美NIST公开征求对《消费类软件网络安全标识基线标准草案》的意见

消费者软件供应商很快就可以选择将他们的软件贴上符合国家标准与技术协会(NIST)软件安全标准的标签。2021年11月1日，NIST在题为《消费类软件网络安全标识基线标准草案》的白皮书中公布了该标准的初稿。白皮书定义了必须在标签上公开的与安全相关的信息，以及软件供应商必须遵循的特定安全实践。这个标准是与联邦贸易委员会(FTC)协调开发的，可能会为FTC未来的指导和执法活动提供信息。NIST要求公众在2021年12月16日之前对白皮书提出意见和建议。最终版本预计将于2022年2月6日发布。

无独有偶，11月24 日，工信部通管局发出通知，称今年以来开展的App侵害用户权益专项整治中，腾讯公司旗下9款产品存在违规行为，共计4批次被公开通报，违反了2021年信息通信业行风纠风相关要求。按照有关部署，工信部对腾讯公司采取过渡性的行政指导措施，要求对于即将发布的App新产品，以及既有App产品的更新版本，上架前需经工信部组织技术检测，检测合格后正常上架。腾讯公司当日下午表示，公司正持续升级App对用户权益保护的各项措施，并配合监管部门进行正常的合规检测。可见，消费类软件的信息安全问题不仅关乎软件企业，更关系到广大用户的信息安全，已经到了不得不重视整改的程度。

所谓消费类软件，是指围绕个人、家庭消费者应用而设计的与生活、娱乐、工作等相关的软件产品。消费类软件可应用于个人电脑、平板电脑、移动智能手机等各类智能终端，应用范围广、市场需求量大。虽然单个产品定价不高，单个客户所带来的收益不高，但由于市场需求量大，总销售数量较大，整体销售金额与利润并不低。

标准出台的意义

美国总统乔·拜登(Joe Biden)于2021年5月12日发布的行政令(EO) 14028指示NIST启动网络安全标识试点项目，“教育公众了解物联网(IoT)设备的安全能力和软件开发实践。”根据EO14028, NIST与FTC和其他机构合作，“将为消费者软件标签计划确定安全软件开发实践或标准。”这些标准应“反映安全实践的基准水平”以及“产品可能经历的日益全面的测试和评估水平”。

消费者软件 主要用于个人、家庭或家庭目的， 白皮书强调了为这类软件开发适当的网络安全标准的必要性。它旨在告知“消费者软件标签的开发和使用”，这将“在考虑网络安全因素的同时，提高消费者的意识、信息和做出购买决定的能力。”白皮书无意“描述网络安全标签应如何明确表示”或“详细说明标签程序应如何拥有或操作”。

白皮书有三个方面主要内容：一是定义了标签的基本技术标准;第二是详细说明建议的合格评定方法;第三是描述标签方法的标准。它还列举了NIST要求评论的具体问题。

基线技术标准

白皮书定义了一系列基于结果的认证(即声明)，软件供应商将在NIST标签上对他们的产品进行认证。它还提供了满足每个认证的标准。

为达到基本的技术标准，软件供应商须采取以下措施:

1. 遵循NIST安全软件开发框架(SSDF)。
2. 提供一种报告漏洞的机制。
3. 至少在发布支持结束日期之前提供支持。
4. 在标签日期之前补救所有已知的漏洞。
5. 对软件和任何更新进行加密签名。
6. 如果需要用户身份验证，则实现多因素身份验证或参与支持多因素身份验证的身份联合生态系统。
7. 从源代码中删除口令、加密密钥或其他秘密(即，没有硬编码的秘密)。
8. 所有加密都遵循NIST加密标准。
9. 盘点由软件储存、处理或传送的数据类型，以及适用于每种数据类型的保障措施。

合格评定标准

白皮书定义了供应商符合性声明的标准。符合性声明旨在“提供符合规定要求的书面保证”。

为符合合格评定准则，软件供应商须采取下列措施:

1. 维持一套签发、维持、延长、减少、暂停或撤回声明和标签认证的程序。
2. 维护程序以确保“持续符合”标签认证。
3. 负责审核认证的人和消费者软件认证的签署人之间的责任和角色分离。
4. 如果声明是由认可的实验室或检验机构发布的，保留评估结果和其他证明第三方及其资格的证明文件，包括认可地位。

标签标准

白皮书推荐了一个单一的、消费者测试的标签，表明该软件已经满足了技术和合格评估标准。标签还可为消费者提供获取其他在线信息的途径，包括:

1. 关于标签计划的以消费者为中心的信息;
2. 符合性声明;
3. 支持数据清单和保护认证的描述。

征求意见的重点

NIST要求对“标准的所有方面”进行评论，包括:

1. 这些准则能否通过提高消费者对消费者软件的认识和改善消费者软件的网络安全，达到《行政命令》的目标。
2. 这些标准是否能够并鼓励软件供应商改善其产品的网络安全以及他们向消费者提供的信息。
3. 标签是否应该包括“该软件产品符合NIST基线技术标准”的明确声明。
4. 软件标签的方法和设计是否应该与即将推出的物联网产品标签相似，以“促进品牌识别”。
5. 是否包括“支持声明所需证据的更多细节”。
6. 是否提供一致性声明模板。
7. 技术基线标准是否适当，包括“认证的可行性、明确性、完整性和适当性”。

特别提示

消费者软件供应商应该考虑他们是否能从标识他们的软件符合NIST标准中获益，如果是的话，他们是否能满足安全开发、信息披露和一致性声明的要求。NIST将在2021年12月16日前接受对该草案的意见和建议。