美国发布《2022制造业网络安全路线图》
【学术plus2021新春大礼包】|2019学术大礼包丨加入学术plus丨2018学术大礼包丨2017不可以错过的重磅报告们
2022年5月27日,美国能源部公布了未来五年美国制造业加强竞争、网络安全和供应链管理的一系列优先事项。《2022制造业网络安全路线图》由美国能源部下属国家级研究机构网络安全制造创新研究所(CyManII)发布,该路线图概述了未来五年美国制造业网络安全的广阔前景,并直接针对中小型制造商(SMM)、大型制造商以及为大型生产行业提供服务的原始设备制造商(OEM)提出发展建议。
美能源部发布加强制造业网络安全公共路线图
编译:学术plus观察员 麦客
1.背景:美国制造业数字化转型将扩大网络安全的“攻击面”,造成制造业与经济发展重大风险
2.CyManII路线图:网络风险管理融入制造流程层面(全行业的安全制造架构/SMA;与美国制造商紧密联系;关键研究路线)
3.实施方案:针对关键基础设施的网络安全
①协助制定和部署美国网络信息工程/CIE战略
②支撑美国能源行业工业基地
③识别并隔离关键能源基础设施中的网络漏洞
4.评析:在未来几十年里,数字化转型仍将作为主流趋势,继续推动美国制造业的创新研究。网络安全制造创新研究所 (CyManII)此次发布的路线图为美国未来制造业、包括关键基础设施的网络安全部署明确了基本目标与实施路线,凸显了美国为构筑制造业竞争优势,抢占网络安全主导权的重要举措,其后续相关发展值得高度关注。
ENISA:2020人工智能网络安全威胁图谱美国政府问责局紧急呼吁建立《国家网络安全战略》美国《网络安全指南》规范网络事件响应“全流程标准”
美国防部2022财年预算:网络安全与作战预算超百亿美元兰德报告《衡量网络安全和网络弹性》
美国政府问责局《武器系统网络安全报告》内容主要整理自外文网站相关资料仅供学习参考,欢迎交流指正!文章观点不代表本机构立场*****
阅读英文原文/完整报告请点击文末:阅读原文
网络安全制造创新研究所(CyManII)由美国能源部发起,是唯一一家专注于美国制造业网络安全的研究所。旨在推动高能效制造领域的网络安全的研发,通过开发新的网络安全技术和创新,提高制造业的效率。CyManII团队汇集了来自工业界、学术界和国家实验室的制造和网络安全领域的专业一流人才,并与美国制造商群体建立了良好的信息分享机制。CyManII创造了“网络安全革命”,提高了运营弹性、生产力和经济效益。
1.背景
背景:美国制造业数字化转型
美国各类制造商正在推动数据密集型、数字化的流程与转型,并利用人工智能和机器学习等新兴应用提高生产力。然而,这种数字化转型也会创建新的更大的“攻击面”,目前除了IP盗窃和勒索软件之外,网络攻击将越来越集中于高级、持续性的威胁或破坏,对美国关键制造业生态系统与经济造成巨大风险。
正是认识到这种环境和这些挑战的紧迫性,DOE创建网络安全制造创新研究所(CyManII)——在制造业、研究和学术机构以及联邦政府机构中开展工作,开发技术,促进美国制造业繁荣和发展。这种合作的使命旨在使美国制造商更加适应当前的网络攻击,同时为公司提供必要的培训,以抵抗不断变化的威胁。同时,开始设计和实施下一代的安全架构。
而针对持续且高级别的网络攻击的动态情况,该路线图将网络安全融入到美国制造运营中。确保制造商的IP、重要数据和系统操作在关键制造的数字线程中能够实现网络安全。
2.路线图
CyManII路线图
CyManII路线图概述了未来五年美国制造业网络安全的广泛愿景,直接针对供应大型生产行业的中小型制造商、大型制造商以及原始设备制造商。路线图旨在通过使美国制造商成为世界上最安全的网络,为行业转型提供一条稳健和积极的途径。路线图主要分为以下几个部分:
2.1 安全数字制造
美国大部分制造商都在部署先进的、可快速提高效率的制造和数字技术,为此,CyManII将安全制造的创新方法与对网络威胁的认识相结合,将网络风险管理融入制造流程层面,并以此推动美国制造业走向安全数字制造的未来状态。然而,随着先进制造向集成流程、企业、供应链和生态系统的数字线程发展,网络风险的性质和复杂性急剧增加。下图显示了网络安全、高效数字制造两者之间的路径的现状、未来状态和CyManII研究主题促成因素。
