随着互联网技术的快速发展,供应链管理变得越来越全球化和复杂化,供应链信息系统出现的新风险和漏洞,导致供应链随时都有可能发生不容忽视风险的网络攻击。不可避免的网络攻击会影响许多不同的工业部门,从金融服务、能源供应商、高科技公司、零售商到医疗保健部门以及政府等多领域多行业。同时网络信息安全事故的发生也会给企业带来声誉、直接经济、机会成本等损失,以及各类数据泄露引发的危害。为了提升供应链在网络空间中的信息系统安全,本文在前人研究的基础上,结合相关的理论基础以风险识别为前提,投资应对是关键的主线展开对网络空间供应链信息安全风险识别及投资应对策略研究。具体研究工作如下:首先,对风险要素、风险来源和分析风险识别方法的相关概念和内容进行阐述和分析。网络空间供应链信息安全的主要风险为黑客攻击、企业间的连带攻击及病毒传递,其必然会致使供应链安全弹性的降低和各种相应的损失。其次,对供应链企业准入进行博弈分析。零售商和信息安全服务商都消极监管时,在位企业零售商应慎重考虑是否选择与进入企业供应商合作。零售商积极作为和信息安全服务商消极作为时比较符合供应链信息安全外包服务的真实市场情况。零售商和信息安全服务商都积极作为是供应链信息安全管理的理想状态。对供应链上下游企业共同投资信息安全构建展开分析。设计了离散决策下供应商单独负责、供应商与零售商共同负责以及基于奖惩下供应商单独负责三种信息安全构建投资机制。供应商单独负责信息安全构建情况下,对入侵防御子系统的投入过多,但对入侵检测子系统的投入不能达到社会福利最优。供应商与零售商共同负责信息安全构建情况下,无论是对子系统的的投入水平还是供应链收益均不能达到社会福利最优。基于奖惩的供应商单独负责信息安全构建情况下,对子系统的投入水平达到了社会福利最优,实现了上下游对不同子系统投资的协调与合作。最后,利用stackelberg主从博弈思想,构建一个由零售商为主导者和供应商为追随者的二级供应链,设计供应链信息安全构建中零售商和供应商共同分摊风险和供应商单独分摊风险的企业合作契约,并对结论进行数值仿真和验证。两种合作契约中只有供应商单独分摊风险契约能使供应链企业对网络安全投入和各项收益均能达到社会最优水平。本文针对网络空间供应链信息安全风险的问题,基于网络空间信息安全风险识别分析,研究得出不同风险情况下供应链企业准入机制、投资应对机制和合作协调契约,为企业的运营决策提供一定的理论指导依据。