供应链云服务与供应链安全

李博　林森　单术婷

关键词：供应链管理；数字化转型；供应链安全；云服务

中图分类号：F252.24 文献标识码：A 文章编号：2096-7934（2023）01-0007-13

一、供应链安全问题与风险管理

安全，这一词语最初起源于社会学和心理学的个体层面理论。具体而言，在社会学文献中，学者将“安全”定义为一种防范危险的意识［1］。《安全概论》中将“安全”认为是个人或团体可以在某一稳定、相对可预测的环境中追求其目标，而不受干扰或伤害，也不惧怕干扰或调查［2］。

（一）供应链安全问题

物流和供应链活动中的安全问题并不鲜见。早期，供应链安全问题往往与运输中的货物相关，代表对危险的防范，比如19世纪美国铁路发展给抢劫火车上的货物和乘客提供了一个绝佳的机会。而在21世纪，随着各类恐怖袭击事件的发生，供应链安全的焦点也随之改变。在“9·11”恐怖袭击事件发生之后，美国停止了空中交通和边境运输，这意味着运输汽车零部件的卡车无法准时抵达加拿大温莎汽车工厂［3］。恐怖主义的威胁带来了两个关键问题：首先，供应链非常容易受到恐怖主义的直接或间接影响；其次，供应链可能成为散布恐怖主义的工具。其中装货地点和前往港口的路途中是最薄弱的安全环节，由此带来的商业和经济损失不容忽视。近年来，供应链安全的概念又被拓展到了呼吸机和芯片等重要产品和零部件的供给，以及关键矿产资源的获取。

（二）供应链安全的定义与相关政策

供应链安全是指运用政策、程序和技术来保护供应链资产（产品、设施、设备、信息和人员）免受盗窃、破坏或恐怖主义的侵害，防止未经授权的违禁品、人员或大规模杀伤性武器进入供应链［4］。这一定义表明，供应链安全包括尽可能防止产品丢失和违禁品进入供应链。更确切地说，供应链风险是供应链在概率、价值和方差的取舍結果［5］。因此，供应链安全是企业与组织风险管理中整体战略的一部分。

以美国为例，为了应对自然灾害和恐怖主义对于国防安全存在的威胁，同时维护美元在国际市场中的绝对地位，最早提出了全球供应链安全国家战略。总的来说，其供应链安全战略主要聚焦于国防安全、民生安全等重要领域的关键产品和战略资源的供应等。其根本是为了在维护和保障供应链的同时，促进合法贸易能够及时且高效地流动，使之免受不正当利用，并减少其脆弱性。另一个目的是培养一个有弹性的供应链，即能准备应对而且能够承受不断变化的威胁和危害、从中断中迅速恢复的全球供应链系统。

美国国土安全部海关边境保护局所倡议的海关-商贸反恐怖联盟（C-TPAT），旨在与业界合作建立更加安全的供应链管理系统，以确保供应链从起点到终点的运输安全、安全信息及货况的流通［6］。其货物预报信息系统和最新的货物清单信息准则要求在通过海运、空运、铁路或卡车将货物运入或运出美国之前，需要提供详细的货物数据。其自由和安全贸易计划允许受信任的承运人为受信任的公司运输的低风险货物迅速通过边境，同时为未知或高风险的货物保留检查资源。

这些努力并不局限于美国。中国海关不时会与美国海关组成联合验证组对企业出口美国货物的集装箱装箱区、车间包装区、成品仓库等进行实地审查，以帮助企业获得C-TPAT认证。世界贸易组织试图通过将控制和检查转移到出口阶段，以及通过在政府机构、公司、供应商、运输商和客户之间共享统一的信息来促进贸易［7］。世界海关组织通过参与全球供应链安全标准倡议的161个成员国，试图通过制定和推广指导原则来帮助海关部门共同努力，以促进快速清关低关税的商品，促进贸易便利化。

国务院办公厅在2017年提出了《关于积极推进供应链创新与应用的指导意见》，明确表明将推进供应链创新发展，将有利于提高我国在全球经济治理中的话语权，保障资源能源安全和产业安全。2020年4月，商务部等8部门又下发了《关于进一步做好供应链创新与应用试点工作的通知》，其中重点提到了加强供应链安全建设；比如，试点城市要将供应链安全建设作为试点工作的重要内容，加强对重点产业供应链的分析与评估，厘清供应链关键节点、重要设施和主要一、二级供应商等情况及地域分布，排查供应链风险点，优化产业供应链布局；又如，试点企业要增强供应链风险防范意识，针对疫情防控过程中出现的安全问题，举一反三，研究制定供应链安全防控措施，把供应链安全作为企业发展战略的重要组成部分，建立供应链风险预警系统，制定和实施供应链多元化发展战略，着力在网络布局、流程管控、物流保障、应急储备、技术和人员管理等方面增强供应链弹性，提升风险防范和抵御能力，促进供应链全链条安全、稳定、可持续发展。

（三）供应链风险及管理

在构建全球供应链的同时，也需提高全球供应链安全水平，提升全球供应链风险防控管理。供应链风险管理是供应链风险的识别和管理，也是作为提高供应链安全程度的一个途径。通过供应链成员之间的相互协调，将会减少作为一个整体的脆弱性［5］。供应链风险管理有四个相互关联的结构：供应链风险的来源、供应链战略驱动的风险、供应链风险管理策略、供应链风险的后果。

