UL 2900 網路安全標準出爐,全新《網路安全保障計畫》上路
服務上路
IOT ── 就是要安全
隨著 NET 世代的來臨,網路成為無所不在的應用媒介。然而「水能載舟,亦能覆舟」,在享受網路所帶來的無處不便之際,你我也很可能不知不覺地曝露在暗伏危險的環境之中。一般來說,「網路安全」(Network Security) 包含網路裝置安全、網路資訊安全與網路軟體安全。所謂的「網路駭客」,常藉由入侵網路系統達到竊取敏感資訊為目的,亦有採用網路攻擊方式來癱瘓同儕企業,造成競爭對手無法正常營運等案例。
網路攻擊威脅下該有的積極作為
隨著物聯網 (IoT) 的發展,網路攻擊較之以往更顯複雜且更難防範,消耗的成本更多,因此安全措施絕對重要。根據 Gartner 與其他產業報告,2020 年全球將有 210-500 億台連網裝置;IDC 研調機構的預估亦指出,截至 2018 年,66% 的網路將出現 IoT 安全漏洞。顯然地,全球沒有任何一家企業,甚至是消費者,能逃過不斷襲捲而來的網路風暴。尤其網路安全的威脅瞬息萬變,風險與日俱增,市場流通的產品與服務皆可能面臨安全性與金融風險,但正向來看,這些空前的挑戰,必然會帶動新防禦機制的發展。
以美國為例,今年二月,歐巴馬政府即在正視資安防護下,宣布一項預算高達 190 億美元的全國性資安計畫 ─「國家資安行動計畫」(Cybersecurity National Action Plan, CNAP),專用於提升美國政府內部與各產業的資安能力。該行動計畫包括建立聯邦政府的資安協調機制、全面檢修過時的電腦系統、簡化聯邦網路系統及提高效率、推動連網設備的認證、投資資安研究、培育資安人才等,另將設立資訊安全官職務及強化國家資安委員會擔任計畫專責機構。
UL 跨界新服務:網路安全保障計畫 (UL CAP)
為降低物聯網技術中潛藏的安全與效能風險,《UL 網路安全保障計畫》(Cybersecurity Assurance Program, CAP) 應運而生,其根據美國聯邦政府、學術界與產業界重要利害關係人所提供的建議而制定,旨在強化關鍵基礎建設 (Critical Infrastructure) 中供應鏈的安全措施。該計畫援用全新 UL 2900 系列標準,能為連網產品與系統提供網路安全測試準則,以評估軟體漏洞與弱點、降低被入侵的風險、處置已知的惡意軟體、檢視保全控制項目,並提升大眾安全意識。目前 UL CAP 的服務與軟體安全作業已被美國國家資安行動計畫視為測試與認證 IoT 連網裝置的重要方法,特別是能源、公共 事業與醫療照護等重要基礎建設。
「關鍵基礎建設的可用性與完整性 跟社會安全與福祉息息相關。因 此,一套可依據通用可靠的安全準則來衡量系統安全性的完善計畫非
常有用, 」美國杜克能源公司 (Duke Energy) 策略長 Terrell Garren 表示。UL CAP 提供可靠的第三方認證支援,以及可評估連網產品與系統安全性與廠商流 程的功能,讓廠商以安全性為核心,開發與維護產品與系統。
「我們的目的是提供一套安全性計畫,支援創新並迅速發展的物聯網技術,」UL 連線技 術總監 Rachna Stegall 表示。「愈多裝置相互連接,各產業的產品與服務就愈容易被潛在 的安全風險襲擊。透過有系統的風險衡量與評估方式,UL CAP 能協助公私營機構的製造
商、採購人員與終端使用者降低這些風險。」
總體而言,針對連網產品與系統,UL 可提供的網路安全服務包括:
• 以 UL 2900 網路安全標準或特定要求為基礎的安全性測試準則
• 根據 UL 2900 網路安全標準的測試到認證
• 提供供應商流程的評估與風險評測,以協助安全 (Security) 產品與系統的開發與維護
• 針對產品設計與向第三方廠商採購元件等方面提供安全準備教育訓練
藉由 UL CAP 的認證支援 ,供應商可運用新興的技術與能力,專注於開發市場時下所需的 產品創新。針對供應商最要求的靈活性,UL CAP 亦能滿足廠商的各種需求。
探索 UL CAP 與 UL 2900 系列標準
鑒於關鍵基礎建設的資產所有人體認到開放原始碼技術的重要性,因此因應此需求,UL CAP 不僅能簡化連網產品與系統、架構與網路安全策略,還能讓彼此相互配合運作。「未來,UL 將扮演不同的角色,為網路安全保險業者提供一套通用方式,協助其更有效率地為採用 UL 認證技術與流程的企業評估網路風險。在短期內,我們期待看到 UL 2900 成為核心標準,幫助美國企業與政府建置更安全的物聯網環境與關鍵基礎建設。我們相信UL 認證將發揮重要作用,讓我們的產品做出市場區隔,」全球網路安全政策部署專家 Reprivata 總裁、開發者暨首席架構師 David Wallace Cox 表示。
UL CAP 可幫助各界找出產品與系統中的安全風險,並提供降低風險的建議,包括工控系統、醫療設備、汽車、暖通空調製冷設備、照明產品、智慧家庭、家電、警報系統、火警系統、建築自動化、智慧電表、網路設備與消費性電子等產業;所採納的 UL 2900 系列標準不僅提供基本的技術條件,衡量並提升產品與系統的安全性,甚至能配合市場發展所產生的安全需求,適時建立與整合其他技術準則。在這其中,UL 2900 標準所涵蓋的組織評測 (Organizational Assessment) 還能協助評估供應商、系統整合商、資產所有人進行無疑慮之安全(Security) 產品與系統的設計、開發及維護等流程。
只要符合 UL 2900 系列標準所定義的條件,該產品或系統就能獲 UL 認定為「符合 UL 2900 標準」而取得證書與詳細測試報告。除此之外,根據 UL 2900-1 部份要求或客戶指定要求所執行的測試,亦皆能取得測試報告。
及早採用 UL CAP,不僅可利用市場區隔早日取得競爭優勢,並可降低因網路攻擊所產生的資安風險:
• 非預期的停機與生產損失
• 昂貴的資產損失
• 信譽毀損
更多關於 UL CAP 的資訊,請瀏覽:https://www.ul.com/cybersecurity;欲知更多關於《UL 2900 連網產品的軟體網路安全標準》, 可連結
http://ulstandards.ul.com/access-standards/ 取得 UL 提供給客戶的免費 UL 2900 複本。
若有任何產品測試、評估或認證的問題,請電郵至 ULCyber@ul.com。
标签: IoT, UL 2900 標準系列, UL Cybersecurity, 物聯網, 網路安全, 網路攻擊, 軟體安全