近年來(lái)，國(guó)際逆全球化勢(shì)力抬頭，世界政治經(jīng)濟(jì)局勢(shì)深刻變革，全球 ICT 供應(yīng)鏈體系處在解構(gòu)與重構(gòu)之中，不確定性顯著上升，通過(guò)ICT供應(yīng)鏈非法控制和干擾破壞的事件層出不窮，不僅對(duì)我國(guó)經(jīng)濟(jì)穩(wěn)定運(yùn)行造成較大沖擊，也對(duì)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全造成了嚴(yán)重威脅。習(xí)近平總書記在《國(guó)家中長(zhǎng)期經(jīng)濟(jì)社會(huì)發(fā)展戰(zhàn)略若干重大問(wèn)題》中指出，要“優(yōu)化和穩(wěn)定產(chǎn)業(yè)鏈、供應(yīng)鏈”?！笆奈濉币?guī)劃綱要提出“提升產(chǎn)業(yè)鏈供應(yīng)鏈現(xiàn)代化水平”的工作目標(biāo)。研究和做好 ICT 供應(yīng)鏈安全工作，是當(dāng)前和今后一個(gè)時(shí)期的重要任務(wù)。

　　一、重新認(rèn)識(shí) ICT 供應(yīng)鏈安全問(wèn)題

　　企業(yè)從原材料和零部件采購(gòu)、運(yùn)輸、加工制造、分銷直至最終送到用戶手中的這一過(guò)程被看成是一個(gè)環(huán)環(huán)相扣的鏈條，這就是供應(yīng)鏈。供應(yīng)鏈問(wèn)題不是一個(gè)新課題，早在 20 世紀(jì) 90 年代，產(chǎn)業(yè)界和學(xué)界就開始從企業(yè)管理的視角關(guān)注并研究供應(yīng)鏈管理問(wèn)題。研究者站在企業(yè)的角度，從提高經(jīng)營(yíng)利潤(rùn)、高效整合資源的角度出發(fā)，在物流、庫(kù)存、人力成本、質(zhì)量標(biāo)準(zhǔn)、生產(chǎn)計(jì)劃與控制、采購(gòu)方案與訂單管理、供應(yīng)商管理、交付方式等方面制定最優(yōu)策略，研究如何將用戶所需要的正確的產(chǎn)品（Right Product）能夠在正確的時(shí)間（Right Time）、按照正確的數(shù)量（RightQuantity）、正確的質(zhì)量（Right Quality）和正確的狀態(tài)（Right Status）送到正確的地點(diǎn)（Right Place），即“6R”法則。供應(yīng)鏈管理的主要目標(biāo)是追求用最小的成本實(shí)現(xiàn)最大的利潤(rùn)，供應(yīng)鏈安全是其從屬目標(biāo)。

　　然而，近年來(lái)，隨著新情況的出現(xiàn)，供應(yīng)鏈管理的內(nèi)涵超越了企業(yè)管理的范疇，供應(yīng)鏈安全特別是 ICT 供應(yīng)鏈安全的重要性不斷上升，甚至達(dá)到了影響國(guó)家安全的程度。一是我國(guó)經(jīng)濟(jì)社會(huì)的數(shù)字化轉(zhuǎn)型持續(xù)深入，深刻變革全社會(huì)的生產(chǎn)生活方式，各行各業(yè)對(duì)信息化的依賴度前所未有，ICT 供應(yīng)鏈安全直接影響關(guān)鍵信息基礎(chǔ)設(shè)施安全。二是全球化大分工不斷細(xì)化，國(guó)家與國(guó)家之間在全球分工體系中的相互依存度加深。第十二屆全國(guó)人民代表大會(huì)財(cái)政經(jīng)濟(jì)委員會(huì)副主任委員黃奇帆在 2019 年第三屆中國(guó)經(jīng)濟(jì)學(xué)家高端論壇上指出：“40 年前全球貿(mào)易的總量中成品的比重占整個(gè)貿(mào)易中 70% 以上?，F(xiàn)在世界貿(mào)易格局中 70% 是零部件、原材料、中間品，30% 是成品。”在國(guó)際貿(mào)易量中，成品貿(mào)易與中間品貿(mào)易的比例發(fā)生了倒置，反映出國(guó)際分工格局的深刻變革。三是國(guó)際逆全球化勢(shì)力抬頭，越來(lái)越多的西方國(guó)家無(wú)力解決日益突出的國(guó)內(nèi)矛盾，為了局部利益而放棄全局利益，為了短期利益而犧牲長(zhǎng)期利益，試圖用脫鉤、貿(mào)易摩擦、制造壁壘等手段度過(guò)危機(jī)。四是全球新冠肺炎疫情蔓延擴(kuò)散，嚴(yán)重影響我國(guó)供應(yīng)鏈上游的進(jìn)口來(lái)源地的經(jīng)濟(jì)生產(chǎn)活動(dòng)，另外，疫情在全球爆發(fā)擴(kuò)散的地點(diǎn)、規(guī)模的不可預(yù)見(jiàn)性，也使其成為影響供應(yīng)鏈安全的最大變量。

