李博　林森　單術(shù)婷

關(guān)鍵詞：供應(yīng)鏈管理；數(shù)字化轉(zhuǎn)型；供應(yīng)鏈安全；云服務(wù)

中圖分類號：F252.24 文獻標識碼：A 文章編號：2096-7934（2023）01-0007-13

一、供應(yīng)鏈安全問題與風(fēng)險管理

安全，這一詞語最初起源于社會學(xué)和心理學(xué)的個體層面理論。具體而言，在社會學(xué)文獻中，學(xué)者將“安全”定義為一種防范危險的意識［1］?！栋踩耪摗分袑ⅰ鞍踩闭J為是個人或團體可以在某一穩(wěn)定、相對可預(yù)測的環(huán)境中追求其目標，而不受干擾或傷害，也不懼怕干擾或調(diào)查［2］。

（一）供應(yīng)鏈安全問題

物流和供應(yīng)鏈活動中的安全問題并不鮮見。早期，供應(yīng)鏈安全問題往往與運輸中的貨物相關(guān)，代表對危險的防范，比如19世紀美國鐵路發(fā)展給搶劫火車上的貨物和乘客提供了一個絕佳的機會。而在21世紀，隨著各類恐怖襲擊事件的發(fā)生，供應(yīng)鏈安全的焦點也隨之改變。在“9·11”恐怖襲擊事件發(fā)生之后，美國停止了空中交通和邊境運輸，這意味著運輸汽車零部件的卡車無法準時抵達加拿大溫莎汽車工廠［3］。恐怖主義的威脅帶來了兩個關(guān)鍵問題：首先，供應(yīng)鏈非常容易受到恐怖主義的直接或間接影響；其次，供應(yīng)鏈可能成為散布恐怖主義的工具。其中裝貨地點和前往港口的路途中是最薄弱的安全環(huán)節(jié)，由此帶來的商業(yè)和經(jīng)濟損失不容忽視。近年來，供應(yīng)鏈安全的概念又被拓展到了呼吸機和芯片等重要產(chǎn)品和零部件的供給，以及關(guān)鍵礦產(chǎn)資源的獲取。

（二）供應(yīng)鏈安全的定義與相關(guān)政策

供應(yīng)鏈安全是指運用政策、程序和技術(shù)來保護供應(yīng)鏈資產(chǎn)（產(chǎn)品、設(shè)施、設(shè)備、信息和人員）免受盜竊、破壞或恐怖主義的侵害，防止未經(jīng)授權(quán)的違禁品、人員或大規(guī)模殺傷性武器進入供應(yīng)鏈［4］。這一定義表明，供應(yīng)鏈安全包括盡可能防止產(chǎn)品丟失和違禁品進入供應(yīng)鏈。更確切地說，供應(yīng)鏈風(fēng)險是供應(yīng)鏈在概率、價值和方差的取舍結(jié)果［5］。因此，供應(yīng)鏈安全是企業(yè)與組織風(fēng)險管理中整體戰(zhàn)略的一部分。

以美國為例，為了應(yīng)對自然災(zāi)害和恐怖主義對于國防安全存在的威脅，同時維護美元在國際市場中的絕對地位，最早提出了全球供應(yīng)鏈安全國家戰(zhàn)略。總的來說，其供應(yīng)鏈安全戰(zhàn)略主要聚焦于國防安全、民生安全等重要領(lǐng)域的關(guān)鍵產(chǎn)品和戰(zhàn)略資源的供應(yīng)等。其根本是為了在維護和保障供應(yīng)鏈的同時，促進合法貿(mào)易能夠及時且高效地流動，使之免受不正當利用，并減少其脆弱性。另一個目的是培養(yǎng)一個有彈性的供應(yīng)鏈，即能準備應(yīng)對而且能夠承受不斷變化的威脅和危害、從中斷中迅速恢復(fù)的全球供應(yīng)鏈系統(tǒng)。

美國國土安全部海關(guān)邊境保護局所倡議的海關(guān)-商貿(mào)反恐怖聯(lián)盟（C-TPAT），旨在與業(yè)界合作建立更加安全的供應(yīng)鏈管理系統(tǒng)，以確保供應(yīng)鏈從起點到終點的運輸安全、安全信息及貨況的流通［6］。其貨物預(yù)報信息系統(tǒng)和最新的貨物清單信息準則要求在通過海運、空運、鐵路或卡車將貨物運入或運出美國之前，需要提供詳細的貨物數(shù)據(jù)。其自由和安全貿(mào)易計劃允許受信任的承運人為受信任的公司運輸?shù)牡惋L(fēng)險貨物迅速通過邊境，同時為未知或高風(fēng)險的貨物保留檢查資源。

這些努力并不局限于美國。中國海關(guān)不時會與美國海關(guān)組成聯(lián)合驗證組對企業(yè)出口美國貨物的集裝箱裝箱區(qū)、車間包裝區(qū)、成品倉庫等進行實地審查，以幫助企業(yè)獲得C-TPAT認證。世界貿(mào)易組織試圖通過將控制和檢查轉(zhuǎn)移到出口階段，以及通過在政府機構(gòu)、公司、供應(yīng)商、運輸商和客戶之間共享統(tǒng)一的信息來促進貿(mào)易［7］。世界海關(guān)組織通過參與全球供應(yīng)鏈安全標準倡議的161個成員國，試圖通過制定和推廣指導(dǎo)原則來幫助海關(guān)部門共同努力，以促進快速清關(guān)低關(guān)稅的商品，促進貿(mào)易便利化。

國務(wù)院辦公廳在2017年提出了《關(guān)于積極推進供應(yīng)鏈創(chuàng)新與應(yīng)用的指導(dǎo)意見》，明確表明將推進供應(yīng)鏈創(chuàng)新發(fā)展，將有利于提高我國在全球經(jīng)濟治理中的話語權(quán)，保障資源能源安全和產(chǎn)業(yè)安全。2020年4月，商務(wù)部等8部門又下發(fā)了《關(guān)于進一步做好供應(yīng)鏈創(chuàng)新與應(yīng)用試點工作的通知》，其中重點提到了加強供應(yīng)鏈安全建設(shè)；比如，試點城市要將供應(yīng)鏈安全建設(shè)作為試點工作的重要內(nèi)容，加強對重點產(chǎn)業(yè)供應(yīng)鏈的分析與評估，厘清供應(yīng)鏈關(guān)鍵節(jié)點、重要設(shè)施和主要一、二級供應(yīng)商等情況及地域分布，排查供應(yīng)鏈風(fēng)險點，優(yōu)化產(chǎn)業(yè)供應(yīng)鏈布局；又如，試點企業(yè)要增強供應(yīng)鏈風(fēng)險防范意識，針對疫情防控過程中出現(xiàn)的安全問題，舉一反三，研究制定供應(yīng)鏈安全防控措施，把供應(yīng)鏈安全作為企業(yè)發(fā)展戰(zhàn)略的重要組成部分，建立供應(yīng)鏈風(fēng)險預(yù)警系統(tǒng)，制定和實施供應(yīng)鏈多元化發(fā)展戰(zhàn)略，著力在網(wǎng)絡(luò)布局、流程管控、物流保障、應(yīng)急儲備、技術(shù)和人員管理等方面增強供應(yīng)鏈彈性，提升風(fēng)險防范和抵御能力，促進供應(yīng)鏈全鏈條安全、穩(wěn)定、可持續(xù)發(fā)展。

