近年來，國際逆全球化勢力抬頭，世界政治經(jīng)濟(jì)局勢深刻變革，全球 ICT 供應(yīng)鏈體系處在解構(gòu)與重構(gòu)之中，不確定性顯著上升，通過ICT供應(yīng)鏈非法控制和干擾破壞的事件層出不窮，不僅對我國經(jīng)濟(jì)穩(wěn)定運(yùn)行造成較大沖擊，也對我國關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全造成了嚴(yán)重威脅。習(xí)近平總書記在《國家中長期經(jīng)濟(jì)社會發(fā)展戰(zhàn)略若干重大問題》中指出，要“優(yōu)化和穩(wěn)定產(chǎn)業(yè)鏈、供應(yīng)鏈”?！笆奈濉币?guī)劃綱要提出“提升產(chǎn)業(yè)鏈供應(yīng)鏈現(xiàn)代化水平”的工作目標(biāo)。研究和做好 ICT 供應(yīng)鏈安全工作，是當(dāng)前和今后一個時期的重要任務(wù)。

　　一、重新認(rèn)識 ICT 供應(yīng)鏈安全問題

　　企業(yè)從原材料和零部件采購、運(yùn)輸、加工制造、分銷直至最終送到用戶手中的這一過程被看成是一個環(huán)環(huán)相扣的鏈條，這就是供應(yīng)鏈。供應(yīng)鏈問題不是一個新課題，早在 20 世紀(jì) 90 年代，產(chǎn)業(yè)界和學(xué)界就開始從企業(yè)管理的視角關(guān)注并研究供應(yīng)鏈管理問題。研究者站在企業(yè)的角度，從提高經(jīng)營利潤、高效整合資源的角度出發(fā)，在物流、庫存、人力成本、質(zhì)量標(biāo)準(zhǔn)、生產(chǎn)計劃與控制、采購方案與訂單管理、供應(yīng)商管理、交付方式等方面制定最優(yōu)策略，研究如何將用戶所需要的正確的產(chǎn)品（Right Product）能夠在正確的時間（Right Time）、按照正確的數(shù)量（RightQuantity）、正確的質(zhì)量（Right Quality）和正確的狀態(tài)（Right Status）送到正確的地點(diǎn)（Right Place），即“6R”法則。供應(yīng)鏈管理的主要目標(biāo)是追求用最小的成本實現(xiàn)最大的利潤，供應(yīng)鏈安全是其從屬目標(biāo)。

　　然而，近年來，隨著新情況的出現(xiàn)，供應(yīng)鏈管理的內(nèi)涵超越了企業(yè)管理的范疇，供應(yīng)鏈安全特別是 ICT 供應(yīng)鏈安全的重要性不斷上升，甚至達(dá)到了影響國家安全的程度。一是我國經(jīng)濟(jì)社會的數(shù)字化轉(zhuǎn)型持續(xù)深入，深刻變革全社會的生產(chǎn)生活方式，各行各業(yè)對信息化的依賴度前所未有，ICT 供應(yīng)鏈安全直接影響關(guān)鍵信息基礎(chǔ)設(shè)施安全。二是全球化大分工不斷細(xì)化，國家與國家之間在全球分工體系中的相互依存度加深。第十二屆全國人民代表大會財政經(jīng)濟(jì)委員會副主任委員黃奇帆在 2019 年第三屆中國經(jīng)濟(jì)學(xué)家高端論壇上指出：“40 年前全球貿(mào)易的總量中成品的比重占整個貿(mào)易中 70% 以上。現(xiàn)在世界貿(mào)易格局中 70% 是零部件、原材料、中間品，30% 是成品?！痹趪H貿(mào)易量中，成品貿(mào)易與中間品貿(mào)易的比例發(fā)生了倒置，反映出國際分工格局的深刻變革。三是國際逆全球化勢力抬頭，越來越多的西方國家無力解決日益突出的國內(nèi)矛盾，為了局部利益而放棄全局利益，為了短期利益而犧牲長期利益，試圖用脫鉤、貿(mào)易摩擦、制造壁壘等手段度過危機(jī)。四是全球新冠肺炎疫情蔓延擴(kuò)散，嚴(yán)重影響我國供應(yīng)鏈上游的進(jìn)口來源地的經(jīng)濟(jì)生產(chǎn)活動，另外，疫情在全球爆發(fā)擴(kuò)散的地點(diǎn)、規(guī)模的不可預(yù)見性，也使其成為影響供應(yīng)鏈安全的最大變量。