　　二、ICT 供應(yīng)鏈的主要風(fēng)險(xiǎn)和問(wèn)題

　　我國(guó)高度重視供應(yīng)鏈安全工作?！毒W(wǎng)絡(luò)安全審查辦法》第一條開宗明義指出，制定本辦法的目的是“為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全”。全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)于 2018 年組織制定了《信息安全技術(shù) ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》（GB/T 36637-2018），將 ICT 供應(yīng)鏈的安全威脅劃分為惡意篡改、假冒偽劣、供應(yīng)中斷、信息泄露、違規(guī)操作、其他威脅等類別，較為全面地識(shí)別了 ICT 供應(yīng)鏈的主要風(fēng)險(xiǎn)。其中，較為突出的風(fēng)險(xiǎn)有兩類。

　?。ㄒ唬┓欠刂?/p>

　　具體表現(xiàn)有：在供應(yīng)鏈的任一環(huán)節(jié)進(jìn)行惡意篡改、植入、替換、偽造，以嵌入包含惡意邏輯的軟件或硬件；軟件開發(fā)大量使用來(lái)源難以追溯的開源模塊；網(wǎng)絡(luò)產(chǎn)品和服務(wù)被遠(yuǎn)程控制，但未告知遠(yuǎn)程控制的目的、范圍和關(guān)閉方法，甚至采用隱蔽接口、未明示功能模塊、加載禁用或繞過(guò)安全機(jī)制的組件等手段實(shí)現(xiàn)遠(yuǎn)程控制功能。

　　（二）供應(yīng)中斷

　　供應(yīng)中斷風(fēng)險(xiǎn)的具體表現(xiàn)有：（1）ICT 產(chǎn)品和服務(wù)的供應(yīng)量中斷或顯著減少，達(dá)到不能維持正常運(yùn)行的程度。（2）ICT 產(chǎn)品和服務(wù)的質(zhì)量明顯下降、交易價(jià)格大幅上漲，達(dá)到難以接受的程度。（3）產(chǎn)品交付的時(shí)間顯著滯后，交付的地點(diǎn)與預(yù)定目標(biāo)偏離過(guò)遠(yuǎn)。

　　造成供應(yīng)中斷或供應(yīng)鏈質(zhì)量下降的原因有：（1）由于戰(zhàn)爭(zhēng)等人為的和疫情、地震、臺(tái)風(fēng)等自然的不可抗力引發(fā)的突發(fā)事件，導(dǎo)致產(chǎn)能下降、物流受阻、工藝退步。（2）國(guó)際環(huán)境和地域因素導(dǎo)致貿(mào)易管制、限制銷售、知識(shí)產(chǎn)權(quán)、合規(guī)標(biāo)準(zhǔn)差異等情況。（3）不正當(dāng)競(jìng)爭(zhēng)行為導(dǎo)致的中斷，供應(yīng)商利用用戶對(duì)產(chǎn)品和服務(wù)的依賴性，如通過(guò)技術(shù)、政策等手段，限制或阻礙用戶選擇其他供應(yīng)商的產(chǎn)品、組件或技術(shù)。（4）上游組件存在假冒偽劣等問(wèn)題，如盜版、翻新機(jī)、低配充高配、未經(jīng)授權(quán)的貼牌或代工等。（5）上游供應(yīng)商發(fā)生意外事件，如違約、失信、涉訴、涉罰、拖欠、壞賬、破產(chǎn)等，波及下游企業(yè)。

