UL2900-2-3標準中文版-2020聯(lián)網(wǎng)產(chǎn)品的軟件網(wǎng)絡安全UL中文版標準

2020年1月31日ANSI/CAN/UL2900-3網(wǎng)絡可連接產(chǎn)品的軟件網(wǎng)絡安全，第2-3部分：安全和生命安全信號系統(tǒng)的特2020年1月31日ANSI/CAN/UL2900-3內容前言51范圍93詞匯表104一般105產(chǎn)品文檔116產(chǎn)品設計文檔11風險控制8一般1210遠程通訊1311敏感數(shù)據(jù)1412產(chǎn)品管理1414已知漏洞測試1515惡意軟件測試1617結構化滲透測試1718軟件弱點分析1719靜態(tài)代碼分析1821組織評估18附錄B1月31日ANSI/CAN/UL2900-32020年1月31日ANSI/CAN/UL2900-5這是ANSI/CAN/UL2900-2-3(網(wǎng)絡可連接產(chǎn)品的軟件網(wǎng)絡安全標準)的第一版，第2-3部分：安全和生命安全信號系統(tǒng)的特殊要求。UL獲得了美國國家標準協(xié)會(ANSI)和加拿大標準委員會(SCC)的認可，成為標準制定組織(SDO)。本標準的制定符合ANSI和SCC對標準制定組織的認可要求。該ANSI/CAN/UL2900-2-3標準正在持續(xù)維護中，每次修訂均按照ANSI和SCC的要求進行批準，以認可標準制定組織。如果自發(fā)布之日起四年內未發(fā)布任何修訂版，則應開始采取行動以修訂，重申或撤消該標在加拿大，有兩種官方語言，英語和法語。所有安全警告必須使用法語和英語。請注意，某些加拿大當局可能會要求使用兩種官方語言的附加標志和/或安裝說明。對標準的任何部分的修訂意見或建議可隨時提交給UL。提案應通過UL的在線協(xié)作標準制定系統(tǒng)(CSDS)中的提案請求提交，網(wǎng)址為。UL的安全標準由UL制定。本標準的印刷版或電子版均不得以任何方式更改。UL的所有標準以及與這些標準有關的所有所有權和權利仍然是UL的唯一專有財產(chǎn)。要購買UL標準，請訪問/HowToOrder.aspx的UL標準銷售站點，或致電免費電話1-888-853-3503。該版本的標準已通過UL標準技術小組(STP)的安全和生命安全信號系統(tǒng)軟件網(wǎng)絡安全STP2900-2-3的批準。當該標準的最后文本被選票時，該列表代表STP2900-2-3成員資格。從那時起，成員資格可能已發(fā)生更改。興趣類別地區(qū)美國美國西門子工業(yè)公司美國比格斯，道格拉斯美國美國IT軟件質量聯(lián)盟(CISQ)美國STP2900-2-3成員資格續(xù)下頁6興趣類別地區(qū)保險商實驗室有限公司美國霍尼韋爾美國骰子公司美國美國美國美國聯(lián)合技術公司美國美國李小東聯(lián)想(北京)有限公司中國商業(yè)/工業(yè)用戶美國表示北美公司商業(yè)/工業(yè)用戶美國美國美國尼亞提(Raatieh)美光科技有限公司保險商實驗室公司美國內布拉斯加州應用研究所美國國際原子能機構奧地利美國美國中國社會科學院中國美國艾迪生消防第一區(qū)美國陳柏卑詩省安全局加拿大不列顛哥倫比亞省美國中國美國美國美國國際標準分類(ICS):35.030、35.110、35.240.50、35.240.80有關UL標準的更多信美國保險商實驗室公司2020年1月31日ANSI/CAN/UL2900-7本標準旨在用于合格評定。該標準的預期主要應用在其范圍內說明。重要的是要注意，判斷標準對于此特定應用的適用性仍然是標準使用者的責任。此頁面上沒有文字介紹注意：網(wǎng)絡可連接產(chǎn)品的軟件網(wǎng)絡安全標準，第2-3部分：安全和生命安全信號系統(tǒng)的特殊要求是指可聯(lián)網(wǎng)1.1該安全評估標準適用于安全和生命安全信號系統(tǒng)組件的評估。它適用于但不限于以下產(chǎn)品：b)基于網(wǎng)絡的入侵檢測系統(tǒng)：c)通用信令單元；d)數(shù)字視頻設備和系統(tǒng)；e)群眾通報和緊急通信/疏散設備和系統(tǒng)；f)控制服務器；g)報警自動化系統(tǒng)軟件；i)防盜設備；j)自動柜員機；k)火災報警控制系統(tǒng)；l)網(wǎng)絡連接的鎖定設備；m)物理安全信息管理(PSIM)系統(tǒng)：n)煙霧控制系統(tǒng)；p)聽覺和視覺信號裝置(火警和一般信號):q)門禁設備和系統(tǒng)：和r)智能鎖。1.2除非明確說明，否則本標準不包含旨在解決產(chǎn)品功能測試的一般要求。1.3本標準還描述了產(chǎn)品賣方執(zhí)行的產(chǎn)品風險管理過程要求，包括產(chǎn)品(或賣方，如適用)應遵守的安全控制列表，除非賣方進行的風險評估表明：不執(zhí)行這些安全控制措施之一的風險是可以接受的。2規(guī)范性引用2.1除非另有說明，否則所有參考文獻均適用于該文檔的當前發(fā)行版本。