（三）供應(yīng)鏈風(fēng)險及管理

在構(gòu)建全球供應(yīng)鏈的同時，也需提高全球供應(yīng)鏈安全水平，提升全球供應(yīng)鏈風(fēng)險防控管理。供應(yīng)鏈風(fēng)險管理是供應(yīng)鏈風(fēng)險的識別和管理，也是作為提高供應(yīng)鏈安全程度的一個途徑。通過供應(yīng)鏈成員之間的相互協(xié)調(diào)，將會減少作為一個整體的脆弱性［5］。供應(yīng)鏈風(fēng)險管理有四個相互關(guān)聯(lián)的結(jié)構(gòu)：供應(yīng)鏈風(fēng)險的來源、供應(yīng)鏈戰(zhàn)略驅(qū)動的風(fēng)險、供應(yīng)鏈風(fēng)險管理策略、供應(yīng)鏈風(fēng)險的后果。

風(fēng)險來源包括任何不能準確地預(yù)測的變量，這些變量都有可能導(dǎo)致供應(yīng)鏈中斷［8］。這些風(fēng)險分為三類：環(huán)境風(fēng)險源，組織風(fēng)險源和與網(wǎng)絡(luò)相關(guān)的風(fēng)險源。環(huán)境風(fēng)險源包括由于供應(yīng)鏈-環(huán)境相互作用而產(chǎn)生的任何不確定性。這些可能是自然風(fēng)險，例如火災(zāi)、地震、水災(zāi)等不可抗拒因素的自然災(zāi)害；社會政治行為，如抗議、恐怖襲擊；經(jīng)濟風(fēng)險，如經(jīng)濟危機或貿(mào)易戰(zhàn)的結(jié)果。組織風(fēng)險源于人工（例如罷工）、生產(chǎn)不確定性（如機器故障）或IT系統(tǒng)不確定性。與網(wǎng)絡(luò)相關(guān)的風(fēng)險源來自于供應(yīng)鏈中各組織之間的相互作用：由于沿鏈組織之間的最佳合作而造成的任何損害，都可歸因于與網(wǎng)絡(luò)相關(guān)的風(fēng)險源。從這個意義上說，環(huán)境和組織的不確定性是輸入到供應(yīng)鏈各個環(huán)節(jié)的風(fēng)險來源，而與網(wǎng)絡(luò)相關(guān)的不確定性則是存在于各個環(huán)節(jié)中的風(fēng)險來源［9］。

針對近年來供應(yīng)鏈風(fēng)險增加的原因，Jüttner et al.［5］認為主要包括商界更注重效率而非效力、供應(yīng)鏈全球化、工廠和配送的集中、外包的增加和供應(yīng)商的減少。一定程度上，這些都源于供應(yīng)鏈中購買和供應(yīng)公司之間的界限日漸模糊。在外包和“集中于核心競爭力”等趨勢的推動下，可以選擇各類合作伙伴，但這也使業(yè)務(wù)關(guān)系網(wǎng)絡(luò)錯綜復(fù)雜。供應(yīng)鏈的復(fù)雜性也會導(dǎo)致供應(yīng)鏈的“混亂效應(yīng)”。這些混亂效應(yīng)是由過度反應(yīng)、不必要的干預(yù)、事后猜測、不信任、供應(yīng)鏈中扭曲的信息造成的，或者僅僅是因為組織內(nèi)部缺乏對供應(yīng)鏈的理解。眾所周知的牛鞭效應(yīng)就是這種混亂的一個例子，它描述了從下游到上游供應(yīng)鏈的訂單模式的不斷波動［10］。此外，供應(yīng)鏈還面臨慣性風(fēng)險，即對環(huán)境條件和市場信號的變化普遍缺乏響應(yīng)能力。特別是在全球供應(yīng)鏈中，為了降低成本，供應(yīng)鏈靈活性往往被犧牲。這樣做的后果可能是無法對競爭對手的行動、客戶需求的變化或任何其他由環(huán)境或組織風(fēng)險源引起的不可預(yù)測的事件作出及時反應(yīng)［5］。

企業(yè)一般通過四個進行的風(fēng)險管理過程，分別為風(fēng)險識別、風(fēng)險評估、風(fēng)險處理和風(fēng)險監(jiān)控來參與降低整體風(fēng)險水平，并將規(guī)避、控制、合作和靈活性作為一般供應(yīng)鏈風(fēng)險的緩解策略［5］。供應(yīng)鏈安全作為一種特殊類型的供應(yīng)鏈風(fēng)險管理策略，將有助于降低整個供應(yīng)鏈的風(fēng)險［4］。通過關(guān)注供應(yīng)鏈安全，社會政治行動（即恐怖襲擊）發(fā)生在供應(yīng)鏈上的可能性就降低了。因此，供應(yīng)鏈安全最關(guān)心的是故意破壞供應(yīng)鏈的行為。事故和天災(zāi)的風(fēng)險可能仍然存在，但通過供應(yīng)鏈安全措施，維護和確保供應(yīng)鏈免受不正當?shù)睦?，并減少其在破壞面前的脆弱性，以降低總體風(fēng)險。

二、供應(yīng)鏈信息服務(wù)對供應(yīng)鏈安全的影響

（一）供應(yīng)鏈信息服務(wù)及數(shù)字化供應(yīng)鏈

傳統(tǒng)的供應(yīng)鏈至今已經(jīng)有一百多年的歷史了。供應(yīng)鏈可以看作是產(chǎn)品生產(chǎn)和流通過程中所涉及的原材料供應(yīng)商、生產(chǎn)商、分銷商、零售商以及最終消費者等成員通過與上游、下游成員的連接組成的網(wǎng)絡(luò)結(jié)構(gòu)，也是由物料獲取、物料加工、并將成品送到用戶手中這一過程所涉及的企業(yè)和企業(yè)部門組成的一個網(wǎng)絡(luò)。供應(yīng)鏈通過物流聯(lián)系在一起，其中包括生產(chǎn)、運輸、運動和儲存的商品和材料，以及信息流，它允許不同的供應(yīng)鏈成員協(xié)調(diào)他們的長期計劃和控制物資的日常流程［11］。

信息技術(shù)的應(yīng)用使傳統(tǒng)的供應(yīng)鏈日常管理工作能夠?qū)崟r采集、處理、分析、存儲和共享大量的信息，成為供應(yīng)鏈管理系統(tǒng)中信息協(xié)作和提高性能的必要組成部分［12］。而數(shù)字化供應(yīng)鏈指的是在全球化、智能化、柔性化生產(chǎn)基礎(chǔ)的背景下，將先進的信息技術(shù)（例如物聯(lián)網(wǎng)、云計算、區(qū)塊鏈等）應(yīng)用于傳統(tǒng)供應(yīng)鏈上，讓供應(yīng)鏈具備即時、可視、可感知、可調(diào)節(jié)的能力。各種信息技術(shù)，如用于捕捉和處理資訊的物聯(lián)網(wǎng)技術(shù)；用于大數(shù)據(jù)處理的云計算；用于運輸可視性及跟蹤數(shù)據(jù)來源的區(qū)塊鏈技術(shù)，目前已被眾多企業(yè)應(yīng)用至傳統(tǒng)的供應(yīng)鏈管理系統(tǒng)中，以實現(xiàn)管理系統(tǒng)的最高效率和最低成本。

在集裝箱運輸行業(yè)，馬士基和IBM合作推出了TradeLens。這個航運供應(yīng)鏈解決方案旨在將供應(yīng)鏈各方合作伙伴協(xié)同在一起，以支持信息共享和更高效的供應(yīng)鏈協(xié)作。TradeLens使用區(qū)塊鏈技術(shù)作為數(shù)字供應(yīng)鏈的基礎(chǔ)，通過建立一個單一的、共享的交易視圖而不損害細節(jié)、隱私或機密性，授權(quán)多個合作伙伴進行合作。實時訪問船舶數(shù)據(jù)和船舶文件，包括物聯(lián)網(wǎng)和傳感器數(shù)據(jù)，從溫度控制到集裝箱重量，使托運人、航運公司、貨運代理、港口和碼頭運營商、內(nèi)陸運輸承運人和海關(guān)當局能夠更有效地進行數(shù)據(jù)交互。通過區(qū)塊鏈智能合約，在全球貿(mào)易的多個供應(yīng)鏈合作伙伴之間實現(xiàn)安全和高效的數(shù)字協(xié)作。

