近年來，國際逆全球化勢力抬頭，世界政治經(jīng)濟局勢深刻變革，全球 ICT 供應鏈體系處在解構(gòu)與重構(gòu)之中，不確定性顯著上升，通過ICT供應鏈非法控制和干擾破壞的事件層出不窮，不僅對我國經(jīng)濟穩(wěn)定運行造成較大沖擊，也對我國關鍵信息基礎設施的網(wǎng)絡安全造成了嚴重威脅。習近平總書記在《國家中長期經(jīng)濟社會發(fā)展戰(zhàn)略若干重大問題》中指出，要“優(yōu)化和穩(wěn)定產(chǎn)業(yè)鏈、供應鏈”?！笆奈濉币?guī)劃綱要提出“提升產(chǎn)業(yè)鏈供應鏈現(xiàn)代化水平”的工作目標。研究和做好 ICT 供應鏈安全工作，是當前和今后一個時期的重要任務。

　　一、重新認識 ICT 供應鏈安全問題

　　企業(yè)從原材料和零部件采購、運輸、加工制造、分銷直至最終送到用戶手中的這一過程被看成是一個環(huán)環(huán)相扣的鏈條，這就是供應鏈。供應鏈問題不是一個新課題，早在 20 世紀 90 年代，產(chǎn)業(yè)界和學界就開始從企業(yè)管理的視角關注并研究供應鏈管理問題。研究者站在企業(yè)的角度，從提高經(jīng)營利潤、高效整合資源的角度出發(fā)，在物流、庫存、人力成本、質(zhì)量標準、生產(chǎn)計劃與控制、采購方案與訂單管理、供應商管理、交付方式等方面制定最優(yōu)策略，研究如何將用戶所需要的正確的產(chǎn)品（Right Product）能夠在正確的時間（Right Time）、按照正確的數(shù)量（RightQuantity）、正確的質(zhì)量（Right Quality）和正確的狀態(tài)（Right Status）送到正確的地點（Right Place），即“6R”法則。供應鏈管理的主要目標是追求用最小的成本實現(xiàn)最大的利潤，供應鏈安全是其從屬目標。

　　然而，近年來，隨著新情況的出現(xiàn)，供應鏈管理的內(nèi)涵超越了企業(yè)管理的范疇，供應鏈安全特別是 ICT 供應鏈安全的重要性不斷上升，甚至達到了影響國家安全的程度。一是我國經(jīng)濟社會的數(shù)字化轉(zhuǎn)型持續(xù)深入，深刻變革全社會的生產(chǎn)生活方式，各行各業(yè)對信息化的依賴度前所未有，ICT 供應鏈安全直接影響關鍵信息基礎設施安全。二是全球化大分工不斷細化，國家與國家之間在全球分工體系中的相互依存度加深。第十二屆全國人民代表大會財政經(jīng)濟委員會副主任委員黃奇帆在 2019 年第三屆中國經(jīng)濟學家高端論壇上指出：“40 年前全球貿(mào)易的總量中成品的比重占整個貿(mào)易中 70% 以上?，F(xiàn)在世界貿(mào)易格局中 70% 是零部件、原材料、中間品，30% 是成品?！痹趪H貿(mào)易量中，成品貿(mào)易與中間品貿(mào)易的比例發(fā)生了倒置，反映出國際分工格局的深刻變革。三是國際逆全球化勢力抬頭，越來越多的西方國家無力解決日益突出的國內(nèi)矛盾，為了局部利益而放棄全局利益，為了短期利益而犧牲長期利益，試圖用脫鉤、貿(mào)易摩擦、制造壁壘等手段度過危機。四是全球新冠肺炎疫情蔓延擴散，嚴重影響我國供應鏈上游的進口來源地的經(jīng)濟生產(chǎn)活動，另外，疫情在全球爆發(fā)擴散的地點、規(guī)模的不可預見性，也使其成為影響供應鏈安全的最大變量。

　　二、ICT 供應鏈的主要風險和問題

　　我國高度重視供應鏈安全工作?！毒W(wǎng)絡安全審查辦法》第一條開宗明義指出，制定本辦法的目的是“為了確保關鍵信息基礎設施供應鏈安全”。全國信息安全標準化技術委員會于 2018 年組織制定了《信息安全技術 ICT 供應鏈安全風險管理指南》（GB/T 36637-2018），將 ICT 供應鏈的安全威脅劃分為惡意篡改、假冒偽劣、供應中斷、信息泄露、違規(guī)操作、其他威脅等類別，較為全面地識別了 ICT 供應鏈的主要風險。其中，較為突出的風險有兩類。