3詞匯表包括對本標準所涵蓋產(chǎn)品中軟件的安全風險評估的基本網(wǎng)絡安全測試要求。在對產(chǎn)品的內部安全控制知識有限的情況下，提供對產(chǎn)品常規(guī)安全功能的評估。L1不需要提交源代碼。此級別最接近“黑匣子”測試。建議將L1作為最低評估水平。包括L1評估和測試要求以及產(chǎn)品軟件安全風險評估的其他補充要求。源代碼在此級別進行測試。使用產(chǎn)品的內部安全控制知識來評估產(chǎn)品的安全能力。由感數(shù)據(jù)的特定保護，因此這是建議產(chǎn)品發(fā)送，接收或處理敏感數(shù)據(jù)的最低級別。另一部分時，僅適用于預定級別(標有"X")的子句。2020年1月31日ANSI/CAN/UL2900-115產(chǎn)品資料5.1產(chǎn)品應符合：產(chǎn)品文檔，部分可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的第4.1.1(c),(d),(e)和(f)部分：一般要求，UL2900-1。X5.2產(chǎn)品應符合：產(chǎn)品文檔，可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的第4.1節(jié)，第1部分：一般要求，UL2900-1。X5.3產(chǎn)品應符合：產(chǎn)品文檔，可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的4.1.1(b)部分，第1部分：一般要求，UL2900-1。X網(wǎng)絡可連接設備軟件網(wǎng)絡安全標準的6.1,第1部分：一般要X可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的6.2,第1X網(wǎng)絡可連接設備的軟件網(wǎng)絡安全標準的6.3,第1部分：一般要X可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的6.4,第1X表7.1續(xù)表7.5產(chǎn)品應符合：產(chǎn)品使用文檔，部分可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的6.5,第1X7.6產(chǎn)品應符合：產(chǎn)品使用文檔，部分網(wǎng)絡可連接設備軟件網(wǎng)絡安全標準的6.6,第1部分：一般要X7.7產(chǎn)品應符合：產(chǎn)品使用文檔，部分網(wǎng)絡可連接設備軟件網(wǎng)絡安全標準的6.7,第1部分：一般要X7.8產(chǎn)品應符合：產(chǎn)品使用文檔，部分可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的6.8,第1X7.9產(chǎn)品應符合：產(chǎn)品使用文檔，部分網(wǎng)絡可連接設備軟件網(wǎng)絡安全標準的6.9,第1部分：一般要X7.10產(chǎn)品應符合：產(chǎn)品使用文檔，部分網(wǎng)絡可連接設備軟件網(wǎng)絡安全標準的6.10,第1部X風險控制8.1產(chǎn)品(或產(chǎn)品的賣方，如適用)應遵守本標準第9-12條規(guī)定的所有適用控制措施，除非賣方根據(jù)第13節(jié)"賣方產(chǎn)品風估表明產(chǎn)品使用中可以接受與未執(zhí)行特定控制X8.2產(chǎn)品應符合：風險控制-概述，適用于可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的第7.1.2節(jié)，第1部分：一般要求，UL2900-1。X8.3產(chǎn)品應符合：風險控制-概述，適用于可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的7.1.3部分，第1部分：一般要求，UL2900-1。X2020年1月31日ANSI/CAN/UL2900-9訪問控制，用戶身份驗證和用戶授權9.1產(chǎn)品應符合：訪問控制，用戶身份驗證和用戶授權，安全標準的第8.1部分，第1部分：一般要求，UL2900-1。X9.2產(chǎn)品應符合：訪問控制，用戶身份驗證和用戶授權，安全標準的第8.2節(jié)，第1部分：一般要求，UL2900-1。X9.3產(chǎn)品應符合：訪問控制，用戶身份驗證和用戶授權，安全標準的第8.3節(jié)，第1部分：一般要求，UL2900-1。X9.4產(chǎn)品應符合：訪問控制，用戶身份驗證和用戶授權，安全標準的第8.4節(jié)，第1部分：一般要求，UL2900-1。X件網(wǎng)絡安全標準的第8.5節(jié)，第1部分：一般要求，UL2900-1。X9.6產(chǎn)品應符合：訪問控制，用戶身份驗證和用戶授權，安全標準的第8.6節(jié)，第1部分：一般要求，UL2900-1。