　　“長(zhǎng)鞭效應(yīng)”（Bullwhip Effect）加劇了供應(yīng)鏈的不穩(wěn)定性。出于抵御供應(yīng)不足、客戶需求變更等未知風(fēng)險(xiǎn)的本能，作為個(gè)體的企業(yè)往往傾向于向上游供應(yīng)商放大需求。當(dāng)供應(yīng)鏈的各節(jié)點(diǎn)企業(yè)只根據(jù)來(lái)自其相鄰的下級(jí)企業(yè)的需求信息進(jìn)行生產(chǎn)或供應(yīng)決策時(shí)，需求信息的不真實(shí)性會(huì)沿著供應(yīng)鏈逆流而上，產(chǎn)生逐級(jí)放大的現(xiàn)象，到達(dá)源頭供應(yīng)商時(shí)，其獲得的需求信息和實(shí)際消費(fèi)市場(chǎng)中的顧客需求信息發(fā)生了很大的偏差，就好像手腕輕微抖動(dòng)就會(huì)使長(zhǎng)鞭末梢大幅擺動(dòng)一樣，因此被稱為“長(zhǎng)鞭效應(yīng)”。當(dāng)供應(yīng)鏈網(wǎng)絡(luò)中的企業(yè)集體受到長(zhǎng)鞭效應(yīng)的影響時(shí)，全行業(yè)的產(chǎn)能就會(huì)發(fā)生周期性的波動(dòng)，在波峰期造成產(chǎn)能過(guò)剩的浪費(fèi)，在波谷期造成供應(yīng)不足的緊缺，并通過(guò)多個(gè)層級(jí)供應(yīng)商的滯后傳導(dǎo)，最終傳導(dǎo)到最終用戶。當(dāng)前全球的汽車芯片荒，也正是在多種因素疊加下長(zhǎng)鞭效應(yīng)的具體表現(xiàn)。

　　僅靠企業(yè)個(gè)體應(yīng)對(duì) ICT 供應(yīng)鏈風(fēng)險(xiǎn)是非常困難的。一是 ICT 產(chǎn)品和服務(wù)有著非常復(fù)雜的組成結(jié)構(gòu)和上下游關(guān)系，上游軟硬件產(chǎn)品的漏洞預(yù)警、后門事件、產(chǎn)能波動(dòng)難以及時(shí)傳導(dǎo)到下游環(huán)節(jié)的企業(yè)，作為個(gè)體的企業(yè)難以感知作為群體的行業(yè)情況。二是信息共享不暢、信任的缺失導(dǎo)致上下游企業(yè)難以采取共同措施應(yīng)對(duì)風(fēng)險(xiǎn)，受長(zhǎng)鞭效應(yīng)影響，供應(yīng)鏈網(wǎng)絡(luò)中的企業(yè)之間往往同時(shí)處于競(jìng)爭(zhēng)、合作、博弈的狀態(tài)，在信任缺失的情況下，企業(yè)往往選擇獨(dú)占收益，將市場(chǎng)波動(dòng)、延遲交付、訂單變更等風(fēng)險(xiǎn)轉(zhuǎn)嫁給合作伙伴，導(dǎo)致企業(yè)個(gè)體自發(fā)維持狀態(tài)下的供應(yīng)鏈網(wǎng)絡(luò)合作難以為繼。

　　三、美國(guó)的 ICT 供應(yīng)鏈政策

　　美國(guó)是供應(yīng)鏈管理的先進(jìn)國(guó)家，波音、蘋果等企業(yè)依靠領(lǐng)先的供應(yīng)鏈管理水平取得了巨大的成功。美國(guó)也是 ICT 供應(yīng)鏈安全的先行者，在政策保障、工作機(jī)制、標(biāo)準(zhǔn)制定等方面做出了許多有益的嘗試，可作為我國(guó)探索 ICT 供應(yīng)鏈安全保障的參考和啟示。

　　一是出臺(tái)政策保障。早在 2008 年，美國(guó)布什政府發(fā)布的 54 號(hào)國(guó)家安全總統(tǒng)令（NSPD54）提出國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃（CNCI），其部署的一項(xiàng)重要工作就是建立全方位的措施來(lái)實(shí)施全球供應(yīng)鏈風(fēng)險(xiǎn)管理。近年來(lái)，美國(guó)密集出臺(tái)《聯(lián)邦采購(gòu)供應(yīng)鏈安全法案 2018》和《確保供應(yīng)鏈安全》（14017 號(hào)總統(tǒng)行政令）等法案、行政令。據(jù)不完全統(tǒng)計(jì)，自2018 年以來(lái)，美國(guó)出臺(tái)的涉及 ICT 供應(yīng)鏈、5G、出口管制的法案、行政令達(dá) 11 份。

