近年来，国际逆全球化势力抬头，世界政治经济局势深刻变革，全球 ICT 供应链体系处在解构与重构之中，不确定性显著上升，通过ICT供应链非法控制和干扰破坏的事件层出不穷，不仅对我国经济稳定运行造成较大冲击，也对我国关键信息基础设施的网络安全造成了严重威胁。习近平总书记在《国家中长期经济社会发展战略若干重大问题》中指出，要“优化和稳定产业链、供应链”。“十四五”规划纲要提出“提升产业链供应链现代化水平”的工作目标。研究和做好 ICT 供应链安全工作，是当前和今后一个时期的重要任务。

　　一、重新认识 ICT 供应链安全问题

　　企业从原材料和零部件采购、运输、加工制造、分销直至最终送到用户手中的这一过程被看成是一个环环相扣的链条，这就是供应链。供应链问题不是一个新课题，早在 20 世纪 90 年代，产业界和学界就开始从企业管理的视角关注并研究供应链管理问题。研究者站在企业的角度，从提高经营利润、高效整合资源的角度出发，在物流、库存、人力成本、质量标准、生产计划与控制、采购方案与订单管理、供应商管理、交付方式等方面制定最优策略，研究如何将用户所需要的正确的产品（Right Product）能够在正确的时间（Right Time）、按照正确的数量（RightQuantity）、正确的质量（Right Quality）和正确的状态（Right Status）送到正确的地点（Right Place），即“6R”法则。供应链管理的主要目标是追求用最小的成本实现最大的利润，供应链安全是其从属目标。

　　然而，近年来，随着新情况的出现，供应链管理的内涵超越了企业管理的范畴，供应链安全特别是 ICT 供应链安全的重要性不断上升，甚至达到了影响国家安全的程度。一是我国经济社会的数字化转型持续深入，深刻变革全社会的生产生活方式，各行各业对信息化的依赖度前所未有，ICT 供应链安全直接影响关键信息基础设施安全。二是全球化大分工不断细化，国家与国家之间在全球分工体系中的相互依存度加深。第十二届全国人民代表大会财政经济委员会副主任委员黄奇帆在 2019 年第三届中国经济学家高端论坛上指出：“40 年前全球贸易的总量中成品的比重占整个贸易中 70% 以上。现在世界贸易格局中 70% 是零部件、原材料、中间品，30% 是成品。”在国际贸易量中，成品贸易与中间品贸易的比例发生了倒置，反映出国际分工格局的深刻变革。三是国际逆全球化势力抬头，越来越多的西方国家无力解决日益突出的国内矛盾，为了局部利益而放弃全局利益，为了短期利益而牺牲长期利益，试图用脱钩、贸易摩擦、制造壁垒等手段度过危机。四是全球新冠肺炎疫情蔓延扩散，严重影响我国供应链上游的进口来源地的经济生产活动，另外，疫情在全球爆发扩散的地点、规模的不可预见性，也使其成为影响供应链安全的最大变量。

　　二、ICT 供应链的主要风险和问题

　　我国高度重视供应链安全工作。《网络安全审查办法》第一条开宗明义指出，制定本办法的目的是“为了确保关键信息基础设施供应链安全”。全国信息安全标准化技术委员会于 2018 年组织制定了《信息安全技术 ICT 供应链安全风险管理指南》（GB/T 36637-2018），将 ICT 供应链的安全威胁划分为恶意篡改、假冒伪劣、供应中断、信息泄露、违规操作、其他威胁等类别，较为全面地识别了 ICT 供应链的主要风险。其中，较为突出的风险有两类。

　　（一）非法控制

　　具体表现有：在供应链的任一环节进行恶意篡改、植入、替换、伪造，以嵌入包含恶意逻辑的软件或硬件；软件开发大量使用来源难以追溯的开源模块；网络产品和服务被远程控制，但未告知远程控制的目的、范围和关闭方法，甚至采用隐蔽接口、未明示功能模块、加载禁用或绕过安全机制的组件等手段实现远程控制功能。

　　（二）供应中断

　　供应中断风险的具体表现有：（1）ICT 产品和服务的供应量中断或显著减少，达到不能维持正常运行的程度。（2）ICT 产品和服务的质量明显下降、交易价格大幅上涨，达到难以接受的程度。（3）产品交付的时间显著滞后，交付的地点与预定目标偏离过远。

　　造成供应中断或供应链质量下降的原因有：（1）由于战争等人为的和疫情、地震、台风等自然的不可抗力引发的突发事件，导致产能下降、物流受阻、工艺退步。（2）国际环境和地域因素导致贸易管制、限制销售、知识产权、合规标准差异等情况。（3）不正当竞争行为导致的中断，供应商利用用户对产品和服务的依赖性，如通过技术、政策等手段，限制或阻碍用户选择其他供应商的产品、组件或技术。（4）上游组件存在假冒伪劣等问题，如盗版、翻新机、低配充高配、未经授权的贴牌或代工等。（5）上游供应商发生意外事件，如违约、失信、涉诉、涉罚、拖欠、坏账、破产等，波及下游企业。

