2016年@@10月@@,发生了恶意软件@@Mirai攻击物联网@@设备事件@@;今年@@@@5月@@,“WannaCry”勒索病毒大规模暴发@@。不法分子利用物联网@@设备实施网络攻击的威胁@@,让美国@@联邦部门意识到了物联网@@安全问题的严重性@@。无论是联邦政府@@还是国会@@,开始积极探讨和@@研究如何应对物联网@@面临的安全冲击@@。
除@@国会推出法案外@@@@,政府@@部门@@也有所行动@@,虽然还没有最终的政策@@性文件出台@@,但这些举措足见美国@@联邦部门对物联网@@安全的重视@@。
总统令要求政府@@部门@@增强网络恢复能力@@
今年@@@@5月@@11日@@,特朗普签署@@13800号总统行政令@@——《加强联邦网络和@@关键基础设施的网络安全@@》,其中内容之一就是要增强美国@@应对僵尸网络及其他自动化和@@分布式威胁的能力@@。
行政令要求商务部和@@国土安全部@@共同研究如何改善网络和@@通信系统的弹性@@,降低自动化和@@分布式攻击威胁@@@@,并在@@@@2018年@@1月@@10日@@前提交初步报告@@,在@@2018年@@5月@@前提交最终报告@@。
为了响应@@13800号行政令@@,美商务部下属的国家电信和@@信息管理局@@(NTIA)于@@6月@@13日@@发布征求评议文件@@《促进利益相关者对僵尸网络和@@其他自动威胁的行动@@》,向私营企业@@、研究机构@@、社会团体等征求意见建议@@@@,以应对物联网@@安全尤其是僵尸网络分布式拒绝服务@@(DDoS)攻击威胁@@。
NTIA要求各方围绕减少僵尸网络威胁和@@维护物联网@@终端设备安全问题@@,提出法律@@、政策@@、标准@@、技术等方面的建议@@,阐明目前存在@@的差距以及弥补这些差距应采取的办法@@,并就政府@@与各方协调@@、加强国际合作@@、对物联网@@终端用户进行安全教育等问题提出意见@@。截至@@7月@@31日@@,NTIA已收到包括谷歌@@、微软@@、赛门铁克@@、美国@@商会@@、美国@@电信学会等@@46个机构的评估文件@@。
除@@NTIA外@@,美国@@国家标准@@与技术研究所@@(NIST)为了执行@@13800号行政令@@,也于@@@@7月@@11日@@至@@12日@@召开了专门研讨会@@,探讨在@@物联网@@环境下增强网络弹性及应对僵尸网络威胁的解决方案@@。参加研讨会的既有微软@@@@、思科@@、赛门铁克@@、AT&T等公司的代表@@,也有美国@@卫生和@@人类服务部@@、国土安全部@@、联邦调查局@@、联邦贸易委员会等政府@@机构人员@@,还有来自马里兰大学等学术机构的专家@@。
研讨会上@@,与会人员就当前加强物联网@@安全@@,降低僵尸网络威胁的标准@@@@、技术及做法@@,物联网@@设备开发@@,互联网@@用户的自我保护@@,物联网@@安全研究以及政府@@角色等问题@@,进行了集中讨论@@。NIST称@@,他们将整合研讨会讨论意见@@,形成材料供政府@@决策参考@@。
国会议员推动物联网@@安全法案@@
物联网@@安全问题也引起一些国会议员的重视@@。8月@@1日@@,民主党参议员马克@@·华纳@@、罗恩@@·维登和@@共和@@党参议员史蒂夫@@·戴恩斯@@、科里@@·加德纳携手向国会提交了一项关于@@物联网@@安全的法案@@《2017物联网@@网络安全改进法@@》,希望通过设定联邦政府@@采购物联网@@设备安全标准@@@@,来改善美政府@@所面临的物联网@@安全问题@@。
该法案提出@@,联邦政府@@的物联网@@设备供应商要保证其设备采用政府@@认可的标准@@协议@@,不能包含硬编码密码@@,不能含有已知的安全漏洞@@,并且是可以打补丁的@@。如果供应商发现新的安全漏洞@@,必须向有关部门披露@@,并解释为什么设备存在@@这样的漏洞仍被认为是安全的@@,以及他们针对漏洞采取了哪些措施@@。据此信息@@,联邦政府@@采购部门的首席信息官可以决定是否放弃采购这些设备@@。对于@@某些不能满足上述要求的设备@@,如果能证明可有效控制安全风险@@,采购部门可向美国@@政府@@管理预算局@@(OMB)申请@@,获准购买这样的设备@@。法案授权@@OMB和@@NIST与相关行业协调@@,确认政府@@机构可采取的特定安全防范措施@@,如网络分段@@、使用网关等是否有效@@。
法案还提出@@,如果联邦政府@@机构有自己更严格的安全标准@@@@,或相关行业有更严格的第三方设备认证标准@@@@,可提供等效或更严格的安全保证@@(具体由@@NIST来认定@@),则可以不采纳该法案的建议@@。
法案还要求国土安全部@@计划司@@(NPPD)与相关行业合作开发物联网@@设备安全漏洞披露指南@@,免除@@@@《计算机欺诈与滥用法@@》和@@《数字千年@@版权法@@》规定的网络安全研究人员责任@@。同时@@,这些设备的安全漏洞一经发现@@,则应第一时间进行修补@@,或者更换设备@@。
此外@@@@,法案还要求联邦政府@@机构要保留物联网@@设备使用清单@@。OMB要在@@@@5年@@后向国会提交指南有效性和@@更新建议的报告@@。
这一法案受到包括哈佛大学伯克曼克莱因网络与社会中心@@、民主与科技中心@@(CDT)等团体以及赛门铁克@@@@、威睿@@(VMware)等公司的支持@@。尽管该法案只是着眼于@@联邦政府@@设备采购方面@@,且距离成为真正的法律还需时日@@@@,但意义重大@@。威睿@@公司副总裁兼首席技术官雷@@·奥法雷尔称@@@@,该法案安全建议合理@@,是两党推进物联网@@生态系统安全的重要一步@@。美国@@软件公司@@Sonatype则认为@@,这一法案有助于@@推动整个物联网@@安全标准@@的发展@@,会受到所有物联网@@企业的重视@@。
