2016年10月,發(fā)生了惡意軟件Mirai攻擊物聯(lián)網(wǎng)設(shè)備事件;今年5月,“WannaCry”勒索病毒大規(guī)模暴發(fā)。不法分子利用物聯(lián)網(wǎng)設(shè)備實(shí)施網(wǎng)絡(luò)攻擊的威脅,讓美國聯(lián)邦部門意識到了物聯(lián)網(wǎng)安全問題的嚴(yán)重性。無論是聯(lián)邦政府還是國會,開始積極探討和研究如何應(yīng)對物聯(lián)網(wǎng)面臨的安全沖擊。
除國會推出法案外,政府部門也有所行動,雖然還沒有最終的政策性文件出臺,但這些舉措足見美國聯(lián)邦部門對物聯(lián)網(wǎng)安全的重視。
總統(tǒng)令要求政府部門增強(qiáng)網(wǎng)絡(luò)恢復(fù)能力
今年5月11日,特朗普簽署13800號總統(tǒng)行政令——《加強(qiáng)聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》,其中內(nèi)容之一就是要增強(qiáng)美國應(yīng)對僵尸網(wǎng)絡(luò)及其他自動化和分布式威脅的能力。
行政令要求商務(wù)部和國土安全部共同研究如何改善網(wǎng)絡(luò)和通信系統(tǒng)的彈性,降低自動化和分布式攻擊威脅,并在2018年1月10日前提交初步報告,在2018年5月前提交最終報告。
為了響應(yīng)13800號行政令,美商務(wù)部下屬的國家電信和信息管理局(NTIA)于6月13日發(fā)布征求評議文件《促進(jìn)利益相關(guān)者對僵尸網(wǎng)絡(luò)和其他自動威脅的行動》,向私營企業(yè)、研究機(jī)構(gòu)、社會團(tuán)體等征求意見建議,以應(yīng)對物聯(lián)網(wǎng)安全尤其是僵尸網(wǎng)絡(luò)分布式拒絕服務(wù)(DDoS)攻擊威脅。
NTIA要求各方圍繞減少僵尸網(wǎng)絡(luò)威脅和維護(hù)物聯(lián)網(wǎng)終端設(shè)備安全問題,提出法律、政策、標(biāo)準(zhǔn)、技術(shù)等方面的建議,闡明目前存在的差距以及彌補(bǔ)這些差距應(yīng)采取的辦法,并就政府與各方協(xié)調(diào)、加強(qiáng)國際合作、對物聯(lián)網(wǎng)終端用戶進(jìn)行安全教育等問題提出意見。截至7月31日,NTIA已收到包括谷歌、微軟、賽門鐵克、美國商會、美國電信學(xué)會等46個機(jī)構(gòu)的評估文件。
除NTIA外,美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)為了執(zhí)行13800號行政令,也于7月11日至12日召開了專門研討會,探討在物聯(lián)網(wǎng)環(huán)境下增強(qiáng)網(wǎng)絡(luò)彈性及應(yīng)對僵尸網(wǎng)絡(luò)威脅的解決方案。參加研討會的既有微軟、思科、賽門鐵克、AT&T等公司的代表,也有美國衛(wèi)生和人類服務(wù)部、國土安全部、聯(lián)邦調(diào)查局、聯(lián)邦貿(mào)易委員會等政府機(jī)構(gòu)人員,還有來自馬里蘭大學(xué)等學(xué)術(shù)機(jī)構(gòu)的專家。
研討會上,與會人員就當(dāng)前加強(qiáng)物聯(lián)網(wǎng)安全,降低僵尸網(wǎng)絡(luò)威脅的標(biāo)準(zhǔn)、技術(shù)及做法,物聯(lián)網(wǎng)設(shè)備開發(fā),互聯(lián)網(wǎng)用戶的自我保護(hù),物聯(lián)網(wǎng)安全研究以及政府角色等問題,進(jìn)行了集中討論。NIST稱,他們將整合研討會討論意見,形成材料供政府決策參考。