X9.7產(chǎn)品應符合：訪問控制，用戶身份驗證和用戶授權，安全標準的第8.7節(jié)，第1部分：一般要求，UL2900-1。X9.8產(chǎn)品應符合：訪問控制，用戶身份驗證和用戶授權，安全標準的第8.8節(jié)，第1部分：一般要求，UL2900-1。X安全標準的第8.9節(jié)，第1部分：一般要求，UL2900-1。X10遠程通訊表10.111.1產(chǎn)品應符合：敏感數(shù)據(jù)，可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的第10.1第1部分：一般要求，UL2900-1。X11.2產(chǎn)品應符合：敏感數(shù)據(jù)，可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的第10.2第1部分：一般要求，UL2900-1。X11.3產(chǎn)品應符合：敏感數(shù)據(jù)，可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的第10.3第1部分：一般要求，UL2900-1。X11.4產(chǎn)品應符合：敏感數(shù)據(jù)，可聯(lián)網(wǎng)設備的軟件分，第1部分：一般要求，UL2900-1。X12.1產(chǎn)品應符合：產(chǎn)品管理，適用于可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的11.1部分，第1部分：一般要求，UL2900-1。X12.2產(chǎn)品應符合：產(chǎn)品管理，可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的11.2部第1部分：一般要求，UL2900-1。X12.3產(chǎn)品應符合：產(chǎn)品管理，適用于可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的第11.3節(jié)，第1部分：一般要求，UL2900-1。X12.4產(chǎn)品應符合：產(chǎn)品管理，可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的第11.4第1部分：一般要求，UL2900-1。X12.5產(chǎn)品應符合：產(chǎn)品管理，可聯(lián)網(wǎng)設備軟件網(wǎng)絡安全標準的第11.5節(jié)，第1部分：一般要求，UL2900-1。X12.6產(chǎn)品應符合：產(chǎn)品管理，可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的11.6部第1部分：一般要求，UL2900-1。X12.7產(chǎn)品應符合：產(chǎn)品管理，可聯(lián)網(wǎng)設備軟件網(wǎng)絡安全標準的第11.7節(jié)，第1部分：一般要求，UL2900-1。X12.8產(chǎn)品應符合：產(chǎn)品管理，可聯(lián)網(wǎng)設備軟件網(wǎng)絡安全標準的第11.8節(jié)，第1部分：一般要求，UL2900-1。X2020年1月31日ANSI/CAN/UL2900-風險管理13供應商產(chǎn)品風險管理流程表13.113.1產(chǎn)品應符合：廠商產(chǎn)品風險管理流程，可聯(lián)網(wǎng)設備軟件網(wǎng)絡安全標準的12.1節(jié)：一般要求，UL2900-1。X13.2產(chǎn)品應符合：廠商產(chǎn)品風險管理流程，可聯(lián)網(wǎng)設備軟件網(wǎng)絡安全標準的第12.2節(jié)：一般要求，UL2900-1。X13.3產(chǎn)品應符合：廠商產(chǎn)品風險管理流程，可聯(lián)網(wǎng)設備軟件網(wǎng)絡安全標準的第12.3節(jié)：一般要求，UL2900-1。X13.4產(chǎn)品應符合：廠商產(chǎn)品風險管理流程，可聯(lián)網(wǎng)設備軟件網(wǎng)絡安全標準的第12.4節(jié)：一般要求，UL2900-1。X13.5產(chǎn)品應符合：廠商產(chǎn)品風險管理流程，可聯(lián)網(wǎng)設備軟件網(wǎng)絡安全標準的第12.5節(jié)：一般要求，UL2900-1。X13.6產(chǎn)品應符合：廠商產(chǎn)品風險管理流程，可聯(lián)網(wǎng)設備軟件網(wǎng)絡安全標準的第12.6節(jié)：一般要求，UL2900-1。X13.7產(chǎn)品應符合：廠商產(chǎn)品風險管理流程，可聯(lián)網(wǎng)設備軟件網(wǎng)絡安全標準的第12.7節(jié)：一般要求，UL2900-1。