　　二、ICT 供應(yīng)鏈的主要風(fēng)險和問題

　　我國高度重視供應(yīng)鏈安全工作?！毒W(wǎng)絡(luò)安全審查辦法》第一條開宗明義指出，制定本辦法的目的是“為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全”。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會于 2018 年組織制定了《信息安全技術(shù) ICT 供應(yīng)鏈安全風(fēng)險管理指南》（GB/T 36637-2018），將 ICT 供應(yīng)鏈的安全威脅劃分為惡意篡改、假冒偽劣、供應(yīng)中斷、信息泄露、違規(guī)操作、其他威脅等類別，較為全面地識別了 ICT 供應(yīng)鏈的主要風(fēng)險。其中，較為突出的風(fēng)險有兩類。

　?。ㄒ唬┓欠刂?/p>

　　具體表現(xiàn)有：在供應(yīng)鏈的任一環(huán)節(jié)進(jìn)行惡意篡改、植入、替換、偽造，以嵌入包含惡意邏輯的軟件或硬件；軟件開發(fā)大量使用來源難以追溯的開源模塊；網(wǎng)絡(luò)產(chǎn)品和服務(wù)被遠(yuǎn)程控制，但未告知遠(yuǎn)程控制的目的、范圍和關(guān)閉方法，甚至采用隱蔽接口、未明示功能模塊、加載禁用或繞過安全機(jī)制的組件等手段實現(xiàn)遠(yuǎn)程控制功能。

　　（二）供應(yīng)中斷

　　供應(yīng)中斷風(fēng)險的具體表現(xiàn)有：（1）ICT 產(chǎn)品和服務(wù)的供應(yīng)量中斷或顯著減少，達(dá)到不能維持正常運(yùn)行的程度。（2）ICT 產(chǎn)品和服務(wù)的質(zhì)量明顯下降、交易價格大幅上漲，達(dá)到難以接受的程度。（3）產(chǎn)品交付的時間顯著滯后，交付的地點(diǎn)與預(yù)定目標(biāo)偏離過遠(yuǎn)。

　　造成供應(yīng)中斷或供應(yīng)鏈質(zhì)量下降的原因有：（1）由于戰(zhàn)爭等人為的和疫情、地震、臺風(fēng)等自然的不可抗力引發(fā)的突發(fā)事件，導(dǎo)致產(chǎn)能下降、物流受阻、工藝退步。（2）國際環(huán)境和地域因素導(dǎo)致貿(mào)易管制、限制銷售、知識產(chǎn)權(quán)、合規(guī)標(biāo)準(zhǔn)差異等情況。（3）不正當(dāng)競爭行為導(dǎo)致的中斷，供應(yīng)商利用用戶對產(chǎn)品和服務(wù)的依賴性，如通過技術(shù)、政策等手段，限制或阻礙用戶選擇其他供應(yīng)商的產(chǎn)品、組件或技術(shù)。（4）上游組件存在假冒偽劣等問題，如盜版、翻新機(jī)、低配充高配、未經(jīng)授權(quán)的貼牌或代工等。（5）上游供應(yīng)商發(fā)生意外事件，如違約、失信、涉訴、涉罰、拖欠、壞賬、破產(chǎn)等，波及下游企業(yè)。

