2016年10月，發生了惡意軟件Mirai攻擊物聯網設備事件;今年5月，“WannaCry”勒索病毒大規模暴發。不法分子利用物聯網設備實施網絡攻擊的威脅，讓美國聯邦部門意識到了物聯網安全問題的嚴重性。無論是聯邦政府還是國會，開始積極探討和研究如何應對物聯網面臨的安全沖擊。

除國會推出法案外，政府部門也有所行動，雖然還沒有最終的政策性文件出臺，但這些舉措足見美國聯邦部門對物聯網安全的重視。

總統令要求政府部門增強網絡恢復能力

今年5月11日，特朗普簽署13800號總統行政令——《加強聯邦網絡和關鍵基礎設施的網絡安全》，其中內容之一就是要增強美國應對僵尸網絡及其他自動化和分布式威脅的能力。

行政令要求商務部和國土安全部共同研究如何改善網絡和通信系統的彈性，降低自動化和分布式攻擊威脅，并在2018年1月10日前提交初步報告，在2018年5月前提交最終報告。

為了響應13800號行政令，美商務部下屬的國家電信和信息管理局(NTIA)于6月13日發布征求評議文件《促進利益相關者對僵尸網絡和其他自動威脅的行動》，向私營企業、研究機構、社會團體等征求意見建議，以應對物聯網安全尤其是僵尸網絡分布式拒絕服務(DDoS)攻擊威脅。

NTIA要求各方圍繞減少僵尸網絡威脅和維護物聯網終端設備安全問題，提出法律、政策、標準、技術等方面的建議，闡明目前存在的差距以及彌補這些差距應采取的辦法，并就政府與各方協調、加強國際合作、對物聯網終端用戶進行安全教育等問題提出意見。截至7月31日，NTIA已收到包括谷歌、微軟、賽門鐵克、美國商會、美國電信學會等46個機構的評估文件。

除NTIA外，美國國家標準與技術研究所(NIST)為了執行13800號行政令，也于7月11日至12日召開了專門研討會，探討在物聯網環境下增強網絡彈性及應對僵尸網絡威脅的解決方案。參加研討會的既有微軟、思科、賽門鐵克、AT&T等公司的代表，也有美國衛生和人類服務部、國土安全部、聯邦調查局、聯邦貿易委員會等政府機構人員，還有來自馬里蘭大學等學術機構的專家。

研討會上，與會人員就當前加強物聯網安全，降低僵尸網絡威脅的標準、技術及做法，物聯網設備開發，互聯網用戶的自我保護，物聯網安全研究以及政府角色等問題，進行了集中討論。NIST稱，他們將整合研討會討論意見，形成材料供政府決策參考。

國會議員推動物聯網安全法案

物聯網安全問題也引起一些國會議員的重視。8月1日，民主黨參議員馬克·華納、羅恩·維登和共和黨參議員史蒂夫·戴恩斯、科里·加德納攜手向國會提交了一項關于物聯網安全的法案《2017物聯網網絡安全改進法》，希望通過設定聯邦政府采購物聯網設備安全標準，來改善美政府所面臨的物聯網安全問題。

該法案提出，聯邦政府的物聯網設備供應商要保證其設備采用政府認可的標準協議，不能包含硬編碼密碼，不能含有已知的安全漏洞，并且是可以打補丁的。如果供應商發現新的安全漏洞，必須向有關部門披露，并解釋為什么設備存在這樣的漏洞仍被認為是安全的，以及他們針對漏洞采取了哪些措施。據此信息，聯邦政府采購部門的首席信息官可以決定是否放棄采購這些設備。對于某些不能滿足上述要求的設備，如果能證明可有效控制安全風險，采購部門可向美國政府管理預算局(OMB)申請，獲準購買這樣的設備。法案授權OMB和NIST與相關行業協調，確認政府機構可采取的特定安全防范措施，如網絡分段、使用網關等是否有效。

法案還提出，如果聯邦政府機構有自己更嚴格的安全標準，或相關行業有更嚴格的第三方設備認證標準，可提供等效或更嚴格的安全保證(具體由NIST來認定)，則可以不采納該法案的建議。

法案還要求國土安全部計劃司(NPPD)與相關行業合作開發物聯網設備安全漏洞披露指南，免除《計算機欺詐與濫用法》和《數字千年版權法》規定的網絡安全研究人員責任。同時，這些設備的安全漏洞一經發現，則應第一時間進行修補，或者更換設備。

此外，法案還要求聯邦政府機構要保留物聯網設備使用清單。OMB要在5年后向國會提交指南有效性和更新建議的報告。

這一法案受到包括哈佛大學伯克曼克萊因網絡與社會中心、民主與科技中心(CDT)等團體以及賽門鐵克、威睿(VMware)等公司的支持。盡管該法案只是著眼于聯邦政府設備采購方面，且距離成為真正的法律還需時日，但意義重大。威睿公司副總裁兼首席技術官雷·奧法雷爾稱，該法案安全建議合理，是兩黨推進物聯網生態系統安全的重要一步。美國軟件公司Sonatype則認為，這一法案有助于推動整個物聯網安全標準的發展，會受到所有物聯網企業的重視。