1月13日訊 美國在線信任聯(lián)盟(The Online Trust Alliance,OTA)發(fā)布更新的《物聯(lián)網(wǎng)信任框架》,作為物聯(lián)網(wǎng)設(shè)備開發(fā)商、采購商和零售商的產(chǎn)品開發(fā)與風(fēng)險評估指南,此框架是未來物聯(lián)網(wǎng)認證計劃的基礎(chǔ)。
OTA旨在強調(diào)企業(yè)應(yīng)致力于設(shè)備的生命周期安全,并采用負責(zé)任的隱私做法。此類通知和披露將有助于讓消費者了解物聯(lián)網(wǎng)設(shè)備的購買決策。
OTA認識到,雖然沒有絕對的安全,但實施框架原則的企業(yè)應(yīng)避免受到監(jiān)管監(jiān)督和集體訴訟,并潛在得到較低的保險費。該框架反應(yīng)了數(shù)百個領(lǐng)先安全和隱私行業(yè)領(lǐng)導(dǎo)者的貢獻,包括ADT、Microsoft、SiteLock、Symantec、TRUSTe、Verisign等。最新版框架基于2016年3月發(fā)布的第一個版本,并包含了大量公共和私有部門在保護物聯(lián)網(wǎng)設(shè)備上的努力成果。
美國國會議員、國會網(wǎng)絡(luò)安全核心會議(Congressional Cybersecurity Caucus)的聯(lián)合創(chuàng)始人和共同主席吉姆·朗格溫(Jim Langevin)表示,“我一直支持通過多方利益相關(guān)者的流程來解決美國面臨的重大網(wǎng)絡(luò)安全挑戰(zhàn)。最近利用物聯(lián)網(wǎng)設(shè)備發(fā)起的攻擊只強調(diào)了OTA這類組織機構(gòu)的工作需要。企業(yè)必須管理物聯(lián)網(wǎng)設(shè)備、應(yīng)用程序和服務(wù)的網(wǎng)絡(luò)安全風(fēng)險。最新版物聯(lián)網(wǎng)框架提供明晰的原則,開發(fā)商可以利用這些原則緩解風(fēng)險,保護客戶。”
OTA研究人員整合了美國政府機構(gòu)的物聯(lián)網(wǎng)安全和隱私建議,包括美國商務(wù)部、國土安全部(DHS)、聯(lián)邦通信委員會(FCC)和聯(lián)邦貿(mào)易委員會(FTC)。此外,OTA還融合了數(shù)個組織機構(gòu)提倡的主要建議,包括寬帶互聯(lián)網(wǎng)技術(shù)顧問小組(BITAG),民主與技術(shù)中心(CDT)、美國消費者聯(lián)盟(CFA)、消費者技術(shù)協(xié)會(CTA)、國際電信聯(lián)盟(ITU)、互聯(lián)網(wǎng)協(xié)會和美國房地產(chǎn)經(jīng)紀人協(xié)會(NAR)。
《物聯(lián)網(wǎng)信任框架》涉及的主要類別《物聯(lián)網(wǎng)信任框架》包含37項原則,主要分為4個主要類別:
安全(1-9)— 適用于任何設(shè)備、應(yīng)用程序和后端云服務(wù)。這些原則包括采用嚴格的軟件開發(fā)安全流程,遵守設(shè)備、供應(yīng)鏈管理、滲透測試和漏洞報告,程序存儲和傳輸?shù)臄?shù)據(jù)安全原則。進一步的原則概述了生命周期安全補丁要求。
用戶訪問&憑證(10-14)— 要求加密所有密碼和用戶名,為設(shè)備設(shè)置獨特的密碼,采用公認的密碼重置過程,并集成機制幫助防止“暴力”登錄嘗試。
隱私、披露&透明度(15-30)— 其要求符合公認的隱私原則,包括在包裝、銷售點顯著披露,或在線發(fā)布。提供功能將設(shè)備重置為出廠設(shè)置,并符合適用監(jiān)管要求,包括但不限于歐盟《一般數(shù)據(jù)保護規(guī)則》(General Data Protection Regulation,GDPR)和《兒童在線隱私保護法》(Children’s Online Privacy Protection Act,COPPA)。要求披露禁用連接對產(chǎn)品功能或性能的影響。
通知&相關(guān)最佳實踐(31-37)— 保護設(shè)備安全的關(guān)鍵在于具備機制和程序,及時通知威脅和行動的用戶。原則包括:安全通知須通過電子郵件驗證,必須將信息寫清楚,向各個年齡段的用戶傳達。此外,還強調(diào)防篡改包裝和訪問要求。
互聯(lián)網(wǎng)協(xié)會(Internet Society)的首席互聯(lián)網(wǎng)技術(shù)官Olaf Kolkman表示,“《物聯(lián)網(wǎng)信任框架》是聯(lián)網(wǎng)設(shè)備領(lǐng)域安全文化的良好示例。銷售智能設(shè)備的企業(yè)有必要在界定 “智能”設(shè)備之前,實施該框架中概括的要求。”
物聯(lián)網(wǎng)工作小組的共同主席兼賽門鐵克公司研究實驗室的高級總監(jiān)Brian Witten表示,“到目前為止,賽門鐵克已經(jīng)幫助保護了超過10億物聯(lián)網(wǎng)設(shè)備,但不幸的是,絕大多數(shù)新物聯(lián)網(wǎng)設(shè)備上市時缺乏適當?shù)陌踩U稀TA《物聯(lián)網(wǎng)信任框架》為設(shè)備制造商提供適當?shù)闹改希怨┢錁?gòu)建安全性,并確保消費者一開始就受到保護。我們很高興看到在線信任聯(lián)盟致力于制定行業(yè)的物聯(lián)網(wǎng)安全要求。”
京公網(wǎng)安備 11010502049343號