　　“長鞭效應(yīng)”（Bullwhip Effect）加劇了供應(yīng)鏈的不穩(wěn)定性。出于抵御供應(yīng)不足、客戶需求變更等未知風(fēng)險的本能，作為個體的企業(yè)往往傾向于向上游供應(yīng)商放大需求。當(dāng)供應(yīng)鏈的各節(jié)點(diǎn)企業(yè)只根據(jù)來自其相鄰的下級企業(yè)的需求信息進(jìn)行生產(chǎn)或供應(yīng)決策時，需求信息的不真實性會沿著供應(yīng)鏈逆流而上，產(chǎn)生逐級放大的現(xiàn)象，到達(dá)源頭供應(yīng)商時，其獲得的需求信息和實際消費(fèi)市場中的顧客需求信息發(fā)生了很大的偏差，就好像手腕輕微抖動就會使長鞭末梢大幅擺動一樣，因此被稱為“長鞭效應(yīng)”。當(dāng)供應(yīng)鏈網(wǎng)絡(luò)中的企業(yè)集體受到長鞭效應(yīng)的影響時，全行業(yè)的產(chǎn)能就會發(fā)生周期性的波動，在波峰期造成產(chǎn)能過剩的浪費(fèi)，在波谷期造成供應(yīng)不足的緊缺，并通過多個層級供應(yīng)商的滯后傳導(dǎo)，最終傳導(dǎo)到最終用戶。當(dāng)前全球的汽車芯片荒，也正是在多種因素疊加下長鞭效應(yīng)的具體表現(xiàn)。

　　僅靠企業(yè)個體應(yīng)對 ICT 供應(yīng)鏈風(fēng)險是非常困難的。一是 ICT 產(chǎn)品和服務(wù)有著非常復(fù)雜的組成結(jié)構(gòu)和上下游關(guān)系，上游軟硬件產(chǎn)品的漏洞預(yù)警、后門事件、產(chǎn)能波動難以及時傳導(dǎo)到下游環(huán)節(jié)的企業(yè)，作為個體的企業(yè)難以感知作為群體的行業(yè)情況。二是信息共享不暢、信任的缺失導(dǎo)致上下游企業(yè)難以采取共同措施應(yīng)對風(fēng)險，受長鞭效應(yīng)影響，供應(yīng)鏈網(wǎng)絡(luò)中的企業(yè)之間往往同時處于競爭、合作、博弈的狀態(tài)，在信任缺失的情況下，企業(yè)往往選擇獨(dú)占收益，將市場波動、延遲交付、訂單變更等風(fēng)險轉(zhuǎn)嫁給合作伙伴，導(dǎo)致企業(yè)個體自發(fā)維持狀態(tài)下的供應(yīng)鏈網(wǎng)絡(luò)合作難以為繼。

　　三、美國的 ICT 供應(yīng)鏈政策

　　美國是供應(yīng)鏈管理的先進(jìn)國家，波音、蘋果等企業(yè)依靠領(lǐng)先的供應(yīng)鏈管理水平取得了巨大的成功。美國也是 ICT 供應(yīng)鏈安全的先行者，在政策保障、工作機(jī)制、標(biāo)準(zhǔn)制定等方面做出了許多有益的嘗試，可作為我國探索 ICT 供應(yīng)鏈安全保障的參考和啟示。

　　一是出臺政策保障。早在 2008 年，美國布什政府發(fā)布的 54 號國家安全總統(tǒng)令（NSPD54）提出國家網(wǎng)絡(luò)安全綜合計劃（CNCI），其部署的一項重要工作就是建立全方位的措施來實施全球供應(yīng)鏈風(fēng)險管理。近年來，美國密集出臺《聯(lián)邦采購供應(yīng)鏈安全法案 2018》和《確保供應(yīng)鏈安全》（14017 號總統(tǒng)行政令）等法案、行政令。據(jù)不完全統(tǒng)計，自2018 年以來，美國出臺的涉及 ICT 供應(yīng)鏈、5G、出口管制的法案、行政令達(dá) 11 份。

