消費者軟件供應(yīng)商很快就可以選擇將他們的軟件貼上符合國家標(biāo)準(zhǔn)與技術(shù)協(xié)會（NIST）軟件安全標(biāo)準(zhǔn)的標(biāo)簽。2021年11月1日，NIST在題為《消費類軟件網(wǎng)絡(luò)安全標(biāo)識基線標(biāo)準(zhǔn)草案》的白皮書中公布了該標(biāo)準(zhǔn)的初稿。白皮書定義了必須在標(biāo)簽上公開的與安全相關(guān)的信息，以及軟件供應(yīng)商必須遵循的特定安全實踐。這個標(biāo)準(zhǔn)是與聯(lián)邦貿(mào)易委員會（FTC）協(xié)調(diào)開發(fā)的，可能會為FTC未來的指導(dǎo)和執(zhí)法活動提供信息。NIST要求公眾在2021年12月16日之前對白皮書提出意見和建議。最終版本預(yù)計將于2022年2月6日發(fā)布。

　　無獨有偶，11月24 日，工信部通管局發(fā)出通知，稱今年以來開展的App侵害用戶權(quán)益專項整治中，騰訊公司旗下9款產(chǎn)品存在違規(guī)行為，共計4批次被公開通報，違反了2021年信息通信業(yè)行風(fēng)糾風(fēng)相關(guān)要求。按照有關(guān)部署，工信部對騰訊公司采取過渡性的行政指導(dǎo)措施，要求對于即將發(fā)布的App新產(chǎn)品，以及既有App產(chǎn)品的更新版本，上架前需經(jīng)工信部組織技術(shù)檢測，檢測合格后正常上架。騰訊公司當(dāng)日下午表示，公司正持續(xù)升級App對用戶權(quán)益保護的各項措施，并配合監(jiān)管部門進行正常的合規(guī)檢測?？梢?，消費類軟件的信息安全問題不僅關(guān)乎軟件企業(yè)，更關(guān)系到廣大用戶的信息安全，已經(jīng)到了不得不重視整改的程度。

　　所謂消費類軟件，是指圍繞個人、家庭消費者應(yīng)用而設(shè)計的與生活、娛樂、工作等相關(guān)的軟件產(chǎn)品。消費類軟件可應(yīng)用于個人電腦、平板電腦、移動智能手機等各類智能終端，應(yīng)用范圍廣、市場需求量大。雖然單個產(chǎn)品定價不高，單個客戶所帶來的收益不高，但由于市場需求量大，總銷售數(shù)量較大，整體銷售金額與利潤并不低。

　　標(biāo)準(zhǔn)出臺的意義

　　美國總統(tǒng)喬·拜登（Joe Biden）于2021年5月12日發(fā)布的行政令（EO） 14028指示NIST啟動網(wǎng)絡(luò)安全標(biāo)識試點項目，“教育公眾了解物聯(lián)網(wǎng)（IoT）設(shè)備的安全能力和軟件開發(fā)實踐?！备鶕?jù)EO14028, NIST與FTC和其他機構(gòu)合作，“將為消費者軟件標(biāo)簽計劃確定安全軟件開發(fā)實踐或標(biāo)準(zhǔn)?！边@些標(biāo)準(zhǔn)應(yīng)“反映安全實踐的基準(zhǔn)水平”以及“產(chǎn)品可能經(jīng)歷的日益全面的測試和評估水平”。

　　消費者軟件主要用于個人、家庭或家庭目的，白皮書強調(diào)了為這類軟件開發(fā)適當(dāng)?shù)木W(wǎng)絡(luò)安全標(biāo)準(zhǔn)的必要性。它旨在告知“消費者軟件標(biāo)簽的開發(fā)和使用”，這將“在考慮網(wǎng)絡(luò)安全因素的同時，提高消費者的意識、信息和做出購買決定的能力?！卑灼鵁o意“描述網(wǎng)絡(luò)安全標(biāo)簽應(yīng)如何明確表示”或“詳細(xì)說明標(biāo)簽程序應(yīng)如何擁有或操作”。

　　白皮書有三個方面主要內(nèi)容：一是定義了標(biāo)簽的基本技術(shù)標(biāo)準(zhǔn)；第二是詳細(xì)說明建議的合格評定方法；第三是描述標(biāo)簽方法的標(biāo)準(zhǔn)。它還列舉了NIST要求評論的具體問題。