（二）數(shù)字供應(yīng)鏈系統(tǒng)存在的風(fēng)險

新興技術(shù)的發(fā)展和廣泛應(yīng)用使傳統(tǒng)商業(yè)模式產(chǎn)生顛覆性變革。然而，信息技術(shù)的實現(xiàn)為供應(yīng)鏈網(wǎng)絡(luò)提供有效信息協(xié)作的同時，卻也減少或消除了傳統(tǒng)供應(yīng)鏈系統(tǒng)的保護壁壘。原因在于傳統(tǒng)的供應(yīng)鏈系統(tǒng)與互聯(lián)網(wǎng)斷開連接，使它與外部不穩(wěn)定的網(wǎng)絡(luò)攻擊環(huán)境進行了分離，而與互聯(lián)網(wǎng)的連接或?qū)?dǎo)致各種外部或內(nèi)部風(fēng)險進入供應(yīng)鏈系統(tǒng)，最終導(dǎo)致意外問題。通過這種方式，當有外部人員或網(wǎng)絡(luò)攻擊者利用系統(tǒng)漏洞、第三方提供商提供的設(shè)備（如物聯(lián)網(wǎng)設(shè)備或云計算服務(wù)器）帶來的漏洞對供應(yīng)鏈進行攻擊，會相應(yīng)的增加供應(yīng)鏈風(fēng)險。

圖1展示了當前數(shù)字供應(yīng)鏈系統(tǒng)可能發(fā)生的一些攻擊方法［13］。最常見的一種方法是黑客入侵網(wǎng)絡(luò)并操縱連接網(wǎng)絡(luò)的設(shè)備或硬件。他們可以通過攔截供應(yīng)商的交付并將惡意代碼直接注入設(shè)備來做到這一點。另一種方法是，黑客可以通過入侵開發(fā)人員的基礎(chǔ)設(shè)施，向軟件本身注入惡意軟件。黑客通過網(wǎng)絡(luò)釣魚或基于電子郵件的攻擊進入開發(fā)者的網(wǎng)絡(luò)，然后利用網(wǎng)絡(luò)中的內(nèi)部漏洞進行入侵。關(guān)于供應(yīng)鏈安全攻擊特別是由于第三方供應(yīng)商導(dǎo)致的案例并不在少數(shù)，包括軟件攻擊和硬件攻擊。例如，通過互聯(lián)網(wǎng)竊取顧客的敏感數(shù)據(jù)終端設(shè)備，或惡意代碼插入用戶的軟件或應(yīng)用程序中處理惡意行為；黑客使用從第三方提供商HVAC系統(tǒng)盜取的密碼憑證入侵塔吉特（Target）公司的網(wǎng)絡(luò)，導(dǎo)致1.1億客戶信息泄露。又例如，在設(shè)計階段修改藍圖、或在開發(fā)階段將間諜芯片安裝到硬件。

（三）數(shù)字供應(yīng)鏈安全管理

安全管理是指通過啟用相關(guān)的安全方法，如識別、認證、訪問控制和定義安全策略，來實現(xiàn)高級系統(tǒng)安全的一種保護方法。而數(shù)字化供應(yīng)鏈管理系統(tǒng)安全管理是指利用供應(yīng)鏈上的信息技術(shù)，對供應(yīng)鏈上出現(xiàn)的任何部分或過程都可能發(fā)生的隱私泄露、惡意操縱成員等風(fēng)險進行管理，其中常見的信息技術(shù)如下。

（1）物聯(lián)網(wǎng)。物聯(lián)網(wǎng)技術(shù)（IoT）是傳統(tǒng)信息技術(shù)所不能實現(xiàn)的一種利用完整信息實現(xiàn)供應(yīng)鏈可追溯的新技術(shù)，能將任何物體與網(wǎng)絡(luò)相連接，物體通過信息傳播媒介進行信息交換和通信，以實現(xiàn)智能化識別、定位、跟蹤、監(jiān)管等功能。目前許多公司已經(jīng)開始使用IoT來跟蹤實時庫存信息和監(jiān)控人員活動［14］。

圖1 攻擊數(shù)字供應(yīng)鏈的方法［13］

（2）云計算。云計算的集中式云服務(wù)器架構(gòu)可以有效地管理和協(xié)作不同系統(tǒng)之間收集的信息，提高整個供應(yīng)鏈系統(tǒng)之間的信息共享和協(xié)作性能。傳統(tǒng)的供應(yīng)鏈管理系統(tǒng)只關(guān)注物理的、面對面的信息管理方法，而云計算環(huán)境提供了采購實踐、商店貨架操作時間化、銷售和運營規(guī)劃的信息［15］。

（3）區(qū)塊鏈。區(qū)塊鏈值得信賴的分布式、去中心化賬本體系結(jié)構(gòu)，以及密碼化鏈接的區(qū)塊，也可以為整個供應(yīng)鏈運輸過程中產(chǎn)品質(zhì)量的測量提供一種準確的方法。例如，供應(yīng)鏈中的涉眾可以分析關(guān)于運輸路徑和持續(xù)時間的數(shù)據(jù)［16］，來收集關(guān)于產(chǎn)品是否在錯誤的位置或從源到目的地的整個旅程的位置信息。其他這類能力的利用案例有：將區(qū)塊鏈技術(shù)應(yīng)用于食品冷鏈環(huán)境監(jiān)測，特別是溫度監(jiān)測;應(yīng)用于食品衛(wèi)生保健的食品供應(yīng)鏈，如果沒有得到足夠的重視，可能會導(dǎo)致嚴重的健康風(fēng)險。

（四）數(shù)字供應(yīng)鏈信任管理

當前數(shù)字化供應(yīng)鏈管理系統(tǒng)的另一個重要問題是信任問題。用戶如何信任第三方提供的服務(wù)，服務(wù)提供商如何信任用戶提交的身份，下游企業(yè)如何信任上游企業(yè)提供的服務(wù)，解決這一系列問題都需要高效的方法。Haghpanah and Desjardins［17］提出了供應(yīng)鏈管理系統(tǒng)的信任模型，該模型結(jié)合了供應(yīng)鏈管理系統(tǒng)特有的信任因素。也可以考慮利用信息技術(shù)來管理供應(yīng)鏈信任問題。

（1）物聯(lián)網(wǎng)。Yan et al［18］定義了物聯(lián)網(wǎng)系統(tǒng)上的信任管理目標，該目標可能適用于基于物聯(lián)網(wǎng)的供應(yīng)鏈系統(tǒng)，涉及信任關(guān)系和決策、數(shù)據(jù)感知信任、隱私保護、數(shù)據(jù)融合和挖掘信任、數(shù)據(jù)傳輸和通信信任物聯(lián)網(wǎng)服務(wù)的質(zhì)量、系統(tǒng)安全性和人機信任交互和身份信任。為了提供供應(yīng)鏈管理系統(tǒng)的信任環(huán)境，供應(yīng)鏈上啟用的IoT技術(shù)和服務(wù)應(yīng)達到與IoT信任管理系統(tǒng)的標準衡量標準一樣的標準［18］。