　　二是建立工作機(jī)制。美國于 2018 年新建 2 個跨部門的 ICT 供應(yīng)鏈風(fēng)險管理機(jī)構(gòu)：（1）聯(lián)邦采購供應(yīng)鏈安全理事會。其主席由管理和預(yù)算辦公室（OMB）高級官員擔(dān)任，負(fù)責(zé)協(xié)調(diào)聯(lián)邦政府的供應(yīng)鏈風(fēng)險管理選擇，制定采購法規(guī)，指導(dǎo)建議美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）制定技術(shù)標(biāo)準(zhǔn)，識別聯(lián)邦供應(yīng)鏈的主要威脅。做個不恰當(dāng)?shù)念惐?，該機(jī)構(gòu)的工作職能類似于我國的云計算服務(wù)安全評估工作協(xié)調(diào)機(jī)制，在政府采購方面發(fā)揮審查、評估作用。（2）設(shè)在國土安全部的 ICT 供應(yīng)鏈風(fēng)險管理特別工作組。該機(jī)構(gòu)的職能是建立公共部門和私人部門的工作聯(lián)系，成員包括 20 個聯(lián)邦部門和機(jī)構(gòu)和 40 個信息技術(shù)領(lǐng)域的大型企業(yè)（思科、微軟、亞馬遜、火眼等美國主要 ICT 供應(yīng)商悉數(shù)在列），下設(shè) 4 個工作組，在特別工作組成員間建立供應(yīng)鏈風(fēng)險信息共享機(jī)制，促成政府部門和企業(yè)之間的信息共享，評估 ICT 供應(yīng)商、ICT 產(chǎn)品和服務(wù)的風(fēng)險。我國目前尚無類似職能的工作機(jī)制或機(jī)構(gòu)。

　　三是采取各種具體措施。美國 ICT 供應(yīng)鏈風(fēng)險管理特別工作組下的風(fēng)險評估工作組開展了 2 次 ICT供應(yīng)鏈風(fēng)險評估工作；拜登政府在 2021 年 5 月發(fā)布的《關(guān)于加強(qiáng)國家網(wǎng)絡(luò)安全的行政命令》中要求NIST 發(fā)布指南，要求軟件產(chǎn)品提供者向購買者提供“軟件材料清單”（SBOM）。

　　四、工作建議

　?。ㄒ唬┘哟蠼y(tǒng)籌協(xié)調(diào)力度，建立 ICT 供應(yīng)鏈安全工作機(jī)制

　　做好 ICT 供應(yīng)鏈安全工作，涉及核心技術(shù)攻關(guān)、“卡脖子”環(huán)節(jié)識別、ICT 供應(yīng)鏈圖譜繪制、供應(yīng)鏈信息共享等職能，憑借企業(yè)、行業(yè)的力量難以獨(dú)立完成，建議發(fā)揮我國的制度優(yōu)勢，既集中力量又分工協(xié)作，參照國家網(wǎng)絡(luò)安全審查工作機(jī)制，建立國家層面的 ICT 供應(yīng)鏈安全工作機(jī)制，在指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者開展 ICT 供應(yīng)鏈管理、供應(yīng)鏈風(fēng)險監(jiān)測預(yù)警和通報共享等日常工作方面發(fā)揮作用。

　　（二）建立 ICT 全球供應(yīng)鏈風(fēng)險預(yù)警系統(tǒng)

　　“十四五”規(guī)劃綱要提出，“建立重要資源和產(chǎn)品全球供應(yīng)鏈風(fēng)險預(yù)警系統(tǒng)”。建議在 ICT 供應(yīng)鏈安全工作機(jī)制的統(tǒng)籌協(xié)調(diào)下，繪制 ICT 產(chǎn)品構(gòu)成圖譜，監(jiān)測上游組件相關(guān)的風(fēng)險事件，如產(chǎn)能波動、價格上漲、供應(yīng)商涉訴涉罰、木馬漏洞、產(chǎn)品缺陷等，針對關(guān)鍵信息基礎(chǔ)設(shè)施和重要 ICT 產(chǎn)品和服務(wù)開展風(fēng)險預(yù)警通報。

　?。ㄈ┘訌?qiáng) ICT 供應(yīng)鏈信息的使用管理和技術(shù)應(yīng)用

　　通過法律法規(guī)、技術(shù)標(biāo)準(zhǔn)進(jìn)一步規(guī)范供應(yīng)鏈信息的共享和使用，在保護(hù)企業(yè)商業(yè)秘密的同時合理使用供應(yīng)鏈數(shù)據(jù)。建立基于特定目的、在特定范圍內(nèi)使用 ICT 供應(yīng)鏈數(shù)據(jù)的規(guī)則，避免泄露、濫用。探索數(shù)據(jù)“可用不可見”技術(shù)、區(qū)塊鏈等技術(shù)在供應(yīng)鏈圖譜繪制、風(fēng)險預(yù)警方面的應(yīng)用。