如今,越來越多的物聯網(IoT,Internet of Things)設備走進了日常生活,給人們帶來了更為高效和便捷的體驗。這些設備不僅給用戶提供了便利,也給黑客開啟了另一扇“大門”。就在今年1月,HNS僵尸網絡用不到10天時間就感染了2萬臺有安全缺陷的網絡攝像頭……
隨著物聯網與工業、金融、交通等領域的深度融合,相關安全問題不再局限于個人范圍,而是影響到整個網絡空間。
如何才能在物聯網世界里筑起一道安全屏障?
近日,美國加利福尼亞州州長杰里·布朗簽署了SB-327法案,該法案使加州成為美國首個推出物聯網安全法案的州政府。據悉,此法案將于2020年1月1日起正式實施,法案規定所有聯網設備的制造商都要為其產品配備安全設置,以防止信息被未授權訪問或者修改。
該法案能否成為解決物聯網安全問題的“解藥”?
新法案立意雖好,卻惹業界非議
有關SB-327法案的消息一出,便引來了廣泛關注,外界對此褒貶不一。肯定者認為這是完善相關法律法規的良好開端,而質疑者則詬病該法案存在許多不足。
“相關安全專家認為該法案的‘槽點’主要有3個方面。”北京理工大學網絡攻防對抗技術研究所所長閆懷志在接受科技日報記者采訪時表示,該法案的條文描述過于籠統,存在許多模糊之處。法案主要規定了“連接設備的制造商應為設備附上合理的安全功能”,但對“安全合理性”的界定比較模糊。
“該法案的核心思想是增加新的安全功能,而非去除不安全的功能,也就是將重點放在補缺而非除漏。這是法案的第二個‘槽點’。”閆懷志表示,“但補缺也是一把雙刃劍,新增加的安全功能可能會擴大攻擊面,從而制造了新威脅。”
“其三,該法案未從整體上考慮安全問題。”閆懷志說,該方案只強調了設置物聯網設備密碼口令等規定,而未提及遠程登錄服務等其他協議驗證系統。這些驗證系統如存在缺陷,也會給系統帶來致命威脅。
法規、標準齊發力,形成體系化保障
這項法案或許難以擔起維護物聯網安全的重任,那么什么樣的制度設計才可以?
國際的通行做法是圍繞安全法律、法規制定配套標準,輔以規范指南等,形成層次化、立體化的一整套安全保障約束體系。
早在2016年年底,美國國土安全部就發布了《保障物聯網安全戰略原則》,公開表示“物聯網安全已演變為國土安全問題”。2017年8月,美國國會議員提交了《物聯網網絡安全改進法案》,希望通過設定聯邦政府采購物聯網設備安全標準,來改善美國政府所面臨的物聯網安全問題。
比上述法規出臺時間更早,美國一些行業主管部門就發布了相關文件,以保障特定應用領域的物聯網安全。2014年,美國國家標準與技術研究院發布了《提升關鍵基礎設施網絡安全的框架》,規定了關鍵基礎設施在解決網絡風險問題時的技術標準;2016年,美國高速公路安全管理局發布了《現代汽車網絡安全最佳實踐》,明確了具有聯網功能車輛的安全保障要求。
“目前,與物聯網安全相關的約束規范以法規文件居多,其實配套標準也非常重要。沒有標準的‘保駕護航’,相關法規也難以較好地保護物聯網。”在閆懷志看來,制定物聯網安全法規、標準時,應該特別注意各層次規范的地位和使命,既要做到分工明確、避免越俎代庖,又要做到相互配合,形成有機整體。
基于國情發展,管控措施逐步落地
“在技術層面上,我國在物聯網發展過程中遇到的安全問題與美國并無顯著不同。但中美在基本國情、法律制度、技術發展水平上存在較大差異,因此不能對其照搬照抄。”閆懷志說。
京公網安備 11010502049343號