美国OTA更新《物联网信任框架》：未来物联网认证计划的基础

 美国在线信任联盟(The Online Trust Alliance，OTA)发布更新的《物联网信任框架》，作为物联网设备开发商、采购商和零售商的产品开发与风险评估指南，此框架是未来物联网认证计划的基础。

OTA旨在强调企业应致力于设备的生命周期安全，并采用负责任的隐私做法。此类通知和披露将有助于让消费者了解物联网设备的购买决策。

OTA认识到，虽然没有绝对的安全，但实施框架原则的企业应避免受到监管监督和集体诉讼，并潜在得到较低的保险费。该框架反应了数百个领先安全和隐私行业领导者的贡献，包括ADT、Microsoft、SiteLock、Symantec、TRUSTe、Verisign等。最新版框架基于2016年3月发布的第一个版本，并包含了大量公共和私有部门在保护物联网设备上的努力成果。

美国国会议员、国会网络安全核心会议(Congressional Cybersecurity Caucus)的联合创始人和共同主席吉姆·朗格温(Jim Langevin)表示，“我一直支持通过多方利益相关者的流程来解决美国面临的重大网络安全挑战。最近利用物联网设备发起的攻击只强调了OTA这类组织机构的工作需要。企业必须管理物联网设备、应用程序和服务的网络安全风险。最新版物联网框架提供明晰的原则，开发商可以利用这些原则缓解风险，保护客户。”

OTA研究人员整合了美国政府机构的物联网安全和隐私建议，包括美国商务部、国土安全部(DHS)、联邦通信委员会(FCC)和联邦贸易委员会(FTC)。此外，OTA还融合了数个组织机构提倡的主要建议，包括宽带互联网技术顾问小组(BITAG)，民主与技术中心(CDT)、美国消费者联盟(CFA)、消费者技术协会(CTA)、国际电信联盟(ITU)、互联网协会和美国房地产经纪人协会(NAR)。

《物联网信任框架》涉及的主要类别

《物联网信任框架》包含37项原则，主要分为4个主要类别：

安全(1-9)——适用于任何设备、应用程序和后端云服务。这些原则包括采用严格的软件开发安全流程，遵守设备、供应链管理、渗透测试和漏洞报告、程序存储和传输的数据安全原则。进一步的原则概述了生命周期安全补丁要求。

用户访问&凭证(10-14)——要求加密所有密码和用户名，为设备设置独特的密码，采用公认的密码重置过程，并集成机制帮助防止“暴力”登录尝试。

隐私、披露&透明度(15-30)——其要求符合公认的隐私原则，包括在包装、销售点显著披露，或在线发布。提供功能将设备重置为出厂设置，并符合适用监管要求，包括但不限于欧盟《一般数据保护规则》(General Data Protection Regulation，GDPR)和《儿童在线隐私保护法》(Children’s Online Privacy Protection Act，COPPA)。要求披露禁用连接对产品功能或性能的影响。

通知&相关最佳实践(31-37)——保护设备安全的关键在于具备机制和程序，及时通知威胁和行动的用户。原则包括：安全通知须通过电子邮件验证，必须将信息写清楚，向各个年龄段的用户传达。此外，还强调防篡改包装和访问要求。

互联网协会(Internet Society)的首席互联网技术官Olaf Kolkman表示，“《物联网信任框架》是联网设备领域安全文化的良好示例。销售智能设备的企业有必要在界定 “智能”设备之前，实施该框架中概括的要求。”

物联网工作小组的共同主席兼赛门铁克公司研究实验室的高级总监Brian Witten表示，“到目前为止，赛门铁克已经帮助保护了超过10亿物联网设备，但不幸的是，绝大多数新物联网设备上市时缺乏适当的安全保障。OTA《物联网信任框架》为设备制造商提供适当的指南，以供其构建安全性，并确保消费者一开始就受到保护。我们很高兴看到在线信任联盟致力于制定行业的物联网安全要求。”