李博　林森　單術(shù)婷

關(guān)鍵詞：供應(yīng)鏈管理；數(shù)字化轉(zhuǎn)型；供應(yīng)鏈安全；云服務(wù)

中圖分類號(hào)：F252.24 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-7934（2023）01-0007-13

一、供應(yīng)鏈安全問(wèn)題與風(fēng)險(xiǎn)管理

安全，這一詞語(yǔ)最初起源于社會(huì)學(xué)和心理學(xué)的個(gè)體層面理論。具體而言，在社會(huì)學(xué)文獻(xiàn)中，學(xué)者將“安全”定義為一種防范危險(xiǎn)的意識(shí)［1］?！栋踩耪摗分袑ⅰ鞍踩闭J(rèn)為是個(gè)人或團(tuán)體可以在某一穩(wěn)定、相對(duì)可預(yù)測(cè)的環(huán)境中追求其目標(biāo)，而不受干擾或傷害，也不懼怕干擾或調(diào)查［2］。

（一）供應(yīng)鏈安全問(wèn)題

物流和供應(yīng)鏈活動(dòng)中的安全問(wèn)題并不鮮見。早期，供應(yīng)鏈安全問(wèn)題往往與運(yùn)輸中的貨物相關(guān)，代表對(duì)危險(xiǎn)的防范，比如19世紀(jì)美國(guó)鐵路發(fā)展給搶劫火車上的貨物和乘客提供了一個(gè)絕佳的機(jī)會(huì)。而在21世紀(jì)，隨著各類恐怖襲擊事件的發(fā)生，供應(yīng)鏈安全的焦點(diǎn)也隨之改變。在“9·11”恐怖襲擊事件發(fā)生之后，美國(guó)停止了空中交通和邊境運(yùn)輸，這意味著運(yùn)輸汽車零部件的卡車無(wú)法準(zhǔn)時(shí)抵達(dá)加拿大溫莎汽車工廠［3］?？植乐髁x的威脅帶來(lái)了兩個(gè)關(guān)鍵問(wèn)題：首先，供應(yīng)鏈非常容易受到恐怖主義的直接或間接影響；其次，供應(yīng)鏈可能成為散布恐怖主義的工具。其中裝貨地點(diǎn)和前往港口的路途中是最薄弱的安全環(huán)節(jié)，由此帶來(lái)的商業(yè)和經(jīng)濟(jì)損失不容忽視。近年來(lái)，供應(yīng)鏈安全的概念又被拓展到了呼吸機(jī)和芯片等重要產(chǎn)品和零部件的供給，以及關(guān)鍵礦產(chǎn)資源的獲取。

（二）供應(yīng)鏈安全的定義與相關(guān)政策

供應(yīng)鏈安全是指運(yùn)用政策、程序和技術(shù)來(lái)保護(hù)供應(yīng)鏈資產(chǎn)（產(chǎn)品、設(shè)施、設(shè)備、信息和人員）免受盜竊、破壞或恐怖主義的侵害，防止未經(jīng)授權(quán)的違禁品、人員或大規(guī)模殺傷性武器進(jìn)入供應(yīng)鏈［4］。這一定義表明，供應(yīng)鏈安全包括盡可能防止產(chǎn)品丟失和違禁品進(jìn)入供應(yīng)鏈。更確切地說(shuō)，供應(yīng)鏈風(fēng)險(xiǎn)是供應(yīng)鏈在概率、價(jià)值和方差的取舍結(jié)果［5］。因此，供應(yīng)鏈安全是企業(yè)與組織風(fēng)險(xiǎn)管理中整體戰(zhàn)略的一部分。

以美國(guó)為例，為了應(yīng)對(duì)自然災(zāi)害和恐怖主義對(duì)于國(guó)防安全存在的威脅，同時(shí)維護(hù)美元在國(guó)際市場(chǎng)中的絕對(duì)地位，最早提出了全球供應(yīng)鏈安全國(guó)家戰(zhàn)略。總的來(lái)說(shuō)，其供應(yīng)鏈安全戰(zhàn)略主要聚焦于國(guó)防安全、民生安全等重要領(lǐng)域的關(guān)鍵產(chǎn)品和戰(zhàn)略資源的供應(yīng)等。其根本是為了在維護(hù)和保障供應(yīng)鏈的同時(shí)，促進(jìn)合法貿(mào)易能夠及時(shí)且高效地流動(dòng)，使之免受不正當(dāng)利用，并減少其脆弱性。另一個(gè)目的是培養(yǎng)一個(gè)有彈性的供應(yīng)鏈，即能準(zhǔn)備應(yīng)對(duì)而且能夠承受不斷變化的威脅和危害、從中斷中迅速恢復(fù)的全球供應(yīng)鏈系統(tǒng)。

美國(guó)國(guó)土安全部海關(guān)邊境保護(hù)局所倡議的海關(guān)-商貿(mào)反恐怖聯(lián)盟（C-TPAT），旨在與業(yè)界合作建立更加安全的供應(yīng)鏈管理系統(tǒng)，以確保供應(yīng)鏈從起點(diǎn)到終點(diǎn)的運(yùn)輸安全、安全信息及貨況的流通［6］。其貨物預(yù)報(bào)信息系統(tǒng)和最新的貨物清單信息準(zhǔn)則要求在通過(guò)海運(yùn)、空運(yùn)、鐵路或卡車將貨物運(yùn)入或運(yùn)出美國(guó)之前，需要提供詳細(xì)的貨物數(shù)據(jù)。其自由和安全貿(mào)易計(jì)劃允許受信任的承運(yùn)人為受信任的公司運(yùn)輸?shù)牡惋L(fēng)險(xiǎn)貨物迅速通過(guò)邊境，同時(shí)為未知或高風(fēng)險(xiǎn)的貨物保留檢查資源。

這些努力并不局限于美國(guó)。中國(guó)海關(guān)不時(shí)會(huì)與美國(guó)海關(guān)組成聯(lián)合驗(yàn)證組對(duì)企業(yè)出口美國(guó)貨物的集裝箱裝箱區(qū)、車間包裝區(qū)、成品倉(cāng)庫(kù)等進(jìn)行實(shí)地審查，以幫助企業(yè)獲得C-TPAT認(rèn)證。世界貿(mào)易組織試圖通過(guò)將控制和檢查轉(zhuǎn)移到出口階段，以及通過(guò)在政府機(jī)構(gòu)、公司、供應(yīng)商、運(yùn)輸商和客戶之間共享統(tǒng)一的信息來(lái)促進(jìn)貿(mào)易［7］。世界海關(guān)組織通過(guò)參與全球供應(yīng)鏈安全標(biāo)準(zhǔn)倡議的161個(gè)成員國(guó)，試圖通過(guò)制定和推廣指導(dǎo)原則來(lái)幫助海關(guān)部門共同努力，以促進(jìn)快速清關(guān)低關(guān)稅的商品，促進(jìn)貿(mào)易便利化。

國(guó)務(wù)院辦公廳在2017年提出了《關(guān)于積極推進(jìn)供應(yīng)鏈創(chuàng)新與應(yīng)用的指導(dǎo)意見》，明確表明將推進(jìn)供應(yīng)鏈創(chuàng)新發(fā)展，將有利于提高我國(guó)在全球經(jīng)濟(jì)治理中的話語(yǔ)權(quán)，保障資源能源安全和產(chǎn)業(yè)安全。2020年4月，商務(wù)部等8部門又下發(fā)了《關(guān)于進(jìn)一步做好供應(yīng)鏈創(chuàng)新與應(yīng)用試點(diǎn)工作的通知》，其中重點(diǎn)提到了加強(qiáng)供應(yīng)鏈安全建設(shè)；比如，試點(diǎn)城市要將供應(yīng)鏈安全建設(shè)作為試點(diǎn)工作的重要內(nèi)容，加強(qiáng)對(duì)重點(diǎn)產(chǎn)業(yè)供應(yīng)鏈的分析與評(píng)估，厘清供應(yīng)鏈關(guān)鍵節(jié)點(diǎn)、重要設(shè)施和主要一、二級(jí)供應(yīng)商等情況及地域分布，排查供應(yīng)鏈風(fēng)險(xiǎn)點(diǎn)，優(yōu)化產(chǎn)業(yè)供應(yīng)鏈布局；又如，試點(diǎn)企業(yè)要增強(qiáng)供應(yīng)鏈風(fēng)險(xiǎn)防范意識(shí)，針對(duì)疫情防控過(guò)程中出現(xiàn)的安全問(wèn)題，舉一反三，研究制定供應(yīng)鏈安全防控措施，把供應(yīng)鏈安全作為企業(yè)發(fā)展戰(zhàn)略的重要組成部分，建立供應(yīng)鏈風(fēng)險(xiǎn)預(yù)警系統(tǒng)，制定和實(shí)施供應(yīng)鏈多元化發(fā)展戰(zhàn)略，著力在網(wǎng)絡(luò)布局、流程管控、物流保障、應(yīng)急儲(chǔ)備、技術(shù)和人員管理等方面增強(qiáng)供應(yīng)鏈彈性，提升風(fēng)險(xiǎn)防范和抵御能力，促進(jìn)供應(yīng)鏈全鏈條安全、穩(wěn)定、可持續(xù)發(fā)展。