（2）云計算。為了在云服務(wù)環(huán)境下實現(xiàn)供應(yīng)鏈的信任管理，云服務(wù)提供商提供了許多技術(shù)，如標準化技術(shù)、虛擬化技術(shù)、數(shù)據(jù)管理技術(shù)、平臺管理技術(shù)［19］。標準化技術(shù)可用于提供一個用于訪問云服務(wù)提供商的接口，并且與聯(lián)盟主控在供應(yīng)鏈上形成的真實信息交換有關(guān)。中央云服務(wù)器可以視為云服務(wù)和服務(wù)器集群之間的中間件。云計算服務(wù)的虛擬化技術(shù)提供商可以為擁有不同物理接口的不同供應(yīng)鏈企業(yè)或系統(tǒng)提供相同的虛擬軟件接口，以提高協(xié)作效率。

（3）區(qū)塊鏈。區(qū)塊鏈也可以發(fā)揮重要作用，通過降低風(fēng)險來提高信任管理，因為區(qū)塊鏈需要驗證參與交易的個人的身份，這意味著只有網(wǎng)絡(luò)中相互接受的成員才能參與交易。

三、云服務(wù)對供應(yīng)鏈安全的貢獻與伴隨的挑戰(zhàn)

前述的各類例子揭示了現(xiàn)代供應(yīng)鏈安全管理中存在的一些問題。而現(xiàn)代供應(yīng)鏈所面臨的風(fēng)險日益嚴峻，維護供應(yīng)鏈安全的困難主要來自貨物、工廠、供應(yīng)鏈供應(yīng)商和合作伙伴、供應(yīng)鏈設(shè)施、貨運公司、人員和信息等［20］。而企業(yè)如果想要有效地維護客戶、知識產(chǎn)權(quán)、基礎(chǔ)設(shè)施、品牌和員工，那么必須執(zhí)行供應(yīng)鏈安全計劃。因此，如同營銷策略或財務(wù)戰(zhàn)略，供應(yīng)鏈安全戰(zhàn)略也是企業(yè)戰(zhàn)略的重要組成部分［20］。近年來，世界五百強企業(yè)都把供應(yīng)鏈戰(zhàn)略作為重要戰(zhàn)略，而隨著云計算技術(shù)的發(fā)展與商業(yè)模式的成熟，云服務(wù)被不斷運用在企業(yè)供應(yīng)鏈戰(zhàn)略之中，同時也帶來了相應(yīng)的挑戰(zhàn)［21］。

（一）云服務(wù)中的安全要素

身份識別是任何安全意識系統(tǒng)的核心。它允許用戶、服務(wù)、服務(wù)器、云和任何其他實體被系統(tǒng)和其他方所識別。身份識別由一組處于相關(guān)環(huán)境下的與特定實體相關(guān)聯(lián)的信息組成。身份識別不應(yīng)泄露用戶的個人“隱私”信息。統(tǒng)一身份認證（Identity and Access Management，IAM）是提供用戶身份認證、權(quán)限分配、訪問控制等功能的身份管理服務(wù)。以亞馬遜AWS為例，IAM使客戶能夠安全地管理對AWS服務(wù)和資源的訪問?？蛻艨梢允褂?IAM創(chuàng)建和管理AWS用戶和組，并使用各種權(quán)限來允許或拒絕他們對AWS資源的訪問。云服務(wù)應(yīng)提供相應(yīng)的身份上下文信息，包括：權(quán)限管理、安全控制、委托授權(quán)、聯(lián)邦身份認證等。

保密性是云計算安全（包括保密性、完整性和可用性）的關(guān)鍵目標之一。密鑰管理技術(shù)是指通過公開密鑰加密技術(shù)實現(xiàn)對稱密鑰管理的技術(shù)，通過加密的方式實現(xiàn)數(shù)據(jù)、流程和通信的保密目標。目前有兩種加密算法，即對稱密鑰管理和和非對稱密鑰的加密算法。然而，這兩種加密方法都具有一個與加密密鑰管理相關(guān)的主要問題，即如何安全地生成、存儲、訪問和交換密鑰。

云計算模型基于使用服務(wù)等級協(xié)議（SLA）提供服務(wù)。SLA應(yīng)該涵蓋與性能、可靠性和安全性相關(guān)的目標，及違反SLA的情況下應(yīng)用的懲罰措施。作為SLA目標之一，保持高安全級別意味著要消耗大量影響性能目標的資源，因為采用的安全工具和機制越多，對底層服務(wù)性能的影響就越大。云管理應(yīng)該考慮使用實用工具在安全性和性能之間進行權(quán)衡。

當用戶使用依賴于來自不同云的服務(wù)的應(yīng)用程序時，他將需要維持在兩個云以及兩者之間實施的安全要求。同樣的情況，當多個云集成在一起以提供更大的資源池或集成服務(wù)時，它們的安全要求需要聯(lián)合并在不同的相關(guān)云平臺上實施，此外，可遷移性和靈活性也是運行多個云平臺的關(guān)鍵原因。

（二）云服務(wù)對供應(yīng)鏈安全的貢獻

云計算的發(fā)展在幾個關(guān)鍵方面影響著組織及其供應(yīng)鏈活動。例如，云服務(wù)為供應(yīng)鏈協(xié)作提供了靈活的外包軟件。它使企業(yè)特別是初創(chuàng)公司能夠以較低的前期成本在市場上立足，使服務(wù)更有價值、更容易獲得、更經(jīng)濟。值得一提的是，云服務(wù)也在一定程度上提升了供應(yīng)鏈的安全。

基于云的供應(yīng)鏈管理平臺通過協(xié)調(diào)供應(yīng)鏈網(wǎng)絡(luò)中的制造商、供應(yīng)商、零售商、分銷商等所有相關(guān)方，幫助組織為供應(yīng)鏈中的所有方獲得關(guān)于實際需求波動的信息，提出更準確的需求預(yù)測，這可以在一定程度上消除供應(yīng)鏈網(wǎng)絡(luò)中的牛鞭效應(yīng)。云計算可以應(yīng)用于預(yù)測、計劃、采購、服務(wù)和備件管理、銷售和運營以及物流。這些基于云的平臺可以作為包含各種供應(yīng)商信息的數(shù)據(jù)庫進行操作。這為經(jīng)常與數(shù)百甚至數(shù)千供應(yīng)商打交道的組織帶來了巨大的好處，使組織能夠根據(jù)其需求選擇適當?shù)墓?yīng)商。

糟糕的網(wǎng)絡(luò)設(shè)計將增加物流成本和交貨時間，使客戶很難在正確的時間、正確的地點收到所需的貨物。因此，物流和供應(yīng)鏈管理的主要目標無法達到［22］。在供應(yīng)鏈管理領(lǐng)域，保持供應(yīng)鏈網(wǎng)絡(luò)中各參與方之間的實時數(shù)據(jù)通信對供應(yīng)鏈網(wǎng)絡(luò)的監(jiān)控非常重要。云計算解決方案可以影響物流企業(yè)充分組織和執(zhí)行訂單處理、物流網(wǎng)絡(luò)設(shè)計、出入口運輸、庫存管理、貨運和車隊管理、全球貿(mào)易管理、報關(guān)、倉儲、配送等增值服務(wù)的能力，使實時數(shù)據(jù)傳輸成為可能。相關(guān)組織可以通過準確的實時數(shù)據(jù)和跟蹤解決方案來改善物流管理，顯著提高配送速度，減少運輸管理費用。隨著云計算能力的提高，客戶還可以利用第三方解決方案連接到運營商、供應(yīng)商、貨代、第三方物流服務(wù)提供商和客戶。客戶端可以連接到同一云中的任何參與者;這使得他們能夠通過與其他參與者的協(xié)調(diào)，以更安全的方式以及更低的運輸成本管理全球業(yè)務(wù)［23］。此外，Liu et al［24］開發(fā)了一個具有一定局限性的概念框架。在基于云的供應(yīng)鏈管理系統(tǒng)中，溝通、學(xué)習(xí)能力、參與性、可用性和可靠性等因素對信任有積極的影響。反過來，信任對采用基于云的供應(yīng)鏈管理系統(tǒng)有積極的影響。