风险来源包括任何不能准确地预测的变量，这些变量都有可能导致供应链中断［8］。这些风险分为三类：环境风险源，组织风险源和与网络相关的风险源。环境风险源包括由于供应链-环境相互作用而产生的任何不确定性。这些可能是自然风险，例如火灾、地震、水灾等不可抗拒因素的自然灾害；社会政治行为，如抗议、恐怖袭击；经济风险，如经济危机或贸易战的结果。组织风险源于人工（例如罢工）、生产不确定性（如机器故障）或IT系统不确定性。与网络相关的风险源来自于供应链中各组织之间的相互作用：由于沿链组织之间的最佳合作而造成的任何损害，都可归因于与网络相关的风险源。从这个意义上说，环境和组织的不确定性是输入到供应链各个环节的风险来源，而与网络相关的不确定性则是存在于各个环节中的风险来源［9］。

针对近年来供应链风险增加的原因，Jüttner et al.［5］认为主要包括商界更注重效率而非效力、供应链全球化、工厂和配送的集中、外包的增加和供应商的减少。一定程度上，这些都源于供应链中购买和供应公司之间的界限日渐模糊。在外包和“集中于核心竞争力”等趋势的推动下，可以选择各类合作伙伴，但这也使业务关系网络错综复杂。供应链的复杂性也会导致供应链的“混乱效应”。这些混乱效应是由过度反应、不必要的干预、事后猜测、不信任、供应链中扭曲的信息造成的，或者仅仅是因为组织内部缺乏对供应链的理解。众所周知的牛鞭效应就是这种混乱的一个例子，它描述了从下游到上游供应链的订单模式的不断波动［10］。此外，供应链还面临惯性风险，即对环境条件和市场信号的变化普遍缺乏响应能力。特别是在全球供应链中，为了降低成本，供应链灵活性往往被牺牲。这样做的后果可能是无法对竞争对手的行动、客户需求的变化或任何其他由环境或组织风险源引起的不可预测的事件作出及时反应［5］。

企业一般通过四个进行的风险管理过程，分别为风险识别、风险评估、风险处理和风险监控来参与降低整体风险水平，并将规避、控制、合作和灵活性作为一般供应链风险的缓解策略［5］。供应链安全作为一种特殊类型的供应链风险管理策略，将有助于降低整个供应链的风险［4］。通过关注供应链安全，社会政治行动（即恐怖袭击）发生在供应链上的可能性就降低了。因此，供应链安全最关心的是故意破坏供应链的行为。事故和天灾的风险可能仍然存在，但通过供应链安全措施，维护和确保供应链免受不正当的利用，并减少其在破坏面前的脆弱性，以降低总体风险。

二、供应链信息服务对供应链安全的影响

（一）供应链信息服务及数字化供应链

传统的供应链至今已经有一百多年的历史了。供应链可以看作是产品生产和流通过程中所涉及的原材料供应商、生产商、分销商、零售商以及最终消费者等成员通过与上游、下游成员的连接组成的网络结构，也是由物料获取、物料加工、并将成品送到用户手中这一过程所涉及的企业和企业部门组成的一个网络。供应链通过物流联系在一起，其中包括生产、运输、运动和储存的商品和材料，以及信息流，它允许不同的供应链成员协调他们的长期计划和控制物资的日常流程［11］。

信息技术的应用使传统的供应链日常管理工作能够实时采集、处理、分析、存储和共享大量的信息，成为供应链管理系统中信息协作和提高性能的必要组成部分［12］。而数字化供应链指的是在全球化、智能化、柔性化生产基础的背景下，将先进的信息技术（例如物联网、云计算、区块链等）应用于传统供应链上，让供应链具备即时、可视、可感知、可调节的能力。各种信息技术，如用于捕捉和处理资讯的物联网技术；用于大数据处理的云计算；用于运输可视性及跟踪数据来源的区块链技术，目前已被众多企业应用至传统的供应链管理系统中，以实现管理系统的最高效率和最低成本。

在集装箱运输行业，马士基和IBM合作推出了TradeLens。这个航运供应链解决方案旨在将供应链各方合作伙伴协同在一起，以支持信息共享和更高效的供应链协作。TradeLens使用区块链技术作为数字供应链的基础，通过建立一个单一的、共享的交易视图而不损害细节、隐私或机密性，授权多个合作伙伴进行合作。实时访问船舶数据和船舶文件，包括物联网和传感器数据，从温度控制到集装箱重量，使托运人、航运公司、货运代理、港口和码头运营商、内陆运输承运人和海关当局能够更有效地进行数据交互。通过区块链智能合约，在全球贸易的多个供应链合作伙伴之间实现安全和高效的数字协作。

（二）数字供应链系统存在的风险

新兴技术的发展和广泛应用使传统商业模式产生颠覆性变革。然而，信息技术的实现为供应链网络提供有效信息协作的同时，却也减少或消除了传统供应链系统的保护壁垒。原因在于传统的供应链系统与互联网断开连接，使它与外部不稳定的网络攻击环境进行了分离，而与互联网的连接或将导致各种外部或内部风险进入供应链系统，最终导致意外问题。通过这种方式，当有外部人员或网络攻击者利用系统漏洞、第三方提供商提供的设备（如物联网设备或云计算服务器）带来的漏洞对供应链进行攻击，会相应的增加供应链风险。

