可下载 |《美国2022年制造业网络安全路线图》摘译

2022年7月，美国制造业网络安全研究所发布《2022年制造业网络安全路线图》。赛迪智库世界工业研究所对报告进行了编译，期望对我国有关部门有所帮助。

“

报告认为，未来制造业将朝向数字化、民主化、低碳的方向发展，但这种数字化转型也为制造业的网络安全带来了挑战，美国制造业应致力于提高其应对网络攻击的能力。报告阐述了美国先进制造业的现状和面临的挑战以及制造业网络安全研究所在面对数字化转型时存在的挑战、机遇和措施，同时展示了实现制造业网络安全的具体路线。

”

一、概述

未来的工作将具有可靠、安全、智能的特点；未来的工业将朝向数字化、民主化、低碳的方向发展。这依赖于制造商不断地进行优化和创新，将新技术应用于传统系统的物理层、网络层和能源层。这种新旧技术的融合可以显著提高整体设备效率，从而降低成本、提高生产力并推动创新，进而增强美国制造业的竞争力。然而，这种数字化转型也造成了新的、更广范围的攻击面"，而这些攻击面"的保护难度大且成本高昂，并可能造成代价高昂且影响深远的损害。在这种新型制造环境中，加大了让制造业的合作伙伴、所有者、运营商和消费者相信他们的产品和知识产权是安全的、受保护的难度。

（一）美国制造业的未来状况

为提升效率，美国制造商正致力于部署先进数字化制造技术，并根据具体情况调整对相关网络风险的监督力度。虽然能够有效的管理制造工艺层面网络风险，但由于先进制造业构建融合了流程、企业、供应链和生态系统的数字线程，大幅增加了网络风险的种类和复杂性。图1详细描述了当前状态和未来状态，同时展示了制造业网络安全创新研究所在推动当前状态转变为未来状态、保障制造业的网络安全和高效的数字制造方面的途径。

（二）运营与安全

大多数制造企业通常都能够很好地整合工艺流程，这为整合整个企业的安全性奠定了良好基础。但过去只能在特定机器或系统中嵌入安全性设计，无法嵌入系统架构。总体上讲，制造业网络安全创新研究所不仅在单台机器/工艺层面整合安全性和进行操作，也在生产线和工厂作业层面、并利用制造业网络安全创新研究所的安全制造架构（SMA）在企业、供应链和生态系统层面进行整合。

（三）与美国制造业密切合作

制造业网络安全创新研究所最重要的功能之一是与制造业保持密切合作，以了解制造业面临的挑战并协力确定解决方案。制造业网络安全创新研究所旨在为美国制造商营造安全的网络环境，使其今后免受将会遇到的物理安全威胁。

制造业网络安全创新研究所是一家致力于解决制造业网络安全基本挑战的研究机构。由于网络安全的成熟度千差万别，因此制造业网络安全创新研究所基于制造商目前正在使用的运营网络以及制造业和国家的优先事项，为制造商开发大幅改进的未来网络状态。这种未来状态以稳健、弹性和脱碳为特征。

（四）研究主题

根据上述指导原则，制造业网络安全创新研究所正在着手组建拥有制造业综合能力的企业联合体，广泛开发和部署新创新成果，同时提高制造车间和操作人员的技能。在研究量化分析、体系架构、基础设施、网络安全态势感知和劳动力的核心主题时，以合作、系统和敏捷的方式应对基本技术挑战。

基于上述核心研究主题，为推动未来工作和工业所需的研发，制造业网络安全创新研究所利用高度综合的技术方法制定了18条关键研究路线，包含对五个主题进行的单独研究和跨主题研究。对于制造业网络安全创新研究所而言，这些研究路线是实现美国制造业转型、提高其当前和未来竞争力的重要途径。

（五）当前机遇

除保护美国制造业的直接任务之外，制造业网络安全创新研究所还可以保护美国的关键基础设施。制造业网络安全创新研究所可以通过多种途径增强美国的国家安全，包括下述三个案例。

1.制造业网络安全创新研究所构建的安全制造架构（SMA）技术方法是一种实施和扩展网络信息工程（CIE）原则的新兴手段，通过将网络因素整合为工程风险管理的基本要素，在初步开始设计工业控制系统（ICS）生命周期时便考虑了网络风险。作为具有全国影响力的国家研究所，制造业网络安全创新研究所是协助美国能源部制定政策和部署国家网络信息工程战略的最佳选择。

