UL宣布工业控制系统网络安全保障计划

全球安全科学组织UL宣布了其针对工业控制系统的网络安全保障计划(UL CAP)。

使用UL 2900-2-2标准，用于工业控制系统的UL CAP提供可测试的网络安全标准，以帮助评估软件漏洞和弱点，最大限度地减少利用，解决已知恶意软件，审查安全控制并提高安全意识。UL CAP适用于在评估安全风险方面寻求支持的控制系统制造商，同时他们继续专注于产品创新，以帮助构建更安全、更可靠的产品，也适用于oem、机床制造商、系统集成商和改装商，他们希望通过采购第三方评估的产品来降低风险。

UL CAP是根据代表美国联邦政府、学术界和工业界的主要利益相关者的意见制定的，旨在提升部署在关键基础设施供应链中的安全措施。白宫最近发布了网络安全国家行动计划(CNAP)，旨在增强美国政府内部和全国的网络安全能力。UL的CAP服务和软件安全工作在CNAP中得到认可，作为测试和认证网络连接设备的一种方式物联网供应链和生态系统尤其与关键基础设施相关。

关键基础设施的资产所有者可以看到UL CAP作为评估其供应链安全状况的一种手段的好处。UL CAP提供第三方支持，UL 2900-2-2标准侧重于网络连接产品和系统的安全性，以及以安全为重点开发和维护产品和系统的供应商流程。

UL对工业控制系统安全性的评估采用UL 2900-2-2，该标准属于UL 2900系列标准，概述了用于测试和评估可网络连接产品和系统安全性的技术标准。这些标准形成了一组技术需求的基线，用于测量并提升产品和系统的安全状况。UL 2900旨在随着市场安全需求的成熟而发展并纳入其他技术标准。

UL 2900-2-2标准旨在但不限于适用于以下组件:
可编程逻辑控制器(PLC)
PLC和DCS编程软件/操作员接口(HMI)
控制服务器
远程终端单元(RTU)
人机界面(HMI)
输入输出(IO)服务器
ICS系统的网络设备
分布式控制系统(DCS)
历史学家或数据记录器
SCADA服务器
智能电子设备
数据的历史学家
现场总线
ICS系统的接入设备

满足UL 2900-2-2标准中概述的要求，可以使工业控制系统通过UL认证为“符合UL 2900-2-2”。此外，由于安全性是动态的，UL 2900-2-2可以支持对供应商的安全产品和系统的设计、开发和维护过程的评估。