图1展示了当前数字供应链系统可能发生的一些攻击方法［13］。最常见的一种方法是黑客入侵网络并操纵连接网络的设备或硬件。他们可以通过拦截供应商的交付并将恶意代码直接注入设备来做到这一点。另一种方法是，黑客可以通过入侵开发人员的基础设施，向软件本身注入恶意软件。黑客通过网络钓鱼或基于电子邮件的攻击进入开发者的网络，然后利用网络中的内部漏洞进行入侵。关于供应链安全攻击特别是由于第三方供应商导致的案例并不在少数，包括软件攻击和硬件攻击。例如，通过互联网窃取顾客的敏感数据终端设备，或恶意代码插入用户的软件或应用程序中处理恶意行为；黑客使用从第三方提供商HVAC系统盗取的密码凭证入侵塔吉特（Target）公司的网络，导致1.1亿客户信息泄露。又例如，在设计阶段修改蓝图、或在开发阶段将间谍芯片安装到硬件。

（三）数字供应链安全管理

安全管理是指通过启用相关的安全方法，如识别、认证、访问控制和定义安全策略，来实现高级系统安全的一种保护方法。而数字化供应链管理系统安全管理是指利用供应链上的信息技术，对供应链上出现的任何部分或过程都可能发生的隐私泄露、恶意操纵成员等风险进行管理，其中常见的信息技术如下。

（1）物联网。物联网技术（IoT）是传统信息技术所不能实现的一种利用完整信息实现供应链可追溯的新技术，能将任何物体与网络相连接，物体通过信息传播媒介进行信息交换和通信，以实现智能化识别、定位、跟踪、监管等功能。目前许多公司已经开始使用IoT来跟踪实时库存信息和监控人员活动［14］。

圖1 攻击数字供应链的方法［13］

（2）云计算。云计算的集中式云服务器架构可以有效地管理和协作不同系统之间收集的信息，提高整个供应链系统之间的信息共享和协作性能。传统的供应链管理系统只关注物理的、面对面的信息管理方法，而云计算环境提供了采购实践、商店货架操作时间化、销售和运营规划的信息［15］。

（3）区块链。区块链值得信赖的分布式、去中心化账本体系结构，以及密码化链接的区块，也可以为整个供应链运输过程中产品质量的测量提供一种准确的方法。例如，供应链中的涉众可以分析关于运输路径和持续时间的数据［16］，来收集关于产品是否在错误的位置或从源到目的地的整个旅程的位置信息。其他这类能力的利用案例有：将区块链技术应用于食品冷链环境监测，特别是温度监测;应用于食品卫生保健的食品供应链，如果没有得到足够的重视，可能会导致严重的健康风险。

（四）数字供应链信任管理

当前数字化供应链管理系统的另一个重要问题是信任问题。用户如何信任第三方提供的服务，服务提供商如何信任用户提交的身份，下游企业如何信任上游企业提供的服务，解决这一系列问题都需要高效的方法。Haghpanah and Desjardins［17］提出了供应链管理系统的信任模型，该模型结合了供应链管理系统特有的信任因素。也可以考虑利用信息技术来管理供应链信任问题。

（1）物联网。Yan et al［18］定义了物联网系统上的信任管理目标，该目标可能适用于基于物联网的供应链系统，涉及信任关系和决策、数据感知信任、隐私保护、数据融合和挖掘信任、数据传输和通信信任物联网服务的质量、系统安全性和人机信任交互和身份信任。为了提供供应链管理系统的信任环境，供应链上启用的IoT技术和服务应达到与IoT信任管理系统的标准衡量标准一样的标准［18］。

（2）云计算。为了在云服务环境下实现供应链的信任管理，云服务提供商提供了许多技术，如标准化技术、虚拟化技术、数据管理技术、平台管理技术［19］。标准化技术可用于提供一个用于访问云服务提供商的接口，并且与联盟主控在供应链上形成的真实信息交换有关。中央云服务器可以视为云服务和服务器集群之间的中间件。云计算服务的虚拟化技术提供商可以为拥有不同物理接口的不同供应链企业或系统提供相同的虚拟软件接口，以提高协作效率。

（3）区块链。区块链也可以发挥重要作用，通过降低风险来提高信任管理，因为区块链需要验证参与交易的个人的身份，这意味着只有网络中相互接受的成员才能参与交易。

三、云服务对供应链安全的贡献与伴随的挑战

前述的各类例子揭示了现代供应链安全管理中存在的一些问题。而现代供应链所面临的风险日益严峻，维护供应链安全的困难主要来自货物、工厂、供应链供应商和合作伙伴、供应链设施、货运公司、人员和信息等［20］。而企业如果想要有效地维护客户、知识产权、基础设施、品牌和员工，那么必须执行供应链安全计划。因此，如同营销策略或财务战略，供应链安全战略也是企业战略的重要组成部分［20］。近年来，世界五百强企业都把供应链战略作为重要战略，而随着云计算技术的发展与商业模式的成熟，云服务被不断运用在企业供应链战略之中，同时也带来了相应的挑战［21］。

（一）云服务中的安全要素

身份识别是任何安全意识系统的核心。它允许用户、服务、服务器、云和任何其他实体被系统和其他方所识别。身份识别由一组处于相关环境下的与特定实体相关联的信息组成。身份识别不应泄露用户的个人“隐私”信息。统一身份认证（Identity and Access Management，IAM）是提供用户身份认证、权限分配、访问控制等功能的身份管理服务。以亚马逊AWS为例，IAM使客户能够安全地管理对AWS服务和资源的访问。客户可以使用 IAM创建和管理AWS用户和组，并使用各种权限来允许或拒绝他们对AWS资源的访问。云服务应提供相应的身份上下文信息，包括：权限管理、安全控制、委托授权、联邦身份认证等。

