險(2.0%) | |
集成資產/流程架構、優化配置限制風險影響(2.0%) | ||
管理成熟度與性能指標(4.0%) | 跟蹤評價網絡彈性管理成熟度和性能指標(2.0%) | |
每季發布網絡彈性安全指標與趨勢季度報告(2.0%) | ||
網絡彈性持續改進計劃(4.0%) | 每年更新網絡彈性持續改進計劃與措施(2.0%) | |
每季發布持續改進計劃成功實施季度報告(2.0%) | ||
應急響應與恢復行動審計(4.0%) | 應急響應與恢復行動及時性和有效性評價(2.0%) | |
按預定規程審計響應與恢復行動執行情況(2.0%) | ||
彈性治理(12.0%) | 網絡彈性治理機制建設(4.0%) | 組織網絡彈性治理渠道與治理機制健全(2.0%) |
組織可信彈性原則和可執行政策完善(2.0%) | ||
網絡彈性監督組織設置(4.0%) | 網絡彈性監督組織結構和人員配置合理(2.0%) | |
網絡彈性監督組織定期指導彈性治理工作(2.0%) | ||
網絡彈性治理人員履職(4.0%) | 網絡彈性治理人員能按職責分工履行職責(2.0%) | |
能夠履行好專業知識培訓和資源獲取職責(2.0%) | ||
彈性生態(12.0%) | 合作伙伴共促互信互利(4.0%) | 合作伙伴共同促進互信互利與經驗分享(2.0%) |
合作伙伴共同審計基準活動與實踐活動(2.0%) | ||
合作伙伴共促協同共享(4.0%) | 合作伙伴簽訂共享協議共同規劃戰略目標(2.0%) | |
合作伙伴明確共享要素和合作預期目標(2.0%) | ||
合作伙伴共促能力提升(4.0%) | 合作伙伴在生態系統中的占比逐年增長(2.0%) | |
合作伙伴共同參加提升能力的行業活動(2.0%) | ||
彈性設計(16.0%) | 網絡彈性設計原則和目標(4.0%) | 以彈性架構設計原則和目標減少攻擊面(2.0%) |
以彈性架構設計原則和目標開展年度評估(2.0%) | ||
網絡彈性設計審計評估(4.0%) | 跨職能審計評估網絡彈性操作合理性(2.0%) | |
以彈性演練和壓力測試優化設計規程(2.0%) | ||
考慮容錯的網絡彈性設計(4.0%) | 考慮容錯輸入和破壞性事件影響的設計(2.0%) | |
跟蹤容錯設計指標以考察環境影響程度(2.0%) | ||
面向未來創新的彈性設計(4.0%) | 考慮抵御未來威脅和危害能力的設計(2.0%) | |
籌備創新資源作為固定預算進行管理(2.0%) | ||
彈性文化(20.0%) | 網絡彈性意識與經驗交流(4.0%) | 員工熟悉網絡彈性行為獎懲標準和職責(2.0%) |
每年開展應對網絡威脅形勢經驗交流活動(2.0%) | ||
可持續素養與企業社會責任(4.0%) | 員工的可持續知識、能力、態度和價值(2.0%) | |
員工履行企業社會責任與使命擔當情況(2.0%) | ||
網絡彈性問責制文化指標(4.0%) | 制定透明化網絡彈性問責制文化指標(2.0%) | |
定期傳達網絡彈性問責制實施情況(2.0%) | ||
組織網絡彈性文化投入(4.0%) | 支持員工定期參加網絡彈性培訓(2.0%) | |
制定與促進網絡適應行為工作目標(2.0%) | ||
組織網絡彈性學習文化(4.0%) | 支持員工參加網絡訓練和仿真推演(2.0%) | |
