一個(gè)由微軟、賽門鐵克、Verisign、ADT以及TRUSTe等多位成員組成的廠商機(jī)構(gòu)認(rèn)為，目前的物聯(lián)網(wǎng)(簡稱IoT)市場雖然發(fā)展態(tài)勢一路向好，但卻并沒有對安全水平或者用戶隱私給予足夠的關(guān)注。

[[145365]]

為了能將這類被初創(chuàng)企業(yè)所嚴(yán)重忽視的安全性考量元素切實(shí)納入到Alphabet的Nest業(yè)務(wù)當(dāng)中，這個(gè)名為網(wǎng)絡(luò)信任聯(lián)盟(簡稱OTA)正在積極尋求能夠幫助物聯(lián)網(wǎng)方案解決隱私保護(hù)與內(nèi)容信任難題的框架選項(xiàng)。

薄弱的保護(hù)體系以及糟糕的實(shí)現(xiàn)方式使得目前的物聯(lián)網(wǎng)安全實(shí)在看不到任何前景與希望。網(wǎng)絡(luò)信任聯(lián)盟表示，如果相關(guān)產(chǎn)品制造商不作出改變、服務(wù)項(xiàng)目也繼續(xù)也漫不經(jīng)心的態(tài)度對待安全風(fēng)險(xiǎn)，那么這種負(fù)面狀況將永遠(yuǎn)得不到扭轉(zhuǎn)。

通過這套框架的公布，網(wǎng)絡(luò)信任聯(lián)盟希望能夠幫助物聯(lián)網(wǎng)市場不再重蹈覆轍——也就是在安全考量中忽視產(chǎn)品生命周期這一重要因素。

“可持續(xù)性——也就是設(shè)備在生命周期當(dāng)中的受支持能力以及售后服務(wù)到期后的數(shù)據(jù)保護(hù)能力——對于全球范圍內(nèi)的普通用戶及企業(yè)客戶而言，都是保障安全、隱私以及個(gè)人信息的重要前提，”框架聲明作出了這樣的解讀。

換句話來說，相關(guān)廠商無法在售后服務(wù)到期或者隨意設(shè)定報(bào)廢日期，并在此后直接將用戶拋在一邊。如果其中出現(xiàn)某項(xiàng)安全漏洞(而廠商又仍然沒有倒閉的話)，那么其必須得到修復(fù)。

Windows 10在閃亮登場的同時(shí)也帶來了權(quán)限濫用的問題，其在默認(rèn)狀態(tài)下支持Wi-Fi密碼共享。反對者可能會(huì)對網(wǎng)絡(luò)信任聯(lián)盟就物聯(lián)網(wǎng)服務(wù)透明度所作出的呼吁大加嘲笑，但這也正是該機(jī)構(gòu)的核心主旨。該聯(lián)盟主席兼執(zhí)行董事Craig Spiezle強(qiáng)調(diào)稱，健康狀況追蹤裝置、智能家居、智能電視以及智能電網(wǎng)體系都面臨著嚴(yán)重的潛在風(fēng)險(xiǎn)。

那么，這份文件到底包含有哪些內(nèi)容?

這份題為《物聯(lián)網(wǎng)信任框架草案》的文件指出，安全與隱私應(yīng)當(dāng)成為“產(chǎn)品開發(fā)之初即受到認(rèn)真對待的優(yōu)先考量因素，同時(shí)得到全面解決。”

這份框架還包含有以下幾項(xiàng)基本要求：

全面公開隱私政策——要求客戶能夠在著手購買產(chǎn)品之前，輕松查閱到其需要了解的隱私政策，從而據(jù)此作出選擇或者放棄購買產(chǎn)品或服務(wù)的決定。

保證隱私政策的可讀性——網(wǎng)絡(luò)信任聯(lián)盟指出，其中包括利用用戶界面設(shè)計(jì)顯示相關(guān)政策。由于家居傳感器或者健康狀況追蹤裝置往往不具備用戶界面，因此相關(guān)廠商應(yīng)當(dāng)保證在其它設(shè)備之上明確顯示隱私政策內(nèi)容。

向用戶公開所收集之?dāng)?shù)據(jù)類型——或者如框架文件當(dāng)中所言，“設(shè)備制造商必須明確披露其產(chǎn)品所能收集到的全部個(gè)人身份識(shí)別數(shù)據(jù)類型及屬性。”

物聯(lián)網(wǎng)產(chǎn)品廠商須明確數(shù)據(jù)共享機(jī)制——數(shù)據(jù)應(yīng)當(dāng)只共享給同意并遵循保密協(xié)議的第三方機(jī)構(gòu)，且只面向受限用途使用。

明確告知客戶其個(gè)人數(shù)據(jù)的保有時(shí)長。

其它建議還包括強(qiáng)制要求用戶更改設(shè)備的默認(rèn)密碼;個(gè)人數(shù)據(jù)應(yīng)當(dāng)在閑置或者傳輸過程中進(jìn)行加密或者散列化處理;在數(shù)據(jù)從物聯(lián)網(wǎng)裝置發(fā)送至服務(wù)器端時(shí)，應(yīng)當(dāng)遵循SSL***實(shí)踐;HTTPS必須成為所有設(shè)備進(jìn)行服務(wù)器通信時(shí)的默認(rèn)選項(xiàng)。

我們也欣慰地注意到，相關(guān)建議還包括告知用戶哪些數(shù)據(jù)會(huì)被存儲(chǔ)在云環(huán)境當(dāng)中，提醒用戶在智能設(shè)備斷開聯(lián)網(wǎng)或者某些智能選項(xiàng)被禁用時(shí)、哪些功能將會(huì)受到影響;而相關(guān)廠商應(yīng)當(dāng)確保匿名數(shù)據(jù)不可被重新認(rèn)定。

類似的條款還有很多，這一切都讓我們確切了解到網(wǎng)絡(luò)信任聯(lián)盟的訴求及其存在意義。不過話說回來，物聯(lián)網(wǎng)產(chǎn)品廠商到底吃不吃這一套還是個(gè)問題，我們只能靜待時(shí)間給出答案。