保密性是云计算安全（包括保密性、完整性和可用性）的关键目标之一。密钥管理技术是指通过公开密钥加密技术实现对称密钥管理的技术，通过加密的方式实现数据、流程和通信的保密目标。目前有两种加密算法，即对称密钥管理和和非对称密钥的加密算法。然而，这两种加密方法都具有一个与加密密钥管理相关的主要问题，即如何安全地生成、存储、访问和交换密钥。

云计算模型基于使用服务等级协议（SLA）提供服务。SLA应该涵盖与性能、可靠性和安全性相关的目标，及违反SLA的情况下应用的惩罚措施。作为SLA目标之一，保持高安全级别意味着要消耗大量影响性能目标的资源，因为采用的安全工具和机制越多，对底层服务性能的影响就越大。云管理应该考虑使用实用工具在安全性和性能之间进行权衡。

当用户使用依赖于来自不同云的服务的应用程序时，他将需要维持在两个云以及两者之间实施的安全要求。同样的情况，当多个云集成在一起以提供更大的资源池或集成服务时，它们的安全要求需要联合并在不同的相关云平台上实施，此外，可迁移性和灵活性也是运行多个云平台的关键原因。

（二）云服务对供应链安全的贡献

云计算的发展在几个关键方面影响着组织及其供应链活动。例如，云服务为供应链协作提供了灵活的外包软件。它使企业特别是初创公司能够以较低的前期成本在市场上立足，使服务更有价值、更容易获得、更经济。值得一提的是，云服务也在一定程度上提升了供应链的安全。

基于云的供应链管理平台通过协调供应链网络中的制造商、供应商、零售商、分销商等所有相关方，帮助组织为供应链中的所有方获得关于实际需求波动的信息，提出更准确的需求预测，这可以在一定程度上消除供应链网络中的牛鞭效应。云计算可以应用于预测、计划、采购、服务和備件管理、销售和运营以及物流。这些基于云的平台可以作为包含各种供应商信息的数据库进行操作。这为经常与数百甚至数千供应商打交道的组织带来了巨大的好处，使组织能够根据其需求选择适当的供应商。

糟糕的网络设计将增加物流成本和交货时间，使客户很难在正确的时间、正确的地点收到所需的货物。因此，物流和供应链管理的主要目标无法达到［22］。在供应链管理领域，保持供应链网络中各参与方之间的实时数据通信对供应链网络的监控非常重要。云计算解决方案可以影响物流企业充分组织和执行订单处理、物流网络设计、出入口运输、库存管理、货运和车队管理、全球贸易管理、报关、仓储、配送等增值服务的能力，使实时数据传输成为可能。相关组织可以通过准确的实时数据和跟踪解决方案来改善物流管理，显著提高配送速度，减少运输管理费用。随着云计算能力的提高，客户还可以利用第三方解决方案连接到运营商、供应商、货代、第三方物流服务提供商和客户。客户端可以连接到同一云中的任何参与者;这使得他们能够通过与其他参与者的协调，以更安全的方式以及更低的运输成本管理全球业务［23］。此外，Liu et al［24］开发了一个具有一定局限性的概念框架。在基于云的供应链管理系统中，沟通、学习能力、参与性、可用性和可靠性等因素对信任有积极的影响。反过来，信任对采用基于云的供应链管理系统有积极的影响。

（三）云服务对供应链安全的挑战

然而，云服务并不完美，随着云服务技术的发展与商业模式的成熟，在形成专业优势与规模效应的同时，一个主要由价值和快速扩展驱动的服务有时候需放弃其安全性和可靠性，风险和不确定性也随之产生。各家云服务提供商的中断和违规行为，加上法律和法规遵从性规则，限制了数据的流向（某些类型的数据不能跨边界流传，或者由于法规要求而需要额外的保护）。其中一个案例是一家大型制药公司的几个工程师需要分析一种新药。他们咨询了IT部门，报价超过10万美元，时间为6到9个月。之后他们找到一家云服务提供商，用信用卡支付了数千美元在三周内完成了这个项目。他们因为公司节省了资金而获得了公司奖项，但第二天却因为违反了公司安全规定而被解雇。这是因为这项工作是在东欧的服务器上完成的，这些机器没有得到充分的保护，因此让整个项目处于危险之中。

供应链攻击也经常发生在日常生活中。供应链攻击，也被称为价值链攻击，攻击者将通过可访问企业系统和数据的第三方合作伙伴或是供应商的信息潜入内部系统。尽管公众对于此项攻击的认知和有关部门对此的监管力度正在不断提升，但此项攻击仍给企业带来了前所未有的风险。赛门铁克在最近一份报告中表示，2017年的供应链攻击比前一年增加200%。2017年6月的NotPetya攻击表明，供应链攻击确实会造成代价高昂的破坏性影响。该攻击主要针对乌克兰的公司，但它的攻击范围扩大使全球企业损失逾12亿美元。此外，波耐蒙研究所（Ponemon Institute）在2018年的一项调查表明，56%的组织机构都曾遭遇过网络入侵，即黑客利用了他们的某个供应商。每一种云服务模型中都有着关键安全问题或漏洞，其中一些问题是云提供商的责任，而另一些问题是云消费者的责任。