　　“长鞭效应”（Bullwhip Effect）加剧了供应链的不稳定性。出于抵御供应不足、客户需求变更等未知风险的本能，作为个体的企业往往倾向于向上游供应商放大需求。当供应链的各节点企业只根据来自其相邻的下级企业的需求信息进行生产或供应决策时，需求信息的不真实性会沿着供应链逆流而上，产生逐级放大的现象，到达源头供应商时，其获得的需求信息和实际消费市场中的顾客需求信息发生了很大的偏差，就好像手腕轻微抖动就会使长鞭末梢大幅摆动一样，因此被称为“长鞭效应”。当供应链网络中的企业集体受到长鞭效应的影响时，全行业的产能就会发生周期性的波动，在波峰期造成产能过剩的浪费，在波谷期造成供应不足的紧缺，并通过多个层级供应商的滞后传导，最终传导到最终用户。当前全球的汽车芯片荒，也正是在多种因素叠加下长鞭效应的具体表现。

　　仅靠企业个体应对 ICT 供应链风险是非常困难的。一是 ICT 产品和服务有着非常复杂的组成结构和上下游关系，上游软硬件产品的漏洞预警、后门事件、产能波动难以及时传导到下游环节的企业，作为个体的企业难以感知作为群体的行业情况。二是信息共享不畅、信任的缺失导致上下游企业难以采取共同措施应对风险，受长鞭效应影响，供应链网络中的企业之间往往同时处于竞争、合作、博弈的状态，在信任缺失的情况下，企业往往选择独占收益，将市场波动、延迟交付、订单变更等风险转嫁给合作伙伴，导致企业个体自发维持状态下的供应链网络合作难以为继。

　　三、美国的 ICT 供应链政策

　　美国是供应链管理的先进国家，波音、苹果等企业依靠领先的供应链管理水平取得了巨大的成功。美国也是 ICT 供应链安全的先行者，在政策保障、工作机制、标准制定等方面做出了许多有益的尝试，可作为我国探索 ICT 供应链安全保障的参考和启示。

　　一是出台政策保障。早在 2008 年，美国布什政府发布的 54 号国家安全总统令（NSPD54）提出国家网络安全综合计划（CNCI），其部署的一项重要工作就是建立全方位的措施来实施全球供应链风险管理。近年来，美国密集出台《联邦采购供应链安全法案 2018》和《确保供应链安全》（14017 号总统行政令）等法案、行政令。据不完全统计，自2018 年以来，美国出台的涉及 ICT 供应链、5G、出口管制的法案、行政令达 11 份。

　　二是建立工作机制。美国于 2018 年新建 2 个跨部门的 ICT 供应链风险管理机构：（1）联邦采购供应链安全理事会。其主席由管理和预算办公室（OMB）高级官员担任，负责协调联邦政府的供应链风险管理选择，制定采购法规，指导建议美国国家标准技术研究院（NIST）制定技术标准，识别联邦供应链的主要威胁。做个不恰当的类比，该机构的工作职能类似于我国的云计算服务安全评估工作协调机制，在政府采购方面发挥审查、评估作用。（2）设在国土安全部的 ICT 供应链风险管理特别工作组。该机构的职能是建立公共部门和私人部门的工作联系，成员包括 20 个联邦部门和机构和 40 个信息技术领域的大型企业（思科、微软、亚马逊、火眼等美国主要 ICT 供应商悉数在列），下设 4 个工作组，在特别工作组成员间建立供应链风险信息共享机制，促成政府部门和企业之间的信息共享，评估 ICT 供应商、ICT 产品和服务的风险。我国目前尚无类似职能的工作机制或机构。

　　三是采取各种具体措施。美国 ICT 供应链风险管理特别工作组下的风险评估工作组开展了 2 次 ICT供应链风险评估工作；拜登政府在 2021 年 5 月发布的《关于加强国家网络安全的行政命令》中要求NIST 发布指南，要求软件产品提供者向购买者提供“软件材料清单”（SBOM）。

　　四、工作建议

　　（一）加大统筹协调力度，建立 ICT 供应链安全工作机制

　　做好 ICT 供应链安全工作，涉及核心技术攻关、“卡脖子”环节识别、ICT 供应链图谱绘制、供应链信息共享等职能，凭借企业、行业的力量难以独立完成，建议发挥我国的制度优势，既集中力量又分工协作，参照国家网络安全审查工作机制，建立国家层面的 ICT 供应链安全工作机制，在指导关键信息基础设施运营者开展 ICT 供应链管理、供应链风险监测预警和通报共享等日常工作方面发挥作用。

　　（二）建立 ICT 全球供应链风险预警系统

　　“十四五”规划纲要提出，“建立重要资源和产品全球供应链风险预警系统”。建议在 ICT 供应链安全工作机制的统筹协调下，绘制 ICT 产品构成图谱，监测上游组件相关的风险事件，如产能波动、价格上涨、供应商涉诉涉罚、木马漏洞、产品缺陷等，针对关键信息基础设施和重要 ICT 产品和服务开展风险预警通报。

　　（三）加强 ICT 供应链信息的使用管理和技术应用

　　通过法律法规、技术标准进一步规范供应链信息的共享和使用，在保护企业商业秘密的同时合理使用供应链数据。建立基于特定目的、在特定范围内使用 ICT 供应链数据的规则，避免泄露、滥用。探索数据“可用不可见”技术、区块链等技术在供应链图谱绘制、风险预警方面的应用。