近年來，國際逆全球化勢力抬頭，世界政治經濟局勢深刻變革，全球 ICT 供應鏈體系處在解構與重構之中，不確定性顯著上升，通過ICT供應鏈非法控制和干擾破壞的事件層出不窮，不僅對我國經濟穩定運行造成較大沖擊，也對我國關鍵信息基礎設施的網絡安全造成了嚴重威脅。習近平總書記在《國家中長期經濟社會發展戰略若干重大問題》中指出，要“優化和穩定產業鏈、供應鏈”?！笆奈濉币巹澗V要提出“提升產業鏈供應鏈現代化水平”的工作目標。研究和做好 ICT 供應鏈安全工作，是當前和今后一個時期的重要任務。

　　一、重新認識 ICT 供應鏈安全問題

　　企業從原材料和零部件采購、運輸、加工制造、分銷直至最終送到用戶手中的這一過程被看成是一個環環相扣的鏈條，這就是供應鏈。供應鏈問題不是一個新課題，早在 20 世紀 90 年代，產業界和學界就開始從企業管理的視角關注并研究供應鏈管理問題。研究者站在企業的角度，從提高經營利潤、高效整合資源的角度出發，在物流、庫存、人力成本、質量標準、生產計劃與控制、采購方案與訂單管理、供應商管理、交付方式等方面制定最優策略，研究如何將用戶所需要的正確的產品（Right Product）能夠在正確的時間（Right Time）、按照正確的數量（RightQuantity）、正確的質量（Right Quality）和正確的狀態（Right Status）送到正確的地點（Right Place），即“6R”法則。供應鏈管理的主要目標是追求用最小的成本實現最大的利潤，供應鏈安全是其從屬目標。

　　然而，近年來，隨著新情況的出現，供應鏈管理的內涵超越了企業管理的范疇，供應鏈安全特別是 ICT 供應鏈安全的重要性不斷上升，甚至達到了影響國家安全的程度。一是我國經濟社會的數字化轉型持續深入，深刻變革全社會的生產生活方式，各行各業對信息化的依賴度前所未有，ICT 供應鏈安全直接影響關鍵信息基礎設施安全。二是全球化大分工不斷細化，國家與國家之間在全球分工體系中的相互依存度加深。第十二屆全國人民代表大會財政經濟委員會副主任委員黃奇帆在 2019 年第三屆中國經濟學家高端論壇上指出：“40 年前全球貿易的總量中成品的比重占整個貿易中 70% 以上?，F在世界貿易格局中 70% 是零部件、原材料、中間品，30% 是成品。”在國際貿易量中，成品貿易與中間品貿易的比例發生了倒置，反映出國際分工格局的深刻變革。三是國際逆全球化勢力抬頭，越來越多的西方國家無力解決日益突出的國內矛盾，為了局部利益而放棄全局利益，為了短期利益而犧牲長期利益，試圖用脫鉤、貿易摩擦、制造壁壘等手段度過危機。四是全球新冠肺炎疫情蔓延擴散，嚴重影響我國供應鏈上游的進口來源地的經濟生產活動，另外，疫情在全球爆發擴散的地點、規模的不可預見性，也使其成為影響供應鏈安全的最大變量。

　　二、ICT 供應鏈的主要風險和問題

　　我國高度重視供應鏈安全工作?！毒W絡安全審查辦法》第一條開宗明義指出，制定本辦法的目的是“為了確保關鍵信息基礎設施供應鏈安全”。全國信息安全標準化技術委員會于 2018 年組織制定了《信息安全技術 ICT 供應鏈安全風險管理指南》（GB/T 36637-2018），將 ICT 供應鏈的安全威脅劃分為惡意篡改、假冒偽劣、供應中斷、信息泄露、違規操作、其他威脅等類別，較為全面地識別了 ICT 供應鏈的主要風險。其中，較為突出的風險有兩類。

　　（一）非法控制

　　具體表現有：在供應鏈的任一環節進行惡意篡改、植入、替換、偽造，以嵌入包含惡意邏輯的軟件或硬件；軟件開發大量使用來源難以追溯的開源模塊；網絡產品和服務被遠程控制，但未告知遠程控制的目的、范圍和關閉方法，甚至采用隱蔽接口、未明示功能模塊、加載禁用或繞過安全機制的組件等手段實現遠程控制功能。

　?。ǘ┕袛?/p>

　　供應中斷風險的具體表現有：（1）ICT 產品和服務的供應量中斷或顯著減少，達到不能維持正常運行的程度。（2）ICT 產品和服務的質量明顯下降、交易價格大幅上漲，達到難以接受的程度。（3）產品交付的時間顯著滯后，交付的地點與預定目標偏離過遠。

　　造成供應中斷或供應鏈質量下降的原因有：（1）由于戰爭等人為的和疫情、地震、臺風等自然的不可抗力引發的突發事件，導致產能下降、物流受阻、工藝退步。（2）國際環境和地域因素導致貿易管制、限制銷售、知識產權、合規標準差異等情況。（3）不正當競爭行為導致的中斷，供應商利用用戶對產品和服務的依賴性，如通過技術、政策等手段，限制或阻礙用戶選擇其他供應商的產品、組件或技術。（4）上游組件存在假冒偽劣等問題，如盜版、翻新機、低配充高配、未經授權的貼牌或代工等。（5）上游供應商發生意外事件，如違約、失信、涉訴、涉罰、拖欠、壞賬、破產等，波及下游企業。