（三）供應(yīng)鏈風(fēng)險(xiǎn)及管理

在構(gòu)建全球供應(yīng)鏈的同時(shí)，也需提高全球供應(yīng)鏈安全水平，提升全球供應(yīng)鏈風(fēng)險(xiǎn)防控管理。供應(yīng)鏈風(fēng)險(xiǎn)管理是供應(yīng)鏈風(fēng)險(xiǎn)的識(shí)別和管理，也是作為提高供應(yīng)鏈安全程度的一個(gè)途徑。通過(guò)供應(yīng)鏈成員之間的相互協(xié)調(diào)，將會(huì)減少作為一個(gè)整體的脆弱性［5］。供應(yīng)鏈風(fēng)險(xiǎn)管理有四個(gè)相互關(guān)聯(lián)的結(jié)構(gòu)：供應(yīng)鏈風(fēng)險(xiǎn)的來(lái)源、供應(yīng)鏈戰(zhàn)略驅(qū)動(dòng)的風(fēng)險(xiǎn)、供應(yīng)鏈風(fēng)險(xiǎn)管理策略、供應(yīng)鏈風(fēng)險(xiǎn)的后果。

風(fēng)險(xiǎn)來(lái)源包括任何不能準(zhǔn)確地預(yù)測(cè)的變量，這些變量都有可能導(dǎo)致供應(yīng)鏈中斷［8］。這些風(fēng)險(xiǎn)分為三類：環(huán)境風(fēng)險(xiǎn)源，組織風(fēng)險(xiǎn)源和與網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)源。環(huán)境風(fēng)險(xiǎn)源包括由于供應(yīng)鏈-環(huán)境相互作用而產(chǎn)生的任何不確定性。這些可能是自然風(fēng)險(xiǎn)，例如火災(zāi)、地震、水災(zāi)等不可抗拒因素的自然災(zāi)害；社會(huì)政治行為，如抗議、恐怖襲擊；經(jīng)濟(jì)風(fēng)險(xiǎn)，如經(jīng)濟(jì)危機(jī)或貿(mào)易戰(zhàn)的結(jié)果。組織風(fēng)險(xiǎn)源于人工（例如罷工）、生產(chǎn)不確定性（如機(jī)器故障）或IT系統(tǒng)不確定性。與網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)源來(lái)自于供應(yīng)鏈中各組織之間的相互作用：由于沿鏈組織之間的最佳合作而造成的任何損害，都可歸因于與網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn)源。從這個(gè)意義上說(shuō)，環(huán)境和組織的不確定性是輸入到供應(yīng)鏈各個(gè)環(huán)節(jié)的風(fēng)險(xiǎn)來(lái)源，而與網(wǎng)絡(luò)相關(guān)的不確定性則是存在于各個(gè)環(huán)節(jié)中的風(fēng)險(xiǎn)來(lái)源［9］。

針對(duì)近年來(lái)供應(yīng)鏈風(fēng)險(xiǎn)增加的原因，Jüttner et al.［5］認(rèn)為主要包括商界更注重效率而非效力、供應(yīng)鏈全球化、工廠和配送的集中、外包的增加和供應(yīng)商的減少。一定程度上，這些都源于供應(yīng)鏈中購(gòu)買和供應(yīng)公司之間的界限日漸模糊。在外包和“集中于核心競(jìng)爭(zhēng)力”等趨勢(shì)的推動(dòng)下，可以選擇各類合作伙伴，但這也使業(yè)務(wù)關(guān)系網(wǎng)絡(luò)錯(cuò)綜復(fù)雜。供應(yīng)鏈的復(fù)雜性也會(huì)導(dǎo)致供應(yīng)鏈的“混亂效應(yīng)”。這些混亂效應(yīng)是由過(guò)度反應(yīng)、不必要的干預(yù)、事后猜測(cè)、不信任、供應(yīng)鏈中扭曲的信息造成的，或者僅僅是因?yàn)榻M織內(nèi)部缺乏對(duì)供應(yīng)鏈的理解。眾所周知的牛鞭效應(yīng)就是這種混亂的一個(gè)例子，它描述了從下游到上游供應(yīng)鏈的訂單模式的不斷波動(dòng)［10］。此外，供應(yīng)鏈還面臨慣性風(fēng)險(xiǎn)，即對(duì)環(huán)境條件和市場(chǎng)信號(hào)的變化普遍缺乏響應(yīng)能力。特別是在全球供應(yīng)鏈中，為了降低成本，供應(yīng)鏈靈活性往往被犧牲。這樣做的后果可能是無(wú)法對(duì)競(jìng)爭(zhēng)對(duì)手的行動(dòng)、客戶需求的變化或任何其他由環(huán)境或組織風(fēng)險(xiǎn)源引起的不可預(yù)測(cè)的事件作出及時(shí)反應(yīng)［5］。

企業(yè)一般通過(guò)四個(gè)進(jìn)行的風(fēng)險(xiǎn)管理過(guò)程，分別為風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理和風(fēng)險(xiǎn)監(jiān)控來(lái)參與降低整體風(fēng)險(xiǎn)水平，并將規(guī)避、控制、合作和靈活性作為一般供應(yīng)鏈風(fēng)險(xiǎn)的緩解策略［5］。供應(yīng)鏈安全作為一種特殊類型的供應(yīng)鏈風(fēng)險(xiǎn)管理策略，將有助于降低整個(gè)供應(yīng)鏈的風(fēng)險(xiǎn)［4］。通過(guò)關(guān)注供應(yīng)鏈安全，社會(huì)政治行動(dòng)（即恐怖襲擊）發(fā)生在供應(yīng)鏈上的可能性就降低了。因此，供應(yīng)鏈安全最關(guān)心的是故意破壞供應(yīng)鏈的行為。事故和天災(zāi)的風(fēng)險(xiǎn)可能仍然存在，但通過(guò)供應(yīng)鏈安全措施，維護(hù)和確保供應(yīng)鏈免受不正當(dāng)?shù)睦?，并減少其在破壞面前的脆弱性，以降低總體風(fēng)險(xiǎn)。

二、供應(yīng)鏈信息服務(wù)對(duì)供應(yīng)鏈安全的影響

（一）供應(yīng)鏈信息服務(wù)及數(shù)字化供應(yīng)鏈

傳統(tǒng)的供應(yīng)鏈至今已經(jīng)有一百多年的歷史了。供應(yīng)鏈可以看作是產(chǎn)品生產(chǎn)和流通過(guò)程中所涉及的原材料供應(yīng)商、生產(chǎn)商、分銷商、零售商以及最終消費(fèi)者等成員通過(guò)與上游、下游成員的連接組成的網(wǎng)絡(luò)結(jié)構(gòu)，也是由物料獲取、物料加工、并將成品送到用戶手中這一過(guò)程所涉及的企業(yè)和企業(yè)部門組成的一個(gè)網(wǎng)絡(luò)。供應(yīng)鏈通過(guò)物流聯(lián)系在一起，其中包括生產(chǎn)、運(yùn)輸、運(yùn)動(dòng)和儲(chǔ)存的商品和材料，以及信息流，它允許不同的供應(yīng)鏈成員協(xié)調(diào)他們的長(zhǎng)期計(jì)劃和控制物資的日常流程［11］。

信息技術(shù)的應(yīng)用使傳統(tǒng)的供應(yīng)鏈日常管理工作能夠?qū)崟r(shí)采集、處理、分析、存儲(chǔ)和共享大量的信息，成為供應(yīng)鏈管理系統(tǒng)中信息協(xié)作和提高性能的必要組成部分［12］。而數(shù)字化供應(yīng)鏈指的是在全球化、智能化、柔性化生產(chǎn)基礎(chǔ)的背景下，將先進(jìn)的信息技術(shù)（例如物聯(lián)網(wǎng)、云計(jì)算、區(qū)塊鏈等）應(yīng)用于傳統(tǒng)供應(yīng)鏈上，讓供應(yīng)鏈具備即時(shí)、可視、可感知、可調(diào)節(jié)的能力。各種信息技術(shù)，如用于捕捉和處理資訊的物聯(lián)網(wǎng)技術(shù)；用于大數(shù)據(jù)處理的云計(jì)算；用于運(yùn)輸可視性及跟蹤數(shù)據(jù)來(lái)源的區(qū)塊鏈技術(shù)，目前已被眾多企業(yè)應(yīng)用至傳統(tǒng)的供應(yīng)鏈管理系統(tǒng)中，以實(shí)現(xiàn)管理系統(tǒng)的最高效率和最低成本。