　?。ㄒ唬┓欠刂?/p>

　　具體表現(xiàn)有：在供應鏈的任一環(huán)節(jié)進行惡意篡改、植入、替換、偽造，以嵌入包含惡意邏輯的軟件或硬件；軟件開發(fā)大量使用來源難以追溯的開源模塊；網(wǎng)絡產(chǎn)品和服務被遠程控制，但未告知遠程控制的目的、范圍和關閉方法，甚至采用隱蔽接口、未明示功能模塊、加載禁用或繞過安全機制的組件等手段實現(xiàn)遠程控制功能。

　?。ǘ┕袛?/p>

　　供應中斷風險的具體表現(xiàn)有：（1）ICT 產(chǎn)品和服務的供應量中斷或顯著減少，達到不能維持正常運行的程度。（2）ICT 產(chǎn)品和服務的質(zhì)量明顯下降、交易價格大幅上漲，達到難以接受的程度。（3）產(chǎn)品交付的時間顯著滯后，交付的地點與預定目標偏離過遠。

　　造成供應中斷或供應鏈質(zhì)量下降的原因有：（1）由于戰(zhàn)爭等人為的和疫情、地震、臺風等自然的不可抗力引發(fā)的突發(fā)事件，導致產(chǎn)能下降、物流受阻、工藝退步。（2）國際環(huán)境和地域因素導致貿(mào)易管制、限制銷售、知識產(chǎn)權(quán)、合規(guī)標準差異等情況。（3）不正當競爭行為導致的中斷，供應商利用用戶對產(chǎn)品和服務的依賴性，如通過技術、政策等手段，限制或阻礙用戶選擇其他供應商的產(chǎn)品、組件或技術。（4）上游組件存在假冒偽劣等問題，如盜版、翻新機、低配充高配、未經(jīng)授權(quán)的貼牌或代工等。（5）上游供應商發(fā)生意外事件，如違約、失信、涉訴、涉罰、拖欠、壞賬、破產(chǎn)等，波及下游企業(yè)。

　　“長鞭效應”（Bullwhip Effect）加劇了供應鏈的不穩(wěn)定性。出于抵御供應不足、客戶需求變更等未知風險的本能，作為個體的企業(yè)往往傾向于向上游供應商放大需求。當供應鏈的各節(jié)點企業(yè)只根據(jù)來自其相鄰的下級企業(yè)的需求信息進行生產(chǎn)或供應決策時，需求信息的不真實性會沿著供應鏈逆流而上，產(chǎn)生逐級放大的現(xiàn)象，到達源頭供應商時，其獲得的需求信息和實際消費市場中的顧客需求信息發(fā)生了很大的偏差，就好像手腕輕微抖動就會使長鞭末梢大幅擺動一樣，因此被稱為“長鞭效應”。當供應鏈網(wǎng)絡中的企業(yè)集體受到長鞭效應的影響時，全行業(yè)的產(chǎn)能就會發(fā)生周期性的波動，在波峰期造成產(chǎn)能過剩的浪費，在波谷期造成供應不足的緊缺，并通過多個層級供應商的滯后傳導，最終傳導到最終用戶。當前全球的汽車芯片荒，也正是在多種因素疊加下長鞭效應的具體表現(xiàn)。

　　僅靠企業(yè)個體應對 ICT 供應鏈風險是非常困難的。一是 ICT 產(chǎn)品和服務有著非常復雜的組成結(jié)構(gòu)和上下游關系，上游軟硬件產(chǎn)品的漏洞預警、后門事件、產(chǎn)能波動難以及時傳導到下游環(huán)節(jié)的企業(yè)，作為個體的企業(yè)難以感知作為群體的行業(yè)情況。二是信息共享不暢、信任的缺失導致上下游企業(yè)難以采取共同措施應對風險，受長鞭效應影響，供應鏈網(wǎng)絡中的企業(yè)之間往往同時處于競爭、合作、博弈的狀態(tài)，在信任缺失的情況下，企業(yè)往往選擇獨占收益，將市場波動、延遲交付、訂單變更等風險轉(zhuǎn)嫁給合作伙伴，導致企業(yè)個體自發(fā)維持狀態(tài)下的供應鏈網(wǎng)絡合作難以為繼。

　　三、美國的 ICT 供應鏈政策

　　美國是供應鏈管理的先進國家，波音、蘋果等企業(yè)依靠領先的供應鏈管理水平取得了巨大的成功。美國也是 ICT 供應鏈安全的先行者，在政策保障、工作機制、標準制定等方面做出了許多有益的嘗試，可作為我國探索 ICT 供應鏈安全保障的參考和啟示。

