6月6日,相关网站报道了美国能源部发布《2022制造业网络安全路线图》,公布了未来五年美国制造业加强竞争、网络安全和供应链管理的一系列优先事项。《2022制造业网络安全路线图》(以下简称路线图)由美国能源部下属国家级研究机构网络安全制造创新研究所(CyManII)发布,该路线图概述了未来五年美国制造业网络安全的广阔前景,并直接针对中小型制造商(SMM)、大型制造商以及为大型生产行业提供服务的原始设备制造商(OEM)提出发展建议。
目前各种规模的美国制造商都在推动数据密集型、数字化转型,并利用人工智能 (AI) 和机器学习 (ML) 的新兴应用来推动生产力的提高,以应对不断增长的复杂局面。然而,这种数字化转型也会引入更大的网络风险。例如,除了IP 盗窃和勒索软件之外,攻击将越来越集中在高级持续威胁或破坏性级别。这些攻击的目的很明确:破坏其关键的制造业生态系统,破坏经济,安全风险极大。考虑到这一趋势,该路线图的发布力图使得美国制造商成为世界上最安全的网络制造商,并且为行业转型提供稳健而积极的途径。
(一)向未来网络安全的、高效的数字制造迈进
美国制造商正在部署先进的制造和数字技术,以快速提高效率,并对相关的网络风险有不同程度的洞察力。在制造过程中,网络风险可以得到合理的管理。然而,随着先进制造业演变为整合过程、企业、供应链和生态系统的数字线程,网络风险的性质和复杂性急剧增加。图1显示了美国制造业当前的状态、未来的状态和CyManII的研究主题,使两者之间的路径为网络安全的、高效的数字制造提供了便利。
图1 通向未来状态的路径
如图1显示,过渡路径将要求CyManII和制造合作伙伴紧密合作,具体包括构建新的安全体系架构,既适应于新系统也要同时适应于遗留系统;定期更新以确保与最先进的技术兼容并抵御新的网络威胁,不断升级制造系统以确保最大效力、效率和网络安全;如此将有助于保护系统不过时,或成为网络攻击或漏洞的门户。同样,安全数字线程可用于确保老化或遗留系统与数字和网络安全要求保持兼容,同时还继续满足制造企业、供应链和生态系统能力。这种转变途径还需要提高制造商对解决当前和未来网络风险的方法的认识,并通过CyManII的培训计划培养高技能的劳动力,以帮助他们的雇主过渡到更安全的网络运营。
(二)全新的安全制造架构(SMA)
在大多数制造企业中,网络运营通常是很好地集成的,这为在整个企业集成安全性提供了基础。但是,安全性可以设计为特定的机器或系统,但不能设计为系统架构。CyManII的整体方法是使用CyManII的安全制造架构(SMA)集成安全和运营,不仅在单个机器/流程级别,而且通过生产线和工厂运营,最终构建起安全的企业、供应链和生态系统。该安全方法类似于早期的全行业努力,通过将质量集成到产品和流程每个环节(包括设计产品、生产系统和整体供应链)来优先考虑质量。数字制造和工业物联网(IIoT)技术被部署在整个制造过程中,提高了生产力和其他收益,这同时也增加了网络风险。
SMA不是在开发数字制造技术,而是在流程层面为数字制造注入安全所需的架构,以及在工厂、企业、供应链中连接流程以构建全数字化线程。安全、高效的数字制造的未来状态允许制造商做出智能决策,以优化工厂一级的效率和生产力,越来越多地依靠人工智能和机器学习,而依靠这些技术收集的海量数据不会引入新的网络攻击。随着制造供应链和数字线程的建立,可允许快速部署如建模、分析等新功能,但同时,制造商还必须保护专有信息和机密信息的安全性。
(三)五大研究主题与主要路线
CyManII正在采用综合制造业方法开发和部署广泛的创新,同时提高制造车间和运营人员的技能。以合作、系统和敏捷的方式解决基本技术的挑战,确定所需的核心研究主题是网络安全能源和排放量化 (CEEQ),安全制造架构(SMA),共享研发基础设施(SRDI),漏洞意识 (CVA),员工队伍。