　　基線技術(shù)標(biāo)準(zhǔn)

　　白皮書定義了一系列基于結(jié)果的認(rèn)證（即聲明），軟件供應(yīng)商將在NIST標(biāo)簽上對他們的產(chǎn)品進行認(rèn)證。它還提供了滿足每個認(rèn)證的標(biāo)準(zhǔn)。

　　為達(dá)到基本的技術(shù)標(biāo)準(zhǔn)，軟件供應(yīng)商須采取以下措施：

　　遵循NIST安全軟件開發(fā)框架（SSDF）。

　　提供一種報告漏洞的機制。

　　至少在發(fā)布支持結(jié)束日期之前提供支持。

　　在標(biāo)簽日期之前補救所有已知的漏洞。

　　對軟件和任何更新進行加密簽名。

　　如果需要用戶身份驗證，則實現(xiàn)多因素身份驗證或參與支持多因素身份驗證的身份聯(lián)合生態(tài)系統(tǒng)。

　　從源代碼中刪除口令、加密密鑰或其他秘密（即，沒有硬編碼的秘密）。

　　所有加密都遵循NIST加密標(biāo)準(zhǔn)。

　　盤點由軟件儲存、處理或傳送的數(shù)據(jù)類型，以及適用于每種數(shù)據(jù)類型的保障措施。

　　合格評定標(biāo)準(zhǔn)

　　白皮書定義了供應(yīng)商符合性聲明的標(biāo)準(zhǔn)。符合性聲明旨在“提供符合規(guī)定要求的書面保證”。

　　為符合合格評定準(zhǔn)則，軟件供應(yīng)商須采取下列措施：

　　維持一套簽發(fā)、維持、延長、減少、暫?；虺坊芈暶骱蜆?biāo)簽認(rèn)證的程序。

　　維護程序以確?！俺掷m(xù)符合”標(biāo)簽認(rèn)證。

　　負(fù)責(zé)審核認(rèn)證的人和消費者軟件認(rèn)證的簽署人之間的責(zé)任和角色分離。

　　如果聲明是由認(rèn)可的實驗室或檢驗機構(gòu)發(fā)布的，保留評估結(jié)果和其他證明第三方及其資格的證明文件，包括認(rèn)可地位。

　　標(biāo)簽標(biāo)準(zhǔn)

　　白皮書推薦了一個單一的、消費者測試的標(biāo)簽，表明該軟件已經(jīng)滿足了技術(shù)和合格評估標(biāo)準(zhǔn)。標(biāo)簽還可為消費者提供獲取其他在線信息的途徑，包括：

　　關(guān)于標(biāo)簽計劃的以消費者為中心的信息；

　　符合性聲明；

　　支持?jǐn)?shù)據(jù)清單和保護認(rèn)證的描述。

　　征求意見的重點

　　NIST要求對“標(biāo)準(zhǔn)的所有方面”進行評論，包括：

　　這些準(zhǔn)則能否通過提高消費者對消費者軟件的認(rèn)識和改善消費者軟件的網(wǎng)絡(luò)安全，達(dá)到《行政命令》的目標(biāo)。

　　這些標(biāo)準(zhǔn)是否能夠并鼓勵軟件供應(yīng)商改善其產(chǎn)品的網(wǎng)絡(luò)安全以及他們向消費者提供的信息。

　　標(biāo)簽是否應(yīng)該包括“該軟件產(chǎn)品符合NIST基線技術(shù)標(biāo)準(zhǔn)”的明確聲明。

　　軟件標(biāo)簽的方法和設(shè)計是否應(yīng)該與即將推出的物聯(lián)網(wǎng)產(chǎn)品標(biāo)簽相似，以“促進品牌識別”。

　　是否包括“支持聲明所需證據(jù)的更多細(xì)節(jié)”。

　　是否提供一致性聲明模板。

　　技術(shù)基線標(biāo)準(zhǔn)是否適當(dāng)，包括“認(rèn)證的可行性、明確性、完整性和適當(dāng)性”。

　　特別提示

　　消費者軟件供應(yīng)商應(yīng)該考慮他們是否能從標(biāo)識他們的軟件符合NIST標(biāo)準(zhǔn)中獲益，如果是的話，他們是否能滿足安全開發(fā)、信息披露和一致性聲明的要求。NIST將在2021年12月16日前接受對該草案的意見和建議。