自从全球网络黑天鹅事件后,普通的互联网信息加密已不能满足智能安防大时代的到来。美国政府推出网络空间安全国家行动计划(CNAP) ,旨在强化美国政府及整个国家的网络安全能力。
与此同时,UL于2016年3月推出首版针对常规联网产品的通用安全加密标准UL 2900-1,随后基于不同行业的特性和用户的实际安全需要相继发布了加强版的系统标准 2900-2、2900-3,制造商可基于其产品的类别和实际应用场合确认对应的网络安全标准和安全等级。
标准 | 范围 | 对应行业 |
UL 2900-1 | 常规可联网设备及产品的软件网络安全:通用要求 | 联网IT和消费类等产品 |
UL 2900-2-1 | 卫生保健系统网络可连接部件的特定要求 | 联网医疗设备及系统 |
UL 2900-2-2 | 工业控制系统的特定要求 | 联网工业控制类产品 |
UL 2900-2-3 | 安防及生命安全等网络设备的网络安全特定要求(适用于制造商,业主,集成商) | 安防及生命安全产品 |
伴随着物联网(IoT)的崛起,由于网络系统安全威胁带来了对公共、私人领域的商业风险,以及消费者的隐私、财产保障的巨大风险,一系列智能安防应用系统也得以迅速发展。对于电子安防系统,为确保其可靠性,必须同时对该系统进行性能评估和加密安全评估,以提升系统的安全等级、维持安全运作环境。如今UL可为安防和消防系统用户、集成商以及制造商提供产品安全风险识别评估服务,涵盖IP监控摄像机、智能家居安防报警系统、应急通讯系统、消防报警系统、侵入窃密检测系统和访问控制系统等。
标准UL 2900-2-3《联网产品的软件网络安全研究大纲,Part
2-3:安防与生命安全信号系统的特殊要求》是由行业智能安防产品制造商、集成商、安保用户,以及其他利益相关者一起研究制定,明确定义了联网安防及消防系统产品的网络安全等级及要求,分为Level
1、Level 2、Level 3共三个安全等级,其中Level
3为最高网络安全等级。标准主要帮助制造商在进行产品开发的时候提供指引,同时协助用户根据不同的应用场合和风险要求有针对性选用对应的加密安全等级系统。
级别 | 相关描述 |
Level 1 | Includes foundational cybersecurity testing requirements for security risk assessment of software in products covered in this outline of Investigation. Provides assessment of general security capabilities of a product with limited knowledge of the internal security controls of the product. L1 is recommended as a minimum level of assessment. |
Level 2 | Includes L1 assessment and testing requirements and additional supplemental requirements for security risks assessment of software in products. Provides assessment of security capabilities of a product with knowledge of internal security controls of the product. |
Level 3 | Includes L1 assessment and testing requirements and additional supplemental requirements for security risks assessment of software in products. Provides assessment of security capabilities of a product with knowledge of internal security controls of the product. |
同时,如果制造商想要销售产品给联邦政府,则要满足FIPS加密系列标准。FIPS标准不单只为美国政府所要求,现已广泛使用并覆盖全球二十几个国家地区所接受。其中,加密软件或模块需要满足FIPS 140-2标准的要求 (FIPS 140-2、分为4个安全等级,Level 4为最高级别——军工应用级别);对于涉及授权或鉴定的领域则需要满足FIPS 201标准的要求。取得UL 2900-2-3标准对于制造商申请FIPS也有非常大的帮助,有助于提升加密设计和经验,帮助从商用领域进入联邦政府市场的转换。
目前,UL能为制造商及系统集成商提供相关方面的培训、咨询、测试和认证服务,以识别潜在的产品的网络安全风险和提高网络安全等级。
FIPS补充说明
FIPS 140-2: 对于网络产品的加密软件或模组,联邦政府要求基于加密系统的技术参数标准, 该系统可用于对敏感的或重要的数据提供保护。为了维持所要保护的信息的机密性与完整性,在一个安全系统里,必须要有加密模块的保护。本标准提供四种渐增的安全级别,以便用一个相关的加密模块来满足各种范围与环境的使用要求。
FIPS 201: 对于个人身份验证设备,联邦政府要求产品必须需要满足FIPS 201的要求,所覆盖产品包括门禁系统、读卡器、指纹识别仪器等。