消費類軟件安全成焦點!工信部指導(dǎo)騰訊,美NIST公開征求對《消費類軟件網(wǎng)絡(luò)安全標(biāo)識基線標(biāo)準(zhǔn)草案》的意見
2021-11-25
來源:網(wǎng)空閑話
消費者軟件供應(yīng)商很快就可以選擇將他們的軟件貼上符合國家標(biāo)準(zhǔn)與技術(shù)協(xié)會(NIST)軟件安全標(biāo)準(zhǔn)的標(biāo)簽。2021年11月1日,NIST在題為《消費類軟件網(wǎng)絡(luò)安全標(biāo)識基線標(biāo)準(zhǔn)草案》的白皮書中公布了該標(biāo)準(zhǔn)的初稿。白皮書定義了必須在標(biāo)簽上公開的與安全相關(guān)的信息,以及軟件供應(yīng)商必須遵循的特定安全實踐。這個標(biāo)準(zhǔn)是與聯(lián)邦貿(mào)易委員會(FTC)協(xié)調(diào)開發(fā)的,可能會為FTC未來的指導(dǎo)和執(zhí)法活動提供信息。NIST要求公眾在2021年12月16日之前對白皮書提出意見和建議。最終版本預(yù)計將于2022年2月6日發(fā)布。
無獨有偶,11月24 日,工信部通管局發(fā)出通知,稱今年以來開展的App侵害用戶權(quán)益專項整治中,騰訊公司旗下9款產(chǎn)品存在違規(guī)行為,共計4批次被公開通報,違反了2021年信息通信業(yè)行風(fēng)糾風(fēng)相關(guān)要求。按照有關(guān)部署,工信部對騰訊公司采取過渡性的行政指導(dǎo)措施,要求對于即將發(fā)布的App新產(chǎn)品,以及既有App產(chǎn)品的更新版本,上架前需經(jīng)工信部組織技術(shù)檢測,檢測合格后正常上架。騰訊公司當(dāng)日下午表示,公司正持續(xù)升級App對用戶權(quán)益保護的各項措施,并配合監(jiān)管部門進行正常的合規(guī)檢測??梢?,消費類軟件的信息安全問題不僅關(guān)乎軟件企業(yè),更關(guān)系到廣大用戶的信息安全,已經(jīng)到了不得不重視整改的程度。
所謂消費類軟件,是指圍繞個人、家庭消費者應(yīng)用而設(shè)計的與生活、娛樂、工作等相關(guān)的軟件產(chǎn)品。消費類軟件可應(yīng)用于個人電腦、平板電腦、移動智能手機等各類智能終端,應(yīng)用范圍廣、市場需求量大。雖然單個產(chǎn)品定價不高,單個客戶所帶來的收益不高,但由于市場需求量大,總銷售數(shù)量較大,整體銷售金額與利潤并不低。
標(biāo)準(zhǔn)出臺的意義
美國總統(tǒng)喬·拜登(Joe Biden)于2021年5月12日發(fā)布的行政令(EO) 14028指示NIST啟動網(wǎng)絡(luò)安全標(biāo)識試點項目,“教育公眾了解物聯(lián)網(wǎng)(IoT)設(shè)備的安全能力和軟件開發(fā)實踐?!备鶕?jù)EO14028, NIST與FTC和其他機構(gòu)合作,“將為消費者軟件標(biāo)簽計劃確定安全軟件開發(fā)實踐或標(biāo)準(zhǔn)?!边@些標(biāo)準(zhǔn)應(yīng)“反映安全實踐的基準(zhǔn)水平”以及“產(chǎn)品可能經(jīng)歷的日益全面的測試和評估水平”。
消費者軟件主要用于個人、家庭或家庭目的,白皮書強調(diào)了為這類軟件開發(fā)適當(dāng)?shù)木W(wǎng)絡(luò)安全標(biāo)準(zhǔn)的必要性。它旨在告知“消費者軟件標(biāo)簽的開發(fā)和使用”,這將“在考慮網(wǎng)絡(luò)安全因素的同時,提高消費者的意識、信息和做出購買決定的能力?!卑灼鵁o意“描述網(wǎng)絡(luò)安全標(biāo)簽應(yīng)如何明確表示”或“詳細(xì)說明標(biāo)簽程序應(yīng)如何擁有或操作”。
