美NIST公開征求對《消費類軟件網絡安全標識基線標準草案》的意見

消費者軟件供應商很快就可以選擇將他們的軟件貼上符合國家標準與技術協會(NIST)軟件安全標準的標簽。2021年11月1日，NIST在題為《消費類軟件網絡安全標識基線標準草案》的白皮書中公布了該標準的初稿。白皮書定義了必須在標簽上公開的與安全相關的信息，以及軟件供應商必須遵循的特定安全實踐。這個標準是與聯邦貿易委員會(FTC)協調開發的，可能會為FTC未來的指導和執法活動提供信息。NIST要求公眾在2021年12月16日之前對白皮書提出意見和建議。最終版本預計將于2022年2月6日發布。

無獨有偶，11月24 日，工信部通管局發出通知，稱今年以來開展的App侵害用戶權益專項整治中，騰訊公司旗下9款產品存在違規行為，共計4批次被公開通報，違反了2021年信息通信業行風糾風相關要求。按照有關部署，工信部對騰訊公司采取過渡性的行政指導措施，要求對于即將發布的App新產品，以及既有App產品的更新版本，上架前需經工信部組織技術檢測，檢測合格后正常上架。騰訊公司當日下午表示，公司正持續升級App對用戶權益保護的各項措施，并配合監管部門進行正常的合規檢測。可見，消費類軟件的信息安全問題不僅關乎軟件企業，更關系到廣大用戶的信息安全，已經到了不得不重視整改的程度。

所謂消費類軟件，是指圍繞個人、家庭消費者應用而設計的與生活、娛樂、工作等相關的軟件產品。消費類軟件可應用于個人電腦、平板電腦、移動智能手機等各類智能終端，應用范圍廣、市場需求量大。雖然單個產品定價不高，單個客戶所帶來的收益不高，但由于市場需求量大，總銷售數量較大，整體銷售金額與利潤并不低。

標準出臺的意義

美國總統喬·拜登(Joe Biden)于2021年5月12日發布的行政令(EO) 14028指示NIST啟動網絡安全標識試點項目，“教育公眾了解物聯網(IoT)設備的安全能力和軟件開發實踐。”根據EO14028, NIST與FTC和其他機構合作，“將為消費者軟件標簽計劃確定安全軟件開發實踐或標準。”這些標準應“反映安全實踐的基準水平”以及“產品可能經歷的日益全面的測試和評估水平”。

消費者軟件 主要用于個人、家庭或家庭目的， 白皮書強調了為這類軟件開發適當的網絡安全標準的必要性。它旨在告知“消費者軟件標簽的開發和使用”，這將“在考慮網絡安全因素的同時，提高消費者的意識、信息和做出購買決定的能力。”白皮書無意“描述網絡安全標簽應如何明確表示”或“詳細說明標簽程序應如何擁有或操作”。

白皮書有三個方面主要內容：一是定義了標簽的基本技術標準;第二是詳細說明建議的合格評定方法;第三是描述標簽方法的標準。它還列舉了NIST要求評論的具體問題。

基線技術標準

白皮書定義了一系列基于結果的認證(即聲明)，軟件供應商將在NIST標簽上對他們的產品進行認證。它還提供了滿足每個認證的標準。

為達到基本的技術標準，軟件供應商須采取以下措施:

1. 遵循NIST安全軟件開發框架(SSDF)。
2. 提供一種報告漏洞的機制。
3. 至少在發布支持結束日期之前提供支持。
4. 在標簽日期之前補救所有已知的漏洞。
5. 對軟件和任何更新進行加密簽名。
6. 如果需要用戶身份驗證，則實現多因素身份驗證或參與支持多因素身份驗證的身份聯合生態系統。
7. 從源代碼中刪除口令、加密密鑰或其他秘密(即，沒有硬編碼的秘密)。
8. 所有加密都遵循NIST加密標準。
9. 盤點由軟件儲存、處理或傳送的數據類型，以及適用于每種數據類型的保障措施。

合格評定標準

白皮書定義了供應商符合性聲明的標準。符合性聲明旨在“提供符合規定要求的書面保證”。

為符合合格評定準則，軟件供應商須采取下列措施:

1. 維持一套簽發、維持、延長、減少、暫停或撤回聲明和標簽認證的程序。
2. 維護程序以確保“持續符合”標簽認證。
3. 負責審核認證的人和消費者軟件認證的簽署人之間的責任和角色分離。
4. 如果聲明是由認可的實驗室或檢驗機構發布的，保留評估結果和其他證明第三方及其資格的證明文件，包括認可地位。

標簽標準

白皮書推薦了一個單一的、消費者測試的標簽，表明該軟件已經滿足了技術和合格評估標準。標簽還可為消費者提供獲取其他在線信息的途徑，包括:

1. 關于標簽計劃的以消費者為中心的信息;
2. 符合性聲明;
3. 支持數據清單和保護認證的描述。

征求意見的重點

NIST要求對“標準的所有方面”進行評論，包括:

1. 這些準則能否通過提高消費者對消費者軟件的認識和改善消費者軟件的網絡安全，達到《行政命令》的目標。
2. 這些標準是否能夠并鼓勵軟件供應商改善其產品的網絡安全以及他們向消費者提供的信息。
3. 標簽是否應該包括“該軟件產品符合NIST基線技術標準”的明確聲明。
4. 軟件標簽的方法和設計是否應該與即將推出的物聯網產品標簽相似，以“促進品牌識別”。
5. 是否包括“支持聲明所需證據的更多細節”。
6. 是否提供一致性聲明模板。
7. 技術基線標準是否適當，包括“認證的可行性、明確性、完整性和適當性”。

特別提示

消費者軟件供應商應該考慮他們是否能從標識他們的軟件符合NIST標準中獲益，如果是的話，他們是否能滿足安全開發、信息披露和一致性聲明的要求。NIST將在2021年12月16日前接受對該草案的意見和建議。