支持員工參加相關技能與知識培訓(2.0%) |
網絡彈性指數賦值可以采用兩種不同的方法,一是一級指數賦值相同,即一級指數為16.7%,《網絡彈性指數:提高組織網絡彈性》研究采用該方法;二是二級指數或三級指數賦值相同,即二級指數為4.0%或三級指數為2.0%。網絡彈性指數可以作為單個組織自我評價、若干行業組織綜合評價的依據,如果將網絡彈性框架與網絡彈性指數相結合,就可以開展相關組織彈性能力評價及趨勢分析。網絡彈性框架與網絡彈性指數可以共同構建網絡彈性生態系統,從組織個體層面反映行業整體發展趨勢,并且可以開展跨組織、跨行業的比較研究。
(2)供應鏈彈性指數
相對于虛擬空間的網絡彈性,實體空間的供應鏈彈性更加復雜,特別是供應鏈彈性的不可見屬性使其更加難以觀察、難以量化、難以測度,基于生物細胞彈性理論的供應鏈彈性模型(又稱“雙仿模型”:仿生——模擬生物細胞彈性模型;仿真——模擬生物細胞彈性演化過程)(趙林度和王新平,2016),可以增強供應鏈彈性可視化、可感知能力。供應鏈彈性框架提供了供應鏈彈性塑造的基本原則,即風險評估、彈性資源、彈性治理、彈性生態、彈性戰略和彈性文化六大原則,也應該是供應鏈彈性性能指標定量描述的一級指數。參考《網絡彈性指數:提高組織網絡彈性》白皮書,以提高供應鏈彈性為目標設計的供應鏈彈性指數如表2所示。
表2 供應鏈彈性指數
一級指標 | 二級指標 | 三級指標 |
風險評估(12.0%) | 供應鏈風險監測(4.0%) | 供應鏈成員及時發布潛在風險信息(2.0%) |
每年發布供應鏈風險評估年度報告(2.0%) | ||
供應鏈風險辨識(4.0%) | 供應鏈成員之間風險辨識與風險傳播(2.0%) | |
第三方服務平臺風險辨識與風險傳播(2.0%) | ||
供應鏈風險預警(4.0%) | 定期或不定期發布供應鏈風險預警信息(2.0%) | |
供應鏈核心成員共同參與風險預警決策(2.0%) | ||
彈性資源(28.0%) | 產品和服務質量保障(4.0%) | 供應鏈產品和服務可持續競爭優勢培育(2.0%) |
每年發布產品和服務質量評估年度報告(2.0%) | ||
資源冗余與應急管理(4.0%) | 以關鍵彈性資源冗余提升應急保障能力(2.0%) | |
具有快速恢復正常狀態的應急管理能力(2.0%) | ||
供應鏈網絡結構布局(4.0%) | 供應鏈網絡配置呈現地域空間多樣性(2.0%) | |
基于供應鏈圖析技術的網絡可調節性(2.0%) | ||
供應鏈核心業務流程(4.0%) | 供應鏈核心業務流程可重構保持連通性(2.0%) | |
基于供應鏈控制塔的業務流程可修復性(2.0%) | ||
供應鏈管理成熟度(4.0%) | 跟蹤評估供應鏈管理成熟度和性能指標(2.0%) | |
每年發布彈性安全指標與趨勢年度報告(2.0%) | ||
供應鏈彈性持續改進(4.0%) | 每年更新供應鏈彈性持續改進行動計劃(2.0%) | |
每年發布持續改進計劃成功實施年度報告(2.0%) | ||
應急響應與恢復行動(4.0%) | 應急響應與恢復行動及時性和有效性評價(2.0%) | |
按預定規程審計響應與恢復行動執行情況(2.0%) | ||
彈性治理(12.0%) | 供應鏈協商機制(4.0%) | 供應鏈成員間協商渠道與協商機制健全(2.0%) |
