物流信息安全就在我们身边

作者：胡珉，北京乐思门咨询有限公司总经理
改编后发表于《中国经贸》2005年8月刊

每每与在企业物流或物流企业里的朋友们聊起“物流信息安全”这个话题，大家总觉得这个问题还离我们的实际工作很远。如果我们看看这两年有关这个话题的报道，就会发现仅有的话题无外乎是，2003年国家成立的物流信息技术管理委员（由国家标准委领导领导），其工作的重点包括物流信息基础、物流信息系统、物流信息安全、物流信息应用等标准的制定；或者，像《商务周刊》曾经发表的一篇名为《一个国家标准的意外休克》的文章中提到的，“国家标准委会非常重视信息安全标准化工作，已会同公安部、安全部、保密局、信息产业部等部门成立了全国信息安全标准化技术委员会，一大批专家积极开展我国信息安全标准化工作，物流信息安全是关注的重点工作之一。涉及国家机密的物品的生产、管理和采购不应纳入EPC编码体系，应成立独立系统。”让人们仿佛想到了电影《谍中谍》或《007》，让人影影绰绰地想到了活跃于安全战线的同志们，让人们神色凝重地想到了“敌人亡我之心不思”。而且，每每说到物流信息安全，就会让人们觉得，那是行业的事情，那是政府的事情，那是组织上的事情。

造成这种感觉的主要原因还是由于企业物流和物流企业的从业者们，可能已经深刻体会了物流信息对企业经营的重要，但却没有时间想到物流信息的不安全对企业经营的危害。哈佛大学教授安瑟尼.G.欧廷格说：“没有物质，就什么也不存在；没有能量，就什么也不会发生；没有信息，任何东西也没有意义。”每当我们听到专家们引用这句话时，肯定会喏喏称是；但却可能忽略了“你的敌人，一旦掌握了你的信息，就意义重大”了。

某第三方物流公司，经历了n多年的艰苦创业和奋斗，已经初具规模，且在行业里小有明确，并已经拥有了一定的资质不错的客户群。随之业务的发展和管理上的要求，公司的领导深刻认识到信息系统的重要，并决定下大力气在全公司范围内上系统，包括订单处理系统、运输管理系统、仓储管理系统和财务系统等主要模块。于是在去年，经过缜密的筛选，他们决定采用一个软件公司的物流软件，并由该软件公司根据他们具体业务的要求，进行客户话，并最终上线。可不久，一个奇怪的事情发生了。在该物流公司的一个老客户的招标活动中，他们在很多运输线路上的报价都输给了一个后来的竞争对手，而且对方的报价很离奇，几乎在很多的线路上，都仅略微便宜几分钱。反而，该物流公司胜出的线路几乎都是客户以前没有委托的线路。到底问题出在哪儿呢？经过仔细的分析，公司的老总认为，最大的可能是信息泄露。虽然没有最终的证据，该公司认为，最大的泄露机会，存在于前不久的物流信息系统的上线活动中。经调查，胜出的对手，最近也找了那家软件公司进行物流系统项目。而在本公司当初上线时，为了顺利地保证系统的及时上线，该公司经营的所有客户的资料以及各个线路的运输价格和社会车辆采购价格，如实地提交给了软件公司，以便导入原始数据。到底是该软件公司有意地泄露了物流公司的物流信息，还是系统人员无意的，比如在竞争对手上项目时进行案例展示，就不得而知了。

上述案例提醒我们，采用物流信息系统是件好事情，但是否应该仔细地安排系统实施的各个步骤，并重复考虑物流信息泄露的可能？

目前，越来越多的企业不但开始采用物流信息系统，而且也开始认识到信息的“孤岛效应”，并着手开展与上下游企业或合作伙伴、服务商，进行系统的对接。比如，VMI（Vendor Managed Inventory，供应商管理库存）和ASP（Application Service Provider，应用系统服务托管）等。这些项目的好处，是能加速物流信息在企业上下游间的及时传递、增加可视性、减少人工的失误，但企业的管理者们也应该重复的认识到，没有充分地考虑信息的安全将可能带来的危害。