（三）云服務(wù)對供應(yīng)鏈安全的挑戰(zhàn)

然而，云服務(wù)并不完美，隨著云服務(wù)技術(shù)的發(fā)展與商業(yè)模式的成熟，在形成專業(yè)優(yōu)勢與規(guī)模效應(yīng)的同時，一個主要由價值和快速擴展驅(qū)動的服務(wù)有時候需放棄其安全性和可靠性，風(fēng)險和不確定性也隨之產(chǎn)生。各家云服務(wù)提供商的中斷和違規(guī)行為，加上法律和法規(guī)遵從性規(guī)則，限制了數(shù)據(jù)的流向（某些類型的數(shù)據(jù)不能跨邊界流傳，或者由于法規(guī)要求而需要額外的保護）。其中一個案例是一家大型制藥公司的幾個工程師需要分析一種新藥。他們咨詢了IT部門，報價超過10萬美元，時間為6到9個月。之后他們找到一家云服務(wù)提供商，用信用卡支付了數(shù)千美元在三周內(nèi)完成了這個項目。他們因為公司節(jié)省了資金而獲得了公司獎項，但第二天卻因為違反了公司安全規(guī)定而被解雇。這是因為這項工作是在東歐的服務(wù)器上完成的，這些機器沒有得到充分的保護，因此讓整個項目處于危險之中。

供應(yīng)鏈攻擊也經(jīng)常發(fā)生在日常生活中。供應(yīng)鏈攻擊，也被稱為價值鏈攻擊，攻擊者將通過可訪問企業(yè)系統(tǒng)和數(shù)據(jù)的第三方合作伙伴或是供應(yīng)商的信息潛入內(nèi)部系統(tǒng)。盡管公眾對于此項攻擊的認知和有關(guān)部門對此的監(jiān)管力度正在不斷提升，但此項攻擊仍給企業(yè)帶來了前所未有的風(fēng)險。賽門鐵克在最近一份報告中表示，2017年的供應(yīng)鏈攻擊比前一年增加200%。2017年6月的NotPetya攻擊表明，供應(yīng)鏈攻擊確實會造成代價高昂的破壞性影響。該攻擊主要針對烏克蘭的公司，但它的攻擊范圍擴大使全球企業(yè)損失逾12億美元。此外，波耐蒙研究所（Ponemon Institute）在2018年的一項調(diào)查表明，56%的組織機構(gòu)都曾遭遇過網(wǎng)絡(luò)入侵，即黑客利用了他們的某個供應(yīng)商。每一種云服務(wù)模型中都有著關(guān)鍵安全問題或漏洞，其中一些問題是云提供商的責任，而另一些問題是云消費者的責任。

具體而言，IaaS中主要存在三大安全問題：儲存安全問題、主機安全問題和網(wǎng)絡(luò)安全問題。其中，虛擬化存儲安全問題是云計算和云計算機中IaaS的使用過程中最主要面臨的問題。虛擬化存儲主要是通過一個物理存儲設(shè)備實現(xiàn)多個用戶的虛擬化存儲要求，是一個異構(gòu)的集中管理系統(tǒng)。因此，數(shù)據(jù)有可能會分配到同一個物理儲存設(shè)備上，即使在用戶不相同和安全等級差異性的情況下。這將有可能導(dǎo)致其他未授權(quán)用戶可以虛擬機訪問數(shù)據(jù)，存在數(shù)據(jù)泄漏或丟失等風(fēng)險。此外，當某個租戶租期到期或因其他原因不再租用虛擬儲存空間時，其原本占用的物理存儲空間將會被釋放出來供他人使用。然而若原租戶的數(shù)據(jù)因未完全刪除而仍部分保留在物理空間上，新租戶存在訪問原租戶數(shù)據(jù)的可能性。主機是云計算機中IaaS的核心，但也存在一定安全風(fēng)險。首先，虛擬機可能發(fā)生隔離失敗的現(xiàn)象，如A虛擬機通過訪問控制B虛擬機，或是具備讀取、分配給其他虛擬機內(nèi)存的權(quán)限，使權(quán)限變得混亂。其次，虛擬機操作系統(tǒng)和工作負載有可能受傳統(tǒng)物理服務(wù)器（如惡意軟件和病毒）的影響，模版被惡意篡改，存在較大的安全漏洞。此外，主機可能會受到黑客的攻擊，黑客會利用虛擬機入侵宿主機，進而對派生的虛擬機造成嚴重的影響。

PaaS模型是基于面向服務(wù)的體系結(jié)構(gòu)（SOA）模型。這將導(dǎo)致PaaS有著SOA領(lǐng)域中存在的所有安全問題，如磁盤操作系統(tǒng)攻擊、中間人攻擊、與可擴展標記語言相關(guān)的攻擊、重播攻擊、字典攻擊、注入攻擊和與輸入驗證相關(guān)的攻擊等［25］。PaaS還可能提供具有管理功能的應(yīng)用程序接口，如業(yè)務(wù)功能、安全功能、應(yīng)用程序管理等，需要提供此類應(yīng)用程序接口安全控制和標準，如OAuth協(xié)議［26］，以對此類應(yīng)用程序接口的調(diào)用強制一致的身份驗證和授權(quán)。此外，還需要在內(nèi)存中隔離應(yīng)用程序接口。

在SaaS模型中，實施和維護安全性是云提供商和服務(wù)提供商（軟件供應(yīng)商）之間的共同責任。由于SaaS模式搭建在IaaS和PaaS之上，因此也繼承了前兩個模式的安全問題——包括數(shù)據(jù)安全管理（數(shù)據(jù)位置、完整性、隔離、訪問、機密性、備份）和網(wǎng)絡(luò)安全。此外，合規(guī)性和可用性對于SaaS也不容忽視。法律法規(guī)在SaaS應(yīng)用程序的審計中至關(guān)重要，有助于符合監(jiān)管標準的評估，確定合規(guī)問題，并確保正確的業(yè)務(wù)流程。SaaS應(yīng)用程序還需要較高的可用性，同時也要考慮到突發(fā)狀況發(fā)生的處理方法和事后快速恢復(fù)的相關(guān)計劃。

基于PaaS上開發(fā)的SaaS應(yīng)用在其實際推廣及使用過程中，也會遇到數(shù)據(jù)安全等問題。如：非生產(chǎn)型外貿(mào)企業(yè)在其自研的PaaS平臺上開發(fā)的SaaS應(yīng)用推廣到其客戶，一級、二級供應(yīng)商，貨代服務(wù)商等合作伙伴的過程中，合作伙伴對SaaS應(yīng)用數(shù)據(jù)存儲的位置，系統(tǒng)訪問的Ip限制，企業(yè)敏感信息的安全性等問題都存在擔憂。在應(yīng)用的使用的過程中，可持續(xù)的可用性及穩(wěn)定性固然為整個供應(yīng)鏈上的信息持續(xù)流通并為企業(yè)提效；反之，應(yīng)用的服務(wù)器宕機、數(shù)據(jù)泄漏或數(shù)據(jù)丟失等會造成各方的價值流失。