　　一是出臺政策保障。早在 2008 年，美國布什政府發(fā)布的 54 號國家安全總統(tǒng)令（NSPD54）提出國家網(wǎng)絡安全綜合計劃（CNCI），其部署的一項重要工作就是建立全方位的措施來實施全球供應鏈風險管理。近年來，美國密集出臺《聯(lián)邦采購供應鏈安全法案 2018》和《確保供應鏈安全》（14017 號總統(tǒng)行政令）等法案、行政令。據(jù)不完全統(tǒng)計，自2018 年以來，美國出臺的涉及 ICT 供應鏈、5G、出口管制的法案、行政令達 11 份。

　　二是建立工作機制。美國于 2018 年新建 2 個跨部門的 ICT 供應鏈風險管理機構(gòu)：（1）聯(lián)邦采購供應鏈安全理事會。其主席由管理和預算辦公室（OMB）高級官員擔任，負責協(xié)調(diào)聯(lián)邦政府的供應鏈風險管理選擇，制定采購法規(guī)，指導建議美國國家標準技術研究院（NIST）制定技術標準，識別聯(lián)邦供應鏈的主要威脅。做個不恰當?shù)念惐龋摍C構(gòu)的工作職能類似于我國的云計算服務安全評估工作協(xié)調(diào)機制，在政府采購方面發(fā)揮審查、評估作用。（2）設在國土安全部的 ICT 供應鏈風險管理特別工作組。該機構(gòu)的職能是建立公共部門和私人部門的工作聯(lián)系，成員包括 20 個聯(lián)邦部門和機構(gòu)和 40 個信息技術領域的大型企業(yè)（思科、微軟、亞馬遜、火眼等美國主要 ICT 供應商悉數(shù)在列），下設 4 個工作組，在特別工作組成員間建立供應鏈風險信息共享機制，促成政府部門和企業(yè)之間的信息共享，評估 ICT 供應商、ICT 產(chǎn)品和服務的風險。我國目前尚無類似職能的工作機制或機構(gòu)。

　　三是采取各種具體措施。美國 ICT 供應鏈風險管理特別工作組下的風險評估工作組開展了 2 次 ICT供應鏈風險評估工作；拜登政府在 2021 年 5 月發(fā)布的《關于加強國家網(wǎng)絡安全的行政命令》中要求NIST 發(fā)布指南，要求軟件產(chǎn)品提供者向購買者提供“軟件材料清單”（SBOM）。

　　四、工作建議

　?。ㄒ唬┘哟蠼y(tǒng)籌協(xié)調(diào)力度，建立 ICT 供應鏈安全工作機制

　　做好 ICT 供應鏈安全工作，涉及核心技術攻關、“卡脖子”環(huán)節(jié)識別、ICT 供應鏈圖譜繪制、供應鏈信息共享等職能，憑借企業(yè)、行業(yè)的力量難以獨立完成，建議發(fā)揮我國的制度優(yōu)勢，既集中力量又分工協(xié)作，參照國家網(wǎng)絡安全審查工作機制，建立國家層面的 ICT 供應鏈安全工作機制，在指導關鍵信息基礎設施運營者開展 ICT 供應鏈管理、供應鏈風險監(jiān)測預警和通報共享等日常工作方面發(fā)揮作用。

　　（二）建立 ICT 全球供應鏈風險預警系統(tǒng)

　　“十四五”規(guī)劃綱要提出，“建立重要資源和產(chǎn)品全球供應鏈風險預警系統(tǒng)”。建議在 ICT 供應鏈安全工作機制的統(tǒng)籌協(xié)調(diào)下，繪制 ICT 產(chǎn)品構(gòu)成圖譜，監(jiān)測上游組件相關的風險事件，如產(chǎn)能波動、價格上漲、供應商涉訴涉罰、木馬漏洞、產(chǎn)品缺陷等，針對關鍵信息基礎設施和重要 ICT 產(chǎn)品和服務開展風險預警通報。

　?。ㄈ┘訌?ICT 供應鏈信息的使用管理和技術應用

　　通過法律法規(guī)、技術標準進一步規(guī)范供應鏈信息的共享和使用，在保護企業(yè)商業(yè)秘密的同時合理使用供應鏈數(shù)據(jù)。建立基于特定目的、在特定范圍內(nèi)使用 ICT 供應鏈數(shù)據(jù)的規(guī)則，避免泄露、濫用。探索數(shù)據(jù)“可用不可見”技術、區(qū)塊鏈等技術在供應鏈圖譜繪制、風險預警方面的應用。