物联网安全问题严重：美国国会政府推动立法

2016年10月，发生了恶意软件Mirai攻击物联网设备事件；今年5月，“WannaCry”勒索病毒大规模暴发。不法分子利用物联网设备实施网络攻击的威胁，让美国联邦部门意识到了物联网安全问题的严重性。无论是联邦政府还是国会，开始积极探讨和研究如何应对物联网面临的安全冲击。

除国会推出法案外，政府部门也有所行动，虽然还没有最终的政策性文件出台，但这些举措足见美国联邦部门对物联网安全的重视。

今年5月11日，特朗普签署13800号总统行政令——《加强联邦网络和关键基础设施的网络安全》，其中内容之一就是要增强美国应对僵尸网络及其他自动化和分布式威胁的能力。

行政令要求商务部和国土安全部共同研究如何改善网络和通信系统的弹性，降低自动化和分布式攻击威胁，并在2018年1月10日前提交初步报告，在2018年5月前提交最终报告。

为了响应13800号行政令，美商务部下属的国家电信和信息管理局（NTIA）于6月13日发布征求评议文件《促进利益相关者对僵尸网络和其他自动威胁的行动》，向私营企业、研究机构、社会团体等征求意见建议，以应对物联网安全尤其是僵尸网络分布式拒绝服务（DDoS）攻击威胁。

NTIA要求各方围绕减少僵尸网络威胁和维护物联网终端设备安全问题，提出法律、政策、标准、技术等方面的建议，阐明目前存在的差距以及弥补这些差距应采取的办法，并就政府与各方协调、加强国际合作、对物联网终端用户进行安全教育等问题提出意见。截至7月31日，NTIA已收到包括谷歌、微软、赛门铁克、美国商会、美国电信学会等46个机构的评估文件。

除NTIA外，美国国家标准与技术研究所（NIST）为了执行13800号行政令，也于7月11日至12日召开了专门研讨会，探讨在物联网环境下增强网络弹性及应对僵尸网络威胁的解决方案。参加研讨会的既有微软、思科、赛门铁克、AT&T等公司的代表，也有美国卫生和人类服务部、国土安全部、联邦调查局、联邦贸易委员会等政府机构人员，还有来自马里兰大学等学术机构的专家。

研讨会上，与会人员就当前加强物联网安全，降低僵尸网络威胁的标准、技术及做法，物联网设备开发，互联网用户的自我保护，物联网安全研究以及政府角色等问题，进行了集中讨论。NIST称，他们将整合研讨会讨论意见，形成材料供政府决策参考。

物联网安全问题也引起一些国会议员的重视。8月1日，民主党参议员马克·华纳、罗恩·维登和共和党参议员史蒂夫·戴恩斯、科里·加德纳携手向国会提交了一项关于物联网安全的法案《2017物联网网络安全改进法》，希望通过设定联邦政府采购物联网设备安全标准，来改善美政府所面临的物联网安全问题。

该法案提出，联邦政府的物联网设备供应商要保证其设备采用政府认可的标准协议，不能包含硬编码密码，不能含有已知的安全漏洞，并且是可以打补丁的。如果供应商发现新的安全漏洞，必须向有关部门披露，并解释为什么设备存在这样的漏洞仍被认为是安全的，以及他们针对漏洞采取了哪些措施。据此信息，联邦政府采购部门的首席信息官可以决定是否放弃采购这些设备。对于某些不能满足上述要求的设备，如果能证明可有效控制安全风险，采购部门可向美国政府管理预算局（OMB）申请，获准购买这样的设备。法案授权OMB和NIST与相关行业协调，确认政府机构可采取的特定安全防范措施，如网络分段、使用网关等是否有效。

法案还提出，如果联邦政府机构有自己更严格的安全标准，或相关行业有更严格的第三方设备认证标准，可提供等效或更严格的安全保证（具体由NIST来认定），则可以不采纳该法案的建议。

法案还要求国土安全部计划司（NPPD）与相关行业合作开发物联网设备安全漏洞披露指南，免除《计算机欺诈与滥用法》和《数字千年版权法》规定的网络安全研究人员责任。同时，这些设备的安全漏洞一经发现，则应第一时间进行修补，或者更换设备。

此外，法案还要求联邦政府机构要保留物联网设备使用清单。OMB要在5年后向国会提交指南有效性和更新建议的报告。

这一法案受到包括哈佛大学伯克曼克莱因网络与社会中心、民主与科技中心（CDT）等团体以及赛门铁克、威睿（VMware）等公司的支持。尽管该法案只是着眼于联邦政府设备采购方面，且距离成为真正的法律还需时日，但意义重大。威睿公司副总裁兼首席技术官雷·奥法雷尔称，该法案安全建议合理，是两党推进物联网生态系统安全的重要一步。美国软件公司Sonatype则认为，这一法案有助于推动整个物联网安全标准的发展，会受到所有物联网企业的重视。