设备制造商与机器制造商如何转向符合 CRA 认证的连接解决方案《网络弹性法案》( CRA)规定对于开发和维护工业设备及机器中通讯连接部分的制造商需承担长期的安全与维护责任。在我们前两篇文章中《CRA 正在重新定义工业连接》和《网络弹性法案》一场痛苦但必要的行业重塑我们探讨了这些责任的具体内容以及为什么尽管 CRA 引入了新的预期、流程和生命周期义务它仍然必不可少。本系列的第三篇文章我们将从“为什么要实现CRA”转向“如何实现CRA”。本文将解释为什么老旧连接技术难以达到 CRA 合规要求以及如果设备制造商和机器制造商将旧方案更换为现代化的、符合CRA标准的连接方案合规之路将如何变得事半功倍1. 为什么老旧连接技术难以实现 CRA 合规首先我们要问一个关键问题究竟是什么原因让旧有的连接方案难以对齐 CRA 的要求老旧方案、内部自研方案或定制化连接方案在设计之初从未考虑过 CRA。大多数方案构建时重点在于功能性而非网络安全、文档记录或生命周期义务。CRA 暴露了这些方案中难以甚至有时无法通过追溯补救的缺口。图1.老旧连接技术在设计上并未考虑 CRA 所要求的长期安全、文档记录和生命周期义务。以下是 HMS多年来遇到的常见问题文档缺失或不完整旧的连接协议栈通常缺乏设计文档测试报告版本历史软件物料清单 (SBOM)补丁记录安全决策的证明而 CRA 要求提供所有这些内容。维护主体不明确随着时间的推移职责往往会发生偏移。如果没有明确的责任人无人为长期的 CRA 义务负责更新和漏洞处理变得断断续续生命周期证据零散或缺失资源或专业知识有限CRA 要求结构化的安全工程和持续的文档化工作。许多团队缺乏专业安全知识用于持续维护的带宽将“原生安全设计”流程追溯应用到旧协议栈中的资源来源或维护不明的依赖项老旧连接方案通常包含来源不明的开源组件不再维护的协议库从前任团队继承的代码CRA 要求完整的可追溯性这在处理旧依赖项时很难实现。待更新的存量产品规模巨大当 CRA 必须应用于整个产品组合时上述挑战会被成倍放大。在工业自动化领域产品生命周期很长设备和机器通常在产线运行 15-20 年甚至更久。因此CRA 合规很少仅限于单一的新设计。设备和机器制造商往往面临更新多个在售产品代际维护客户仍有需求的旧型号使老旧产品对齐现代 CRA 要求与此同时更新包含核心产品软件功能的“主机应用程序”本身就是一项重大任务。如果在此基础上还要承担老旧通讯连接部分的全面 CRA 符合性工作内部资源很快就会捉肘见襟。连接往往是CRA落地中最难的部分虽然 CRA 适用于完整的设备或机器但在实践中连接部分通常是实现合规过程中最复杂、最耗费资源的部分。它涉及协议栈安全更新机制漏洞处理流程生命周期文档依赖项跟踪由于大量的 CRA 要求都集中在这一领域外包连接部分的 CRA 符合性工作可以显著减轻整体合规压力。架构并非为现代安全设计旧的协议栈可能缺乏安全启动固件签名更新验证回滚保护版本可追溯性在生命周期后期补齐这些功能不仅成本高昂有时在技术上也行不通。简而言之老旧连接方案成了瓶颈因为它当初的设计目标根本无法满足 CRA 现在的预期。2. 现代化的兼容CRA连接方案能简化哪些工作传统连接使CRA合规变得困难但现代化、符合CRA标准的连接解决方案可以简化大部分工作。图2.替换老旧连接方案可将大部分与 CRA 相关的安全及维护工作量从制造商身上转移。在深入细节前值得思考的是替换方案如何让合规变简单用现代化、符合CRA标准的通讯模块或网关取代自研或过时的连接制造商可以将大部分运营和安全工作量向外转移。有了现成解决方案CRA的核心职责由专门为长期安全和合规打造的产品和流程的供应商承担。