1月13日訊 美國(guó)在線信任聯(lián)盟（The Online Trust Alliance，OTA）發(fā)布更新的《物聯(lián)網(wǎng)信任框架》，作為物聯(lián)網(wǎng)設(shè)備開發(fā)商、采購(gòu)商和零售商的產(chǎn)品開發(fā)與風(fēng)險(xiǎn)評(píng)估指南，此框架是未來(lái)物聯(lián)網(wǎng)認(rèn)證計(jì)劃的基礎(chǔ)。

OTA旨在強(qiáng)調(diào)企業(yè)應(yīng)致力于設(shè)備的生命周期安全，并采用負(fù)責(zé)任的隱私做法。此類通知和披露將有助于讓消費(fèi)者了解物聯(lián)網(wǎng)設(shè)備的購(gòu)買決策。

OTA認(rèn)識(shí)到，雖然沒(méi)有絕對(duì)的安全，但實(shí)施框架原則的企業(yè)應(yīng)避免受到監(jiān)管監(jiān)督和集體訴訟，并潛在得到較低的保險(xiǎn)費(fèi)。該框架反應(yīng)了數(shù)百個(gè)領(lǐng)先安全和隱私行業(yè)領(lǐng)導(dǎo)者的貢獻(xiàn)，包括ADT、Microsoft、SiteLock、Symantec、TRUSTe、Verisign等。最新版框架基于2016年3月發(fā)布的第一個(gè)版本，并包含了大量公共和私有部門在保護(hù)物聯(lián)網(wǎng)設(shè)備上的努力成果。

美國(guó)國(guó)會(huì)議員、國(guó)會(huì)網(wǎng)絡(luò)安全核心會(huì)議（Congressional Cybersecurity Caucus）的聯(lián)合創(chuàng)始人和共同主席吉姆·朗格溫（Jim Langevin）表示，“我一直支持通過(guò)多方利益相關(guān)者的流程來(lái)解決美國(guó)面臨的重大網(wǎng)絡(luò)安全挑戰(zhàn)。最近利用物聯(lián)網(wǎng)設(shè)備發(fā)起的攻擊只強(qiáng)調(diào)了OTA這類組織機(jī)構(gòu)的工作需要。企業(yè)必須管理物聯(lián)網(wǎng)設(shè)備、應(yīng)用程序和服務(wù)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。最新版物聯(lián)網(wǎng)框架提供明晰的原則，開發(fā)商可以利用這些原則緩解風(fēng)險(xiǎn)，保護(hù)客戶。”

OTA研究人員整合了美國(guó)政府機(jī)構(gòu)的物聯(lián)網(wǎng)安全和隱私建議，包括美國(guó)商務(wù)部、國(guó)土安全部（DHS）、聯(lián)邦通信委員會(huì)（FCC）和聯(lián)邦貿(mào)易委員會(huì)（FTC）。此外，OTA還融合了數(shù)個(gè)組織機(jī)構(gòu)提倡的主要建議，包括寬帶互聯(lián)網(wǎng)技術(shù)顧問(wèn)小組（BITAG），民主與技術(shù)中心（CDT）、美國(guó)消費(fèi)者聯(lián)盟（CFA）、消費(fèi)者技術(shù)協(xié)會(huì)（CTA）、國(guó)際電信聯(lián)盟（ITU）、互聯(lián)網(wǎng)協(xié)會(huì)和美國(guó)房地產(chǎn)經(jīng)紀(jì)人協(xié)會(huì)（NAR）。

《物聯(lián)網(wǎng)信任框架》包含37項(xiàng)原則，主要分為4個(gè)主要類別：

安全（1-9）— 適用于任何設(shè)備、應(yīng)用程序和后端云服務(wù)。這些原則包括采用嚴(yán)格的軟件開發(fā)安全流程，遵守設(shè)備、供應(yīng)鏈管理、滲透測(cè)試和漏洞報(bào)告，程序存儲(chǔ)和傳輸?shù)臄?shù)據(jù)安全原則。進(jìn)一步的原則概述了生命周期安全補(bǔ)丁要求。

用戶訪問(wèn)&憑證（10-14）— 要求加密所有密碼和用戶名，為設(shè)備設(shè)置獨(dú)特的密碼，采用公認(rèn)的密碼重置過(guò)程，并集成機(jī)制幫助防止“暴力”登錄嘗試。

隱私、披露&透明度（15-30）— 其要求符合公認(rèn)的隱私原則，包括在包裝、銷售點(diǎn)顯著披露，或在線發(fā)布。提供功能將設(shè)備重置為出廠設(shè)置，并符合適用監(jiān)管要求，包括但不限于歐盟《一般數(shù)據(jù)保護(hù)規(guī)則》（General Data Protection Regulation，GDPR）和《兒童在線隱私保護(hù)法》（Children’s Online Privacy Protection Act，COPPA）。要求披露禁用連接對(duì)產(chǎn)品功能或性能的影響。

通知&相關(guān)最佳實(shí)踐（31-37）— 保護(hù)設(shè)備安全的關(guān)鍵在于具備機(jī)制和程序，及時(shí)通知威脅和行動(dòng)的用戶。原則包括：安全通知須通過(guò)電子郵件驗(yàn)證，必須將信息寫清楚，向各個(gè)年齡段的用戶傳達(dá)。此外，還強(qiáng)調(diào)防篡改包裝和訪問(wèn)要求。

互聯(lián)網(wǎng)協(xié)會(huì)（Internet Society）的首席互聯(lián)網(wǎng)技術(shù)官Olaf Kolkman表示，“《物聯(lián)網(wǎng)信任框架》是聯(lián)網(wǎng)設(shè)備領(lǐng)域安全文化的良好示例。銷售智能設(shè)備的企業(yè)有必要在界定 “智能”設(shè)備之前，實(shí)施該框架中概括的要求。”

物聯(lián)網(wǎng)工作小組的共同主席兼賽門鐵克公司研究實(shí)驗(yàn)室的高級(jí)總監(jiān)Brian Witten表示，“到目前為止，賽門鐵克已經(jīng)幫助保護(hù)了超過(guò)10億物聯(lián)網(wǎng)設(shè)備，但不幸的是，絕大多數(shù)新物聯(lián)網(wǎng)設(shè)備上市時(shí)缺乏適當(dāng)?shù)陌踩Ｕ稀TA《物聯(lián)網(wǎng)信任框架》為設(shè)備制造商提供適當(dāng)?shù)闹改?，以供其?gòu)建安全性，并確保消費(fèi)者一開始就受到保護(hù)。我們很高興看到在線信任聯(lián)盟致力于制定行業(yè)的物聯(lián)網(wǎng)安全要求。”