在集裝箱運(yùn)輸行業(yè)，馬士基和IBM合作推出了TradeLens。這個(gè)航運(yùn)供應(yīng)鏈解決方案旨在將供應(yīng)鏈各方合作伙伴協(xié)同在一起，以支持信息共享和更高效的供應(yīng)鏈協(xié)作。TradeLens使用區(qū)塊鏈技術(shù)作為數(shù)字供應(yīng)鏈的基礎(chǔ)，通過(guò)建立一個(gè)單一的、共享的交易視圖而不損害細(xì)節(jié)、隱私或機(jī)密性，授權(quán)多個(gè)合作伙伴進(jìn)行合作。實(shí)時(shí)訪問(wèn)船舶數(shù)據(jù)和船舶文件，包括物聯(lián)網(wǎng)和傳感器數(shù)據(jù)，從溫度控制到集裝箱重量，使托運(yùn)人、航運(yùn)公司、貨運(yùn)代理、港口和碼頭運(yùn)營(yíng)商、內(nèi)陸運(yùn)輸承運(yùn)人和海關(guān)當(dāng)局能夠更有效地進(jìn)行數(shù)據(jù)交互。通過(guò)區(qū)塊鏈智能合約，在全球貿(mào)易的多個(gè)供應(yīng)鏈合作伙伴之間實(shí)現(xiàn)安全和高效的數(shù)字協(xié)作。

（二）數(shù)字供應(yīng)鏈系統(tǒng)存在的風(fēng)險(xiǎn)

新興技術(shù)的發(fā)展和廣泛應(yīng)用使傳統(tǒng)商業(yè)模式產(chǎn)生顛覆性變革。然而，信息技術(shù)的實(shí)現(xiàn)為供應(yīng)鏈網(wǎng)絡(luò)提供有效信息協(xié)作的同時(shí)，卻也減少或消除了傳統(tǒng)供應(yīng)鏈系統(tǒng)的保護(hù)壁壘。原因在于傳統(tǒng)的供應(yīng)鏈系統(tǒng)與互聯(lián)網(wǎng)斷開連接，使它與外部不穩(wěn)定的網(wǎng)絡(luò)攻擊環(huán)境進(jìn)行了分離，而與互聯(lián)網(wǎng)的連接或?qū)?dǎo)致各種外部或內(nèi)部風(fēng)險(xiǎn)進(jìn)入供應(yīng)鏈系統(tǒng)，最終導(dǎo)致意外問(wèn)題。通過(guò)這種方式，當(dāng)有外部人員或網(wǎng)絡(luò)攻擊者利用系統(tǒng)漏洞、第三方提供商提供的設(shè)備（如物聯(lián)網(wǎng)設(shè)備或云計(jì)算服務(wù)器）帶來(lái)的漏洞對(duì)供應(yīng)鏈進(jìn)行攻擊，會(huì)相應(yīng)的增加供應(yīng)鏈風(fēng)險(xiǎn)。

圖1展示了當(dāng)前數(shù)字供應(yīng)鏈系統(tǒng)可能發(fā)生的一些攻擊方法［13］。最常見的一種方法是黑客入侵網(wǎng)絡(luò)并操縱連接網(wǎng)絡(luò)的設(shè)備或硬件。他們可以通過(guò)攔截供應(yīng)商的交付并將惡意代碼直接注入設(shè)備來(lái)做到這一點(diǎn)。另一種方法是，黑客可以通過(guò)入侵開發(fā)人員的基礎(chǔ)設(shè)施，向軟件本身注入惡意軟件。黑客通過(guò)網(wǎng)絡(luò)釣魚或基于電子郵件的攻擊進(jìn)入開發(fā)者的網(wǎng)絡(luò)，然后利用網(wǎng)絡(luò)中的內(nèi)部漏洞進(jìn)行入侵。關(guān)于供應(yīng)鏈安全攻擊特別是由于第三方供應(yīng)商導(dǎo)致的案例并不在少數(shù)，包括軟件攻擊和硬件攻擊。例如，通過(guò)互聯(lián)網(wǎng)竊取顧客的敏感數(shù)據(jù)終端設(shè)備，或惡意代碼插入用戶的軟件或應(yīng)用程序中處理惡意行為；黑客使用從第三方提供商HVAC系統(tǒng)盜取的密碼憑證入侵塔吉特（Target）公司的網(wǎng)絡(luò)，導(dǎo)致1.1億客戶信息泄露。又例如，在設(shè)計(jì)階段修改藍(lán)圖、或在開發(fā)階段將間諜芯片安裝到硬件。

（三）數(shù)字供應(yīng)鏈安全管理

安全管理是指通過(guò)啟用相關(guān)的安全方法，如識(shí)別、認(rèn)證、訪問(wèn)控制和定義安全策略，來(lái)實(shí)現(xiàn)高級(jí)系統(tǒng)安全的一種保護(hù)方法。而數(shù)字化供應(yīng)鏈管理系統(tǒng)安全管理是指利用供應(yīng)鏈上的信息技術(shù)，對(duì)供應(yīng)鏈上出現(xiàn)的任何部分或過(guò)程都可能發(fā)生的隱私泄露、惡意操縱成員等風(fēng)險(xiǎn)進(jìn)行管理，其中常見的信息技術(shù)如下。

（1）物聯(lián)網(wǎng)。物聯(lián)網(wǎng)技術(shù)（IoT）是傳統(tǒng)信息技術(shù)所不能實(shí)現(xiàn)的一種利用完整信息實(shí)現(xiàn)供應(yīng)鏈可追溯的新技術(shù)，能將任何物體與網(wǎng)絡(luò)相連接，物體通過(guò)信息傳播媒介進(jìn)行信息交換和通信，以實(shí)現(xiàn)智能化識(shí)別、定位、跟蹤、監(jiān)管等功能。目前許多公司已經(jīng)開始使用IoT來(lái)跟蹤實(shí)時(shí)庫(kù)存信息和監(jiān)控人員活動(dòng)［14］。

圖1 攻擊數(shù)字供應(yīng)鏈的方法［13］

（2）云計(jì)算。云計(jì)算的集中式云服務(wù)器架構(gòu)可以有效地管理和協(xié)作不同系統(tǒng)之間收集的信息，提高整個(gè)供應(yīng)鏈系統(tǒng)之間的信息共享和協(xié)作性能。傳統(tǒng)的供應(yīng)鏈管理系統(tǒng)只關(guān)注物理的、面對(duì)面的信息管理方法，而云計(jì)算環(huán)境提供了采購(gòu)實(shí)踐、商店貨架操作時(shí)間化、銷售和運(yùn)營(yíng)規(guī)劃的信息［15］。

（3）區(qū)塊鏈。區(qū)塊鏈值得信賴的分布式、去中心化賬本體系結(jié)構(gòu)，以及密碼化鏈接的區(qū)塊，也可以為整個(gè)供應(yīng)鏈運(yùn)輸過(guò)程中產(chǎn)品質(zhì)量的測(cè)量提供一種準(zhǔn)確的方法。例如，供應(yīng)鏈中的涉眾可以分析關(guān)于運(yùn)輸路徑和持續(xù)時(shí)間的數(shù)據(jù)［16］，來(lái)收集關(guān)于產(chǎn)品是否在錯(cuò)誤的位置或從源到目的地的整個(gè)旅程的位置信息。其他這類能力的利用案例有：將區(qū)塊鏈技術(shù)應(yīng)用于食品冷鏈環(huán)境監(jiān)測(cè)，特別是溫度監(jiān)測(cè);應(yīng)用于食品衛(wèi)生保健的食品供應(yīng)鏈，如果沒有得到足夠的重視，可能會(huì)導(dǎo)致嚴(yán)重的健康風(fēng)險(xiǎn)。

（四）數(shù)字供應(yīng)鏈信任管理

當(dāng)前數(shù)字化供應(yīng)鏈管理系統(tǒng)的另一個(gè)重要問(wèn)題是信任問(wèn)題。用戶如何信任第三方提供的服務(wù)，服務(wù)提供商如何信任用戶提交的身份，下游企業(yè)如何信任上游企業(yè)提供的服務(wù)，解決這一系列問(wèn)題都需要高效的方法。Haghpanah and Desjardins［17］提出了供應(yīng)鏈管理系統(tǒng)的信任模型，該模型結(jié)合了供應(yīng)鏈管理系統(tǒng)特有的信任因素。也可以考慮利用信息技術(shù)來(lái)管理供應(yīng)鏈信任問(wèn)題。

（1）物聯(lián)網(wǎng)。Yan et al［18］定義了物聯(lián)網(wǎng)系統(tǒng)上的信任管理目標(biāo)，該目標(biāo)可能適用于基于物聯(lián)網(wǎng)的供應(yīng)鏈系統(tǒng)，涉及信任關(guān)系和決策、數(shù)據(jù)感知信任、隱私保護(hù)、數(shù)據(jù)融合和挖掘信任、數(shù)據(jù)傳輸和通信信任物聯(lián)網(wǎng)服務(wù)的質(zhì)量、系統(tǒng)安全性和人機(jī)信任交互和身份信任。為了提供供應(yīng)鏈管理系統(tǒng)的信任環(huán)境，供應(yīng)鏈上啟用的IoT技術(shù)和服務(wù)應(yīng)達(dá)到與IoT信任管理系統(tǒng)的標(biāo)準(zhǔn)衡量標(biāo)準(zhǔn)一樣的標(biāo)準(zhǔn)［18］。

