在線信任聯(lián)盟(OTA)發(fā)布了最新的物聯(lián)網(wǎng)信任框架,該框架將作為物聯(lián)網(wǎng)(IoT)設(shè)備開發(fā)商、采購商與零售商的產(chǎn)品開發(fā)和風(fēng)險評估指南,是未來IoT認(rèn)證計劃的基礎(chǔ)。
該物聯(lián)網(wǎng)信任框架包括四大類別和37項原則,在安全方面,適用于任何設(shè)備及其應(yīng)用程序和后端云服務(wù)。這些措施包括需要采取一個嚴(yán)格的軟件開發(fā)安全流程,在用設(shè)備進(jìn)行數(shù)據(jù)存儲和傳輸時要遵守的安全原則,將物聯(lián)網(wǎng)設(shè)備應(yīng)用于供應(yīng)鏈管理時需要注意的安全問題,定期進(jìn)行滲透測試和漏洞報告。另外,此部分內(nèi)容還進(jìn)一步闡述了對生命周期安全補(bǔ)丁的要求。
在用戶訪問和憑證方面,要求對所有密碼和用戶名進(jìn)行加密處理,設(shè)置唯一密碼運(yùn)行設(shè)備,提供密碼重置功能,同時,整合機(jī)制以阻止通過窮舉法嘗試強(qiáng)制登錄。
在隱私、信息披露和透明度方面,要求與公認(rèn)的隱私原則相一致,包括要在包裝、銷售點、在線平臺上對產(chǎn)品信息進(jìn)行重點披露。要求提供恢復(fù)出廠設(shè)置功能,同時,必須符合適用的法律法規(guī)要求,包括但不限于歐盟《一般數(shù)據(jù)保護(hù)條例》和《兒童在線隱私保護(hù)法》。如果出現(xiàn)連接禁用的情況,相關(guān)公司還需要對其可能對產(chǎn)品特性或功能造成的影響進(jìn)行披露。
在通知及相關(guān)的最佳實踐方面,維護(hù)設(shè)備安全的關(guān)鍵是要建立相應(yīng)的機(jī)制和流程,以迅速通知用戶他們所面臨的威脅和需要采取的措施。相關(guān)原則包括,要求對安全通知進(jìn)行電子郵件認(rèn)證,并且通知信息的內(nèi)容必須適合所有年齡和閱讀級別的用戶閱讀。此外,該部分內(nèi)容還重點強(qiáng)調(diào)了通知信息的防篡改問題和易獲取性問題。
這份物聯(lián)網(wǎng)信任框架匯集了包括來自安防公司ADT、微軟等上百位安全和隱私行業(yè)知名企業(yè)領(lǐng)導(dǎo)者,美國商務(wù)部、國土安全部等美國政府機(jī)構(gòu),以及寬帶互聯(lián)網(wǎng)技術(shù)咨詢組等行業(yè)組織關(guān)于物聯(lián)網(wǎng)安全和隱私的相關(guān)建議。美國國會議員、國會網(wǎng)絡(luò)安全核心小組聯(lián)合創(chuàng)始人兼聯(lián)席主席吉姆·朗格溫稱,公司必須要對其物聯(lián)網(wǎng)設(shè)備、應(yīng)用程序等的網(wǎng)絡(luò)安全風(fēng)險進(jìn)行管理,這份物聯(lián)網(wǎng)信任框架對此提供了明確的原則,開發(fā)人員可以使用這些原則來降低風(fēng)險并保護(hù)其客戶。
據(jù)悉,OTA成立于2005年,是一家國際性的慈善組織,致力于提升在線信任程度,并提升網(wǎng)絡(luò)的創(chuàng)新性及活力。
京公網(wǎng)安備 11010502049343號