供應鏈可信彈性原則和可執行政策完善(2.0%) | ||
供應鏈自適應性(4.0%) | 供應鏈安全事件沖擊下保持性能不變的能力(2.0%) | |
供應鏈安全事件沖擊下自主增強網絡控制力(2.0%) | ||
供應鏈自修復性(4.0%) | 供應鏈安全事件沖擊后自主恢復狀態的能力(2.0%) | |
供應鏈安全事件沖擊后自主消除影響的能力(2.0%) | ||
彈性生態(12.0%) | 供應鏈信任體系(4.0%) | 供應鏈成員誠信體系與信任體系完善(2.0%) |
每年供應鏈成員失信事件發生率為零(2.0%) | ||
供應鏈利益共享(4.0%) | 供應鏈成員合作新增收益分配合理性(2.0%) | |
供應鏈成員合作新增成本分攤合理性(2.0%) | ||
供應鏈風險共擔(4.0%) | 供應鏈成員聯合風險管理努力水平高(2.0%) | |
供應鏈成員風險成本與風險收益合理(2.0%) | ||
彈性戰略(16.0%) | 供應鏈自適應戰略(4.0%) | 不確定環境下持續洞察、演練與適應(2.0%) |
供應鏈設計滿足動態變化的調節能力(2.0%) | ||
供應鏈中斷重塑戰略(4.0%) | 融入中斷意識主動感知風險和管理中斷(2.0%) | |
創造時間成本質量優勢以科學利用風險(2.0%) | ||
供應鏈可持續性戰略(4.0%) | 供應鏈可持續性評估與綜合性解決方案(2.0%) | |
供應鏈環境、社會和公司治理績效評估(2.0%) | ||
面向未來的彈性戰略(4.0%) | 供應鏈彈性架構設計與可持續運營方案(2.0%) | |
供應鏈生態思維策略與可持續彈性優化(2.0%) | ||
彈性文化(20.0%) | 供應鏈成員彈性意識(4.0%) | 供應鏈成員彈性投資成本及其構成合理(2.0%) |
供應鏈成員間彈性管理與合作交流頻繁(2.0%) | ||
供應鏈成員可持續素養(4.0%) | 供應鏈成員可持續知識、能力、態度和價值(2.0%) | |
供應鏈成員跨時空聯結與高質量發展能力(2.0%) | ||
供應鏈成員彈性制度(4.0%) | 供應鏈成員瓶頸環節監管與防控措施(2.0%) | |
供應鏈成員尋源戰略與風險防范機制(2.0%) | ||
供應鏈成員彈性文化(4.0%) | 供應鏈成員協同互補的風險共擔文化(2.0%) | |
供應鏈成員扶優劣汰的共生共榮文化(2.0%) | ||
供應鏈成員學習文化(4.0%) | 供應鏈成員間彈性管理知識學習文化(2.0%) | |
供應鏈成員間彈性能力培養學習文化(2.0%) |
供應鏈彈性指數可以作為供應鏈成員自我評價、供應鏈綜合評價的依據,如果將供應鏈彈性框架與供應鏈彈性指數相結合,就可以開展相關供應鏈彈性能力評價及趨勢分析。供應鏈彈性框架與供應鏈彈性指數可以共同構建供應鏈彈性生態系統,在供應鏈層面反映整個產業鏈、供應鏈和價值鏈“三鏈”深度融合發展的趨勢,以可持續的彈性能力培育供應鏈生態價值和價值增值能力。虛實結合的系統性彈性指數,能夠綜合評價網絡彈性和供應鏈彈性機能及其演化趨勢。
4、彈性框架與彈性指數關系
彈性框架與彈性指數可以共同構建彈性生態系統,其中彈性框架的六大原則用于指導彈性塑造實踐,并轉化為彈性指數的一級指數用于指導彈性性能評估,從而說明彈性框架與彈性指數是彈性生態系統形成的“元基礎”。在彈性生態系統中,彈性框架與彈性指數相互支撐、相互依存,彈性框架能夠在實踐中驗證彈性指數,彈性指數能夠在評估中修正彈性框架(如圖6所示)。