（2）云計(jì)算。為了在云服務(wù)環(huán)境下實(shí)現(xiàn)供應(yīng)鏈的信任管理，云服務(wù)提供商提供了許多技術(shù)，如標(biāo)準(zhǔn)化技術(shù)、虛擬化技術(shù)、數(shù)據(jù)管理技術(shù)、平臺(tái)管理技術(shù)［19］。標(biāo)準(zhǔn)化技術(shù)可用于提供一個(gè)用于訪問(wèn)云服務(wù)提供商的接口，并且與聯(lián)盟主控在供應(yīng)鏈上形成的真實(shí)信息交換有關(guān)。中央云服務(wù)器可以視為云服務(wù)和服務(wù)器集群之間的中間件。云計(jì)算服務(wù)的虛擬化技術(shù)提供商可以為擁有不同物理接口的不同供應(yīng)鏈企業(yè)或系統(tǒng)提供相同的虛擬軟件接口，以提高協(xié)作效率。

（3）區(qū)塊鏈。區(qū)塊鏈也可以發(fā)揮重要作用，通過(guò)降低風(fēng)險(xiǎn)來(lái)提高信任管理，因?yàn)閰^(qū)塊鏈需要驗(yàn)證參與交易的個(gè)人的身份，這意味著只有網(wǎng)絡(luò)中相互接受的成員才能參與交易。

三、云服務(wù)對(duì)供應(yīng)鏈安全的貢獻(xiàn)與伴隨的挑戰(zhàn)

前述的各類例子揭示了現(xiàn)代供應(yīng)鏈安全管理中存在的一些問(wèn)題。而現(xiàn)代供應(yīng)鏈所面臨的風(fēng)險(xiǎn)日益嚴(yán)峻，維護(hù)供應(yīng)鏈安全的困難主要來(lái)自貨物、工廠、供應(yīng)鏈供應(yīng)商和合作伙伴、供應(yīng)鏈設(shè)施、貨運(yùn)公司、人員和信息等［20］。而企業(yè)如果想要有效地維護(hù)客戶、知識(shí)產(chǎn)權(quán)、基礎(chǔ)設(shè)施、品牌和員工，那么必須執(zhí)行供應(yīng)鏈安全計(jì)劃。因此，如同營(yíng)銷策略或財(cái)務(wù)戰(zhàn)略，供應(yīng)鏈安全戰(zhàn)略也是企業(yè)戰(zhàn)略的重要組成部分［20］。近年來(lái)，世界五百?gòu)?qiáng)企業(yè)都把供應(yīng)鏈戰(zhàn)略作為重要戰(zhàn)略，而隨著云計(jì)算技術(shù)的發(fā)展與商業(yè)模式的成熟，云服務(wù)被不斷運(yùn)用在企業(yè)供應(yīng)鏈戰(zhàn)略之中，同時(shí)也帶來(lái)了相應(yīng)的挑戰(zhàn)［21］。

（一）云服務(wù)中的安全要素

身份識(shí)別是任何安全意識(shí)系統(tǒng)的核心。它允許用戶、服務(wù)、服務(wù)器、云和任何其他實(shí)體被系統(tǒng)和其他方所識(shí)別。身份識(shí)別由一組處于相關(guān)環(huán)境下的與特定實(shí)體相關(guān)聯(lián)的信息組成。身份識(shí)別不應(yīng)泄露用戶的個(gè)人“隱私”信息。統(tǒng)一身份認(rèn)證（Identity and Access Management，IAM）是提供用戶身份認(rèn)證、權(quán)限分配、訪問(wèn)控制等功能的身份管理服務(wù)。以亞馬遜AWS為例，IAM使客戶能夠安全地管理對(duì)AWS服務(wù)和資源的訪問(wèn)?？蛻艨梢允褂?IAM創(chuàng)建和管理AWS用戶和組，并使用各種權(quán)限來(lái)允許或拒絕他們對(duì)AWS資源的訪問(wèn)。云服務(wù)應(yīng)提供相應(yīng)的身份上下文信息，包括：權(quán)限管理、安全控制、委托授權(quán)、聯(lián)邦身份認(rèn)證等。

保密性是云計(jì)算安全（包括保密性、完整性和可用性）的關(guān)鍵目標(biāo)之一。密鑰管理技術(shù)是指通過(guò)公開密鑰加密技術(shù)實(shí)現(xiàn)對(duì)稱密鑰管理的技術(shù)，通過(guò)加密的方式實(shí)現(xiàn)數(shù)據(jù)、流程和通信的保密目標(biāo)。目前有兩種加密算法，即對(duì)稱密鑰管理和和非對(duì)稱密鑰的加密算法。然而，這兩種加密方法都具有一個(gè)與加密密鑰管理相關(guān)的主要問(wèn)題，即如何安全地生成、存儲(chǔ)、訪問(wèn)和交換密鑰。

云計(jì)算模型基于使用服務(wù)等級(jí)協(xié)議（SLA）提供服務(wù)。SLA應(yīng)該涵蓋與性能、可靠性和安全性相關(guān)的目標(biāo)，及違反SLA的情況下應(yīng)用的懲罰措施。作為SLA目標(biāo)之一，保持高安全級(jí)別意味著要消耗大量影響性能目標(biāo)的資源，因?yàn)椴捎玫陌踩ぞ吆蜋C(jī)制越多，對(duì)底層服務(wù)性能的影響就越大。云管理應(yīng)該考慮使用實(shí)用工具在安全性和性能之間進(jìn)行權(quán)衡。

當(dāng)用戶使用依賴于來(lái)自不同云的服務(wù)的應(yīng)用程序時(shí)，他將需要維持在兩個(gè)云以及兩者之間實(shí)施的安全要求。同樣的情況，當(dāng)多個(gè)云集成在一起以提供更大的資源池或集成服務(wù)時(shí)，它們的安全要求需要聯(lián)合并在不同的相關(guān)云平臺(tái)上實(shí)施，此外，可遷移性和靈活性也是運(yùn)行多個(gè)云平臺(tái)的關(guān)鍵原因。

（二）云服務(wù)對(duì)供應(yīng)鏈安全的貢獻(xiàn)

云計(jì)算的發(fā)展在幾個(gè)關(guān)鍵方面影響著組織及其供應(yīng)鏈活動(dòng)。例如，云服務(wù)為供應(yīng)鏈協(xié)作提供了靈活的外包軟件。它使企業(yè)特別是初創(chuàng)公司能夠以較低的前期成本在市場(chǎng)上立足，使服務(wù)更有價(jià)值、更容易獲得、更經(jīng)濟(jì)。值得一提的是，云服務(wù)也在一定程度上提升了供應(yīng)鏈的安全。

基于云的供應(yīng)鏈管理平臺(tái)通過(guò)協(xié)調(diào)供應(yīng)鏈網(wǎng)絡(luò)中的制造商、供應(yīng)商、零售商、分銷商等所有相關(guān)方，幫助組織為供應(yīng)鏈中的所有方獲得關(guān)于實(shí)際需求波動(dòng)的信息，提出更準(zhǔn)確的需求預(yù)測(cè)，這可以在一定程度上消除供應(yīng)鏈網(wǎng)絡(luò)中的牛鞭效應(yīng)。云計(jì)算可以應(yīng)用于預(yù)測(cè)、計(jì)劃、采購(gòu)、服務(wù)和備件管理、銷售和運(yùn)營(yíng)以及物流。這些基于云的平臺(tái)可以作為包含各種供應(yīng)商信息的數(shù)據(jù)庫(kù)進(jìn)行操作。這為經(jīng)常與數(shù)百甚至數(shù)千供應(yīng)商打交道的組織帶來(lái)了巨大的好處，使組織能夠根據(jù)其需求選擇適當(dāng)?shù)墓?yīng)商。

糟糕的網(wǎng)絡(luò)設(shè)計(jì)將增加物流成本和交貨時(shí)間，使客戶很難在正確的時(shí)間、正確的地點(diǎn)收到所需的貨物。因此，物流和供應(yīng)鏈管理的主要目標(biāo)無(wú)法達(dá)到［22］。在供應(yīng)鏈管理領(lǐng)域，保持供應(yīng)鏈網(wǎng)絡(luò)中各參與方之間的實(shí)時(shí)數(shù)據(jù)通信對(duì)供應(yīng)鏈網(wǎng)絡(luò)的監(jiān)控非常重要。云計(jì)算解決方案可以影響物流企業(yè)充分組織和執(zhí)行訂單處理、物流網(wǎng)絡(luò)設(shè)計(jì)、出入口運(yùn)輸、庫(kù)存管理、貨運(yùn)和車隊(duì)管理、全球貿(mào)易管理、報(bào)關(guān)、倉(cāng)儲(chǔ)、配送等增值服務(wù)的能力，使實(shí)時(shí)數(shù)據(jù)傳輸成為可能。相關(guān)組織可以通過(guò)準(zhǔn)確的實(shí)時(shí)數(shù)據(jù)和跟蹤解決方案來(lái)改善物流管理，顯著提高配送速度，減少運(yùn)輸管理費(fèi)用。隨著云計(jì)算能力的提高，客戶還可以利用第三方解決方案連接到運(yùn)營(yíng)商、供應(yīng)商、貨代、第三方物流服務(wù)提供商和客戶?？蛻舳丝梢赃B接到同一云中的任何參與者;這使得他們能夠通過(guò)與其他參與者的協(xié)調(diào)，以更安全的方式以及更低的運(yùn)輸成本管理全球業(yè)務(wù)［23］。此外，Liu et al［24］開發(fā)了一個(gè)具有一定局限性的概念框架。在基于云的供應(yīng)鏈管理系統(tǒng)中，溝通、學(xué)習(xí)能力、參與性、可用性和可靠性等因素對(duì)信任有積極的影響。反過(guò)來(lái)，信任對(duì)采用基于云的供應(yīng)鏈管理系統(tǒng)有積極的影響。

