您当前的位置：首页 > 无限物联

美国在线信任联盟发布更新《物联网信任框架》

2017-01-31 02:48:51

美国在线信任同盟(The Online Trust Alliance，OTA)发布更新的《物联网信任框架》，作为物联网装备开发商、采购商和零售商的产品开发与风险评估指南，此框架是未来物联网认证计划的基础。

　　美国在线信任同盟发布更新《物联网信任框架》

OTA旨在强调企业应致力于装备的生命周期安全，并采取负责任的隐私做法。此类通知和表露将有助于让消费者了解物联网装备的购买决策。

OTA认识到，虽然没有绝对的安全，但实行框架原则的企业应避免遭到监管监督和集体诉讼，并潜伏得到较低的保险费。该框架反应了数百个领先安全和隐私行业领导者的贡献，包括ADT、Microsoft、SiteLock、Symantec、TRUSTe、Verisign等。最新版框架基于2016年3月发布的第1个版本，并包括了大量公共和私有部门在保护物联网装备上的努力成果。

美国国会议员、国会网络安全核心会议(Congressional Cybersecurity Caucus)的联合开创人和共同主席吉姆·朗格温(Jim Langevin)表示，“我1直支持通过量方利益相干者的流程来解决美国面临的重大网络安全挑战。最近利用物联网装备发起的攻击只强调了OTA这类组织机构的工作需要。企业必须管理物联网装备、利用程序和服务的网络安全风险。最新版物联网框架提供明晰的原则，开发商可以利用这些原则减缓风险，保护客户。”

OTA研究人员整合了美国政府机构的物联网安全和隐私建议，包括美国商务部、国土安全部(DHS)、联邦通讯委员会(FCC)和联邦贸易委员会(FTC)。另外，OTA还融会了数个组织机构提倡的主要建议，包括宽带互联网技术顾问小组(BITAG)，民主与技术中心(CDT)、美国消费者同盟(CFA)、消费者技术协会(CTA)、国际电信同盟(ITU)、互联网协会和美国房地产经纪人协会(NAR)。

《物联网信任框架》触及的主要种别

《物联网信任框架》包括37项原则，主要分为4个主要种别：

安全(1⑼)——适用于任何装备、利用程序和后端云服务。这些原则包括采取严格的软件开发安全流程，遵照装备、供应链管理、渗透测试和漏洞报告、程序存储和传输的数据安全原则。进1步的原则概述了生命周期安全补钉要求。

用户访问&凭证(10⑴4)——要求加密所有密码和用户名，为装备设置独特的密码，采取公认的密码重置进程，并集成机制帮助避免“暴力”登录尝试。

隐私、表露&透明度(15⑶0)——其要求符合公认的隐私原则，包括在包装、销售点显著表露，或在线发布。提供功能将装备重置为出厂设置，并符适合用监管要求，包括但不限于欧盟《1般数据保护规则》(General Data Protection Regulation，GDPR)和《儿童在线隐私保护法》(Children’s Online Privacy Protection Act，COPPA)。要求表露禁用连接对产品功能或性能的影响。

通知&相干最好实践(31⑶7)——保护装备安全的关键在于具有机制和程序，及时通知要挟和行动的用户。原则包括：安全通知须通过电子邮件验证，必须将信息写清楚，向各个年龄段的用户转达。另外，还强调防篡改包装和访问要求。

互联网协会(Internet Society)的首席互联网技术官Olaf Kolkman表示，“《物联网信任框架》是联网装备领域安全文化的良好示例。销售智能装备的企业有必要在界定 “智能”装备之前，实行该框架中概括的要求。”

物联网工作小组的共同主席兼赛门铁克公司研究实验室的高级总监Brian Witten表示，“到目前为止，赛门铁克已帮助保护了超过10亿物联网装备，但不幸的是，绝大多数新物联网装备上市时缺少适当的安全保障。OTA《物联网信任框架》为装备制造商提供适当的指南，以供其构建安全性，并确保消费者1开始就遭到保护。我们很高兴看到在线信任同盟致力于制定行业的物联网安全要求。”

TAG：