美国保险商实验室(UL)今天宣布了一项新的网络安全保证计划(CAP),该计划使用一套新的标准来测试网络连接产品的软件漏洞。
的新UL认证将为事物互联网供应商(IOT)产品以及想要减轻风险的产品的买家。
这些测试标准是一个自愿项目的一部分,该项目涉及行业官员、学者和美国政府。
奥巴马总统广泛网络安全国家行动计划在2月份发布,详细介绍了一种改善网络安全意识和保护的长期战略。奥巴马的计划专门指出,UL与国土安全部门合作开发CAP测试和认证网络设备“无论是冰箱还是医用输液泵,所以当您购买新产品时,您可以确保它已被证明符合安全标准。“
UL还指出,CAP还将用于测试和认证关键基础设施内的物联网设备,如能源和公用事业以及医疗保健。
UL CAP将评估网络可连接产品和系统的安全性,以及供应商用于开发和维护产品和系统安全性的过程。
UL网络安全技术服务负责人肯·莫德斯特(Ken Modeste)在接受采访时表示,自去年9月以来,CAP标准已经在几家供应商的试点项目中进行了测试,以“确保我们有可重复、可复制的质量保证标准”。
莫德斯特说:“解决网络安全的挑战是一场漫长的游戏,没有什么灵丹妙药。”
他说,CAP的部分价值将帮助软件和设备制造商将第三方和开源供应商提供的应用程序或软件产品中的所有补丁和更新纳入其中。
他补充说,安全漏洞的一个原因是补丁并不总是迁移到成品上。最终产品中使用的软件元素列表“没有硬件的先进,你不知道它的来源和来源,你也不知道什么时候一个来源有缺陷。”
UL的CAP将依赖于由美国国家标准与技术研究院(National Institutes of Standards and Technology)保存的公开可用的政府漏洞数据库,该数据库跟踪并列举了全球范围内的产品漏洞,并每日更新。它有大量的产品列表,包括桌面和移动平台。它还列出了缺陷和补丁,并确定哪个版本的软件有补丁来解决特定的安全缺陷。
莫德斯特表示,使用NIST数据库将使UL CAP计划在经济上可行。
他补充说,UL测试的定价仍在制定中,但将取决于产品是恒温器还是核磁共振机。
“这在经济上是合理的,”他说。“关键是软件供应商要走到购买者面前说,‘我已经从这个值得信赖的方那里做了尽职调查。’”
UL是一家独立的公司,120多年来一直在科学领域提供安全建议,包括测试和认证;它有67000个客户。
本文《UL承担网络安全测试与认证》最初发表于《计算机世界》 .