（三）云服務(wù)對(duì)供應(yīng)鏈安全的挑戰(zhàn)

然而，云服務(wù)并不完美，隨著云服務(wù)技術(shù)的發(fā)展與商業(yè)模式的成熟，在形成專業(yè)優(yōu)勢(shì)與規(guī)模效應(yīng)的同時(shí)，一個(gè)主要由價(jià)值和快速擴(kuò)展驅(qū)動(dòng)的服務(wù)有時(shí)候需放棄其安全性和可靠性，風(fēng)險(xiǎn)和不確定性也隨之產(chǎn)生。各家云服務(wù)提供商的中斷和違規(guī)行為，加上法律和法規(guī)遵從性規(guī)則，限制了數(shù)據(jù)的流向（某些類型的數(shù)據(jù)不能跨邊界流傳，或者由于法規(guī)要求而需要額外的保護(hù)）。其中一個(gè)案例是一家大型制藥公司的幾個(gè)工程師需要分析一種新藥。他們咨詢了IT部門，報(bào)價(jià)超過(guò)10萬(wàn)美元，時(shí)間為6到9個(gè)月。之后他們找到一家云服務(wù)提供商，用信用卡支付了數(shù)千美元在三周內(nèi)完成了這個(gè)項(xiàng)目。他們因?yàn)楣竟?jié)省了資金而獲得了公司獎(jiǎng)項(xiàng)，但第二天卻因?yàn)檫`反了公司安全規(guī)定而被解雇。這是因?yàn)檫@項(xiàng)工作是在東歐的服務(wù)器上完成的，這些機(jī)器沒有得到充分的保護(hù)，因此讓整個(gè)項(xiàng)目處于危險(xiǎn)之中。

供應(yīng)鏈攻擊也經(jīng)常發(fā)生在日常生活中。供應(yīng)鏈攻擊，也被稱為價(jià)值鏈攻擊，攻擊者將通過(guò)可訪問(wèn)企業(yè)系統(tǒng)和數(shù)據(jù)的第三方合作伙伴或是供應(yīng)商的信息潛入內(nèi)部系統(tǒng)。盡管公眾對(duì)于此項(xiàng)攻擊的認(rèn)知和有關(guān)部門對(duì)此的監(jiān)管力度正在不斷提升，但此項(xiàng)攻擊仍給企業(yè)帶來(lái)了前所未有的風(fēng)險(xiǎn)。賽門鐵克在最近一份報(bào)告中表示，2017年的供應(yīng)鏈攻擊比前一年增加200%。2017年6月的NotPetya攻擊表明，供應(yīng)鏈攻擊確實(shí)會(huì)造成代價(jià)高昂的破壞性影響。該攻擊主要針對(duì)烏克蘭的公司，但它的攻擊范圍擴(kuò)大使全球企業(yè)損失逾12億美元。此外，波耐蒙研究所（Ponemon Institute）在2018年的一項(xiàng)調(diào)查表明，56%的組織機(jī)構(gòu)都曾遭遇過(guò)網(wǎng)絡(luò)入侵，即黑客利用了他們的某個(gè)供應(yīng)商。每一種云服務(wù)模型中都有著關(guān)鍵安全問(wèn)題或漏洞，其中一些問(wèn)題是云提供商的責(zé)任，而另一些問(wèn)題是云消費(fèi)者的責(zé)任。

具體而言，IaaS中主要存在三大安全問(wèn)題：儲(chǔ)存安全問(wèn)題、主機(jī)安全問(wèn)題和網(wǎng)絡(luò)安全問(wèn)題。其中，虛擬化存儲(chǔ)安全問(wèn)題是云計(jì)算和云計(jì)算機(jī)中IaaS的使用過(guò)程中最主要面臨的問(wèn)題。虛擬化存儲(chǔ)主要是通過(guò)一個(gè)物理存儲(chǔ)設(shè)備實(shí)現(xiàn)多個(gè)用戶的虛擬化存儲(chǔ)要求，是一個(gè)異構(gòu)的集中管理系統(tǒng)。因此，數(shù)據(jù)有可能會(huì)分配到同一個(gè)物理儲(chǔ)存設(shè)備上，即使在用戶不相同和安全等級(jí)差異性的情況下。這將有可能導(dǎo)致其他未授權(quán)用戶可以虛擬機(jī)訪問(wèn)數(shù)據(jù)，存在數(shù)據(jù)泄漏或丟失等風(fēng)險(xiǎn)。此外，當(dāng)某個(gè)租戶租期到期或因其他原因不再租用虛擬儲(chǔ)存空間時(shí)，其原本占用的物理存儲(chǔ)空間將會(huì)被釋放出來(lái)供他人使用。然而若原租戶的數(shù)據(jù)因未完全刪除而仍部分保留在物理空間上，新租戶存在訪問(wèn)原租戶數(shù)據(jù)的可能性。主機(jī)是云計(jì)算機(jī)中IaaS的核心，但也存在一定安全風(fēng)險(xiǎn)。首先，虛擬機(jī)可能發(fā)生隔離失敗的現(xiàn)象，如A虛擬機(jī)通過(guò)訪問(wèn)控制B虛擬機(jī)，或是具備讀取、分配給其他虛擬機(jī)內(nèi)存的權(quán)限，使權(quán)限變得混亂。其次，虛擬機(jī)操作系統(tǒng)和工作負(fù)載有可能受傳統(tǒng)物理服務(wù)器（如惡意軟件和病毒）的影響，模版被惡意篡改，存在較大的安全漏洞。此外，主機(jī)可能會(huì)受到黑客的攻擊，黑客會(huì)利用虛擬機(jī)入侵宿主機(jī)，進(jìn)而對(duì)派生的虛擬機(jī)造成嚴(yán)重的影響。

PaaS模型是基于面向服務(wù)的體系結(jié)構(gòu)（SOA）模型。這將導(dǎo)致PaaS有著SOA領(lǐng)域中存在的所有安全問(wèn)題，如磁盤操作系統(tǒng)攻擊、中間人攻擊、與可擴(kuò)展標(biāo)記語(yǔ)言相關(guān)的攻擊、重播攻擊、字典攻擊、注入攻擊和與輸入驗(yàn)證相關(guān)的攻擊等［25］。PaaS還可能提供具有管理功能的應(yīng)用程序接口，如業(yè)務(wù)功能、安全功能、應(yīng)用程序管理等，需要提供此類應(yīng)用程序接口安全控制和標(biāo)準(zhǔn)，如OAuth協(xié)議［26］，以對(duì)此類應(yīng)用程序接口的調(diào)用強(qiáng)制一致的身份驗(yàn)證和授權(quán)。此外，還需要在內(nèi)存中隔離應(yīng)用程序接口。

在SaaS模型中，實(shí)施和維護(hù)安全性是云提供商和服務(wù)提供商（軟件供應(yīng)商）之間的共同責(zé)任。由于SaaS模式搭建在IaaS和PaaS之上，因此也繼承了前兩個(gè)模式的安全問(wèn)題——包括數(shù)據(jù)安全管理（數(shù)據(jù)位置、完整性、隔離、訪問(wèn)、機(jī)密性、備份）和網(wǎng)絡(luò)安全。此外，合規(guī)性和可用性對(duì)于SaaS也不容忽視。法律法規(guī)在SaaS應(yīng)用程序的審計(jì)中至關(guān)重要，有助于符合監(jiān)管標(biāo)準(zhǔn)的評(píng)估，確定合規(guī)問(wèn)題，并確保正確的業(yè)務(wù)流程。SaaS應(yīng)用程序還需要較高的可用性，同時(shí)也要考慮到突發(fā)狀況發(fā)生的處理方法和事后快速恢復(fù)的相關(guān)計(jì)劃。