　　二是建立工作機(jī)制。美國(guó)于 2018 年新建 2 個(gè)跨部門的 ICT 供應(yīng)鏈風(fēng)險(xiǎn)管理機(jī)構(gòu)：（1）聯(lián)邦采購(gòu)供應(yīng)鏈安全理事會(huì)。其主席由管理和預(yù)算辦公室（OMB）高級(jí)官員擔(dān)任，負(fù)責(zé)協(xié)調(diào)聯(lián)邦政府的供應(yīng)鏈風(fēng)險(xiǎn)管理選擇，制定采購(gòu)法規(guī)，指導(dǎo)建議美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST）制定技術(shù)標(biāo)準(zhǔn)，識(shí)別聯(lián)邦供應(yīng)鏈的主要威脅。做個(gè)不恰當(dāng)?shù)念惐?，該機(jī)構(gòu)的工作職能類似于我國(guó)的云計(jì)算服務(wù)安全評(píng)估工作協(xié)調(diào)機(jī)制，在政府采購(gòu)方面發(fā)揮審查、評(píng)估作用。（2）設(shè)在國(guó)土安全部的 ICT 供應(yīng)鏈風(fēng)險(xiǎn)管理特別工作組。該機(jī)構(gòu)的職能是建立公共部門和私人部門的工作聯(lián)系，成員包括 20 個(gè)聯(lián)邦部門和機(jī)構(gòu)和 40 個(gè)信息技術(shù)領(lǐng)域的大型企業(yè)（思科、微軟、亞馬遜、火眼等美國(guó)主要 ICT 供應(yīng)商悉數(shù)在列），下設(shè) 4 個(gè)工作組，在特別工作組成員間建立供應(yīng)鏈風(fēng)險(xiǎn)信息共享機(jī)制，促成政府部門和企業(yè)之間的信息共享，評(píng)估 ICT 供應(yīng)商、ICT 產(chǎn)品和服務(wù)的風(fēng)險(xiǎn)。我國(guó)目前尚無(wú)類似職能的工作機(jī)制或機(jī)構(gòu)。

　　三是采取各種具體措施。美國(guó) ICT 供應(yīng)鏈風(fēng)險(xiǎn)管理特別工作組下的風(fēng)險(xiǎn)評(píng)估工作組開展了 2 次 ICT供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估工作；拜登政府在 2021 年 5 月發(fā)布的《關(guān)于加強(qiáng)國(guó)家網(wǎng)絡(luò)安全的行政命令》中要求NIST 發(fā)布指南，要求軟件產(chǎn)品提供者向購(gòu)買者提供“軟件材料清單”（SBOM）。

　　四、工作建議

　　（一）加大統(tǒng)籌協(xié)調(diào)力度，建立 ICT 供應(yīng)鏈安全工作機(jī)制

　　做好 ICT 供應(yīng)鏈安全工作，涉及核心技術(shù)攻關(guān)、“卡脖子”環(huán)節(jié)識(shí)別、ICT 供應(yīng)鏈圖譜繪制、供應(yīng)鏈信息共享等職能，憑借企業(yè)、行業(yè)的力量難以獨(dú)立完成，建議發(fā)揮我國(guó)的制度優(yōu)勢(shì)，既集中力量又分工協(xié)作，參照國(guó)家網(wǎng)絡(luò)安全審查工作機(jī)制，建立國(guó)家層面的 ICT 供應(yīng)鏈安全工作機(jī)制，在指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者開展 ICT 供應(yīng)鏈管理、供應(yīng)鏈風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警和通報(bào)共享等日常工作方面發(fā)揮作用。

　?。ǘ┙?ICT 全球供應(yīng)鏈風(fēng)險(xiǎn)預(yù)警系統(tǒng)

　　“十四五”規(guī)劃綱要提出，“建立重要資源和產(chǎn)品全球供應(yīng)鏈風(fēng)險(xiǎn)預(yù)警系統(tǒng)”。建議在 ICT 供應(yīng)鏈安全工作機(jī)制的統(tǒng)籌協(xié)調(diào)下，繪制 ICT 產(chǎn)品構(gòu)成圖譜，監(jiān)測(cè)上游組件相關(guān)的風(fēng)險(xiǎn)事件，如產(chǎn)能波動(dòng)、價(jià)格上漲、供應(yīng)商涉訴涉罰、木馬漏洞、產(chǎn)品缺陷等，針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施和重要 ICT 產(chǎn)品和服務(wù)開展風(fēng)險(xiǎn)預(yù)警通報(bào)。

　?。ㄈ┘訌?qiáng) ICT 供應(yīng)鏈信息的使用管理和技術(shù)應(yīng)用

　　通過(guò)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)進(jìn)一步規(guī)范供應(yīng)鏈信息的共享和使用，在保護(hù)企業(yè)商業(yè)秘密的同時(shí)合理使用供應(yīng)鏈數(shù)據(jù)。建立基于特定目的、在特定范圍內(nèi)使用 ICT 供應(yīng)鏈數(shù)據(jù)的規(guī)則，避免泄露、濫用。探索數(shù)據(jù)“可用不可見(jiàn)”技術(shù)、區(qū)塊鏈等技術(shù)在供應(yīng)鏈圖譜繪制、風(fēng)險(xiǎn)預(yù)警方面的應(yīng)用。