（四）供應(yīng)鏈系統(tǒng)帶來的云服務(wù)安全問題

對于目前的數(shù)字供應(yīng)鏈管理系統(tǒng)來說，一個重要的安全挑戰(zhàn)是如何正確應(yīng)用這些已啟用的信息技術(shù)。在將上述技術(shù)應(yīng)用于供應(yīng)鏈系統(tǒng)的同時，供應(yīng)鏈系統(tǒng)內(nèi)部或協(xié)作之間的一些固有安全問題將是數(shù)字供應(yīng)鏈系統(tǒng)面臨的長期和短期挑戰(zhàn)。例如，物聯(lián)網(wǎng)設(shè)備仍然面臨著不穩(wěn)定或不真實的互聯(lián)網(wǎng)環(huán)境，會受到意想不到的網(wǎng)絡(luò)攻擊，因此物聯(lián)網(wǎng)和數(shù)據(jù)來源之間的信息協(xié)作將容易受到此類風(fēng)險的影響。而區(qū)塊鏈的局限性也會限制供應(yīng)鏈的發(fā)展，即全球供應(yīng)鏈運行在一個復(fù)雜的環(huán)境中，需要各方遵守不同的法律、法規(guī)和制度［15］。隨著全球供應(yīng)鏈管理系統(tǒng)規(guī)模的不斷擴大，大數(shù)據(jù)也是數(shù)字供應(yīng)鏈的另一個重要因素，它可以用于適當?shù)臄?shù)據(jù)收集、處理、存儲和敏感信息保護，如部分數(shù)據(jù)涉及消費者的隱私或零售商的商業(yè)秘密。然而，低效的數(shù)據(jù)處理和存儲可能會導(dǎo)致一些風(fēng)險，如敏感信息泄露給惡意方。當然，信任并不意味著安全，安全也并不意味著信任。

四、新興技術(shù)與供應(yīng)鏈云服務(wù)的結(jié)合

新興技術(shù)與供應(yīng)鏈云服務(wù)的結(jié)合正重新定義供應(yīng)鏈安全。區(qū)塊鏈可以定義為一種數(shù)據(jù)結(jié)構(gòu)，它使創(chuàng)建交易的數(shù)字賬簿并在分布式計算機網(wǎng)絡(luò)中共享成為可能［27-28］。區(qū)塊鏈技術(shù)和云服務(wù)技術(shù)融合對于企業(yè)的發(fā)展起到了顛覆性的變革，例如在云中啟用區(qū)塊鏈可以提供塊鏈即服務(wù)（BaaS）［29］。云計算可以將執(zhí)行時生成的日志數(shù)據(jù)與審計數(shù)據(jù)進行比較（通常在私有主機中進行以便更好地擁有資產(chǎn)），但是維持私有主機的成本非常高。開發(fā)者可以在現(xiàn)有的云服務(wù)平臺上以簡單、高效、快捷的方式搭建區(qū)塊鏈，用以降低成本［30］。另一方面，由于區(qū)塊鏈的去中心化結(jié)構(gòu)，使兩者結(jié)合變得更加安全、隱私和高效。在云計算中，確定數(shù)據(jù)來源至關(guān)重要［31］。區(qū)塊鏈技術(shù)有助于提升供應(yīng)鏈云服務(wù)的數(shù)據(jù)安全［30］。

物聯(lián)網(wǎng)是基于互聯(lián)網(wǎng)、傳統(tǒng)電信網(wǎng)等信息承載體，通過射頻識別、紅外感應(yīng)器、全球定位系統(tǒng)、激光掃描器等信息傳感設(shè)備，使物品信息實現(xiàn)智能化識別和管理，實現(xiàn)平臺物理物品信息互聯(lián)而形成的網(wǎng)絡(luò)［32］。物聯(lián)網(wǎng)的技術(shù)架構(gòu)自下而上有三層，分別是感知層、網(wǎng)絡(luò)層和應(yīng)用層。第一層是感知層，處在物聯(lián)網(wǎng)的最底層，利用二維碼、RFID標簽及讀寫器、攝像頭、溫濕度傳感器等各種傳感器、傳感器網(wǎng)管和感知終端隨時隨地獲取物體的信息；第二層網(wǎng)絡(luò)層，通過各種電信網(wǎng)絡(luò)與互聯(lián)網(wǎng)的融合，比如各種互聯(lián)網(wǎng)、網(wǎng)絡(luò)管理系統(tǒng)、云計算平臺、有線或無線通信網(wǎng)等，將從感知層獲取的信息數(shù)據(jù)實時準確地傳遞和處理；第三層是主要包括云計算、云服務(wù)和模塊決策的應(yīng)用層，完成數(shù)據(jù)的管理和處理［33］。物聯(lián)網(wǎng)技術(shù)和云服務(wù)的結(jié)合在供應(yīng)鏈管理的不同環(huán)節(jié)中提升效率。如在計劃采購、庫存管理和運輸配送中，兩者的結(jié)合不僅能增加供應(yīng)鏈數(shù)據(jù)的分享，通過對于數(shù)據(jù)的采集和分析，可以對用戶需求做出相應(yīng)的預(yù)測，最終減少“牛鞭效應(yīng)”的影響；還能夠利用RFID技術(shù)接收貨物位置，確定配送距離的遠近，并合理規(guī)劃最佳行駛路線，同時也可以對貨物運輸中所處位置進行監(jiān)控并預(yù)測到達時間；此外，到達目的地之后，利用讀寫器對貨物上的標簽進行智能識別并與云端數(shù)據(jù)庫實時更新，做到信息一致性［34］。這些技術(shù)手段都有助于提升供應(yīng)鏈安全程度，但也增加了數(shù)據(jù)泄露甚至篡改的風(fēng)險。

3D打印，即快速成型技術(shù)的一種，近幾年來受到了政府和供應(yīng)鏈管理者與日俱增的關(guān)注。3D打印又稱增材制造，是一種集合了機械、電子、軟件、材料等多個學(xué)科的制造技術(shù)，采用多種技術(shù)和制造流程，使用戶能夠從數(shù)字三維模型中創(chuàng)建一個有形的物體［35］。與傳統(tǒng)的材料去除（切割）技術(shù)相比，3D打印是一種“自下而上”的材料積累制造方法，允許用戶利用各種各樣的材料（如塑料、金屬、陶瓷、砂石、樹脂、生物材料等）構(gòu)建較為復(fù)雜的產(chǎn)品［36-37］。近年來，人們對于產(chǎn)品定制的需求日趨多樣化。而隨著全球3D打印和云服務(wù)兩種新興科技的不斷發(fā)展，出現(xiàn)了3D打印云服務(wù)平臺?？蛻裟軌蛟谄脚_選取符合需求的3D模型，或是自身進一步利用CAD進行產(chǎn)品設(shè)計，亦或是尋求專業(yè)人員設(shè)計產(chǎn)品［38］。之后，用戶可以選擇合適的材料和合適的3D打印服務(wù)商來進行產(chǎn)品的生產(chǎn)。一方面，3D打印降低了斷貨的風(fēng)險，但另一方面，3D打印又提升了產(chǎn)品偽造的安全風(fēng)險［39］。

五、供應(yīng)鏈云服務(wù)系統(tǒng)案例——騰訊云

目前，很多企業(yè)在供應(yīng)鏈管理上仍面臨著采購成本管理和供應(yīng)鏈協(xié)同等眾多問題。在企業(yè)的供應(yīng)鏈管理中往往涉及多個主體，如供應(yīng)商、制造商、運輸商、零售商以及客戶等。傳統(tǒng)的企業(yè)內(nèi)部管理系統(tǒng)一般較為封閉，導(dǎo)致各個主體之間無法進行實時共享、信息難以準確匯總，協(xié)同性差，供應(yīng)鏈流程也不能統(tǒng)一，這最終導(dǎo)致庫存大量積壓、資金周轉(zhuǎn)不靈、產(chǎn)品線無法及時調(diào)整等問題，原因在于上游的企業(yè)無法及時了解真實用戶的需求，只能依據(jù)下游的企業(yè)來預(yù)判產(chǎn)量。隨著企業(yè)供應(yīng)鏈面向的主體越來越多，這些管理問題必然會被逐漸放大，進而制約企業(yè)的發(fā)展，因此眾多企業(yè)對實現(xiàn)信息化供應(yīng)鏈管理有著明顯的需求，以保證供應(yīng)鏈安全。

