GB/T 26318-2010 物流网络信息系统风险与防范

ICS03．100．01

A02

囝雪

中华人民共和国国家标准

GB／T26318—2010

物流网络信息系统风险与防范

riskand

networkinformation

LOgisticssystemspreVention

201

1-01—14发布

宰瞀徽紫瓣訾矬瞥星发布中国国家标准化管理委员会巩1”

GB／T26318—2010

目次

前言………………·…·…·………………···

引言…………···…···………

1范围…………··…·……·

2规范性引用文件……………···………·

3术语和定义·…··………-

4物流网络信息系统技术原则和风险分类ⅢⅣ●●，0

5物流基础数据风险与防范措施·………

6实体风险与防范措施…………··………·

7硬件风险与防范措施……8∽M

8软件风险与防范措施···………………···

9管理风险与防范措施……

参考文献…··………………M加弘

GB／T26318—2010

刖茜

本标准按照GB／T1．1—2009给出的规则起草。

本标准由中华人民共和国商务部提出并归口。

本标准起草单位：浙江双马国际货运有限公司、深圳市联合纵横国际货运代理有限公司、新景程国

际物流有限公司、中国国际电子商务有限公司、全国国际货运代理标准化技术委员会、中外运长航集团

有限公司、中国海运(集团)总公司、中国中钢集团公司、锦程物流(集团)公司、北京交通大学、中钢国际

货运有限公司、上海宝霖国际危险品物流有限公司、福建金航国际货运代理有限公司厦门分公司、上海

港虹信息科技有限公司、厦门通程物流有限公司、内蒙古安快物流集团、新时代保险经纪有限公司、新疆

德鲁亚国际物流有限公司、新疆托木尔货运代理有限责任公司。

本标准主要起草人：林忠、王喜富、蒋寒松、胡荣、杨爽、陈峥、冯建萍、杨旭、景洪德、张海峰、陈智勇、

李莉丽。

Ⅲ

GB／T26318—2010

引言

本标准通过对物流信息资产、面临的威胁、资产存在的脆弱性以及脆弱性被威胁利用后所产生的实

际负面影响等进行识别、分析，从而得到资产、威胁和脆弱性相映射的资产价值、威胁等级和薄弱点等级

等，转化成以提示的形式给出了物流基础数据风险、实体风险、硬件风险、软件风险和管理风险五个方面

的主要风险来源和相应的防范措施，以对付威胁、减少脆弱性、限制意外事件影响，实现以下一种或多种

功能；预防、延迟、阻止、检测、限制、修正、恢复、监控以及意识性提示或强化。

当前，由于我国中、小物流企业占多数，而企业规模、服务水平、人员素质、地域等差异不一，导致企

业在信息化建设和技术运用与其实际的经营规模、业务范围、流程和管理之间发展不平衡，制约了企业

和行业的信息化的发展，加大了企业的运营风险。本标准旨在提高中、小物流企业的物流网络信息风险

防范的能力。

Ⅳ

GB／T26318—2010

物流网络信息系统风险与防范

1范围

本标准规定了物流网络信息系统的风险评估、安全防范措施和安全管理要求。

本标准适用于我国物流企业对信息系统或物流信息系统公共服务平台进行规范与管理，并可作为

相关机构对物流网络信息系统进行安全评价的依据。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

20984

GB／T2007信息安全技术信息安全风险评估规范

3术语和定义

下列术语和定义适用于本文件。

3．1

资产asset

对组织具有价值的信息或资源，是安全策略保护的对象。

20984

[GB／T2007，定义3．1]

3．2

value

资产价值∞set

资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。

[GB／T20984—2007，定义3．2]

3．3

威胁threat

可能导致对系统或组织危害的不希望事故潜在起因。

[GB／T20984—2007，定义3．17]

