美国保险商实验室(UL)今天宣布了一项新的网络安全保障计划(CAP),该计划使用一套新的标准来测试网络连接产品的软件漏洞。
的新UL认证将成为物联网(IOT)产品互联网的两家供应商和谁想要降低风险产品的购买者。
这些检测标准是由行业官员、学者和美国政府参与的一个自愿项目的一部分。
奥巴马总统的广阔网络安全国家行动计划在2月份发布,详细介绍了长期战略,以提高网络安全意识和保护。奥巴马的计划特别指出,UL与国土安全部合作,开发CAP测试和验证网络设备“无论是冰箱或医用输液泵,这样,当你买一个新的产品,你可以肯定它已通过认证符合安全标准“。
UL还指出,CAP还将用于测试和认证关键基础设施中的物联网设备,如能源、公用事业和医疗保健。
UL CAP将评估网络可连接产品和系统的安全性,以及供应商用于开发和维护产品和系统安全性的过程。
UL网络安全技术服务的负责人肯·莫德斯特在一次采访中说,自去年9月以来,CAP标准已经在几个供应商的试点项目中进行了测试,以“确保我们有可重复的、可重复的质量保证标准”。
“解决网络安全的挑战是一个长期的游戏,没有什么灵丹妙药,”莫德斯说。
他表示,CAP的部分价值将是帮助软件和设备制造商包括来自第三方和开源供应商的众多补丁和更新,这些补丁和更新用于与设备一起使用的应用程序或软件产品。
他补充说,安全漏洞的一个原因是,补丁并不总能移植到成品上。成品中使用的软件元素列表“不如硬件先进,你知道它的来源和来源,你可以确定一个来源有缺陷。”
UL的CAP将依赖于一个公开的政府漏洞数据库,该数据库由美国国家标准与技术研究院(National Institutes of Standards and Technology)保存,该数据库对全球范围内的产品漏洞进行跟踪和列举,并每日更新。它有众多的产品列表,包括桌面和移动平台。它还列出了缺陷和补丁,并确定哪个版本的软件有一个补丁来解决特定的安全缺陷。
使用NIST数据库将使UL CAP计划在经济上可行,莫德斯说。
他补充称,UL测试的定价仍在制定中,但将根据产品是恒温器还是核磁共振成型机而有所不同。
“这在经济上是合理的,”他说。“关键是软件供应商要去找买家说,‘我已经从这个受信任的方做了尽职调查。’”
UL是一家独立的公司,120多年来一直在科学领域提供以安全为重点的建议,包括检测和认证;它拥有6.7万名客户。
这篇文章《UL承担网络安全测试和认证》最初发表于《计算机世界》 。