(1)彈性塑造實踐
彈性生態系統只有在實踐中融入自適應性和自修復性才能正式開啟彈性塑造之門,而有效融入自適應性和自修復性離不開系統性行動指南。彈性生態系統的復雜性決定了彈性塑造需要經歷一個漫長而復雜的實踐過程,需要在有指導的學習環境中持續優化自己的成長行為才能為彈性生態系統錘煉出堅忍不拔的屬性。彈性框架提供了彈性塑造的基本原則,即風險評估、設施安全(彈性資源)、彈性治理、彈性生態、彈性設計(彈性戰略)和彈性文化六大原則,彈性管理決策者均以六大原則作為行動指南塑造網絡彈性和供應鏈彈性?;趶椥钥蚣艿膹椥运茉鞂嵺`如圖7所示,描述了彈性塑造實踐中遵循基本原則、探尋實踐目標、持續改進計劃的過程。
基于彈性框架的彈性塑造實踐,旨在辨識風險源、保障關鍵設施設備安全(保障核心資源冗余)、全面開展彈性治理、履行彈性生態系統維護職責、以自適應性和自修復性設計提升彈性機能(制定具有自適應性和自修復性的彈性戰略)、培育彈性文化,以綜合性措施提高彈性機能和安全水平。彈性塑造實踐只有經過無數次的反復歷練,彈性生態系統才能逐步孕育形成自適應性和自修復性并在實踐中逐步由弱到強,真正形成具有保障業務連續性、信息系統安全性和組織彈性的綜合能力。
(2)彈性性能評估
在彈性生態系統中,彈性框架能夠轉化為彈性評估的一級指數,即風險評估、設施安全(彈性資源)、彈性治理、彈性生態、彈性設計(彈性戰略)和彈性文化六大指數。彈性性能評估的目的在于精準地掌握彈性生態系統的狀態和能力,測試系統是否具備抵御安全事件沖擊和影響的能力,以便科學地做出風險管理和風險預警決策。在彈性框架六大原則基礎上,構建一級、二級和三級指數及其權值,形成具有三級結構、用于監測彈性生態系統孕育自適應性和自修復性能力的彈性指數?;趶椥灾笖档膹椥孕阅茉u估如圖8所示,描述了彈性性能評估中檢測彈性能力、核算檢測結果、持續改進計劃的過程。
基于彈性指數的彈性性能評估,旨在以增強系統彈性為目標尋找和消除薄弱環節,為測試、檢驗、驗證系統狀態做出更加科學合理的決策。從風險管理的視角研判彈性生態系統的性能狀態,揭示系統面對安全事件沖擊時所能呈現的性能狀態,深層次挖掘系統自適應性和自修復性持續改進計劃的策略方法。彈性性能評估增加了不同系統之間彈性機能和安全水平的可比性,能夠及時捕捉系統的脆性風險和脆性環節、安全隱患和安全漏洞,使整個彈性生態系統始終處于防患于未然、伺機而動的狀態。
5、系統性網絡彈性與供應鏈彈性
系統性彈性覆蓋虛擬空間和實體空間,可以根據關注焦點的不同分為系統性網絡彈性和系統性供應鏈彈性,即關注虛擬空間的系統性網絡彈性為“系統性網絡彈性=網絡彈性(51%)+供應鏈彈性(49%)”、關注實體空間的系統性供應鏈彈性為“系統性供應鏈彈性=供應鏈彈性(51%)+網絡彈性(49%)”。系統性網絡彈性中的供應鏈為網絡關鍵設備、網絡安全專用產品供應鏈,而系統性供應鏈彈性中的供應鏈為網絡關鍵設備、網絡安全專用產品之外的供應鏈。
(1)系統性網絡彈性
在系統性網絡彈性中,不僅包含網絡彈性,而且包含網絡關鍵設備、網絡安全專用產品供應鏈彈性,即網絡關鍵設備、網絡安全專用產品及關鍵部件生產、測試、交付、技術支持過程中的供應鏈彈性。以網絡關鍵設備、網絡安全專用產品供應鏈為例,可以構建系統性網絡彈性結構(如圖9所示),從而形成以虛擬空間的網絡彈性為焦點、虛實結合的系統性網絡彈性結構。