3．4

薄弱点vulne髓bility

资产或资产组中能被威胁利用的弱点。

3．5

风险risk

特定的威胁利用资产的一种或一组薄弱点，导致资产的损害的潜在的可能性，即特定威胁事件发生

的可能性与后果的结合。

3．6

risk

信息系统的风险info咖ati蚰system

特定的威胁利用信息资产的漏洞或弱点从而造成对资产的一种潜在损害，包括信息资产、威胁和自

身的漏洞或弱点三个组成部分。

注：信息系统风险的严重程度可用资产受损害的程度与威胁发生的概率的乘积来衡量。

1

37

物藏网络信息系统Iogisti∞nnworkin如rmati蚰掣stem

以计算机技术和通信技术结合为基础，通过对物流相关信息的收集、加工、处理，存储和传递来达到

对物流恬动的有效控制管理，并为企业提供信息分析和头策支持的人机系统。

38

风险评估risk一一nt

性的评估。

提供月女日靠白寸女±性丹*报☆，**自月镕女±#体m}F±t§依*．

39

风险管理ri呔一az…nt

以可接受的费用识别、控制、降低或消除可能影响信鼠系统的安全风险的过程。风险管理是个识

别、控制、降低或消除安全风险的活动．通过风险评估来识别风险大小．通过制定信息安全方针，采取适

当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至个可被接受的水平。在风险管

理方而应考虑控制费用与风险之间的平衡。

4物流网络信息系统技术原则和风险分类

41物流网络信息系统示例

物流网络信息系统是物辩【实体网络的重要支撑．伴随物流基础设施网络，实体服务网络而相应收

集、加工、处理，存储和传递有关用户需求信息、市场动态、物流服务、企业内部业务处理情况等各类信

息，有救地管理物流月If务的各个环节．能够提供诸如结算功能、实时的客户奁询功能以及各种接口模块

等，并为企业提供信息分析和决策支持。由于物流基础设施网络，实体服务网络、服务技术、服务范围、

月|￡务层次、服务程度、服务区域等的不同，物流剐络信息系统也因此根据不问企业的需求．以有不同层

敬、不同程度的应用和不同子系统构成．诸如以下示例中不同功能的系统有着不同的构成。

*《供A，i《人镕口、**、＆§＆痉*m§}自自#镕女E，E目1。

到型型

图1跨境、跨区域贸易物流商务协同平台

}d

#n#、；自＆作n日白镕合管理∞％月镕信息§娆，Ⅲ目z。

图2综台管理应用平台

id

月镕镕E∞十§＆，Ⅲ月3

圄3航线运价平台

GB／T26318—2010

i目4单证管理平台，Nt十贸易物流环节中所涉&到单证进行综合管理＆信息nn《∞#％月镕信Ef§‰

Ⅲ目4。

图4单证管理平台

id5：％＆*理}自，自i堆i人女Ⅱ*＆、自＆女任保障赏《代4责任保险提单责任保险辅“货物《辅保险

财产保险目物m目镕信息}§统，Ⅲ目：。

GB／T26318—2010

i自6：结算支付管4平自，镕《资金☆逾目目厦简％支付i#∞n4＆《供№资担保∞物m目络信Ef§托，E

图6结算支付管理平台

}d

#tm镕2＆∞#m月镕镕Bf§＆，Ⅲ目7．

图7GPs管理平台

GB／T26318—2010

id8：Ⅲ务管理}台，目自《、传真，《信#进#*理∞％m目镕镕自子§＆．Ⅲ目8

i目10：库#信自系统，W月＆女Ⅻ∞物m信息，制2＆最优库存方式、库存t、库存日种“&女±防范措施等

}目11E女信息§统，#商￡＆EⅨ方向、日粪，制定科学，合Ⅻ、女济∞i输I具Ⅷn计划自E％路#等。

f{‰。

6

GB／T26318—2010

4．2技术原则

4．2．1先进性

物流业务涉及跨区域(跨境)业务协同、流程协同、管理协同，系统宜采用国际先进的网络技术模式

和软件体系结构，使系统具有一定的前瞻性，支持系统可持续发展的需要。

4．2．2实用性

物流业务涉及的业务范围广，应结合企业的个性化服务需要，在实用性系统设计过程中应考虑与原

有的业务应用系统之间无缝、平滑接人。

