美國在線信任聯(lián)盟(The Online Trust Alliance，OTA)發(fā)布更新的《物聯(lián)網信任框架》，作為物聯(lián)網設備開發(fā)商、采購商和零售商的產品開發(fā)與風險評估指南，此框架是未來物聯(lián)網認證計劃的基礎。

OTA旨在強調企業(yè)應致力于設備的生命周期安全，并采用負責任的隱私做法。此類通知和披露將有助于讓消費者了解物聯(lián)網設備的購買決策。

OTA認識到，雖然沒有絕對的安全，但實施框架原則的企業(yè)應避免受到監(jiān)管監(jiān)督和集體訴訟，并潛在得到較低的保險費。該框架反應了數百個領先安全和隱私行業(yè)領導者的貢獻，包括ADT、Microsoft、SiteLock、Symantec、TRUSTe、Verisign等。最新版框架基于2016年3月發(fā)布的第一個版本，并包含了大量公共和私有部門在保護物聯(lián)網設備上的努力成果。

美國國會議員、國會網絡安全核心會議(Congressional Cybersecurity Caucus)的聯(lián)合創(chuàng)始人和共同主席吉姆·朗格溫(Jim Langevin)表示，“我一直支持通過多方利益相關者的流程來解決美國面臨的重大網絡安全挑戰(zhàn)。最近利用物聯(lián)網設備發(fā)起的攻擊只強調了OTA這類組織機構的工作需要。企業(yè)必須管理物聯(lián)網設備、應用程序和服務的網絡安全風險。最新版物聯(lián)網框架提供明晰的原則，開發(fā)商可以利用這些原則緩解風險，保護客戶。”

OTA研究人員整合了美國政府機構的物聯(lián)網安全和隱私建議，包括美國商務部、國土安全部(DHS)、聯(lián)邦通信委員會(FCC)和聯(lián)邦貿易委員會(FTC)。此外，OTA還融合了數個組織機構提倡的主要建議，包括寬帶互聯(lián)網技術顧問小組(BITAG)，民主與技術中心(CDT)、美國消費者聯(lián)盟(CFA)、消費者技術協(xié)會(CTA)、國際電信聯(lián)盟(ITU)、互聯(lián)網協(xié)會和美國房地產經紀人協(xié)會(NAR)。

《物聯(lián)網信任框架》涉及的主要類別

《物聯(lián)網信任框架》包含37項原則，主要分為4個主要類別：

安全(1-9)——適用于任何設備、應用程序和后端云服務。這些原則包括采用嚴格的軟件開發(fā)安全流程，遵守設備、供應鏈管理、滲透測試和漏洞報告、程序存儲和傳輸的數據安全原則。進一步的原則概述了生命周期安全補丁要求。

用戶訪問&憑證(10-14)——要求加密所有密碼和用戶名，為設備設置獨特的密碼，采用公認的密碼重置過程，并集成機制幫助防止“暴力”登錄嘗試。

隱私、披露&透明度(15-30)——其要求符合公認的隱私原則，包括在包裝、銷售點顯著披露，或在線發(fā)布。提供功能將設備重置為出廠設置，并符合適用監(jiān)管要求，包括但不限于歐盟《一般數據保護規(guī)則》(General Data Protection Regulation，GDPR)和《兒童在線隱私保護法》(Children’s Online Privacy Protection Act，COPPA)。要求披露禁用連接對產品功能或性能的影響。

通知&相關最佳實踐(31-37)——保護設備安全的關鍵在于具備機制和程序，及時通知威脅和行動的用戶。原則包括：安全通知須通過電子郵件驗證，必須將信息寫清楚，向各個年齡段的用戶傳達。此外，還強調防篡改包裝和訪問要求。

互聯(lián)網協(xié)會(Internet Society)的首席互聯(lián)網技術官Olaf Kolkman表示，“《物聯(lián)網信任框架》是聯(lián)網設備領域安全文化的良好示例。銷售智能設備的企業(yè)有必要在界定 “智能”設備之前，實施該框架中概括的要求。”

物聯(lián)網工作小組的共同主席兼賽門鐵克公司研究實驗室的高級總監(jiān)Brian Witten表示，“到目前為止，賽門鐵克已經幫助保護了超過10億物聯(lián)網設備，但不幸的是，絕大多數新物聯(lián)網設備上市時缺乏適當的安全保障。OTA《物聯(lián)網信任框架》為設備制造商提供適當的指南，以供其構建安全性，并確保消費者一開始就受到保護。我們很高興看到在線信任聯(lián)盟致力于制定行業(yè)的物聯(lián)網安全要求。”