基于PaaS上開發(fā)的SaaS應(yīng)用在其實(shí)際推廣及使用過(guò)程中，也會(huì)遇到數(shù)據(jù)安全等問(wèn)題。如：非生產(chǎn)型外貿(mào)企業(yè)在其自研的PaaS平臺(tái)上開發(fā)的SaaS應(yīng)用推廣到其客戶，一級(jí)、二級(jí)供應(yīng)商，貨代服務(wù)商等合作伙伴的過(guò)程中，合作伙伴對(duì)SaaS應(yīng)用數(shù)據(jù)存儲(chǔ)的位置，系統(tǒng)訪問(wèn)的Ip限制，企業(yè)敏感信息的安全性等問(wèn)題都存在擔(dān)憂。在應(yīng)用的使用的過(guò)程中，可持續(xù)的可用性及穩(wěn)定性固然為整個(gè)供應(yīng)鏈上的信息持續(xù)流通并為企業(yè)提效；反之，應(yīng)用的服務(wù)器宕機(jī)、數(shù)據(jù)泄漏或數(shù)據(jù)丟失等會(huì)造成各方的價(jià)值流失。

（四）供應(yīng)鏈系統(tǒng)帶來(lái)的云服務(wù)安全問(wèn)題

對(duì)于目前的數(shù)字供應(yīng)鏈管理系統(tǒng)來(lái)說(shuō)，一個(gè)重要的安全挑戰(zhàn)是如何正確應(yīng)用這些已啟用的信息技術(shù)。在將上述技術(shù)應(yīng)用于供應(yīng)鏈系統(tǒng)的同時(shí)，供應(yīng)鏈系統(tǒng)內(nèi)部或協(xié)作之間的一些固有安全問(wèn)題將是數(shù)字供應(yīng)鏈系統(tǒng)面臨的長(zhǎng)期和短期挑戰(zhàn)。例如，物聯(lián)網(wǎng)設(shè)備仍然面臨著不穩(wěn)定或不真實(shí)的互聯(lián)網(wǎng)環(huán)境，會(huì)受到意想不到的網(wǎng)絡(luò)攻擊，因此物聯(lián)網(wǎng)和數(shù)據(jù)來(lái)源之間的信息協(xié)作將容易受到此類風(fēng)險(xiǎn)的影響。而區(qū)塊鏈的局限性也會(huì)限制供應(yīng)鏈的發(fā)展，即全球供應(yīng)鏈運(yùn)行在一個(gè)復(fù)雜的環(huán)境中，需要各方遵守不同的法律、法規(guī)和制度［15］。隨著全球供應(yīng)鏈管理系統(tǒng)規(guī)模的不斷擴(kuò)大，大數(shù)據(jù)也是數(shù)字供應(yīng)鏈的另一個(gè)重要因素，它可以用于適當(dāng)?shù)臄?shù)據(jù)收集、處理、存儲(chǔ)和敏感信息保護(hù)，如部分?jǐn)?shù)據(jù)涉及消費(fèi)者的隱私或零售商的商業(yè)秘密。然而，低效的數(shù)據(jù)處理和存儲(chǔ)可能會(huì)導(dǎo)致一些風(fēng)險(xiǎn)，如敏感信息泄露給惡意方。當(dāng)然，信任并不意味著安全，安全也并不意味著信任。

四、新興技術(shù)與供應(yīng)鏈云服務(wù)的結(jié)合

新興技術(shù)與供應(yīng)鏈云服務(wù)的結(jié)合正重新定義供應(yīng)鏈安全。區(qū)塊鏈可以定義為一種數(shù)據(jù)結(jié)構(gòu)，它使創(chuàng)建交易的數(shù)字賬簿并在分布式計(jì)算機(jī)網(wǎng)絡(luò)中共享成為可能［27-28］。區(qū)塊鏈技術(shù)和云服務(wù)技術(shù)融合對(duì)于企業(yè)的發(fā)展起到了顛覆性的變革，例如在云中啟用區(qū)塊鏈可以提供塊鏈即服務(wù)（BaaS）［29］。云計(jì)算可以將執(zhí)行時(shí)生成的日志數(shù)據(jù)與審計(jì)數(shù)據(jù)進(jìn)行比較（通常在私有主機(jī)中進(jìn)行以便更好地?fù)碛匈Y產(chǎn)），但是維持私有主機(jī)的成本非常高。開發(fā)者可以在現(xiàn)有的云服務(wù)平臺(tái)上以簡(jiǎn)單、高效、快捷的方式搭建區(qū)塊鏈，用以降低成本［30］。另一方面，由于區(qū)塊鏈的去中心化結(jié)構(gòu)，使兩者結(jié)合變得更加安全、隱私和高效。在云計(jì)算中，確定數(shù)據(jù)來(lái)源至關(guān)重要［31］。區(qū)塊鏈技術(shù)有助于提升供應(yīng)鏈云服務(wù)的數(shù)據(jù)安全［30］。

物聯(lián)網(wǎng)是基于互聯(lián)網(wǎng)、傳統(tǒng)電信網(wǎng)等信息承載體，通過(guò)射頻識(shí)別、紅外感應(yīng)器、全球定位系統(tǒng)、激光掃描器等信息傳感設(shè)備，使物品信息實(shí)現(xiàn)智能化識(shí)別和管理，實(shí)現(xiàn)平臺(tái)物理物品信息互聯(lián)而形成的網(wǎng)絡(luò)［32］。物聯(lián)網(wǎng)的技術(shù)架構(gòu)自下而上有三層，分別是感知層、網(wǎng)絡(luò)層和應(yīng)用層。第一層是感知層，處在物聯(lián)網(wǎng)的最底層，利用二維碼、RFID標(biāo)簽及讀寫器、攝像頭、溫濕度傳感器等各種傳感器、傳感器網(wǎng)管和感知終端隨時(shí)隨地獲取物體的信息；第二層網(wǎng)絡(luò)層，通過(guò)各種電信網(wǎng)絡(luò)與互聯(lián)網(wǎng)的融合，比如各種互聯(lián)網(wǎng)、網(wǎng)絡(luò)管理系統(tǒng)、云計(jì)算平臺(tái)、有線或無(wú)線通信網(wǎng)等，將從感知層獲取的信息數(shù)據(jù)實(shí)時(shí)準(zhǔn)確地傳遞和處理；第三層是主要包括云計(jì)算、云服務(wù)和模塊決策的應(yīng)用層，完成數(shù)據(jù)的管理和處理［33］。物聯(lián)網(wǎng)技術(shù)和云服務(wù)的結(jié)合在供應(yīng)鏈管理的不同環(huán)節(jié)中提升效率。如在計(jì)劃采購(gòu)、庫(kù)存管理和運(yùn)輸配送中，兩者的結(jié)合不僅能增加供應(yīng)鏈數(shù)據(jù)的分享，通過(guò)對(duì)于數(shù)據(jù)的采集和分析，可以對(duì)用戶需求做出相應(yīng)的預(yù)測(cè)，最終減少“牛鞭效應(yīng)”的影響；還能夠利用RFID技術(shù)接收貨物位置，確定配送距離的遠(yuǎn)近，并合理規(guī)劃最佳行駛路線，同時(shí)也可以對(duì)貨物運(yùn)輸中所處位置進(jìn)行監(jiān)控并預(yù)測(cè)到達(dá)時(shí)間；此外，到達(dá)目的地之后，利用讀寫器對(duì)貨物上的標(biāo)簽進(jìn)行智能識(shí)別并與云端數(shù)據(jù)庫(kù)實(shí)時(shí)更新，做到信息一致性［34］。這些技術(shù)手段都有助于提升供應(yīng)鏈安全程度，但也增加了數(shù)據(jù)泄露甚至篡改的風(fēng)險(xiǎn)。

3D打印，即快速成型技術(shù)的一種，近幾年來(lái)受到了政府和供應(yīng)鏈管理者與日俱增的關(guān)注。3D打印又稱增材制造，是一種集合了機(jī)械、電子、軟件、材料等多個(gè)學(xué)科的制造技術(shù)，采用多種技術(shù)和制造流程，使用戶能夠從數(shù)字三維模型中創(chuàng)建一個(gè)有形的物體［35］。與傳統(tǒng)的材料去除（切割）技術(shù)相比，3D打印是一種“自下而上”的材料積累制造方法，允許用戶利用各種各樣的材料（如塑料、金屬、陶瓷、砂石、樹脂、生物材料等）構(gòu)建較為復(fù)雜的產(chǎn)品［36-37］。近年來(lái)，人們對(duì)于產(chǎn)品定制的需求日趨多樣化。而隨著全球3D打印和云服務(wù)兩種新興科技的不斷發(fā)展，出現(xiàn)了3D打印云服務(wù)平臺(tái)?？蛻裟軌蛟谄脚_(tái)選取符合需求的3D模型，或是自身進(jìn)一步利用CAD進(jìn)行產(chǎn)品設(shè)計(jì)，亦或是尋求專業(yè)人員設(shè)計(jì)產(chǎn)品［38］。之后，用戶可以選擇合適的材料和合適的3D打印服務(wù)商來(lái)進(jìn)行產(chǎn)品的生產(chǎn)。一方面，3D打印降低了斷貨的風(fēng)險(xiǎn)，但另一方面，3D打印又提升了產(chǎn)品偽造的安全風(fēng)險(xiǎn)［39］。