如圖9所示的系統性網絡彈性結構,覆蓋組織的網絡系統、網絡關鍵設備供應鏈、網絡安全專用產品供應鏈,具有彈性與安全的供應鏈成為提高網絡彈性機能與安全水平的重要基礎。在系統性網絡彈性中,網絡彈性離不開網絡關鍵設備、網絡安全專用產品及關鍵部件生產、測試、交付、技術支持過程中每一個供應鏈成員的彈性能力,在面臨安全事件沖擊時依賴于供應鏈彈性得以持續不間斷運行。
(2)系統性供應鏈彈性
無論供應鏈成員的安全性有多強,供應鏈中的任何薄弱環節都有可能使供應鏈陷入困境。供應鏈彈性與安全不僅受供應鏈網絡結構影響,即受供應鏈成員及其地理空間分布影響,而且受物流、信息流和資金流影響,說明供應鏈成員依賴于網絡彈性與安全。因此,每一個供應鏈成員的網絡彈性與安全都會影響供應鏈彈性與安全。以“互聯網+”生鮮農產品供應鏈為例(趙林度,2021),可以構建系統性供應鏈彈性結構(如圖10所示),從而形成以實體空間的供應鏈彈性為焦點、虛實結合的系統性供應鏈彈性結構。
在如圖10所示的系統性供應鏈彈性結構中,云平臺中每一個虛擬網絡節點都對應著相應的供應鏈成員,如果虛擬網絡節點在安全事件沖擊中遭受破壞就會影響供應鏈成員正常運營,從而影響整個供應鏈正常運營。在系統性供應鏈彈性中,供應鏈彈性依賴于網絡彈性得以持續運營,即如果沒有安全可靠的信息流的支持,供應鏈將無法正常運營難以實現預期的運營目標。
在現實世界中,萬無一失的“保險箱”是不存在的,正如“矛與盾”存在的一致性與矛盾性。彈性與安全涉及每一個環節、每一個主體,任何脆性風險和脆性環節、安全隱患和安全漏洞都有可能擴散到整個系統,尋找和消除薄弱環節始終是彈性與安全管理關注的焦點。在彈性目標驅動下,以虛實結合的風險管理為導向制定系統性彈性框架與彈性指數,以多學科、多維度的系統集成方案推動系統性彈性向著數字化、制度化、標準化方向發展,研究建立系統性彈性通用實踐原則和性能指標,有效衡量系統性彈性機能與安全水平的因果關系和演化趨勢,有助于全方位提升虛擬空間和實體空間彈性機能與安全水平,全方位保障虛擬空間與實體空間的可持續運營。
參考文獻:
[1]World Economic Forum, “The Cyber Resilience Index: Advancing Organizational Cyber Resilience” White Paper, 2022.
[2]深入研究網絡彈性[EB/OL]. [2021-06-11]. https://www.secrss.com/articles/31820.
[3]數字生態系統管理新方法!網絡彈性框架6大原則與行動措施,風險導向+可塑性強![EB/OL]. [2022-08-19]. https://zhuanlan.zhihu.com/p/555677933.
[4]2020年度中國網絡安全能力圖譜[EB/OL]. [2020-09-21]. https://www.secrss.com/articles/25741.
[5]趙林度,王新平,供應鏈彈性管理:測度與策略[M].北京:科學出版社,2016.
[6]趙林度.“互聯網+”生鮮農產品供應鏈[M]. 北京:科學出版社,2021.
網址引用: 林度空間. 系統性彈性:網絡彈性和供應鏈彈性. 思謀網. http://www.ahznzs.com/view/9609.