具体而言，IaaS中主要存在三大安全问题：储存安全问题、主机安全问题和网络安全问题。其中，虚拟化存储安全问题是云计算和云计算机中IaaS的使用过程中最主要面临的问题。虚拟化存储主要是通过一个物理存储设备实现多个用户的虚拟化存储要求，是一个异构的集中管理系统。因此，数据有可能会分配到同一个物理储存设备上，即使在用户不相同和安全等级差异性的情况下。这将有可能导致其他未授权用户可以虚拟机访问数据，存在数据泄漏或丢失等风险。此外，当某个租户租期到期或因其他原因不再租用虚拟储存空间时，其原本占用的物理存储空间将会被释放出来供他人使用。然而若原租户的數据因未完全删除而仍部分保留在物理空间上，新租户存在访问原租户数据的可能性。主机是云计算机中IaaS的核心，但也存在一定安全风险。首先，虚拟机可能发生隔离失败的现象，如A虚拟机通过访问控制B虚拟机，或是具备读取、分配给其他虚拟机内存的权限，使权限变得混乱。其次，虚拟机操作系统和工作负载有可能受传统物理服务器（如恶意软件和病毒）的影响，模版被恶意篡改，存在较大的安全漏洞。此外，主机可能会受到黑客的攻击，黑客会利用虚拟机入侵宿主机，进而对派生的虚拟机造成严重的影响。

PaaS模型是基于面向服务的体系结构（SOA）模型。这将导致PaaS有着SOA领域中存在的所有安全问题，如磁盘操作系统攻击、中间人攻击、与可扩展标记语言相关的攻击、重播攻击、字典攻击、注入攻击和与输入验证相关的攻击等［25］。PaaS还可能提供具有管理功能的应用程序接口，如业务功能、安全功能、应用程序管理等，需要提供此类应用程序接口安全控制和标准，如OAuth协议［26］，以对此类应用程序接口的调用强制一致的身份验证和授权。此外，还需要在内存中隔离应用程序接口。

在SaaS模型中，实施和维护安全性是云提供商和服务提供商（软件供应商）之间的共同责任。由于SaaS模式搭建在IaaS和PaaS之上，因此也继承了前两个模式的安全问题——包括数据安全管理（数据位置、完整性、隔离、访问、机密性、备份）和网络安全。此外，合规性和可用性对于SaaS也不容忽视。法律法规在SaaS应用程序的审计中至关重要，有助于符合监管标准的评估，确定合规问题，并确保正确的业务流程。SaaS应用程序还需要较高的可用性，同时也要考虑到突发状况发生的处理方法和事后快速恢复的相关计划。

基于PaaS上开发的SaaS应用在其实际推广及使用过程中，也会遇到数据安全等问题。如：非生产型外贸企业在其自研的PaaS平台上开发的SaaS应用推广到其客户，一级、二级供应商，货代服务商等合作伙伴的过程中，合作伙伴对SaaS应用数据存储的位置，系统访问的Ip限制，企业敏感信息的安全性等问题都存在担忧。在应用的使用的过程中，可持续的可用性及稳定性固然为整个供应链上的信息持续流通并为企业提效；反之，应用的服务器宕机、数据泄漏或数据丢失等会造成各方的价值流失。

（四）供应链系统带来的云服务安全问题

对于目前的数字供应链管理系统来说，一个重要的安全挑战是如何正确应用这些已启用的信息技术。在将上述技术应用于供应链系统的同时，供应链系统内部或协作之间的一些固有安全问题将是数字供应链系统面临的长期和短期挑战。例如，物联网设备仍然面临着不稳定或不真实的互联网环境，会受到意想不到的网络攻击，因此物联网和数据来源之间的信息协作将容易受到此类风险的影响。而区块链的局限性也会限制供应链的发展，即全球供应链运行在一个复杂的环境中，需要各方遵守不同的法律、法规和制度［15］。随着全球供应链管理系统规模的不断扩大，大数据也是数字供应链的另一个重要因素，它可以用于适当的数据收集、处理、存储和敏感信息保护，如部分数据涉及消费者的隐私或零售商的商业秘密。然而，低效的数据处理和存储可能会导致一些风险，如敏感信息泄露给恶意方。当然，信任并不意味着安全，安全也并不意味着信任。

四、新兴技术与供应链云服务的结合

新兴技术与供应链云服务的结合正重新定义供应链安全。区块链可以定义为一种数据结构，它使创建交易的数字账簿并在分布式计算机网络中共享成为可能［27-28］。区块链技术和云服务技术融合对于企业的发展起到了颠覆性的变革，例如在云中启用区块链可以提供块链即服务（BaaS）［29］。云计算可以将执行时生成的日志数据与审计数据进行比较（通常在私有主机中进行以便更好地拥有资产），但是维持私有主机的成本非常高。开发者可以在现有的云服务平台上以简单、高效、快捷的方式搭建区块链，用以降低成本［30］。另一方面，由于区块链的去中心化结构，使两者结合变得更加安全、隐私和高效。在云计算中，确定数据来源至关重要［31］。区块链技术有助于提升供应链云服务的数据安全［30］。