在工業(yè)互聯(lián)網(wǎng)助力平臺的基礎(chǔ)上，騰訊云能夠提升在輔助設(shè)計、缺陷檢測、良品率提升、生命周期預(yù)測、預(yù)防性維護、備件管理等一系列場景中，以傳統(tǒng)制造業(yè)、3C制造行業(yè)、模具制造為代表的眾多企業(yè)的運營效率。另一方面，通過騰訊云實現(xiàn)企業(yè)的自動化、信息化，改造減輕人員的勞動強度并通過平臺積累的數(shù)據(jù)和外部數(shù)據(jù)結(jié)合進行大數(shù)據(jù)分析，服務(wù)于決策部門和機構(gòu)［40］。此外，特別針對物流行業(yè)倉儲、運輸?shù)葓鼍?，騰訊云提供了物聯(lián)、大數(shù)據(jù)、安全管理、人工智能等能力。智能物流解決方案如表1所示，分為智能物聯(lián)倉儲管理、路線策略優(yōu)化、運輸安全保障和提升預(yù)分揀準確率四點。

表1 騰訊云智慧物流解決方案［40］

六、供應(yīng)鏈云服務(wù)與新興技術(shù)結(jié)合案例——沃爾瑪

沃爾瑪是世界上最大的零售商，在28個國家擁有兩萬多家門店，其正在建設(shè)世界上最大的私有云。啟動這一項目的原因是，沃爾瑪希望能夠更有效地存儲和分析數(shù)據(jù)，并通過這些數(shù)據(jù)推動在線銷售和推動數(shù)字零售。另一方面，沃爾瑪正努力在電子商務(wù)領(lǐng)域與亞馬遜（Amazon）展開競爭。然而，沃爾瑪要趕上亞馬遜還有很長的路要走。據(jù)路透社報道，沃爾瑪在美國電子商務(wù)市場的份額僅為3.6%，而亞馬遜為43.5%［41］。沃爾瑪?shù)乃接性剖怯?個巨大的服務(wù)器農(nóng)場組成，每個都大于10個足球場規(guī)模。一個內(nèi)部構(gòu)建云計算能力的激勵因素是安全性。沃爾瑪宣稱云計算以及因此保留的數(shù)據(jù)可以更好地保護客戶的個人信息。畢竟，數(shù)據(jù)泄露會動搖消費者的信心，損害零售商的聲譽，導(dǎo)致銷售損失。因此，沃爾瑪對其服務(wù)器群的位置保密，強調(diào)其對安全的關(guān)注［42］。

為了能夠很好地利用數(shù)據(jù)并將其用于解決問題，沃爾瑪還在阿肯色州本頓維爾總部創(chuàng)建了最先進的分析中心——“數(shù)據(jù)咖啡館”。在這里，工作人員可以對超過200個內(nèi)部和外部數(shù)據(jù)流進行建模、操作和可視化。各個部門的團隊提交他們的問題，隨后分析專家會在系統(tǒng)中樞的觸摸屏“智能板”顯示相關(guān)解決方案。該系統(tǒng)不僅僅減少了解決復(fù)雜業(yè)務(wù)問題所需的時間（從過去的幾周到目前的幾分鐘），還提供了自動警報，因此當特定指標低于任何部門設(shè)置的閾值時，可以邀請他們將問題帶到數(shù)據(jù)咖啡館尋找解決方案。例如，有一個食品雜貨團隊無法理解為什么某一特定產(chǎn)品類別的銷售額突然下降；研究小組來到這家咖啡館，想找出原因。通過對數(shù)據(jù)的深入研究，他們很快就發(fā)現(xiàn)了是定價上的錯誤導(dǎo)致某些地區(qū)的產(chǎn)品定價過高。又比如，在萬圣節(jié)期間，銷售分析師實時看到，盡管一種特殊的新奇餅干在大多數(shù)商店非常受歡迎，但有兩家商店根本不賣這種餅干，這個警報很快引起了注意。結(jié)果發(fā)現(xiàn)，一個簡單的庫存疏忽導(dǎo)致餅干沒有被放到貨架上。該公司能夠立即糾正這種情況，避免進一步的銷售損失［43］。這些警報保證了供應(yīng)鏈的安全和及時響應(yīng)。

七、小結(jié)

自2002年亞馬遜基于云計算的互聯(lián)網(wǎng)零售業(yè)務(wù)以來，基于云服務(wù)的供應(yīng)鏈管理服務(wù)不斷涌現(xiàn)。本文從供應(yīng)鏈安全和風(fēng)險管理的概念出發(fā)，采用各類案例揭示了現(xiàn)代供應(yīng)鏈安全管理中存在的一些問題。本文還著重強調(diào)了供應(yīng)鏈云服務(wù)對于增強供應(yīng)鏈安全性的作用和帶來的挑戰(zhàn)。近年來，世界五百強企業(yè)都把供應(yīng)鏈戰(zhàn)略作為重要戰(zhàn)略，而隨著云計算技術(shù)的發(fā)展與商業(yè)模式的成熟，云服務(wù)被不斷運用在企業(yè)供應(yīng)鏈戰(zhàn)略之中。在采用供應(yīng)鏈云服務(wù)開啟數(shù)字化轉(zhuǎn)型的同時，企業(yè)需要關(guān)注供應(yīng)鏈安全的演進并作出相應(yīng)的調(diào)整。參考文獻：

［1］ FAIRCHILD H P.?Dictionary of sociology［M］. Whashington：Rowman & Littlefield， 1944.

［2］ FISCHER R， HALIBOZEK E， WALTERS D.?Introduction to security［M］. 9th ed.?Oxford： Butterworth-Heinemann， 2012.

［3］ SHEFFI Y.?Supply chain management under the threat of international terrorism［J］. The international journal of logistics management， 2001， 12（2）： 1-11.

［4］ CLOSS D J， MCGARRELL E F.?Enhancing security throughout the supply chain［M］. Washington， DC： IBM Center for the Business of Government， 2004.

［5］ JTTNER U， PECK H， CHRISTOPHER M.?Supply chain risk management： outlining an agenda for future research［J］. International journal of logistics： research and applications， 2003， 6（4）： 197-210.

［6］ RUSSELL D M， SALDANHA J P.?Five tenets of security-aware logistics and supply chain operation［J］. Transportation journal， 2003， 42（4）： 44-54.

［7］ DAMAS P.?Cutting red tape in cross-border trade［J］. American.shipper， 2002： 16-17.

［8］ JTTNER U.?Supply chain risk management［J］. The international journal of logistics management， 2005， 16（1）：120-141.

［9］ 王艷， 林森， 李博.?供應(yīng)鏈風(fēng)險識別與控制：HAZOP分析方法［J］. 供應(yīng)鏈管理， 2022， 3（2）： 56-65.

［10］ LEE H L， PADMANABHAN V， WHANG S.?The bullwhip effect in supply chains［J］. Sloan management review， 1997， 38： 93-102.

［11］ 李博， 林森， 高亮.從優(yōu)化和穩(wěn)定產(chǎn)業(yè)鏈、供應(yīng)鏈到供應(yīng)鏈戰(zhàn)略［J］. 供應(yīng)鏈管理， 2021， 2（3）， 35-44.

［12］ SMITH G E， WATSON K J， BAKER W H， et al.?A critical balance： collaboration and security in the IT-enabled supply chain［J］. International journal of production research， 2007， 45（11）： 2595-2613.