1、网络安全能源和排放量化 (CEEQ):CEEQ创新将使未来的行业能够在流程和供应链网络层面衡量脱碳影响,并验证实施特定网络安全解决方案所产生的网络强化程度。最终达到目标:安全量化能源生产率、成本和排放,以设计更安全有效的产品、自动化流程和供应链网络。
2、安全制造架构(SMA):SMA致力于安全制造业的未来前景,该前景是建立在基于网络信息和安全设计的下一代架构之上的。最终达到目标:用于产品过程自动化和产品供应链网络的可用和有效的网络安全体系结构,以减少停机时间并加快创新的采用。
3、共享研发基础设施(SRDI):SRDI将引入一个值得信赖的生态系统,使未来制造业的创新能够在当今环境中得到验证。最终达到目标:联邦制造研究生态系统,允许安全开发和评估CyManII创新,并吸引新的行业参与者从关键部门供应链的“数字线索”。
4、漏洞意识 (CVA):CVA将定义未来网络漏洞的类别,并建立一个网络,每天,每周和每月向制造商分发漏洞信息。最终达到目标:侧重于减轻/防止制造业自动化和供应链网络脆弱性类别的行业风险管理。
5、员工队伍:CyManII将推出一种新的网络培训方法,为制造业工人为明天的工作做好准备,并为制造商提供必要的技能,以保护实体和网络资产。最终达到目标:虚拟/混合模式的基于经验能力的网络安全教育与员工队伍发展。
在这些核心研究主题中,为了推动未来就业和产业所需的研发,CyManII已经确定了18条关键的研究路线(具体内容未公布)。这些研究路线是通过高度综合的技术方法制定的,纳入了五个研究主题的内部和跨领域的见解。研究路线为确保美国制造业目前和未来的竞争力优势所需的转变至关重要。研究路线建立了制造商持续整合网络安全、网络弹性和能源效率改进的能力。这个路线图的重点是构建这些功能。
1、短期(1-3年):对网络安全、网络弹性和能源效率的创新和改进进行初始、适度的开发和实例化,并在SRDI上进行端对端持续改进和开发DevSecOps演示,用于一小组有形的场景(设备和用例)。
2、中期(4-6年):随着CyManII集成技术方法的广泛适用性的增强,性能和能力的开发也在加速,该技术可改善网络安全、能源效率和各种制造环境/用例的碳减排。
3、长期(7+年):持续/递增的创新和改进的数量稳定,具有完整性,并受到制造商在网络安全、弹性和能源效率方面的新挑战和机遇的驱动。
未来,制造业的数字化转型作为主流趋势,是机遇也是挑战将继续推动美国制造业的创新研究。在追求工业4.0及更高水平的过程中,制造业正在开发和整合新技术,从人工智能和机器学习到M2M技术以及工业互联网。总体来说,这些资源将为制造商提供在新时代蓬勃发展所需的灵活性和效率,但合并这些资源将迫使制造商应对各种新的挑战。
另一方面,随着工业数字制造技术的采用和进步,各种新的和不断变化的挑战也将不断增加。例如:系统的互连度将增加,从而增加系统的攻击面(即系统暴露的漏洞数量),面临安装硬件和验证通信互操作性的挑战,数据格式和通信协议的多样性也会加剧缺乏互操作性标准这一挑战等。
美国能源部门也认识到了这一趋势,其下属单位网络安全制造创新研究所——CyManII是美国唯一的一家专注于制造业网络安全的研究机构。此次CyManII发布的路线图给制造商提供了深入视野,以了解致力于保护美国制造业免受网络攻击的国家利益。
随着美国各类规模的制造商积极推动数据密集型、数字化进程,并越来越多地利用人工智能和机器学习的新兴应用,该路线图重点强调了保护该行业免受网络威胁的重要性和需要提高网络风险意识并提出了至关重要的对应网络威胁的研究路径与主题对策等。路线图的发布凸显了美制造业开始数字化转型,构筑竞争优势,确保美国在这一高增长领域的持续竞争力,抢占网络安全发展主导权的重要标志,将在近期内产生深远的影响。
关注六方云公众号,后台回复“2022美国制造业网络安全路线图”获取全文PDF