　　“長鞭效應”（Bullwhip Effect）加劇了供應鏈的不穩定性。出于抵御供應不足、客戶需求變更等未知風險的本能，作為個體的企業往往傾向于向上游供應商放大需求。當供應鏈的各節點企業只根據來自其相鄰的下級企業的需求信息進行生產或供應決策時，需求信息的不真實性會沿著供應鏈逆流而上，產生逐級放大的現象，到達源頭供應商時，其獲得的需求信息和實際消費市場中的顧客需求信息發生了很大的偏差，就好像手腕輕微抖動就會使長鞭末梢大幅擺動一樣，因此被稱為“長鞭效應”。當供應鏈網絡中的企業集體受到長鞭效應的影響時，全行業的產能就會發生周期性的波動，在波峰期造成產能過剩的浪費，在波谷期造成供應不足的緊缺，并通過多個層級供應商的滯后傳導，最終傳導到最終用戶。當前全球的汽車芯片荒，也正是在多種因素疊加下長鞭效應的具體表現。

　　僅靠企業個體應對 ICT 供應鏈風險是非常困難的。一是 ICT 產品和服務有著非常復雜的組成結構和上下游關系，上游軟硬件產品的漏洞預警、后門事件、產能波動難以及時傳導到下游環節的企業，作為個體的企業難以感知作為群體的行業情況。二是信息共享不暢、信任的缺失導致上下游企業難以采取共同措施應對風險，受長鞭效應影響，供應鏈網絡中的企業之間往往同時處于競爭、合作、博弈的狀態，在信任缺失的情況下，企業往往選擇獨占收益，將市場波動、延遲交付、訂單變更等風險轉嫁給合作伙伴，導致企業個體自發維持狀態下的供應鏈網絡合作難以為繼。

　　三、美國的 ICT 供應鏈政策

　　美國是供應鏈管理的先進國家，波音、蘋果等企業依靠領先的供應鏈管理水平取得了巨大的成功。美國也是 ICT 供應鏈安全的先行者，在政策保障、工作機制、標準制定等方面做出了許多有益的嘗試，可作為我國探索 ICT 供應鏈安全保障的參考和啟示。

　　一是出臺政策保障。早在 2008 年，美國布什政府發布的 54 號國家安全總統令（NSPD54）提出國家網絡安全綜合計劃（CNCI），其部署的一項重要工作就是建立全方位的措施來實施全球供應鏈風險管理。近年來，美國密集出臺《聯邦采購供應鏈安全法案 2018》和《確保供應鏈安全》（14017 號總統行政令）等法案、行政令。據不完全統計，自2018 年以來，美國出臺的涉及 ICT 供應鏈、5G、出口管制的法案、行政令達 11 份。

　　二是建立工作機制。美國于 2018 年新建 2 個跨部門的 ICT 供應鏈風險管理機構：（1）聯邦采購供應鏈安全理事會。其主席由管理和預算辦公室（OMB）高級官員擔任，負責協調聯邦政府的供應鏈風險管理選擇，制定采購法規，指導建議美國國家標準技術研究院（NIST）制定技術標準，識別聯邦供應鏈的主要威脅。做個不恰當的類比，該機構的工作職能類似于我國的云計算服務安全評估工作協調機制，在政府采購方面發揮審查、評估作用。（2）設在國土安全部的 ICT 供應鏈風險管理特別工作組。該機構的職能是建立公共部門和私人部門的工作聯系，成員包括 20 個聯邦部門和機構和 40 個信息技術領域的大型企業（思科、微軟、亞馬遜、火眼等美國主要 ICT 供應商悉數在列），下設 4 個工作組，在特別工作組成員間建立供應鏈風險信息共享機制，促成政府部門和企業之間的信息共享，評估 ICT 供應商、ICT 產品和服務的風險。我國目前尚無類似職能的工作機制或機構。

　　三是采取各種具體措施。美國 ICT 供應鏈風險管理特別工作組下的風險評估工作組開展了 2 次 ICT供應鏈風險評估工作；拜登政府在 2021 年 5 月發布的《關于加強國家網絡安全的行政命令》中要求NIST 發布指南，要求軟件產品提供者向購買者提供“軟件材料清單”（SBOM）。

　　四、工作建議

　?。ㄒ唬┘哟蠼y籌協調力度，建立 ICT 供應鏈安全工作機制

　　做好 ICT 供應鏈安全工作，涉及核心技術攻關、“卡脖子”環節識別、ICT 供應鏈圖譜繪制、供應鏈信息共享等職能，憑借企業、行業的力量難以獨立完成，建議發揮我國的制度優勢，既集中力量又分工協作，參照國家網絡安全審查工作機制，建立國家層面的 ICT 供應鏈安全工作機制，在指導關鍵信息基礎設施運營者開展 ICT 供應鏈管理、供應鏈風險監測預警和通報共享等日常工作方面發揮作用。

　　（二）建立 ICT 全球供應鏈風險預警系統

　　“十四五”規劃綱要提出，“建立重要資源和產品全球供應鏈風險預警系統”。建議在 ICT 供應鏈安全工作機制的統籌協調下，繪制 ICT 產品構成圖譜，監測上游組件相關的風險事件，如產能波動、價格上漲、供應商涉訴涉罰、木馬漏洞、產品缺陷等，針對關鍵信息基礎設施和重要 ICT 產品和服務開展風險預警通報。

　?。ㄈ┘訌?ICT 供應鏈信息的使用管理和技術應用

　　通過法律法規、技術標準進一步規范供應鏈信息的共享和使用，在保護企業商業秘密的同時合理使用供應鏈數據。建立基于特定目的、在特定范圍內使用 ICT 供應鏈數據的規則，避免泄露、濫用。探索數據“可用不可見”技術、區塊鏈等技術在供應鏈圖譜繪制、風險預警方面的應用。