［13］ ZHANG H， NAKAMURA T， SAKURAI K.?Security and Trust Issues on Digital Supply Chain［C］//2019 IEEE Intl Conf on Dependable， Autonomic and Secure Computing， Intl Conf on Pervasive Intelligence and Computing， Intl Conf on Cloud and Big Data Computing， Intl Conf on Cyber Science and Technology Congress （DASC/PiCom/CBDCom/CyberSciTech）. IEEE， 2019： 338-343.

［14］ ZHOU W， PIRAMUTHU S.?IoT and supply chain traceability［C］//International Conference on Future Network Systems and Security.?Springer， 2015： 156-165.

［15］ CAO Q， SCHNIEDERJANS D G， SCHNIEDERJANS M.?Establishing the use of cloud computing in supply chain management［J］. Operations management research， 2017， 10（1-2）： 47-63.

［16］ KSHETRI N.?1 Blockchains roles in meeting key supply chain management objectives［J］. International journal of information management， 2018， 39： 80-89.

［17］ HAGHPANAH Y， DESJARDINS M.?A trust model for supply chain management ［EB/OL］. （2010-07-05） ［2020-06-08］. https：//www.aaai.org/ocs/index.php/AAAI/AAAI10/paper/view/1668/2301.

［18］ YAN Z， ZHANG P， VASILAKOS A V.?A survey on trust management for Internet of Things［J］. Journal of network and computer applications， 2014， 42： 120-134.

［19］ CHEN J， MA YW.?The research of supply chain information collaboration based on cloud computing［J］. Procedia environmental sciences， 2011， 10： 875-880.

［20］ SARATHY R.?Security and the global supply chain［J］. Transportation journal， 2006， 45（4）： 28-51.

［21］ 李博， 林森.?現(xiàn)代供應(yīng)鏈管理中的云服務(wù)應(yīng)用研究［J］. 供應(yīng)鏈管理， 2020， 1（8）： 67-74.

［22］ TSAO Y C， LU J C.?A supply chain network design considering transportation cost discounts［J］. Transportation research part e： logistics and transportation review， 2012， 48（2）： 401-414.

［23］ BHOIR H， PRINCIPAL R P.?Cloud computing for supply chain management［J］. International journal of innovations in engineering research and technology， 2014， 1（2）： 1-9.

［24］ LIU X， LI Q， LAI I K W.?A trust model for the adoption of cloud-based supply chain management systems： A conceptual framework［C］//2013 International Conference on Engineering， Management Science and Innovation （ICEMSI）. IEEE， 2013： 1-4.

［25］ JENSEN M， SCHWENK J， GRUSCHKA N， et al.?On technical security issues in cloud computing［C］//2009 IEEE International Conference on Cloud Computing.?IEEE， 2009： 109-116.

［26］ WANG B， HUANG HY， LIU XX， et al.?Open identity management framework for SaaS ecosystem［C］//2009 IEEE International Conference on e-Business Engineering.?IEEE， 2009： 512-517.

［27］ DHL.?Blockchain in logistics ［EB/OL］.［2020-06-08］.https：//www.dhl.com/content/dam/dhl/global/core/documents/pdf/glo-core-blockchain-trend-report.pdf.

［28］ Government Office for Science.?Distributed ledger technology： Beyond blockchain ［R/OL］. （2016-01-19） ［2020-06-01］. https：//www.gov.uk/government/publications/distributed-ledger-technology-blackett-review.

［29］ IBM， Blockchain Solutions-IBM Blockchain ［EB/OL］. （2018） ［2020-06-08］. https：//www.ibm.com/blockchain/solutions.

［30］ TOSH D， SHETTY S， FOYTIK P， et al.?CloudPoS： a proof-of-stake consensus design for blockchain integrated cloud［C］//2018 IEEE 11th International Conference on Cloud Computing （CLOUD）. IEEE， 2018： 302-309.

［31］ LEE B， AWAD A， AWAD M.?Towards secure provenance in the cloud： a survey［C］//2015 IEEE/ACM 8th International Conference on Utility and Cloud Computing （UCC）. IEEE， 2015： 577-582.

［32］ ASHTON K.?That ‘internet of things thing［J］. RFID journal， 2009， 22（7）： 97-114.

［33］ 陳溦.云計算及物聯(lián)網(wǎng)下的供應(yīng)鏈管理應(yīng)用探討［J］. 管理觀察， 2019， 20：27-28.

［34］ 劉秀.基于云計算的物聯(lián)網(wǎng)技術(shù)探索［J］. 電腦知識與技術(shù)， 2013， 9（27）：6113-6115.

［35］ HOPKINSON N， HAGUE R， DICKENS P.?Rapid manufacturing： an industrial revolution for the digital age［M］. Sussex： John Wiley & Sons， 2006.

［36］ CONNER B P， MANOGHARAN G P， MARTOF A N， et al.?Making sense of 3-D printing： creating a map of additive manufacturing products and services［J］. Additive Manufacturing， 2014， 1： 64-76.

［37］ TUCK C， HAGUE R J M， BURNS N D.?Rapid manufacturing-impact on supply chain methodologies and practice［J］. International journal of services and operations management， 2007， 3（1）：1-22.

［38］ GUO L， QIU J.?Combination of cloud manufacturing and 3D printing： research progress and prospect［J］. The international journal of advanced manufacturing technology， 2018， 96（5-8）： 1929-1942.

［39］ LU BH， LI DC.?Development of the additive manufacturing （3D printing） technology［J］. Machine building & automation， 2013， 4： 1.

［40］ 騰訊云.智慧物流解決方案［EB/OL］. （2020） ［2020-06-09］. https：//cloud.tencent.com/solution/logistics.

［41］ BOSE N.?Walmart goes to the cloud to close gap with Amazon ［EB/OL］. （2018-02-14） ［2020-06-08］. https：//www.reuters.com/article/us-walmart-cloud/walmart-goes-to-the-cloud-to-close-gap-with-amazon-idUSKCN1FY0K7.

［42］ MARR B.?Really Big Data at Walmart： Real-Time Insights from Their 40+ Petabyte Data Cloud ［EB/OL］. （2017） ［2020-06-07］. https：//www.forbes.com/sites/bernardmarr/2017/01/23/really-big-data-at-walmart-real-time-insights-from-their-40-petabyte-data-cloud/#18302e996c10.

［43］ FUSCALDO D.?Walmarts New Weapon Against Amazon： The Cloud ［EB/OL］. （2019-01-25） ［2020-06-08］. https：//www.investopedia.com/news/walmarts-new-weapon-against-amazon-cloud/.

Supply Chain Cloud Service and Supply Chain Security

LI Bo1， LIN Sen1，SHAN Shu-ting2

（1.Ningbo China Institute for Supply Chain Innovation， Ning bo 315832;

2.Ningbo Dangqu Technology Co.， Ltd， Ningbo， Zhejiang 315100）

Abstract：

We are confronted with many difficulties in operating supply chain security regarding goods， factories， supply chain suppliers and partners， supply chain facilities， freight forwarding companies， people， and information， with the rising risk circumstance of modern supply chains.?With the development and application of supply chain cloud services， the supply chain security of enterprises has been improved to a certain extent， but at the same time， it also faces different risks and challenges.?The article first reviews the origin and development process of supply chain security and points out that the combination of supply chain and emerging technologies have an important impact on the supply chain security of enterprises.?However， the current complex and changeable global environment and market competition make the supply chain security management including supply chain cloud services to face more severe survival and development challenges and enact more efficient and comprehensive requirements for supply chain security management.?This paper proposes that information security is the crucial piont to supply chain security management in the context of informatization and analyzes the opportunities and potential risks brought by current cloud services and related technologies for supply chain management， provides case studies of leading enterprises， and provides a reference for enterprise supply chain management to realize the transformation to cloud services.

Keywords：supply chain management; digital transformation; supply chain security; cloud services