突然之间以下工作对制造商来说变得容易得多更快、更安全的安全性更新现代连接方案包含定义明确的更新机制、文档化流程和标准化的发布周期。补丁交付更迅速、更安全且质量可控。减少内部安全流程工作制造商无需在内部建立和维护安全开发流程而是依靠已经运行合规流程并提供必要证明的连接供应商。职责边界清晰有了CRA兼容的连接解决方案责任划分明确供应商负责通讯协议栈的安全制造商负责产品集成和系统级决策这消除了歧义减少了内部协调成本。一种面向未来的方法现代方案旨在满足不断发展的标准。随着 CRA 指南、协调标准和市场预期的演变制造商将受益于供应商的持续支持而无需独自应对变化。3.通过替换老旧连接方案制造商可规避的高强度任务转向CRA兼容的连接方案可以消除大量的技术和组织工作。以下是制造商可以避开的最耗资源的任务维护协议安全性更新老旧协议栈需要持续更新以实现工业协议加密库安全原语通信接口兼容CRA方案的将这一维护重担全部转嫁给了供应商。漏洞监测制造商不再需要亲自追踪通用漏洞披露 (CVE)开源项目安全通告供应商安全告示协议层漏洞连接供应商会处理所有的漏洞监测与通报。构建并验证安全更新机制安全启动、固件签名、更新验证、回滚保护和审计追踪都变成了供应商的职责。每次变动后的重新认证自研协议栈的任何重大更新都可能触发重新测试或认证。而成熟方案在中心侧管理这些开销减少了重复劳动。管理供应商证据制造商不再需要从数十家芯片、操作系统或库供应商那里收集 CRA 声明。通讯组件本身就提供了所需的全部 CRA 文档。从实际角度看替换老旧连接意味着制造商不再需要亲自维护通讯安全。相反他们采用了一种解决方案能够实现安全更新生命周期文档漏洞监控这让团队能够专注于产品功能集成而非通讯维护。4.制造商仍然拥有且始终拥有的责任减少CRA的工作量并不意味着转嫁全部责任。2即使是最好的连接方案也无法消除所有的 CRA 义务。设备制造商对整机产品的 CRA 合规性负有最终责任。图3.有效的 CRA 合规依赖于明确定义的责任划分。改变的是工作量的分配。使连接部分达到 CRA 合规要求所需的大部分工作可以由供应商完成而制造商保留对整体产品的责任。制造商仍需负责以下内容产品级集成必须正确集成连接组件包括配置电气设计固件交互系统行为这始终是制造商的工作。系统级风险评估CRA 要求制造商了解完整产品在预期环境中的行为包括网络行为用户场景安全交互客户沟通制造商必须提供安全文档更新沟通生命周期政策用户责任说明在 CRA 框架下整个生命周期的透明度是强制性的。总之现成的连接解决方案显著降低了CRA的技术复杂性但它不能取代制造商在安全产品交付中的角色。结论实现CRA合规的切实可行路径这为准备应对 CRA 的制造商提出了最后一个问题一条现实且可持续的合规路径是什么样的老旧连接方案之所以让合规变得困难是因为它在设计基因里就没有“长期安全、文档化和生命周期责任”。将其替换为现代化的、兼容CRA的方案可以卸下许多繁重的义务3包括协议维护漏洞监测安全更新机制重复认证依赖项文档管理虽然制造商仍需掌控系统级安全和产品集成但使用CRA兼容的连接解决方案提供了更可靠、更高效且更可持续的合规路径。在下一篇文章中我们将探讨为什么 CRA 义务正迫使组织重新思考连接部分的架构、归属和维护以及为什么这将演变成一个战略决策。CRA资源与连接解决方案无论您是在更新现有设备还是设计新产品正确的连接策略都是应对 CRA 的关键。了解更多关于《网络弹性法案》的信息探索 Anybus 网关及嵌入式解决方案助您构建安全、可维护且面向未来的设备。了解更多关于CRA的信息Anybus 网关Anybus 嵌入式解决方案