UL (Underwriters Laboratories)公司近日发布新网路安全保障计画(Cyber​​security Assurance Program，UL CAP)，透过新UL 2900系列标准，为连网产品与系统提供网路安全的测试准则，以评估软体漏洞与弱点、降低攻击风险、处置已知的恶意软体、检视安全控制项目，并提升安全意识。不论是正在寻找可靠的安全风险评估支援，以专注开发更安全的创新产品的厂商，或希望藉由通过第三方检测的产品来降低风险的采购者，UL CAP都能满足需求。

新UL 2900系列标准将为连网产品与系统提供网路安全测试准则。

由于网路攻击比以往更加复杂、更难防范，而且消耗更多成本，因此安全措施相当重要。根据Gartner与其他产业报告，2020年全球将有210至500亿台连网装置。 2018年前，预计66%的网路将出现IoT安全漏洞。安全威胁瞬息万变，风险也与日俱增，不论是公民营机构或是消费者，其使用的产品与服务都可能面临安全性与金融风险，而这些风险将带动新防御机制的发展。

「我们的目的是提供一套安全性计画，支援创新并迅速发展的物联网(IoT)技术，」UL连线技术总监Rachna Stegall表示：「愈多装置相互连接，各产业的产品与服务就愈容易被潜在的安全风险袭击。透过有系统的风险衡量与评估方式，UL CAP能协助公民营机构的制造商、采购人员与终端使用者降低这些风险。」

UL CAP是根据美国联邦政府、学术界与产业界重要利害关系人所提供的建议而制定的计画，目的是强化关键基础建设(Critical Infrastructure)中供应链的安全措施。最近，美国白宫发布了「国家资安行动计画」(Cyber​​security National Action Plan，CNAP)，希望提升美国政府内部与各产业的资安能力。 UL CAP的服务与软体安全作业已被CNAP视为测试与认证IoT连网装置的重要方法，特别是能源、公共事业与医疗照护等重要基础建设。

关键基础建设的资产所有人可利用UL CAP来评估其供应链的安全状态。 「关键基础建设的可用性与完整性跟社会安全与福祉息息相关。因此，一套可依据通用可靠的安全准则来衡量系统安全性的完善计画非常有用，」美国杜克能源公司(Duke Energy) 策略长Terrell Garren表示。 UL CAP提供可靠的第三方认证支援，以及可评估连网产品与系统安全性与厂商流程的功能，让厂商以安全性为核心，开发与维护产品与系统。

资产所有人已经体认到开放原始码技术的重要性，这也是UL CAP的本质，因此它不仅能简化连网产品与系统、架构与网路安全策略，还能让彼此相互配合运作。 「未来，UL将扮演不同的角色，为网路安全保险业者提供一套通用方式，协助其更有效率地为采用UL认证技术与流程的企业评估网路风险。在短期内，我们期待看到UL 2900成为核心标准，帮助美国企业与政府建置更安全的物联网环境与关键基础建设。我们相信UL认证将发挥重要作用，让我们的产品做出市场区隔。 」Reprivata总裁、开发者暨首席架构师David Wallace Cox表示。

UL为安防产品与系统所提供的评估方式是采用UL 2900系列标准，它为连网产品和系统的安全性测试与评估定义了技术准则。此系列标准提供基本的技术条件，衡量并提升产品与系统的安全性。 UL 2900也能配合市场发展所产生的安全需求来建立与整合其他技术准则。

UL CAP的先导计画已成功帮助首批参与此创新计划的厂商。在这基础之上，UL CAP将持续帮助更多的厂商识别产品与系统的安全风险，并为各行各业提供降低风险的建议，例如工控系统、医疗设备、汽车产业、冷冻空调、照明设备、智慧家庭、家电用品、警报系统、火警系统、建筑自动化、智慧电表、网路设备与消费性电子等产业。若需更高的灵活性，厂商也可以视需求选择最适当的UL CAP服务。

只要符合UL 2900系列标准所定义的条件，该产品或系统就能获得由UL核发的「符合UL 2900」认证。面对不断变化的安全风险，即使厂商改变其安防产品与系统的设计、开发和维护流程，UL 2900也能持续提供支援。