消費(fèi)者軟件供應(yīng)商很快就可以選擇將他們的軟件貼上符合國(guó)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)（NIST）軟件安全標(biāo)準(zhǔn)的標(biāo)簽。2021年11月1日，NIST在題為《消費(fèi)類軟件網(wǎng)絡(luò)安全標(biāo)識(shí)基線標(biāo)準(zhǔn)草案》的白皮書(shū)中公布了該標(biāo)準(zhǔn)的初稿。白皮書(shū)定義了必須在標(biāo)簽上公開(kāi)的與安全相關(guān)的信息，以及軟件供應(yīng)商必須遵循的特定安全實(shí)踐。這個(gè)標(biāo)準(zhǔn)是與聯(lián)邦貿(mào)易委員會(huì)（FTC）協(xié)調(diào)開(kāi)發(fā)的，可能會(huì)為FTC未來(lái)的指導(dǎo)和執(zhí)法活動(dòng)提供信息。NIST要求公眾在2021年12月16日之前對(duì)白皮書(shū)提出意見(jiàn)和建議。最終版本預(yù)計(jì)將于2022年2月6日發(fā)布。

　　無(wú)獨(dú)有偶，11月24 日，工信部通管局發(fā)出通知，稱今年以來(lái)開(kāi)展的App侵害用戶權(quán)益專項(xiàng)整治中，騰訊公司旗下9款產(chǎn)品存在違規(guī)行為，共計(jì)4批次被公開(kāi)通報(bào)，違反了2021年信息通信業(yè)行風(fēng)糾風(fēng)相關(guān)要求。按照有關(guān)部署，工信部對(duì)騰訊公司采取過(guò)渡性的行政指導(dǎo)措施，要求對(duì)于即將發(fā)布的App新產(chǎn)品，以及既有App產(chǎn)品的更新版本，上架前需經(jīng)工信部組織技術(shù)檢測(cè)，檢測(cè)合格后正常上架。騰訊公司當(dāng)日下午表示，公司正持續(xù)升級(jí)App對(duì)用戶權(quán)益保護(hù)的各項(xiàng)措施，并配合監(jiān)管部門進(jìn)行正常的合規(guī)檢測(cè)?？梢?jiàn)，消費(fèi)類軟件的信息安全問(wèn)題不僅關(guān)乎軟件企業(yè)，更關(guān)系到廣大用戶的信息安全，已經(jīng)到了不得不重視整改的程度。

　　所謂消費(fèi)類軟件，是指圍繞個(gè)人、家庭消費(fèi)者應(yīng)用而設(shè)計(jì)的與生活、娛樂(lè)、工作等相關(guān)的軟件產(chǎn)品。消費(fèi)類軟件可應(yīng)用于個(gè)人電腦、平板電腦、移動(dòng)智能手機(jī)等各類智能終端，應(yīng)用范圍廣、市場(chǎng)需求量大。雖然單個(gè)產(chǎn)品定價(jià)不高，單個(gè)客戶所帶來(lái)的收益不高，但由于市場(chǎng)需求量大，總銷售數(shù)量較大，整體銷售金額與利潤(rùn)并不低。

　　標(biāo)準(zhǔn)出臺(tái)的意義

　　美國(guó)總統(tǒng)喬·拜登（Joe Biden）于2021年5月12日發(fā)布的行政令（EO） 14028指示NIST啟動(dòng)網(wǎng)絡(luò)安全標(biāo)識(shí)試點(diǎn)項(xiàng)目，“教育公眾了解物聯(lián)網(wǎng)（IoT）設(shè)備的安全能力和軟件開(kāi)發(fā)實(shí)踐?！备鶕?jù)EO14028, NIST與FTC和其他機(jī)構(gòu)合作，“將為消費(fèi)者軟件標(biāo)簽計(jì)劃確定安全軟件開(kāi)發(fā)實(shí)踐或標(biāo)準(zhǔn)?！边@些標(biāo)準(zhǔn)應(yīng)“反映安全實(shí)踐的基準(zhǔn)水平”以及“產(chǎn)品可能經(jīng)歷的日益全面的測(cè)試和評(píng)估水平”。

　　消費(fèi)者軟件主要用于個(gè)人、家庭或家庭目的，白皮書(shū)強(qiáng)調(diào)了為這類軟件開(kāi)發(fā)適當(dāng)?shù)木W(wǎng)絡(luò)安全標(biāo)準(zhǔn)的必要性。它旨在告知“消費(fèi)者軟件標(biāo)簽的開(kāi)發(fā)和使用”，這將“在考慮網(wǎng)絡(luò)安全因素的同時(shí)，提高消費(fèi)者的意識(shí)、信息和做出購(gòu)買決定的能力?！卑灼?shū)無(wú)意“描述網(wǎng)絡(luò)安全標(biāo)簽應(yīng)如何明確表示”或“詳細(xì)說(shuō)明標(biāo)簽程序應(yīng)如何擁有或操作”。

　　白皮書(shū)有三個(gè)方面主要內(nèi)容：一是定義了標(biāo)簽的基本技術(shù)標(biāo)準(zhǔn)；第二是詳細(xì)說(shuō)明建議的合格評(píng)定方法；第三是描述標(biāo)簽方法的標(biāo)準(zhǔn)。它還列舉了NIST要求評(píng)論的具體問(wèn)題。

