一個(gè)由微軟、賽門(mén)鐵克、Verisign、ADT以及TRUSTe等多位成員組成的廠商機(jī)構(gòu)認(rèn)為，目前的物聯(lián)網(wǎng)(簡(jiǎn)稱(chēng)IoT)市場(chǎng)雖然發(fā)展態(tài)勢(shì)一路向好，但卻并沒(méi)有對(duì)安全水平或者用戶(hù)隱私給予足夠的關(guān)注。

[[145365]]

為了能將這類(lèi)被初創(chuàng)企業(yè)所嚴(yán)重忽視的安全性考量元素切實(shí)納入到Alphabet的Nest業(yè)務(wù)當(dāng)中，這個(gè)名為網(wǎng)絡(luò)信任聯(lián)盟(簡(jiǎn)稱(chēng)OTA)正在積極尋求能夠幫助物聯(lián)網(wǎng)方案解決隱私保護(hù)與內(nèi)容信任難題的框架選項(xiàng)。

薄弱的保護(hù)體系以及糟糕的實(shí)現(xiàn)方式使得目前的物聯(lián)網(wǎng)安全實(shí)在看不到任何前景與希望。網(wǎng)絡(luò)信任聯(lián)盟表示，如果相關(guān)產(chǎn)品制造商不作出改變、服務(wù)項(xiàng)目也繼續(xù)也漫不經(jīng)心的態(tài)度對(duì)待安全風(fēng)險(xiǎn)，那么這種負(fù)面狀況將永遠(yuǎn)得不到扭轉(zhuǎn)。

通過(guò)這套框架的公布，網(wǎng)絡(luò)信任聯(lián)盟希望能夠幫助物聯(lián)網(wǎng)市場(chǎng)不再重蹈覆轍——也就是在安全考量中忽視產(chǎn)品生命周期這一重要因素。

“可持續(xù)性——也就是設(shè)備在生命周期當(dāng)中的受支持能力以及售后服務(wù)到期后的數(shù)據(jù)保護(hù)能力——對(duì)于全球范圍內(nèi)的普通用戶(hù)及企業(yè)客戶(hù)而言，都是保障安全、隱私以及個(gè)人信息的重要前提，”框架聲明作出了這樣的解讀。

換句話(huà)來(lái)說(shuō)，相關(guān)廠商無(wú)法在售后服務(wù)到期或者隨意設(shè)定報(bào)廢日期，并在此后直接將用戶(hù)拋在一邊。如果其中出現(xiàn)某項(xiàng)安全漏洞(而廠商又仍然沒(méi)有倒閉的話(huà))，那么其必須得到修復(fù)。

Windows 10在閃亮登場(chǎng)的同時(shí)也帶來(lái)了權(quán)限濫用的問(wèn)題，其在默認(rèn)狀態(tài)下支持Wi-Fi密碼共享。反對(duì)者可能會(huì)對(duì)網(wǎng)絡(luò)信任聯(lián)盟就物聯(lián)網(wǎng)服務(wù)透明度所作出的呼吁大加嘲笑，但這也正是該機(jī)構(gòu)的核心主旨。該聯(lián)盟主席兼執(zhí)行董事Craig Spiezle強(qiáng)調(diào)稱(chēng)，健康狀況追蹤裝置、智能家居、智能電視以及智能電網(wǎng)體系都面臨著嚴(yán)重的潛在風(fēng)險(xiǎn)。

那么，這份文件到底包含有哪些內(nèi)容?

這份題為《物聯(lián)網(wǎng)信任框架草案》的文件指出，安全與隱私應(yīng)當(dāng)成為“產(chǎn)品開(kāi)發(fā)之初即受到認(rèn)真對(duì)待的優(yōu)先考量因素，同時(shí)得到全面解決。”

這份框架還包含有以下幾項(xiàng)基本要求：

全面公開(kāi)隱私政策——要求客戶(hù)能夠在著手購(gòu)買(mǎi)產(chǎn)品之前，輕松查閱到其需要了解的隱私政策，從而據(jù)此作出選擇或者放棄購(gòu)買(mǎi)產(chǎn)品或服務(wù)的決定。

保證隱私政策的可讀性——網(wǎng)絡(luò)信任聯(lián)盟指出，其中包括利用用戶(hù)界面設(shè)計(jì)顯示相關(guān)政策。由于家居傳感器或者健康狀況追蹤裝置往往不具備用戶(hù)界面，因此相關(guān)廠商應(yīng)當(dāng)保證在其它設(shè)備之上明確顯示隱私政策內(nèi)容。

向用戶(hù)公開(kāi)所收集之?dāng)?shù)據(jù)類(lèi)型——或者如框架文件當(dāng)中所言，“設(shè)備制造商必須明確披露其產(chǎn)品所能收集到的全部個(gè)人身份識(shí)別數(shù)據(jù)類(lèi)型及屬性。”

物聯(lián)網(wǎng)產(chǎn)品廠商須明確數(shù)據(jù)共享機(jī)制——數(shù)據(jù)應(yīng)當(dāng)只共享給同意并遵循保密協(xié)議的第三方機(jī)構(gòu)，且只面向受限用途使用。

明確告知客戶(hù)其個(gè)人數(shù)據(jù)的保有時(shí)長(zhǎng)。

其它建議還包括強(qiáng)制要求用戶(hù)更改設(shè)備的默認(rèn)密碼;個(gè)人數(shù)據(jù)應(yīng)當(dāng)在閑置或者傳輸過(guò)程中進(jìn)行加密或者散列化處理;在數(shù)據(jù)從物聯(lián)網(wǎng)裝置發(fā)送至服務(wù)器端時(shí)，應(yīng)當(dāng)遵循SSL***實(shí)踐;HTTPS必須成為所有設(shè)備進(jìn)行服務(wù)器通信時(shí)的默認(rèn)選項(xiàng)。

我們也欣慰地注意到，相關(guān)建議還包括告知用戶(hù)哪些數(shù)據(jù)會(huì)被存儲(chǔ)在云環(huán)境當(dāng)中，提醒用戶(hù)在智能設(shè)備斷開(kāi)聯(lián)網(wǎng)或者某些智能選項(xiàng)被禁用時(shí)、哪些功能將會(huì)受到影響;而相關(guān)廠商應(yīng)當(dāng)確保匿名數(shù)據(jù)不可被重新認(rèn)定。

類(lèi)似的條款還有很多，這一切都讓我們確切了解到網(wǎng)絡(luò)信任聯(lián)盟的訴求及其存在意義。不過(guò)話(huà)說(shuō)回來(lái)，物聯(lián)網(wǎng)產(chǎn)品廠商到底吃不吃這一套還是個(gè)問(wèn)題，我們只能靜待時(shí)間給出答案。