今年5月11日��,特朗普簽署13800號(hào)總統(tǒng)行政令——《加強(qiáng)聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》�����。
2016年10月��,發(fā)生了惡意軟件Mirai攻擊物聯(lián)網(wǎng)設(shè)備事件;今年5月����,“WannaCry”勒索病毒大規(guī)模暴發(fā)��。不法分子利用物聯(lián)網(wǎng)設(shè)備實(shí)施網(wǎng)絡(luò)攻擊的威脅�����,讓美國(guó)聯(lián)邦部門(mén)意識(shí)到了物聯(lián)網(wǎng)安全問(wèn)題的嚴(yán)重性�。無(wú)論是聯(lián)邦政府還是國(guó)會(huì)�����,開(kāi)始積極探討和研究如何應(yīng)對(duì)物聯(lián)網(wǎng)面臨的安全沖擊����。
除國(guó)會(huì)推出法案外,政府部門(mén)也有所行動(dòng)���,雖然還沒(méi)有最終的政策性文件出臺(tái)���,但這些舉措足見(jiàn)美國(guó)聯(lián)邦部門(mén)對(duì)物聯(lián)網(wǎng)安全的重視���。
總統(tǒng)令要求政府部門(mén)增強(qiáng)網(wǎng)絡(luò)恢復(fù)能力
今年5月11日,特朗普簽署13800號(hào)總統(tǒng)行政令——《加強(qiáng)聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》���,其中內(nèi)容之一就是要增強(qiáng)美國(guó)應(yīng)對(duì)僵尸網(wǎng)絡(luò)及其他自動(dòng)化和分布式威脅的能力��。
行政令要求商務(wù)部和國(guó)土安全部共同研究如何改善網(wǎng)絡(luò)和通信系統(tǒng)的彈性�����,降低自動(dòng)化和分布式攻擊威脅�����,并在2018年1月10日前提交初步報(bào)告��,在2018年5月前提交最終報(bào)告����。
為了響應(yīng)13800號(hào)行政令��,美商務(wù)部下屬的國(guó)家電信和信息管理局(NTIA)于6月13日發(fā)布征求評(píng)議文件《促進(jìn)利益相關(guān)者對(duì)僵尸網(wǎng)絡(luò)和其他自動(dòng)威脅的行動(dòng)》��,向私營(yíng)企業(yè)、研究機(jī)構(gòu)�����、社會(huì)團(tuán)體等征求意見(jiàn)建議�����,以應(yīng)對(duì)物聯(lián)網(wǎng)安全尤其是僵尸網(wǎng)絡(luò)分布式拒絕服務(wù)(DDoS)攻擊威脅����。
NTIA要求各方圍繞減少僵尸網(wǎng)絡(luò)威脅和維護(hù)物聯(lián)網(wǎng)終端設(shè)備安全問(wèn)題�����,提出法律����、政策、標(biāo)準(zhǔn)�����、技術(shù)等方面的建議����,闡明目前存在的差距以及彌補(bǔ)這些差距應(yīng)采取的辦法�����,并就政府與各方協(xié)調(diào)����、加強(qiáng)國(guó)際合作�、對(duì)物聯(lián)網(wǎng)終端用戶(hù)進(jìn)行安全教育等問(wèn)題提出意見(jiàn)。截至7月31日����,NTIA已收到包括谷歌、微軟���、賽門(mén)鐵克��、美國(guó)商會(huì)��、美國(guó)電信學(xué)會(huì)等46個(gè)機(jī)構(gòu)的評(píng)估文件�。
除NTIA外���,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)為了執(zhí)行13800號(hào)行政令���,也于7月11日至12日召開(kāi)了專(zhuān)門(mén)研討會(huì)�����,探討在物聯(lián)網(wǎng)環(huán)境下增強(qiáng)網(wǎng)絡(luò)彈性及應(yīng)對(duì)僵尸網(wǎng)絡(luò)威脅的解決方案�。參加研討會(huì)的既有微軟���、思科�、賽門(mén)鐵克���、AT&T等公司的代表�,也有美國(guó)衛(wèi)生和人類(lèi)服務(wù)部�����、國(guó)土安全部�、聯(lián)邦調(diào)查局����、聯(lián)邦貿(mào)易委員會(huì)等政府機(jī)構(gòu)人員,還有來(lái)自馬里蘭大學(xué)等學(xué)術(shù)機(jī)構(gòu)的專(zhuān)家�。