　　基線技術(shù)標(biāo)準(zhǔn)

　　白皮書(shū)定義了一系列基于結(jié)果的認(rèn)證（即聲明），軟件供應(yīng)商將在NIST標(biāo)簽上對(duì)他們的產(chǎn)品進(jìn)行認(rèn)證。它還提供了滿足每個(gè)認(rèn)證的標(biāo)準(zhǔn)。

　　為達(dá)到基本的技術(shù)標(biāo)準(zhǔn)，軟件供應(yīng)商須采取以下措施：

　　遵循NIST安全軟件開(kāi)發(fā)框架（SSDF）。

　　提供一種報(bào)告漏洞的機(jī)制。

　　至少在發(fā)布支持結(jié)束日期之前提供支持。

　　在標(biāo)簽日期之前補(bǔ)救所有已知的漏洞。

　　對(duì)軟件和任何更新進(jìn)行加密簽名。

　　如果需要用戶身份驗(yàn)證，則實(shí)現(xiàn)多因素身份驗(yàn)證或參與支持多因素身份驗(yàn)證的身份聯(lián)合生態(tài)系統(tǒng)。

　　從源代碼中刪除口令、加密密鑰或其他秘密（即，沒(méi)有硬編碼的秘密）。

　　所有加密都遵循NIST加密標(biāo)準(zhǔn)。

　　盤(pán)點(diǎn)由軟件儲(chǔ)存、處理或傳送的數(shù)據(jù)類型，以及適用于每種數(shù)據(jù)類型的保障措施。

　　合格評(píng)定標(biāo)準(zhǔn)

　　白皮書(shū)定義了供應(yīng)商符合性聲明的標(biāo)準(zhǔn)。符合性聲明旨在“提供符合規(guī)定要求的書(shū)面保證”。

　　為符合合格評(píng)定準(zhǔn)則，軟件供應(yīng)商須采取下列措施：

　　維持一套簽發(fā)、維持、延長(zhǎng)、減少、暫停或撤回聲明和標(biāo)簽認(rèn)證的程序。

　　維護(hù)程序以確?！俺掷m(xù)符合”標(biāo)簽認(rèn)證。

　　負(fù)責(zé)審核認(rèn)證的人和消費(fèi)者軟件認(rèn)證的簽署人之間的責(zé)任和角色分離。

　　如果聲明是由認(rèn)可的實(shí)驗(yàn)室或檢驗(yàn)機(jī)構(gòu)發(fā)布的，保留評(píng)估結(jié)果和其他證明第三方及其資格的證明文件，包括認(rèn)可地位。

　　標(biāo)簽標(biāo)準(zhǔn)

　　白皮書(shū)推薦了一個(gè)單一的、消費(fèi)者測(cè)試的標(biāo)簽，表明該軟件已經(jīng)滿足了技術(shù)和合格評(píng)估標(biāo)準(zhǔn)。標(biāo)簽還可為消費(fèi)者提供獲取其他在線信息的途徑，包括：

　　關(guān)于標(biāo)簽計(jì)劃的以消費(fèi)者為中心的信息；

　　符合性聲明；

　　支持?jǐn)?shù)據(jù)清單和保護(hù)認(rèn)證的描述。

　　征求意見(jiàn)的重點(diǎn)

　　NIST要求對(duì)“標(biāo)準(zhǔn)的所有方面”進(jìn)行評(píng)論，包括：

　　這些準(zhǔn)則能否通過(guò)提高消費(fèi)者對(duì)消費(fèi)者軟件的認(rèn)識(shí)和改善消費(fèi)者軟件的網(wǎng)絡(luò)安全，達(dá)到《行政命令》的目標(biāo)。

　　這些標(biāo)準(zhǔn)是否能夠并鼓勵(lì)軟件供應(yīng)商改善其產(chǎn)品的網(wǎng)絡(luò)安全以及他們向消費(fèi)者提供的信息。

　　標(biāo)簽是否應(yīng)該包括“該軟件產(chǎn)品符合NIST基線技術(shù)標(biāo)準(zhǔn)”的明確聲明。

　　軟件標(biāo)簽的方法和設(shè)計(jì)是否應(yīng)該與即將推出的物聯(lián)網(wǎng)產(chǎn)品標(biāo)簽相似，以“促進(jìn)品牌識(shí)別”。

　　是否包括“支持聲明所需證據(jù)的更多細(xì)節(jié)”。

　　是否提供一致性聲明模板。

　　技術(shù)基線標(biāo)準(zhǔn)是否適當(dāng)，包括“認(rèn)證的可行性、明確性、完整性和適當(dāng)性”。

　　特別提示

　　消費(fèi)者軟件供應(yīng)商應(yīng)該考慮他們是否能從標(biāo)識(shí)他們的軟件符合NIST標(biāo)準(zhǔn)中獲益，如果是的話，他們是否能滿足安全開(kāi)發(fā)、信息披露和一致性聲明的要求。NIST將在2021年12月16日前接受對(duì)該草案的意見(jiàn)和建議。