4．2．3可靠性

物流业务具有多元化的特点，业务环节多，流程复杂，服务链长，系统应具备可靠性和容错性，能不

问断和有足够的延时来处理突发事件。

4．2．4安全性

物流业务涉及单证制作、递交、审核，流转交换；货权转移；货币结算等，应构建完整的安全体系，包

括安全基础设施以及传输安全、网络安全、数据安全、信息安全、应用安全以及系统安全。系统在安全等

级、交叉验证、cA认证系统、网络安全等各个环节应采取有力的安全保证措施。

4．2．5标准规范性

物流业务涉及多个参与方，系统建设应符合一定的规范要求，以达到互联互通，统一管理的目的。

4．2．6扩展性

随着现代物流业务的日益发展，系统应满足长期、可持续发展的需要，具有良好的扩展性，适应未来

信息量与业务量增长的需要。系统应为各业务系统及整体应用系统的接人预留接口，以增强系统的弹

性、通用性与可替换性。

4．3风险分类

4．3．1物流基础数据风险

数据的收集和输入、信息的存储、信息的传输、信息的处理和信息输出过程中，如因不及时、不真实、

不准确、丢失、外泄等引发的风险。

4．3．2实体风险

包括参与方的风险、未经授权的操作风险或人为地对设施、设备进行攻击和破坏等。

4．3．3硬件风险

由于计算机及网络设备因各种突发灾害或因运行环境或因硬件本身及相关元器件的技术缺陷、故

障导致系统不能正常工作而带来的风险；物流信息技术运用或系统配置不当或使用未经授权或不符合

标准的设备引发的风险等。

4．3．4软件风险

网络层、应用层、系统层的风险以及由于各种程序开发、使用过程中包含的潜在错误导致系统不能

7

GB／T26318—2010

正常工作而带来的风险。

4．3．5管理风险

由于管理体制的偏差、管理制度的不完善导致具体管理过程中出现漏洞而带来的风险，主要分为技

术管理风险和组织管理风险。技术管理包括物理和环境安全、通信与操作管理、访问控制、系统开发与

维护等。组织管理包括安全策略、组织安全、资产分类与控制、人员安全等。

5物流基础数据风险与防范措施

5．1数据的收集和输入风险与防范措施

5．1．1主要风险来源

5。l，1．1物流业务所需要的数据类型繁多，来源复杂，发生、处理地点和扩散范围各不相同，使得物流

信息的采集、分类、统计、分析的难度加大。

5．1．1．2大量新信息不断更新原有的信息。

5．1．1．3初始静态数据和业务输入数据、业务输出数据不完全或不正确。

5．1．1．4基础数据采集的技术实现手段差异大，且未完全实现自动化，尚需依靠人工录入。

5．1．1．5物流客体在物流信息系统中的逻辑位置或状态表达存在二义性，无法根除。由于物流客体编

码、数据格式、数据采集技术不统一而导致物流数据采集、共享和交换难于进行。

5．1．2主要防范措施

5．1．2．1信息收集是保证整个物流网络信息系统得以进行的基础和前提，直接关系到整个物流过程管

理的质量。为了保证所获取的信息的质量，应遵循以下原则：

a)准确性原则。对收集到的信息应反复核实、校验，力求把误差减少到最低限度，确保所收集到

的信息真实可靠。

b)全面性原则。要求做到所搜集到的信息要广泛，全面完整。

c)时效性原则。物流信息动态性强，信息价值衰减和更新快，应保证信息采集的及时性和信息加

工处理的快速性。

5．1．2．2在数据输入前做好合理的人员分组和组内分工。

5．1．2．3加强数据格式设计与数据输入人员或部门之间的沟通与协调。

5．1．2．4简化作业流程，提升员工的操作技能水平。提高了数据输入的效率与效果，保证数据的完整

一致。

5．1．2．5

保证收集到的数据本身的准确性，没有遗漏、重复、过时、失实。

aJ定义关键的数据元素，如物料代码、项目类型和损耗率等。

b)在数据输入系统前，将系统的信息需求与信息使用者的需求进行核对。

c)定义系统的全部信息和信息来源，识别关键信息与非关键信息。

d)对经常变化的数据，保证系统能实时反映其变化情况，并应定期检查，如有必要应及时修