生命安全物聯網網路安全
談 UL 2900-2-3 標準如何降低安防設備網路風險

本文作者:UL 生命安全科技首席工程師 Louis Chavez

為協助提高關鍵性電子實體安全聯網系統的安全性能,UL 依據產業的投入實際現況,在近年所發展的 UL 2900 網路安全標準系列下增訂了最新版要求:UL 2900-2-3,其中載明基礎的網路安全性能和評估要求,以促使聯網產品廠商有所依循地針對已知漏洞、弱點和惡意軟體,進而設置網路安全的保護防線。


近年快速堀起的物聯網如兩面刃,一方面其為帶動了生活的快速便利與經驗值,但另一方面,其成為有心人士可以鎖定的攻擊漏洞。

環顧生活周遭,物聯網 (IoT) 已是無處不在,如智慧電表、商用保全監控攝影機或系統、程式處理器和自動提款機 (ATM) 僅是連接物聯網的生命安全 (安防) 設備一小部份。

根據全球知名市調公司 Gartner 集團的數據,2017 年有 84 億「物聯設備」投入使用,且預期至 2020 年的聯網設備數量將達 204 億之多。無論智慧電視、數位有線電視盒、智慧電表和保全監控系統等 IoT 設備之數量無疑將呈翻倍成長,此亦促使企業對企業 (B2B) 和企業對消費者 (B2C) 的使用者將享有即時回應的服務、使用經驗的加強及方便快捷等多方面與過往不同的體驗優勢。

在這其中,向來為使用者最為在乎的「資訊安全」方面,針對電子實體安全系統部份,組織機構即會進一步藉由 IoT 遠端辨識和監控與安全和保全等相關問題,以進行針對性的回應。如可快速更改數位金鑰,達到限制或允許瀏覽 (拜訪) 的目的,為系統添加一層加強性的保護。

只是還是無可避免的是,隨互聯技術更大肆興起,居心叵測的網路攻擊者乘勢利用網路管理軟體和作業系統內部存在的漏洞,製造出更多且更難臆測的網路釣魚、蠕蟲、機器人程式、勒索軟體和惡意軟體等形式之網路威脅。

是時候採取有所為的行動,掌控系統漏洞和強化產品免受攻擊了!UL 2900-2-3 從基礎風險下手再到企業流程系統,以風險等級措施提供確實的解決方案。

早在 2017 年初,美國聯邦通訊委員會 (FFC) 即已警告 IoT 廠商必須盡快解決網路安全風險,或遵循政府監管和強制性法規。而事實上,降低網路問題的核心在於該如何加強防範如 Mirai 等僵屍網路所發起的分散式阻斷服務攻擊 (Distributed Denial of Service, DDOS) 攻擊、或可讓駭客輕鬆攔獲的不安全管道…等。

FCC 在其網路安全風險降低白皮書 (2017年1月18日發表) 中提出了實施智慧型網路設計實踐規範,例如在產品發布前即採取身份驗證的保護措施和遵循最佳實踐方針;此外,比較起,FCC 更傾向於利用公私互作模式,但同時也提到:委員會可在必要的情況下提供可用的工具,用於調整以恢復平衡。

為協助提高關鍵性電子實體安全聯網系統的安全性能,UL 依據產業的投入實際現況,在近年所發展的 UL 2900 網路安全標準系列下增訂了最新版要求:UL 2900-2-3,其中載明基礎的網路安全性能和評估要求,以促使聯網產品廠商有所依循地針對已知漏洞、弱點和惡意軟體,進而設置網路安全的保護防線。

換言之,從事聯網設備研發的企業可透過《UL 網路安全保障計畫》(Cybersecurity Assurance Program, CAP),測試和評估某個產品軟體中是否存在惡意軟體、漏洞和弱點,並驗證產品的軟體架構和設計是否符合 UL 2900-2-3 規範中列舉的各項規範。

本文提及的電子實體安全基礎設備包括緊急通訊系統、火災警報系統、警報接收系統、自動櫃員機系統、存取控制系統、監控攝影機、DVR、NVR…等等。

UL 2900-2-3 將採用三種等級的安全方案,風險等級為逐級提高;其中涵蓋的測試類型為模糊測試、已知漏洞檢測、代碼和二進位分析、風險控制分析、結構滲透測試和安全風險控制評估。以下為三種等級概述:

  • 1 級 (L1) ── 包含標準所涵蓋的產品中軟體安全風險評估的基礎網路安全測試要求。L1建議為最低評估等級。
  • 2 級 (L2) ── 包含所有 L1 評估內容、以及針對產品中軟體安全風險評估的測試要求和其他補充要求。在已知產品內部安全控制的情況下,L2 亦可成為產品安全性能的評估。
  • 3 級 (L3) ── 包含 L1 和 L2 的評估內容,以及針對供應商流程和管理的測試要求和其他補充要求。在已知解產品內部安全控制和供應商採取那些可支援產品生命週期措拖的情況下,L3 亦可成為對產品安全性能的評估。

已是讓軟體發展者和廠商必須且切實了解系統漏洞和強化產品免受攻擊的時候了!UL 2900-2-3 可幫助確保產品軟體的性能和可靠性,減少停機時間和降低網路安全風險。

需要更多資訊或詢價,請電郵至 ULCyber@ul.com


資源下載
下載《談 UL 2900-2-3 標準如何降低安防設備網路風險》完整資訊頁

标签: , , , , , , , ,