國會議員推動物聯(lián)網(wǎng)安全法案
物聯(lián)網(wǎng)安全問題也引起一些國會議員的重視。8月1日,民主黨參議員馬克·華納、羅恩·維登和共和黨參議員史蒂夫·戴恩斯、科里·加德納攜手向國會提交了一項(xiàng)關(guān)于物聯(lián)網(wǎng)安全的法案《2017物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》,希望通過設(shè)定聯(lián)邦政府采購物聯(lián)網(wǎng)設(shè)備安全標(biāo)準(zhǔn),來改善美政府所面臨的物聯(lián)網(wǎng)安全問題。
該法案提出,聯(lián)邦政府的物聯(lián)網(wǎng)設(shè)備供應(yīng)商要保證其設(shè)備采用政府認(rèn)可的標(biāo)準(zhǔn)協(xié)議,不能包含硬編碼密碼,不能含有已知的安全漏洞,并且是可以打補(bǔ)丁的。如果供應(yīng)商發(fā)現(xiàn)新的安全漏洞,必須向有關(guān)部門披露,并解釋為什么設(shè)備存在這樣的漏洞仍被認(rèn)為是安全的,以及他們針對漏洞采取了哪些措施。據(jù)此信息,聯(lián)邦政府采購部門的首席信息官可以決定是否放棄采購這些設(shè)備。對于某些不能滿足上述要求的設(shè)備,如果能證明可有效控制安全風(fēng)險,采購部門可向美國政府管理預(yù)算局(OMB)申請,獲準(zhǔn)購買這樣的設(shè)備。法案授權(quán)OMB和NIST與相關(guān)行業(yè)協(xié)調(diào),確認(rèn)政府機(jī)構(gòu)可采取的特定安全防范措施,如網(wǎng)絡(luò)分段、使用網(wǎng)關(guān)等是否有效。
法案還提出,如果聯(lián)邦政府機(jī)構(gòu)有自己更嚴(yán)格的安全標(biāo)準(zhǔn),或相關(guān)行業(yè)有更嚴(yán)格的第三方設(shè)備認(rèn)證標(biāo)準(zhǔn),可提供等效或更嚴(yán)格的安全保證(具體由NIST來認(rèn)定),則可以不采納該法案的建議。
法案還要求國土安全部計(jì)劃司(NPPD)與相關(guān)行業(yè)合作開發(fā)物聯(lián)網(wǎng)設(shè)備安全漏洞披露指南,免除《計(jì)算機(jī)欺詐與濫用法》和《數(shù)字千年版權(quán)法》規(guī)定的網(wǎng)絡(luò)安全研究人員責(zé)任。同時,這些設(shè)備的安全漏洞一經(jīng)發(fā)現(xiàn),則應(yīng)第一時間進(jìn)行修補(bǔ),或者更換設(shè)備。
此外,法案還要求聯(lián)邦政府機(jī)構(gòu)要保留物聯(lián)網(wǎng)設(shè)備使用清單。OMB要在5年后向國會提交指南有效性和更新建議的報告。
這一法案受到包括哈佛大學(xué)伯克曼克萊因網(wǎng)絡(luò)與社會中心、民主與科技中心(CDT)等團(tuán)體以及賽門鐵克、威睿(VMware)等公司的支持。盡管該法案只是著眼于聯(lián)邦政府設(shè)備采購方面,且距離成為真正的法律還需時日,但意義重大。威睿公司副總裁兼首席技術(shù)官雷·奧法雷爾稱,該法案安全建議合理,是兩黨推進(jìn)物聯(lián)網(wǎng)生態(tài)系統(tǒng)安全的重要一步。美國軟件公司Sonatype則認(rèn)為,這一法案有助于推動整個物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的發(fā)展,會受到所有物聯(lián)網(wǎng)企業(yè)的重視。