物联网是基于互联网、传统电信网等信息承载体，通过射频识别、红外感应器、全球定位系统、激光扫描器等信息传感设备，使物品信息实现智能化识别和管理，实现平台物理物品信息互联而形成的网络［32］。物联网的技术架构自下而上有三层，分别是感知层、网络层和应用层。第一层是感知层，处在物联网的最底层，利用二维码、RFID标签及读写器、摄像头、温湿度传感器等各种传感器、传感器网管和感知终端随时随地获取物体的信息；第二层网络层，通过各种电信网络与互联网的融合，比如各种互联网、网络管理系统、云计算平台、有线或无线通信网等，将从感知层获取的信息数据实时准确地传递和处理；第三层是主要包括云计算、云服务和模块决策的应用层，完成数据的管理和处理［33］。物联网技术和云服务的结合在供应链管理的不同环节中提升效率。如在计划采购、库存管理和运输配送中，两者的结合不仅能增加供应链数据的分享，通过对于数据的采集和分析，可以对用户需求做出相应的预测，最终减少“牛鞭效应”的影响；还能够利用RFID技术接收货物位置，确定配送距离的远近，并合理规划最佳行驶路线，同时也可以对货物运输中所处位置进行监控并预测到达时间；此外，到达目的地之后，利用读写器对货物上的标签进行智能识别并与云端数据库实时更新，做到信息一致性［34］。这些技术手段都有助于提升供应链安全程度，但也增加了数据泄露甚至篡改的风险。

3D打印，即快速成型技术的一种，近几年来受到了政府和供应链管理者与日俱增的关注。3D打印又称增材制造，是一种集合了机械、电子、软件、材料等多个学科的制造技术，采用多种技术和制造流程，使用户能够从数字三维模型中创建一个有形的物体［35］。与传统的材料去除（切割）技术相比，3D打印是一种“自下而上”的材料积累制造方法，允许用户利用各种各样的材料（如塑料、金属、陶瓷、砂石、树脂、生物材料等）构建较为复杂的产品［36-37］。近年来，人们对于产品定制的需求日趋多样化。而随着全球3D打印和云服务两种新兴科技的不断发展，出现了3D打印云服务平台。客户能够在平台选取符合需求的3D模型，或是自身进一步利用CAD进行产品设计，亦或是寻求专业人员设计产品［38］。之后，用户可以选择合适的材料和合适的3D打印服务商来进行产品的生产。一方面，3D打印降低了断货的风险，但另一方面，3D打印又提升了产品伪造的安全风险［39］。

五、供应链云服务系统案例——腾讯云

目前，很多企业在供应链管理上仍面临着采购成本管理和供应链协同等众多问题。在企业的供应链管理中往往涉及多个主体，如供应商、制造商、运输商、零售商以及客户等。传统的企业内部管理系统一般较为封闭，导致各个主体之间无法进行实时共享、信息难以准确汇总，协同性差，供应链流程也不能統一，这最终导致库存大量积压、资金周转不灵、产品线无法及时调整等问题，原因在于上游的企业无法及时了解真实用户的需求，只能依据下游的企业来预判产量。随着企业供应链面向的主体越来越多，这些管理问题必然会被逐渐放大，进而制约企业的发展，因此众多企业对实现信息化供应链管理有着明显的需求，以保证供应链安全。

在工业互联网助力平台的基础上，腾讯云能够提升在辅助设计、缺陷检测、良品率提升、生命周期预测、预防性维护、备件管理等一系列场景中，以传统制造业、3C制造行业、模具制造为代表的众多企业的运营效率。另一方面，通过腾讯云实现企业的自动化、信息化，改造减轻人员的劳动强度并通过平台积累的数据和外部数据结合进行大数据分析，服务于决策部门和机构［40］。此外，特别针对物流行业仓储、运输等场景，腾讯云提供了物联、大数据、安全管理、人工智能等能力。智能物流解决方案如表1所示，分为智能物联仓储管理、路线策略优化、运输安全保障和提升预分拣准确率四点。

表1 腾讯云智慧物流解决方案［40］

六、供应链云服务与新兴技术结合案例——沃尔玛

沃尔玛是世界上最大的零售商，在28个国家拥有两万多家门店，其正在建设世界上最大的私有云。启动这一项目的原因是，沃尔玛希望能够更有效地存储和分析数据，并通过这些数据推动在线销售和推动数字零售。另一方面，沃尔玛正努力在电子商务领域与亚马逊（Amazon）展开竞争。然而，沃尔玛要赶上亚马逊还有很长的路要走。据路透社报道，沃尔玛在美国电子商务市场的份额仅为3.6%，而亚马逊为43.5%［41］。沃尔玛的私有云是由6个巨大的服务器农场组成，每个都大于10个足球场规模。一个内部构建云计算能力的激励因素是安全性。沃尔玛宣称云计算以及因此保留的数据可以更好地保护客户的个人信息。毕竟，数据泄露会动摇消费者的信心，损害零售商的声誉，导致销售损失。因此，沃尔玛对其服务器群的位置保密，强调其对安全的关注［42］。

