美國《2022年國家安全戰略》的資安之矛｜專家論點【Howie Su】

資安已成為僅次於半導體的重點領域

2022年10月12日，美國白宮公布《2022年國家安全戰略》，發布時間在中國大陸二十大召開前，內容提及未來十年中國是「美國地緣政治最大挑戰」。值得一提的是，科技與製造業者成為報告重點之一，美國政府現在已經在科技與軍事發展、國安議題連成一體，所有技術與產品未來都可能被嚴格審視，必要是實施技術禁運，搭配資安標準作為後盾，也便於技術控管，避免前瞻科技落入競爭國家手上。《2022年國家安全戰略》具備兩大項目值得業者關注：強化製造業創新投資與建立強韌資安防護力，未來將可能由美國政府強力主導。

而在產業資安議題上，《2022年國家安全戰略》最重視的是供應鏈安全問題，根據美國身份竊盜資源中心的調查指出，2021年針對供應鏈源碼的攻擊次數增加41%，因此提升產業資安，特別是電子製造業的資安勢在必行，做法有二。第一為針對關鍵產業設立資安措施，例如電腦作業系統規範（如作業系統長期支援）、網路安全（如網路傳輸安全）、端點保護（如弱點掃描、惡意程式掃描、端點防禦機制、存取控制）、資訊安全監控；同時也強化工業控制漏洞，例如軟體、控制器、工業交換器、人機介面設備，這些設備一但癱瘓就容易造成嚴重損失。

第二為提升供應鏈可視性與資安，傳統產業供應鏈中所運用的企業資源規劃(ERP)與供應鏈管理(SCM)解決方案多用於內部資訊流通，而企業在供應鏈風險下須建立上中下游廠商間的資訊互通，以防止供需失衡問題。其中，提升各環節的可視性為部署重點，在數位技術基礎上，如物聯網、人工智慧、5G、雲端的支援下，有效協調各供應商間的合作，降低非必要延遲，同時企業必須建立各種數據傳輸的標準，使供應鏈上下游廠商可以進行可信任與透明化的資訊交換，而這樣浩大的工程需物聯網設備的參與，而這些都是資安業者可強化之處。

IEC 62443成為製造業資安主角

IEC 62443除應用於工業控制相產業外，也涵蓋能源、運輸、基礎建設產業，該標準是國際自動化協會(International Society for Automation，ISA)和國際電工組織委員會(International Electrotechnical Commission，IECEE)所推出的工業自動化控制資訊安全標準(Industrial communication networks – IT security for networks and systems)，該標準重點在產品開發的流程、服務及系統整合，涵蓋安全需求定義、系統設計、系統導入、測試驗證、缺陷管理、產品週期，以生產出安全的工業系統，事實上，在疫情過後，IEC 62443 的發證數量開始快速成長，一大原因是製造業供應鏈的資安需求提高，未來三至五年應持續發展態勢。而為衡量成熟度，IEC 62443以能力成熟度模型整合(Capability Maturity Model – Integrated，CMMI)為基礎，發展出六個部分。

這六個部分分別為一般(General)、政策與程序(Policy and Procedure)、系統(System)、組件(Component)、設定檔(Profile)、評估方法(Evaluation)，其中，設定檔與評估方法目前依舊處於發展階段，因此未來幾年內在工控資安領域仍然有相當調整空間，使IEC 62443逐漸完善。同時，IEC 62443將產業中的角色分成四種，分別為產品供應商(Product Supplier)、系統整合商 (System Integrator)、服務提供商(Service Provider)，以及資產擁有者(Asset Owner)等，這四種角色再根據不同性質對應不同資安標準，分為針對系統、零組件、解決方案的「安全性標準」，與針對系統開發流程、安裝、設定、維護、更新的「程序標準」。

密切觀察資安是否成為未來封鎖措施

由於美國的管制範圍已從半導體延伸到人工智慧、微電子，以及量子電腦領域，同時也制定「對外投資審查機制」行政命令，審核流向特定中國大陸技術的資金，在軟硬體技術與資金的雙重夾殺下，台灣的製造業者或許可從中發現新市場。在技術與產品部分，關鍵基礎設施、網通、工控電腦、電子製造等產業可合組資安聯盟，網路防衛及通訊安全進行合作，如透過推動CMMC認證機制，一方面防止潛在國家支持的駭客組織入侵，一部分也可切入新興應用市場如電動車、人工智慧、5G、低軌衛星等產業鏈，將資安視為拓展未來市場的必要要素。

瀏覽 978 次