2.第14017号总统行政令《美国的供应链》要求提交能源部门制造业基地供应链报告"。响应该行政令的报告体现了美国政府建立能源部门制造业基地（ESIB）的第一个全面计划。根据美国能源部的规定，能源部门制造业基地是指能源部门和相关供应链，包括直接和间接参与能源部门的所有行业/企业和各相关方。因此，能源部门涉及的行业及供应链网络极为多样化。作为美国能源部的一项重大投资，制造业网络安全创新研究所可以确保美国制造业成功回流，是建造国家能源部门制造业基地的重要一环。通过研究能源网络安全与排放量化（CEEQ）的技术方法，制造业网络安全创新研究所推动了由多个资产所有者和制造商组成的能源部门制造业基地的开发。

3.依据第116届国会第92号公法《2020财年国防授权法案》第5726条，美国能源部在国家实验室内设立一个为期两年的试点计划，通过与相关联邦机构、学术合作伙伴、能源部门资产所有者和运营商以及关键部件制造商的合作，确定能源部门新安全漏洞，并评估技术和标准，以防止关键能源部门系统的工业控制系统出现安全漏洞和遭受攻击。在制造业网络安全创新研究所的带领下，发现了美国关键基础设施中存在的20类网络漏洞。鉴此，美国能源部委任制造业网络安全创新研究所负责确定和降低美国国家关键能源基础设施中的网络漏洞。制造业网络安全创新研究所的工作重点是发现工业控制系统的特定安全漏洞，并创建列举常见漏洞的共享基线。

二、数字化转型

数字设计、先进制造和产品创新正在创建一条新的!数字线程"，以连接消费者、中小型制造商、大型制造商和为其他制造商供应数字技术的原始设备制造商。这些数字线程生态系统有助于提高美国的全球竞争力、推进制造业的民主化和振兴美国的创新。目前，这些数字线程只是由架构、协议和信息共享拼凑而成，其安全不够完整或无法执行，这为许多中小型制造商带来了额外的难题和支出。因此，要确保美国制造商和供应链安全高效，关键是要构建安全的网络数字线程。

（一）保护数字线程

一直以来，制造业都是一个国家遭受网络攻击的常见目标行业。由于网络漏洞的存在，知识产权每年都暴露于风险之中，对系统及运营商造成无法估量的损失，并使制造商因停机而损失数百万美元。除此之外，这些网络攻击使许多制造商无法采用新技术和数据管理系统，因而无法减少浪费、提高生产力以及提高在市场上的整体竞争力。最新调查显示，91%的制造商在数字技术方面进行了投资，但35%的制造商表示考虑到随之而来的网络安全挑战和安全漏洞，只对此进行了保守投资。

（二）制造业网络安全创新研究所的优势和机遇

制造业网络安全创新研究所全程保护新旧系统的数字线程，这有利于提高美国制造业竞争力。同时，制造业网络安全创新研究所将解决自动化和供应链网络安全的基本挑战。制造业网络安全创新研究所抓住与制造商合作的机遇，致力于提高美国国内生态系统的竞争力，使中小型制造商和原始设备制造商能够以灵活的方式参与并转向安全的新市场。制造业网络安全创新研究所的安全制造架构减少制造优质零件的时间和不确定性，提高劳动力、材料、能源和排放的整体运行效率，并在促进制造商运营和供应链脱碳的同时，提高生产力和利润率。

（三）制造业网络安全创新研究所与美国制造业的合作

为帮助制造商认识制造业网络安全创新研究所的优势，并抓住上述机遇，制造业网络安全创新研究所专门开发了集成方法。该集成方法构建了将研究主题与技术和非技术工作流程的联系起来的框架。这些工作流程植根于制造业的需求，旨在帮助制造商克服即将面临的挑战，同时发挥数字线程的潜力。

三、先进制造行业概述

（一）美国制造业的现状

美国制造业能源消耗量约占其每年能源消耗总量的25%，与全球范围内制造业消耗能量的占比相当（见图4）。美国制造业消耗能源达1300亿美元，约占美国国内生产总值的11%，提供了近1500万个直接就业机会。多项报告指出，美国制造业每投入1美元，就会在其他经济活动中产生1.3美元到1.8美元不等的价值，是投入产出比最高的经济部门。美国大约有30万家制造企业，其中绝大多数被归类为中小型制造商。

（二）制造业发展趋势总结

各制造业部门因其不同的工艺流程、优先事项和劳动力二存在显著差异，但也存在着共同的发展趋势和注意事项。了解制造业的发展趋势是将数字线程纳入设计—构建—交付生命周期的关键，该过程包括以下步骤：

数字线程具有多个名称，例如智能制造、工业 4.0/5.0、工业物联网，但这些名称都包含了从工厂车间连接数字网络的特征。制造商在部署数字线程时面临着一些挑战，例如系统集成问题和收购企业之间的数据/通信不一致，这也正是制造业网络安全创新研究所要解决的问题。

译自：

Cybersecurity Manufacturing Roadmap 2022, May 2022 by CyManII

以上是部分内容，完整版译丛，点击文章左下角“阅读原文”查看

来源丨赛迪智库