五、供應(yīng)鏈云服務(wù)系統(tǒng)案例——騰訊云

目前，很多企業(yè)在供應(yīng)鏈管理上仍面臨著采購(gòu)成本管理和供應(yīng)鏈協(xié)同等眾多問(wèn)題。在企業(yè)的供應(yīng)鏈管理中往往涉及多個(gè)主體，如供應(yīng)商、制造商、運(yùn)輸商、零售商以及客戶等。傳統(tǒng)的企業(yè)內(nèi)部管理系統(tǒng)一般較為封閉，導(dǎo)致各個(gè)主體之間無(wú)法進(jìn)行實(shí)時(shí)共享、信息難以準(zhǔn)確匯總，協(xié)同性差，供應(yīng)鏈流程也不能統(tǒng)一，這最終導(dǎo)致庫(kù)存大量積壓、資金周轉(zhuǎn)不靈、產(chǎn)品線無(wú)法及時(shí)調(diào)整等問(wèn)題，原因在于上游的企業(yè)無(wú)法及時(shí)了解真實(shí)用戶的需求，只能依據(jù)下游的企業(yè)來(lái)預(yù)判產(chǎn)量。隨著企業(yè)供應(yīng)鏈面向的主體越來(lái)越多，這些管理問(wèn)題必然會(huì)被逐漸放大，進(jìn)而制約企業(yè)的發(fā)展，因此眾多企業(yè)對(duì)實(shí)現(xiàn)信息化供應(yīng)鏈管理有著明顯的需求，以保證供應(yīng)鏈安全。

在工業(yè)互聯(lián)網(wǎng)助力平臺(tái)的基礎(chǔ)上，騰訊云能夠提升在輔助設(shè)計(jì)、缺陷檢測(cè)、良品率提升、生命周期預(yù)測(cè)、預(yù)防性維護(hù)、備件管理等一系列場(chǎng)景中，以傳統(tǒng)制造業(yè)、3C制造行業(yè)、模具制造為代表的眾多企業(yè)的運(yùn)營(yíng)效率。另一方面，通過(guò)騰訊云實(shí)現(xiàn)企業(yè)的自動(dòng)化、信息化，改造減輕人員的勞動(dòng)強(qiáng)度并通過(guò)平臺(tái)積累的數(shù)據(jù)和外部數(shù)據(jù)結(jié)合進(jìn)行大數(shù)據(jù)分析，服務(wù)于決策部門和機(jī)構(gòu)［40］。此外，特別針對(duì)物流行業(yè)倉(cāng)儲(chǔ)、運(yùn)輸?shù)葓?chǎng)景，騰訊云提供了物聯(lián)、大數(shù)據(jù)、安全管理、人工智能等能力。智能物流解決方案如表1所示，分為智能物聯(lián)倉(cāng)儲(chǔ)管理、路線策略優(yōu)化、運(yùn)輸安全保障和提升預(yù)分揀準(zhǔn)確率四點(diǎn)。

表1 騰訊云智慧物流解決方案［40］

六、供應(yīng)鏈云服務(wù)與新興技術(shù)結(jié)合案例——沃爾瑪

沃爾瑪是世界上最大的零售商，在28個(gè)國(guó)家擁有兩萬(wàn)多家門店，其正在建設(shè)世界上最大的私有云。啟動(dòng)這一項(xiàng)目的原因是，沃爾瑪希望能夠更有效地存儲(chǔ)和分析數(shù)據(jù)，并通過(guò)這些數(shù)據(jù)推動(dòng)在線銷售和推動(dòng)數(shù)字零售。另一方面，沃爾瑪正努力在電子商務(wù)領(lǐng)域與亞馬遜（Amazon）展開競(jìng)爭(zhēng)。然而，沃爾瑪要趕上亞馬遜還有很長(zhǎng)的路要走。據(jù)路透社報(bào)道，沃爾瑪在美國(guó)電子商務(wù)市場(chǎng)的份額僅為3.6%，而亞馬遜為43.5%［41］。沃爾瑪?shù)乃接性剖怯?個(gè)巨大的服務(wù)器農(nóng)場(chǎng)組成，每個(gè)都大于10個(gè)足球場(chǎng)規(guī)模。一個(gè)內(nèi)部構(gòu)建云計(jì)算能力的激勵(lì)因素是安全性。沃爾瑪宣稱云計(jì)算以及因此保留的數(shù)據(jù)可以更好地保護(hù)客戶的個(gè)人信息。畢竟，數(shù)據(jù)泄露會(huì)動(dòng)搖消費(fèi)者的信心，損害零售商的聲譽(yù)，導(dǎo)致銷售損失。因此，沃爾瑪對(duì)其服務(wù)器群的位置保密，強(qiáng)調(diào)其對(duì)安全的關(guān)注［42］。

為了能夠很好地利用數(shù)據(jù)并將其用于解決問(wèn)題，沃爾瑪還在阿肯色州本頓維爾總部創(chuàng)建了最先進(jìn)的分析中心——“數(shù)據(jù)咖啡館”。在這里，工作人員可以對(duì)超過(guò)200個(gè)內(nèi)部和外部數(shù)據(jù)流進(jìn)行建模、操作和可視化。各個(gè)部門的團(tuán)隊(duì)提交他們的問(wèn)題，隨后分析專家會(huì)在系統(tǒng)中樞的觸摸屏“智能板”顯示相關(guān)解決方案。該系統(tǒng)不僅僅減少了解決復(fù)雜業(yè)務(wù)問(wèn)題所需的時(shí)間（從過(guò)去的幾周到目前的幾分鐘），還提供了自動(dòng)警報(bào)，因此當(dāng)特定指標(biāo)低于任何部門設(shè)置的閾值時(shí)，可以邀請(qǐng)他們將問(wèn)題帶到數(shù)據(jù)咖啡館尋找解決方案。例如，有一個(gè)食品雜貨團(tuán)隊(duì)無(wú)法理解為什么某一特定產(chǎn)品類別的銷售額突然下降；研究小組來(lái)到這家咖啡館，想找出原因。通過(guò)對(duì)數(shù)據(jù)的深入研究，他們很快就發(fā)現(xiàn)了是定價(jià)上的錯(cuò)誤導(dǎo)致某些地區(qū)的產(chǎn)品定價(jià)過(guò)高。又比如，在萬(wàn)圣節(jié)期間，銷售分析師實(shí)時(shí)看到，盡管一種特殊的新奇餅干在大多數(shù)商店非常受歡迎，但有兩家商店根本不賣這種餅干，這個(gè)警報(bào)很快引起了注意。結(jié)果發(fā)現(xiàn)，一個(gè)簡(jiǎn)單的庫(kù)存疏忽導(dǎo)致餅干沒有被放到貨架上。該公司能夠立即糾正這種情況，避免進(jìn)一步的銷售損失［43］。這些警報(bào)保證了供應(yīng)鏈的安全和及時(shí)響應(yīng)。

七、小結(jié)

自2002年亞馬遜基于云計(jì)算的互聯(lián)網(wǎng)零售業(yè)務(wù)以來(lái)，基于云服務(wù)的供應(yīng)鏈管理服務(wù)不斷涌現(xiàn)。本文從供應(yīng)鏈安全和風(fēng)險(xiǎn)管理的概念出發(fā)，采用各類案例揭示了現(xiàn)代供應(yīng)鏈安全管理中存在的一些問(wèn)題。本文還著重強(qiáng)調(diào)了供應(yīng)鏈云服務(wù)對(duì)于增強(qiáng)供應(yīng)鏈安全性的作用和帶來(lái)的挑戰(zhàn)。近年來(lái)，世界五百?gòu)?qiáng)企業(yè)都把供應(yīng)鏈戰(zhàn)略作為重要戰(zhàn)略，而隨著云計(jì)算技術(shù)的發(fā)展與商業(yè)模式的成熟，云服務(wù)被不斷運(yùn)用在企業(yè)供應(yīng)鏈戰(zhàn)略之中。在采用供應(yīng)鏈云服務(wù)開啟數(shù)字化轉(zhuǎn)型的同時(shí)，企業(yè)需要關(guān)注供應(yīng)鏈安全的演進(jìn)并作出相應(yīng)的調(diào)整。參考文獻(xiàn)：

［1］ FAIRCHILD H P.?Dictionary of sociology［M］. Whashington：Rowman & Littlefield， 1944.

［2］ FISCHER R， HALIBOZEK E， WALTERS D.?Introduction to security［M］. 9th ed.?Oxford： Butterworth-Heinemann， 2012.

［3］ SHEFFI Y.?Supply chain management under the threat of international terrorism［J］. The international journal of logistics management， 2001， 12（2）： 1-11.

［4］ CLOSS D J， MCGARRELL E F.?Enhancing security throughout the supply chain［M］. Washington， DC： IBM Center for the Business of Government， 2004.

［5］ JTTNER U， PECK H， CHRISTOPHER M.?Supply chain risk management： outlining an agenda for future research［J］. International journal of logistics： research and applications， 2003， 6（4）： 197-210.

［6］ RUSSELL D M， SALDANHA J P.?Five tenets of security-aware logistics and supply chain operation［J］. Transportation journal， 2003， 42（4）： 44-54.