白皮書有三個方面主要內(nèi)容:一是定義了標(biāo)簽的基本技術(shù)標(biāo)準(zhǔn);第二是詳細(xì)說明建議的合格評定方法;第三是描述標(biāo)簽方法的標(biāo)準(zhǔn)。它還列舉了NIST要求評論的具體問題。
基線技術(shù)標(biāo)準(zhǔn)
白皮書定義了一系列基于結(jié)果的認(rèn)證(即聲明),軟件供應(yīng)商將在NIST標(biāo)簽上對他們的產(chǎn)品進行認(rèn)證。它還提供了滿足每個認(rèn)證的標(biāo)準(zhǔn)。
為達(dá)到基本的技術(shù)標(biāo)準(zhǔn),軟件供應(yīng)商須采取以下措施:
遵循NIST安全軟件開發(fā)框架(SSDF)。
提供一種報告漏洞的機制。
至少在發(fā)布支持結(jié)束日期之前提供支持。
在標(biāo)簽日期之前補救所有已知的漏洞。
對軟件和任何更新進行加密簽名。
如果需要用戶身份驗證,則實現(xiàn)多因素身份驗證或參與支持多因素身份驗證的身份聯(lián)合生態(tài)系統(tǒng)。
從源代碼中刪除口令、加密密鑰或其他秘密(即,沒有硬編碼的秘密)。
所有加密都遵循NIST加密標(biāo)準(zhǔn)。
盤點由軟件儲存、處理或傳送的數(shù)據(jù)類型,以及適用于每種數(shù)據(jù)類型的保障措施。
合格評定標(biāo)準(zhǔn)
白皮書定義了供應(yīng)商符合性聲明的標(biāo)準(zhǔn)。符合性聲明旨在“提供符合規(guī)定要求的書面保證”。
為符合合格評定準(zhǔn)則,軟件供應(yīng)商須采取下列措施:
維持一套簽發(fā)、維持、延長、減少、暫?;虺坊芈暶骱蜆?biāo)簽認(rèn)證的程序。
維護程序以確?!俺掷m(xù)符合”標(biāo)簽認(rèn)證。
負(fù)責(zé)審核認(rèn)證的人和消費者軟件認(rèn)證的簽署人之間的責(zé)任和角色分離。
如果聲明是由認(rèn)可的實驗室或檢驗機構(gòu)發(fā)布的,保留評估結(jié)果和其他證明第三方及其資格的證明文件,包括認(rèn)可地位。
標(biāo)簽標(biāo)準(zhǔn)
白皮書推薦了一個單一的、消費者測試的標(biāo)簽,表明該軟件已經(jīng)滿足了技術(shù)和合格評估標(biāo)準(zhǔn)。標(biāo)簽還可為消費者提供獲取其他在線信息的途徑,包括:
關(guān)于標(biāo)簽計劃的以消費者為中心的信息;
符合性聲明;
支持?jǐn)?shù)據(jù)清單和保護認(rèn)證的描述。
征求意見的重點
NIST要求對“標(biāo)準(zhǔn)的所有方面”進行評論,包括:
這些準(zhǔn)則能否通過提高消費者對消費者軟件的認(rèn)識和改善消費者軟件的網(wǎng)絡(luò)安全,達(dá)到《行政命令》的目標(biāo)。
這些標(biāo)準(zhǔn)是否能夠并鼓勵軟件供應(yīng)商改善其產(chǎn)品的網(wǎng)絡(luò)安全以及他們向消費者提供的信息。
標(biāo)簽是否應(yīng)該包括“該軟件產(chǎn)品符合NIST基線技術(shù)標(biāo)準(zhǔn)”的明確聲明。
軟件標(biāo)簽的方法和設(shè)計是否應(yīng)該與即將推出的物聯(lián)網(wǎng)產(chǎn)品標(biāo)簽相似,以“促進品牌識別”。
是否包括“支持聲明所需證據(jù)的更多細(xì)節(jié)”。
是否提供一致性聲明模板。
技術(shù)基線標(biāo)準(zhǔn)是否適當(dāng),包括“認(rèn)證的可行性、明確性、完整性和適當(dāng)性”。
特別提示
消費者軟件供應(yīng)商應(yīng)該考慮他們是否能從標(biāo)識他們的軟件符合NIST標(biāo)準(zhǔn)中獲益,如果是的話,他們是否能滿足安全開發(fā)、信息披露和一致性聲明的要求。NIST將在2021年12月16日前接受對該草案的意見和建議。