研討會(huì)上����,與會(huì)人員就當(dāng)前加強(qiáng)物聯(lián)網(wǎng)安全�����,降低僵尸網(wǎng)絡(luò)威脅的標(biāo)準(zhǔn)�����、技術(shù)及做法�,物聯(lián)網(wǎng)設(shè)備開(kāi)發(fā),互聯(lián)網(wǎng)用戶(hù)的自我保護(hù)����,物聯(lián)網(wǎng)安全研究以及政府角色等問(wèn)題,進(jìn)行了集中討論���。NIST稱(chēng)�����,他們將整合研討會(huì)討論意見(jiàn)��,形成材料供政府決策參考����。
國(guó)會(huì)議員推動(dòng)物聯(lián)網(wǎng)安全法案
物聯(lián)網(wǎng)安全問(wèn)題也引起一些國(guó)會(huì)議員的重視。8月1日�����,民主黨參議員馬克·華納���、羅恩·維登和共和黨參議員史蒂夫·戴恩斯�����、科里·加德納攜手向國(guó)會(huì)提交了一項(xiàng)關(guān)于物聯(lián)網(wǎng)安全的法案《2017物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》�,希望通過(guò)設(shè)定聯(lián)邦政府采購(gòu)物聯(lián)網(wǎng)設(shè)備安全標(biāo)準(zhǔn)�����,來(lái)改善美政府所面臨的物聯(lián)網(wǎng)安全問(wèn)題�。
該法案提出�����,聯(lián)邦政府的物聯(lián)網(wǎng)設(shè)備供應(yīng)商要保證其設(shè)備采用政府認(rèn)可的標(biāo)準(zhǔn)協(xié)議�,不能包含硬編碼密碼�,不能含有已知的安全漏洞�,并且是可以打補(bǔ)丁的。如果供應(yīng)商發(fā)現(xiàn)新的安全漏洞���,必須向有關(guān)部門(mén)披露��,并解釋為什么設(shè)備存在這樣的漏洞仍被認(rèn)為是安全的���,以及他們針對(duì)漏洞采取了哪些措施。據(jù)此信息�,聯(lián)邦政府采購(gòu)部門(mén)的首席信息官可以決定是否放棄采購(gòu)這些設(shè)備。對(duì)于某些不能滿(mǎn)足上述要求的設(shè)備�����,如果能證明可有效控制安全風(fēng)險(xiǎn)�����,采購(gòu)部門(mén)可向美國(guó)政府管理預(yù)算局(OMB)申請(qǐng)�����,獲準(zhǔn)購(gòu)買(mǎi)這樣的設(shè)備。法案授權(quán)OMB和NIST與相關(guān)行業(yè)協(xié)調(diào)�,確認(rèn)政府機(jī)構(gòu)可采取的特定安全防范措施,如網(wǎng)絡(luò)分段�、使用網(wǎng)關(guān)等是否有效。
法案還提出�,如果聯(lián)邦政府機(jī)構(gòu)有自己更嚴(yán)格的安全標(biāo)準(zhǔn),或相關(guān)行業(yè)有更嚴(yán)格的第三方設(shè)備認(rèn)證標(biāo)準(zhǔn)���,可提供等效或更嚴(yán)格的安全保證(具體由NIST來(lái)認(rèn)定)�����,則可以不采納該法案的建議���。
法案還要求國(guó)土安全部計(jì)劃司(NPPD)與相關(guān)行業(yè)合作開(kāi)發(fā)物聯(lián)網(wǎng)設(shè)備安全漏洞披露指南,免除《計(jì)算機(jī)欺詐與濫用法》和《數(shù)字千年版權(quán)法》規(guī)定的網(wǎng)絡(luò)安全研究人員責(zé)任����。同時(shí),這些設(shè)備的安全漏洞一經(jīng)發(fā)現(xiàn)���,則應(yīng)第一時(shí)間進(jìn)行修補(bǔ)���,或者更換設(shè)備。
此外����,法案還要求聯(lián)邦政府機(jī)構(gòu)要保留物聯(lián)網(wǎng)設(shè)備使用清單。OMB要在5年后向國(guó)會(huì)提交指南有效性和更新建議的報(bào)告��。
這一法案受到包括哈佛大學(xué)伯克曼克萊因網(wǎng)絡(luò)與社會(huì)中心�、民主與科技中心(CDT)等團(tuán)體以及各公司的支持。盡管該法案只是著眼于聯(lián)邦政府設(shè)備采購(gòu)方面����,且距離成為真正的法律還需時(shí)日,但意義重大�。威睿公司副總裁兼首席技術(shù)官雷·奧法雷爾稱(chēng),該法案安全建議合理�,是兩黨推進(jìn)物聯(lián)網(wǎng)生態(tài)系統(tǒng)安全的重要一步。這一法案有助于推動(dòng)整個(gè)物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的發(fā)展���,會(huì)受到所有物聯(lián)網(wǎng)企業(yè)的重視���。