X13.8產(chǎn)品應符合：廠商產(chǎn)品風險管理流程，可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的第12.8節(jié)：一般要求，UL2900-1。X漏洞和開發(fā)14已知漏洞測試表14.114.1產(chǎn)品應符合：已知漏洞測試部分X14.2產(chǎn)品應符合：已知漏洞測試部分可聯(lián)網(wǎng)設備軟件網(wǎng)絡安全標準的13.2:一般要X表16.1接下頁15惡意軟件測試表15.115.1產(chǎn)品應符合：惡意軟件測試，適用于可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的X15.2產(chǎn)品應符合：惡意軟件測試，網(wǎng)絡可連接設備的軟件網(wǎng)絡安全標準的14.2節(jié)：一般要求，UL2900-1。X16格式錯誤的輸入?yún)f(xié)議測試(另請參閱附錄D)表16.116.1產(chǎn)品應符合：格式錯誤的輸入測試，可連接網(wǎng)絡的軟件的軟件網(wǎng)絡安全標準的第15.1節(jié)，第1部分：一般要求，UL2900-1。X16.2產(chǎn)品應符合：格式錯誤的輸入測試，可連接網(wǎng)絡的軟件的軟件網(wǎng)絡安全標準的第15.2節(jié)，第1部分：一般要求，UL2900-1。X16.3產(chǎn)品應符合：格式錯誤的輸入測試，可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的第15.3節(jié)，第1部分：一般要求，UL2900-1。X16.4產(chǎn)品應符合：格式錯誤的輸入測試，可連接網(wǎng)絡的軟件的軟件網(wǎng)絡安全標準的第15.4節(jié)，第1部分：一般要求，UL2900-1。X16.5產(chǎn)品應符合：格式錯誤的輸入測試，可連接網(wǎng)絡的軟件的軟件網(wǎng)絡安全標準的第15.5節(jié)，第1部分：一般要求，UL2900-1。X16.6產(chǎn)品應符合：格式錯誤的輸入測試，可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的第15.6節(jié)，第1部分：一般要求，UL2900-1。X16.7產(chǎn)品應符合：格式錯誤的輸入測試，可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的第15.7節(jié)，第1部分：一般要求，UL2900-1。X16.8產(chǎn)品應符合：格式錯誤的輸入測試，可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的第15.8節(jié)，第1部分：一般要求，UL2900-1。X16.9產(chǎn)品應符合：格式錯誤的輸入測試，可連接網(wǎng)絡的軟件的軟件網(wǎng)絡安全標準的15.9節(jié)，第1部分：一般要求，UL2900-1。X2020年1月31日ANSI/CAN/UL2900-17表16.1續(xù)表16.10產(chǎn)品應符合：格式錯誤的輸入測試，可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的第15.10節(jié)，第1部分：一般要求，UL2900-1。X16.11產(chǎn)品應符合：格式錯誤的輸入測試，可聯(lián)網(wǎng)設備的軟件網(wǎng)絡安全標準的第15.11節(jié)，第1部分：一般要求，UL2900-1。X17結構化滲透測試表17.117.1產(chǎn)品應符合：結構化滲透測試，部分網(wǎng)絡可連接設備軟件網(wǎng)絡安全標準的16.1:一般要求，ULX17.2產(chǎn)品應符合：結構化滲透測試，部分網(wǎng)絡可連接設備軟件網(wǎng)絡安全標準的16.2:一般要求，ULX17.3產(chǎn)品應符合：結構化滲透測試，部分網(wǎng)絡可連接設備軟件網(wǎng)絡安全標準的16.3:一般要求，ULX17.4產(chǎn)品應符合：結構化滲透測試，部分網(wǎng)絡可連接設備軟件網(wǎng)絡安全標準的16.4:一般要求，ULX軟件弱點分析18軟件弱點分析18.1產(chǎn)品應符合：軟件弱點分析，部分X18.2產(chǎn)品應符合：軟件弱點分析，部分X19靜態(tài)代碼分析表19.119.1產(chǎn)品應符合：靜態(tài)代碼分析，可聯(lián)網(wǎng)設備軟件網(wǎng)絡安全標準的第18.1節(jié)：一般要求，UL2900-1。X般要求，UL2900-1。X20靜態(tài)二進制和字節(jié)碼分析表20.120.1產(chǎn)品應符合：靜態(tài)二進制和字節(jié)碼分析，可準的第19.1節(jié)：一般要求，UL2900-1。X20.2產(chǎn)品應符合：靜態(tài)二進制和字節(jié)碼分析，可準的第19.2節(jié)：一般要求，