在线信任联盟(OTA)发布了最新的物联网信任框架,该框架将作为物联网(IoT)设备开发商、采购商与零售商的产品开发和风险评估指南,是未来IoT认证计划的基础。
该物联网信任框架包括四大类别和37项原则,在安全方面,适用于任何设备及其应用程序和后端云服务。这些措施包括需要采取一个严格的软件开发安全流程,在用设备进行数据存储和传输时要遵守的安全原则,将物联网设备应用于供应链管理时需要注意的安全问题,定期进行渗透测试和漏洞报告。另外,此部分内容还进一步阐述了对生命周期安全补丁的要求。
在用户访问和凭证方面,要求对所有密码和用户名进行加密处理,设置唯一密码运行设备,提供密码重置功能,同时,整合机制以阻止通过穷举法尝试强制登录。
在隐私、信息披露和透明度方面,要求与公认的隐私原则相一致,包括要在包装、销售点、在线平台上对产品信息进行重点披露。要求提供恢复出厂设置功能,同时,必须符合适用的法律法规要求,包括但不限于欧盟《一般数据保护条例》和《儿童在线隐私保护法》。如果出现连接禁用的情况,相关公司还需要对其可能对产品特性或功能造成的影响进行披露。
在通知及相关的最佳实践方面,维护设备安全的关键是要建立相应的机制和流程,以迅速通知用户他们所面临的威胁和需要采取的措施。相关原则包括,要求对安全通知进行电子邮件认证,并且通知信息的内容必须适合所有年龄和阅读级别的用户阅读。此外,该部分内容还重点强调了通知信息的防篡改问题和易获取性问题。
这份物联网信任框架汇集了包括来自安防公司ADT、微软等上百位安全和隐私行业知名企业领导者,美国商务部、国土安全部等美国政府机构,以及宽带互联网技术咨询组等行业组织关于物联网安全和隐私的相关建议。美国国会议员、国会网络安全核心小组联合创始人兼联席主席吉姆·朗格温称,公司必须要对其物联网设备、应用程序等的网络安全风险进行管理,这份物联网信任框架对此提供了明确的原则,开发人员可以使用这些原则来降低风险并保护其客户。
据悉,OTA成立于2005年,是一家国际性的慈善组织,致力于提升在线信任程度,并提升网络的创新性及活力。 