为了能够很好地利用数据并将其用于解决问题，沃尔玛还在阿肯色州本顿维尔总部创建了最先进的分析中心——“数据咖啡馆”。在这里，工作人员可以对超过200个内部和外部数据流进行建模、操作和可视化。各个部门的团队提交他们的问题，随后分析专家会在系统中枢的触摸屏“智能板”显示相关解决方案。该系统不仅仅减少了解决复杂业务问题所需的时间（从过去的几周到目前的几分钟），还提供了自动警报，因此当特定指标低于任何部门设置的阈值时，可以邀请他们将问题带到数据咖啡馆寻找解决方案。例如，有一个食品杂货团队无法理解为什么某一特定产品类别的销售额突然下降；研究小组来到这家咖啡馆，想找出原因。通过对数据的深入研究，他们很快就发现了是定价上的错误导致某些地区的产品定价过高。又比如，在万圣节期间，销售分析师实时看到，尽管一种特殊的新奇饼干在大多数商店非常受欢迎，但有两家商店根本不卖这种饼干，这个警报很快引起了注意。结果发现，一个简单的库存疏忽导致饼干没有被放到货架上。该公司能够立即纠正这种情况，避免进一步的销售损失［43］。这些警报保证了供应链的安全和及时响应。

七、小结

自2002年亚马逊基于云计算的互联网零售业务以来，基于云服务的供应链管理服务不断涌现。本文从供应链安全和风险管理的概念出发，采用各类案例揭示了现代供应链安全管理中存在的一些问题。本文还着重强调了供应链云服务对于增强供应链安全性的作用和带来的挑战。近年来，世界五百强企业都把供应链战略作为重要战略，而随着云计算技术的发展与商业模式的成熟，云服务被不断运用在企业供应链战略之中。在采用供应链云服务开启数字化转型的同时，企业需要关注供应链安全的演进并作出相应的调整。参考文献：

［1］ FAIRCHILD H P. Dictionary of sociology［M］. Whashington：Rowman & Littlefield， 1944.

［2］ FISCHER R， HALIBOZEK E， WALTERS D. Introduction to security［M］. 9th ed. Oxford： Butterworth-Heinemann， 2012.

［3］ SHEFFI Y. Supply chain management under the threat of international terrorism［J］. The international journal of logistics management， 2001， 12（2）： 1-11.

［4］ CLOSS D J， MCGARRELL E F. Enhancing security throughout the supply chain［M］. Washington， DC： IBM Center for the Business of Government， 2004.

［5］ JTTNER U， PECK H， CHRISTOPHER M. Supply chain risk management： outlining an agenda for future research［J］. International journal of logistics： research and applications， 2003， 6（4）： 197-210.

［6］ RUSSELL D M， SALDANHA J P. Five tenets of security-aware logistics and supply chain operation［J］. Transportation journal， 2003， 42（4）： 44-54.

［7］ DAMAS P. Cutting red tape in cross-border trade［J］. American.shipper， 2002： 16-17.

［8］ JTTNER U. Supply chain risk management［J］. The international journal of logistics management， 2005， 16（1）：120-141.

［9］ 王艷， 林森， 李博. 供应链风险识别与控制：HAZOP分析方法［J］. 供应链管理， 2022， 3（2）： 56-65.

［10］ LEE H L， PADMANABHAN V， WHANG S. The bullwhip effect in supply chains［J］. Sloan management review， 1997， 38： 93-102.

［11］ 李博， 林森， 高亮.从优化和稳定产业链、供应链到供应链战略［J］. 供应链管理， 2021， 2（3）， 35-44.

［12］ SMITH G E， WATSON K J， BAKER W H， et al. A critical balance： collaboration and security in the IT-enabled supply chain［J］. International journal of production research， 2007， 45（11）： 2595-2613.

［13］ ZHANG H， NAKAMURA T， SAKURAI K. Security and Trust Issues on Digital Supply Chain［C］//2019 IEEE Intl Conf on Dependable， Autonomic and Secure Computing， Intl Conf on Pervasive Intelligence and Computing， Intl Conf on Cloud and Big Data Computing， Intl Conf on Cyber Science and Technology Congress （DASC/PiCom/CBDCom/CyberSciTech）. IEEE， 2019： 338-343.

［14］ ZHOU W， PIRAMUTHU S. IoT and supply chain traceability［C］//International Conference on Future Network Systems and Security. Springer， 2015： 156-165.

［15］ CAO Q， SCHNIEDERJANS D G， SCHNIEDERJANS M. Establishing the use of cloud computing in supply chain management［J］. Operations management research， 2017， 10（1-2）： 47-63.

［16］ KSHETRI N. 1 Blockchains roles in meeting key supply chain management objectives［J］. International journal of information management， 2018， 39： 80-89.

［17］ HAGHPANAH Y， DESJARDINS M. A trust model for supply chain management ［EB/OL］. （2010-07-05） ［2020-06-08］. https：//www.aaai.org/ocs/index.php/AAAI/AAAI10/paper/view/1668/2301.

［18］ YAN Z， ZHANG P， VASILAKOS A V. A survey on trust management for Internet of Things［J］. Journal of network and computer applications， 2014， 42： 120-134.

［19］ CHEN J， MA YW. The research of supply chain information collaboration based on cloud computing［J］. Procedia environmental sciences， 2011， 10： 875-880.

［20］ SARATHY R. Security and the global supply chain［J］. Transportation journal， 2006， 45（4）： 28-51.

［21］ 李博， 林森. 現代供应链管理中的云服务应用研究［J］. 供应链管理， 2020， 1（8）： 67-74.

［22］ TSAO Y C， LU J C. A supply chain network design considering transportation cost discounts［J］. Transportation research part e： logistics and transportation review， 2012， 48（2）： 401-414.

［23］ BHOIR H， PRINCIPAL R P. Cloud computing for supply chain management［J］. International journal of innovations in engineering research and technology， 2014， 1（2）： 1-9.