图:通往未来状态的路径
构建专门设计的安全架构,同时认识到遗留设备在大多数制造操作中发挥的重要作用;
定期更新以确保与最先进的技术兼容并抵御新的网络威胁类似,不断升级制造系统以确保最大效力、效率和网络安全。
2.2 全行业的安全制造架构(SMA)
安全制造架构(SMA)。在大多数制造企业中,运营通常是良好的集成,这为整个企业集成安全性提供了基础。然而,安全性可以设计成特定的机器或系统,但很难设计成系统架构。CyManII的整体方法是使用CyManII的安全制造架构(SMA)集成安全和运营,不仅在单个机器/流程级别,而且通过生产线和工厂运营,最终构建起安全的企业、供应链和生态系统。该安全方法类似于早期的全行业努力,通过将质量集成到产品和流程(包括设计产品、生产系统和整体供应链)来优先考虑质量。
2.3 与美国制造商紧密联系
CyManII最关键的职能之一是与制造业接洽,了解挑战,并与合作伙伴确定解决方案。由于网络安全成熟度水平差异很大,CyManII目前正在积极引导制造商将改善网络安全状态。这种未来状态由其鲁棒性、弹性和脱碳性质来定义(见下表):
美国政府方面:鲁棒性系统可最小化关键经济领域的破坏,保护国内重要技术;弹性系统增加关键基础设施的可靠性,减少能源浪费;清洁干净的脱碳系统增加美国竞争力和能源生产力,同时应对气候变化的影响。 在制造业方面:鲁棒性提高竞争力,保护员工免受网络物理的威胁;弹性系统最大化生产率、敏捷性、利润和机会;脱碳系统减少浪费和辐射,提高利润和实现环保目标。
近期(1-3年):网络安全、弹性和能源效率方面的创新和改进的初始、适度开发和实例化,在SRDI上进行端对端持续改进和开发DevSecOps演示,用于一小型有形场景(设备和案例)。
中期(4-6年):随着CyManII综合技术方法广泛适用性的增加,性能和能力的开发加速,以改善网络安全、能源效率和碳减排的各种制造环境/案例。
长期(7年以上):持续/增量创新和改进的数量稳定,具有完备感,受制造商在网络安全、弹性和能源效率方面新出现的挑战和机遇驱动。
3.实施方案
关键基础设网络安全:当下可做的三个方案
3.1 协助制定和部署美国国家网络信息工程战略
在网络信息工程(CIE)原则的基础上,CyManII构建安全制造架构(SMA)的新兴技术方法,在工业控制系统(ICS)生命周期早期“设计”网络风险,并生成安全架构。其中,CyManII作为具有全国影响的国家研究所,可协助美国能源部(DOE)制定和部署国家CIE战略。
3.2 支撑美国能源行业工业基地
美国供应链行政令(第14017号行政命令)要求提交“能源部门工业基础供应链报告”。这些代表了美国政府建立能源行业工业基地(ESIB)的第一个综合计划。能源部将ESIB定义为能源部门和相关供应链,包括直接和间接参与能源部门的所有行业/公司和利益相关者。作为美国能源部的一项重要投资,CyManII是实现美国制造业安全再支撑的国家ESIB途径的关键合作伙伴。
3.3 识别并隔离关键能源基础设施中的网络漏洞
2020年《国防授权法》第5726条(出版物号L.116-92)指示DOE与相关联邦机构、学术合作伙伴、能源部门资产所有者和运营商以及关键组件制造商合作,在国家实验室内建立一个为期两年的试点项目,以确定能源部门安全漏洞的新类别、评估相关技术和标准,以隔离和保护综合控制系统的安全漏洞,并利用最关键的能源部门系统。CyManII在这一过程中发挥了重要作用,领导识别美国关键基础设施中存在的二十类网络漏洞。在这项工作的基础上,DOE选择CyManII为国家提供领导,以识别和缓解国家关键能源基础设施中的网络漏洞。CyManII的工作重点是识别特定于ICS的安全漏洞类别,创建所列举的共同弱点的共享基线。
4.评析
参考链接:
https://cymanii.org/roadmap2022/
关注全球顶层战略
聚焦中国电科四大板块
(一)大国竞争篇
(二) 战略科技篇
(三) 国防军事篇
《中国电子科学研究院学报》欢迎各位专家、学者赐稿! 投稿链接 http://kjpl.cbpt.cnki.net 邮箱:dkyxuebao@vip.126.com