［7］ DAMAS P.?Cutting red tape in cross-border trade［J］. American.shipper， 2002： 16-17.

［8］ JTTNER U.?Supply chain risk management［J］. The international journal of logistics management， 2005， 16（1）：120-141.

［9］ 王艷， 林森， 李博.?供應(yīng)鏈風(fēng)險(xiǎn)識(shí)別與控制：HAZOP分析方法［J］. 供應(yīng)鏈管理， 2022， 3（2）： 56-65.

［10］ LEE H L， PADMANABHAN V， WHANG S.?The bullwhip effect in supply chains［J］. Sloan management review， 1997， 38： 93-102.

［11］ 李博， 林森， 高亮.從優(yōu)化和穩(wěn)定產(chǎn)業(yè)鏈、供應(yīng)鏈到供應(yīng)鏈戰(zhàn)略［J］. 供應(yīng)鏈管理， 2021， 2（3）， 35-44.

［12］ SMITH G E， WATSON K J， BAKER W H， et al.?A critical balance： collaboration and security in the IT-enabled supply chain［J］. International journal of production research， 2007， 45（11）： 2595-2613.

［13］ ZHANG H， NAKAMURA T， SAKURAI K.?Security and Trust Issues on Digital Supply Chain［C］//2019 IEEE Intl Conf on Dependable， Autonomic and Secure Computing， Intl Conf on Pervasive Intelligence and Computing， Intl Conf on Cloud and Big Data Computing， Intl Conf on Cyber Science and Technology Congress （DASC/PiCom/CBDCom/CyberSciTech）. IEEE， 2019： 338-343.

［14］ ZHOU W， PIRAMUTHU S.?IoT and supply chain traceability［C］//International Conference on Future Network Systems and Security.?Springer， 2015： 156-165.

［15］ CAO Q， SCHNIEDERJANS D G， SCHNIEDERJANS M.?Establishing the use of cloud computing in supply chain management［J］. Operations management research， 2017， 10（1-2）： 47-63.

［16］ KSHETRI N.?1 Blockchains roles in meeting key supply chain management objectives［J］. International journal of information management， 2018， 39： 80-89.

［17］ HAGHPANAH Y， DESJARDINS M.?A trust model for supply chain management ［EB/OL］. （2010-07-05） ［2020-06-08］. https：//www.aaai.org/ocs/index.php/AAAI/AAAI10/paper/view/1668/2301.

［18］ YAN Z， ZHANG P， VASILAKOS A V.?A survey on trust management for Internet of Things［J］. Journal of network and computer applications， 2014， 42： 120-134.

［19］ CHEN J， MA YW.?The research of supply chain information collaboration based on cloud computing［J］. Procedia environmental sciences， 2011， 10： 875-880.

［20］ SARATHY R.?Security and the global supply chain［J］. Transportation journal， 2006， 45（4）： 28-51.

［21］ 李博， 林森.?現(xiàn)代供應(yīng)鏈管理中的云服務(wù)應(yīng)用研究［J］. 供應(yīng)鏈管理， 2020， 1（8）： 67-74.

［22］ TSAO Y C， LU J C.?A supply chain network design considering transportation cost discounts［J］. Transportation research part e： logistics and transportation review， 2012， 48（2）： 401-414.

［23］ BHOIR H， PRINCIPAL R P.?Cloud computing for supply chain management［J］. International journal of innovations in engineering research and technology， 2014， 1（2）： 1-9.

［24］ LIU X， LI Q， LAI I K W.?A trust model for the adoption of cloud-based supply chain management systems： A conceptual framework［C］//2013 International Conference on Engineering， Management Science and Innovation （ICEMSI）. IEEE， 2013： 1-4.

［25］ JENSEN M， SCHWENK J， GRUSCHKA N， et al.?On technical security issues in cloud computing［C］//2009 IEEE International Conference on Cloud Computing.?IEEE， 2009： 109-116.

［26］ WANG B， HUANG HY， LIU XX， et al.?Open identity management framework for SaaS ecosystem［C］//2009 IEEE International Conference on e-Business Engineering.?IEEE， 2009： 512-517.

［27］ DHL.?Blockchain in logistics ［EB/OL］.［2020-06-08］.https：//www.dhl.com/content/dam/dhl/global/core/documents/pdf/glo-core-blockchain-trend-report.pdf.

［28］ Government Office for Science.?Distributed ledger technology： Beyond blockchain ［R/OL］. （2016-01-19） ［2020-06-01］. https：//www.gov.uk/government/publications/distributed-ledger-technology-blackett-review.

［29］ IBM， Blockchain Solutions-IBM Blockchain ［EB/OL］. （2018） ［2020-06-08］. https：//www.ibm.com/blockchain/solutions.

［30］ TOSH D， SHETTY S， FOYTIK P， et al.?CloudPoS： a proof-of-stake consensus design for blockchain integrated cloud［C］//2018 IEEE 11th International Conference on Cloud Computing （CLOUD）. IEEE， 2018： 302-309.

［31］ LEE B， AWAD A， AWAD M.?Towards secure provenance in the cloud： a survey［C］//2015 IEEE/ACM 8th International Conference on Utility and Cloud Computing （UCC）. IEEE， 2015： 577-582.

［32］ ASHTON K.?That ‘internet of things thing［J］. RFID journal， 2009， 22（7）： 97-114.

［33］ 陳溦.云計(jì)算及物聯(lián)網(wǎng)下的供應(yīng)鏈管理應(yīng)用探討［J］. 管理觀察， 2019， 20：27-28.

［34］ 劉秀.基于云計(jì)算的物聯(lián)網(wǎng)技術(shù)探索［J］. 電腦知識(shí)與技術(shù)， 2013， 9（27）：6113-6115.

［35］ HOPKINSON N， HAGUE R， DICKENS P.?Rapid manufacturing： an industrial revolution for the digital age［M］. Sussex： John Wiley & Sons， 2006.

［36］ CONNER B P， MANOGHARAN G P， MARTOF A N， et al.?Making sense of 3-D printing： creating a map of additive manufacturing products and services［J］. Additive Manufacturing， 2014， 1： 64-76.

［37］ TUCK C， HAGUE R J M， BURNS N D.?Rapid manufacturing-impact on supply chain methodologies and practice［J］. International journal of services and operations management， 2007， 3（1）：1-22.

［38］ GUO L， QIU J.?Combination of cloud manufacturing and 3D printing： research progress and prospect［J］. The international journal of advanced manufacturing technology， 2018， 96（5-8）： 1929-1942.

［39］ LU BH， LI DC.?Development of the additive manufacturing （3D printing） technology［J］. Machine building & automation， 2013， 4： 1.

［40］ 騰訊云.智慧物流解決方案［EB/OL］. （2020） ［2020-06-09］. https：//cloud.tencent.com/solution/logistics.

［41］ BOSE N.?Walmart goes to the cloud to close gap with Amazon ［EB/OL］. （2018-02-14） ［2020-06-08］. https：//www.reuters.com/article/us-walmart-cloud/walmart-goes-to-the-cloud-to-close-gap-with-amazon-idUSKCN1FY0K7.

［42］ MARR B.?Really Big Data at Walmart： Real-Time Insights from Their 40+ Petabyte Data Cloud ［EB/OL］. （2017） ［2020-06-07］. https：//www.forbes.com/sites/bernardmarr/2017/01/23/really-big-data-at-walmart-real-time-insights-from-their-40-petabyte-data-cloud/#18302e996c10.

［43］ FUSCALDO D.?Walmarts New Weapon Against Amazon： The Cloud ［EB/OL］. （2019-01-25） ［2020-06-08］. https：//www.investopedia.com/news/walmarts-new-weapon-against-amazon-cloud/.

Supply Chain Cloud Service and Supply Chain Security

LI Bo1， LIN Sen1，SHAN Shu-ting2

（1.Ningbo China Institute for Supply Chain Innovation， Ning bo 315832;

2.Ningbo Dangqu Technology Co.， Ltd， Ningbo， Zhejiang 315100）

Abstract：

We are confronted with many difficulties in operating supply chain security regarding goods， factories， supply chain suppliers and partners， supply chain facilities， freight forwarding companies， people， and information， with the rising risk circumstance of modern supply chains.?With the development and application of supply chain cloud services， the supply chain security of enterprises has been improved to a certain extent， but at the same time， it also faces different risks and challenges.?The article first reviews the origin and development process of supply chain security and points out that the combination of supply chain and emerging technologies have an important impact on the supply chain security of enterprises.?However， the current complex and changeable global environment and market competition make the supply chain security management including supply chain cloud services to face more severe survival and development challenges and enact more efficient and comprehensive requirements for supply chain security management.?This paper proposes that information security is the crucial piont to supply chain security management in the context of informatization and analyzes the opportunities and potential risks brought by current cloud services and related technologies for supply chain management， provides case studies of leading enterprises， and provides a reference for enterprise supply chain management to realize the transformation to cloud services.

Keywords：supply chain management; digital transformation; supply chain security; cloud services