早在几年前，一个从事手机制造的跨国公司就准备实施一个称为MiniERP的物流信息系统项目，旨在链接其在国内的主要经销商，实时地掌握经销商每天的进、销、存的信息。一方面，该系统可以通过对经销商每天的库存变动，及时地估计经销商未来的销售走势，推断经销商可能的订单数量，并意图避免销售对经销商们的无理压货。而另一方面，经销商们也可以通过系统的链接，随时了解他们向厂家订货被处理的状态、厂家产品的库存状况以及订单的运输信息。但在项目实施过程中，却出现了极大的阻力。其中，最重要的问题，还是物流信息的安全。比如，经销商们就担心，如果他们的信息被厂家的人员掌握了，那么如何才能确保经销商A的信息不被经销商B掌握？要知道，经销商们之间往往会在同一地区发生遭遇战。一旦经销商的库存信息，被同行掌握，那么就很可能会使得它出于极端的被动地位。比如，竞争对手会根据掌握的库存信息，调整他们在该地区的临时价格策略，使得对手在高位库存的产品更难以出货，或逼迫对手价格跟进而出现损失。而对于对手缺货的产品，疯狂促销或调高出货价格，以期望获取市场份额或临时的额外利润。如果经销商们存在的上述疑虑不能被消除，他们又如何能确保经销商们在系统中输入的数据没有隐藏呢？

另一方面，如果经销商理解到厂家的产品库存，也可能会出现对紧俏产品的“疯抢效应”，加大订单量，从而使得厂家被动，甚者出现后来的紧急生产和供应而又使得产品在渠道中积压的恶性循环。即使在很多企业的内部，不是也出现了，销售们一旦看到了商品有短缺，反而会加大订单的现象？从而造成了企业内部不必要的互相指责，甚者矛盾。

再比如，很多企业搞VMI，都无私地将库存信息、消耗速度、生产计划和预测提供给供应商，然后由供应商根据事先设定的SLA（Service Level Agreement，服务水平协议，可能包括最大/最低库存指标，或者是订单完成率等指标），自动地进行补货，并及时调整供应商自己的生产计划和平衡产能。这里面同样会出现有关信息安全的思考。厂家的信息是否会被供应商传递给厂家的竞争对手？厂家如何提供（或怎样提供）信息给供应商，以确保不泄露厂家对多家供应商提供的同一物料或采购商品的战略分配比例？对于这样的情况，有的厂家往往内部有个配比政策，而不想让各供应商知道。一旦在处理和发布信息时不注意，或未加过滤，可能会使得原本被鼓舞的欢天喜地的供应商，在他们通过比如是生产计划或预测或库存等信息了解到，还有别的供应商存在或者其它的供应商获得了更大的订单量，而顿数像泄了气的皮球或郁闷地说：“感情还有包二奶啊！”

上述诸多示例，是否可以让我们开始仔细地思考：

• 物流信息都有哪些类别？
• 如何针对安全性，对物流信息进行分类？
• 如何界定信息共享时的“共享”？
• 在信息系统之外，如何知道企业和企业之间的政策和流程，以确保信息的安全？

物流信息与其它的企业信息一样，最后的使用者都是人。在考虑信息系统安全的时候，除了要考虑信息系统本身的IT类的安全（比如非法获取、侵入、传递丢失、备份、突发事件等）之外，还应该充分考虑使用者、提供者、接受者的安全隐患。可能有的人会说：“干吗要草本皆兵呢？”但是，如果我们准备着、并时刻准备着“敌人亡我之心不死”，那么，我们就有必要充分地认识到安全隐患以及各种情况对企业经营的危害。商场如战场，这句话总没错吧？