［24］ LIU X， LI Q， LAI I K W. A trust model for the adoption of cloud-based supply chain management systems： A conceptual framework［C］//2013 International Conference on Engineering， Management Science and Innovation （ICEMSI）. IEEE， 2013： 1-4.

［25］ JENSEN M， SCHWENK J， GRUSCHKA N， et al. On technical security issues in cloud computing［C］//2009 IEEE International Conference on Cloud Computing. IEEE， 2009： 109-116.

［26］ WANG B， HUANG HY， LIU XX， et al. Open identity management framework for SaaS ecosystem［C］//2009 IEEE International Conference on e-Business Engineering. IEEE， 2009： 512-517.

［27］ DHL. Blockchain in logistics ［EB/OL］.［2020-06-08］.https：//www.dhl.com/content/dam/dhl/global/core/documents/pdf/glo-core-blockchain-trend-report.pdf.

［28］ Government Office for Science. Distributed ledger technology： Beyond blockchain ［R/OL］. （2016-01-19） ［2020-06-01］. https：//www.gov.uk/government/publications/distributed-ledger-technology-blackett-review.

［29］ IBM， Blockchain Solutions-IBM Blockchain ［EB/OL］. （2018） ［2020-06-08］. https：//www.ibm.com/blockchain/solutions.

［30］ TOSH D， SHETTY S， FOYTIK P， et al. CloudPoS： a proof-of-stake consensus design for blockchain integrated cloud［C］//2018 IEEE 11th International Conference on Cloud Computing （CLOUD）. IEEE， 2018： 302-309.

［31］ LEE B， AWAD A， AWAD M. Towards secure provenance in the cloud： a survey［C］//2015 IEEE/ACM 8th International Conference on Utility and Cloud Computing （UCC）. IEEE， 2015： 577-582.

［32］ ASHTON K. That ‘internet of things thing［J］. RFID journal， 2009， 22（7）： 97-114.

［33］ 陳溦.云计算及物联网下的供应链管理应用探讨［J］. 管理观察， 2019， 20：27-28.

［34］ 刘秀.基于云计算的物联网技术探索［J］. 电脑知识与技术， 2013， 9（27）：6113-6115.

［35］ HOPKINSON N， HAGUE R， DICKENS P. Rapid manufacturing： an industrial revolution for the digital age［M］. Sussex： John Wiley & Sons， 2006.

［36］ CONNER B P， MANOGHARAN G P， MARTOF A N， et al. Making sense of 3-D printing： creating a map of additive manufacturing products and services［J］. Additive Manufacturing， 2014， 1： 64-76.

［37］ TUCK C， HAGUE R J M， BURNS N D. Rapid manufacturing-impact on supply chain methodologies and practice［J］. International journal of services and operations management， 2007， 3（1）：1-22.

［38］ GUO L， QIU J. Combination of cloud manufacturing and 3D printing： research progress and prospect［J］. The international journal of advanced manufacturing technology， 2018， 96（5-8）： 1929-1942.

［39］ LU BH， LI DC. Development of the additive manufacturing （3D printing） technology［J］. Machine building & automation， 2013， 4： 1.

［40］ 腾讯云.智慧物流解决方案［EB/OL］. （2020） ［2020-06-09］. https：//cloud.tencent.com/solution/logistics.

［41］ BOSE N. Walmart goes to the cloud to close gap with Amazon ［EB/OL］. （2018-02-14） ［2020-06-08］. https：//www.reuters.com/article/us-walmart-cloud/walmart-goes-to-the-cloud-to-close-gap-with-amazon-idUSKCN1FY0K7.

［42］ MARR B. Really Big Data at Walmart： Real-Time Insights from Their 40+ Petabyte Data Cloud ［EB/OL］. （2017） ［2020-06-07］. https：//www.forbes.com/sites/bernardmarr/2017/01/23/really-big-data-at-walmart-real-time-insights-from-their-40-petabyte-data-cloud/#18302e996c10.

［43］ FUSCALDO D. Walmarts New Weapon Against Amazon： The Cloud ［EB/OL］. （2019-01-25） ［2020-06-08］. https：//www.investopedia.com/news/walmarts-new-weapon-against-amazon-cloud/.

Supply Chain Cloud Service and Supply Chain Security

LI Bo1， LIN Sen1，SHAN Shu-ting2

（1.Ningbo China Institute for Supply Chain Innovation， Ning bo 315832;

2.Ningbo Dangqu Technology Co.， Ltd， Ningbo， Zhejiang 315100）

Abstract：

We are confronted with many difficulties in operating supply chain security regarding goods， factories， supply chain suppliers and partners， supply chain facilities， freight forwarding companies， people， and information， with the rising risk circumstance of modern supply chains. With the development and application of supply chain cloud services， the supply chain security of enterprises has been improved to a certain extent， but at the same time， it also faces different risks and challenges. The article first reviews the origin and development process of supply chain security and points out that the combination of supply chain and emerging technologies have an important impact on the supply chain security of enterprises. However， the current complex and changeable global environment and market competition make the supply chain security management including supply chain cloud services to face more severe survival and development challenges and enact more efficient and comprehensive requirements for supply chain security management. This paper proposes that information security is the crucial piont to supply chain security management in the context of informatization and analyzes the opportunities and potential risks brought by current cloud services and related technologies for supply chain management， provides case studies of leading enterprises， and provides a reference for enterprise supply chain management to realize the transformation to cloud services.

Keywords：supply chain management; digital transformation; supply chain security; cloud services