今年5月11日�,特朗普簽署13800號總統(tǒng)行政令——《加強聯(lián)邦網(wǎng)絡和關鍵基礎設施的網(wǎng)絡安全》�。
2016年10月,發(fā)生了惡意軟件Mirai攻擊物聯(lián)網(wǎng)設備事件;今年5月��,“WannaCry”勒索病毒大規(guī)模暴發(fā)���。不法分子利用物聯(lián)網(wǎng)設備實施網(wǎng)絡攻擊的威脅�����,讓美國聯(lián)邦部門意識到了物聯(lián)網(wǎng)安全問題的嚴重性����。無論是聯(lián)邦政府還是國會��,開始積極探討和研究如何應對物聯(lián)網(wǎng)面臨的安全沖擊�。
除國會推出法案外,政府部門也有所行動�����,雖然還沒有最終的政策性文件出臺,但這些舉措足見美國聯(lián)邦部門對物聯(lián)網(wǎng)安全的重視����。
總統(tǒng)令要求政府部門增強網(wǎng)絡恢復能力
今年5月11日,特朗普簽署13800號總統(tǒng)行政令——《加強聯(lián)邦網(wǎng)絡和關鍵基礎設施的網(wǎng)絡安全》��,其中內容之一就是要增強美國應對僵尸網(wǎng)絡及其他自動化和分布式威脅的能力�����。
行政令要求商務部和國土安全部共同研究如何改善網(wǎng)絡和通信系統(tǒng)的彈性����,降低自動化和分布式攻擊威脅�,并在2018年1月10日前提交初步報告,在2018年5月前提交最終報告��。
為了響應13800號行政令����,美商務部下屬的國家電信和信息管理局(NTIA)于6月13日發(fā)布征求評議文件《促進利益相關者對僵尸網(wǎng)絡和其他自動威脅的行動》,向私營企業(yè)�、研究機構、社會團體等征求意見建議����,以應對物聯(lián)網(wǎng)安全尤其是僵尸網(wǎng)絡分布式拒絕服務(DDoS)攻擊威脅�。
NTIA要求各方圍繞減少僵尸網(wǎng)絡威脅和維護物聯(lián)網(wǎng)終端設備安全問題��,提出法律���、政策�、標準����、技術等方面的建議,闡明目前存在的差距以及彌補這些差距應采取的辦法�,并就政府與各方協(xié)調、加強國際合作�����、對物聯(lián)網(wǎng)終端用戶進行安全教育等問題提出意見����。截至7月31日,NTIA已收到包括谷歌�����、微軟、賽門鐵克����、美國商會、美國電信學會等46個機構的評估文件���。
除NTIA外����,美國國家標準與技術研究所(NIST)為了執(zhí)行13800號行政令����,也于7月11日至12日召開了專門研討會���,探討在物聯(lián)網(wǎng)環(huán)境下增強網(wǎng)絡彈性及應對僵尸網(wǎng)絡威脅的解決方案��。參加研討會的既有微軟�����、思科��、賽門鐵克�、AT&T等公司的代表,也有美國衛(wèi)生和人類服務部�、國土安全部、聯(lián)邦調查局����、聯(lián)邦貿易委員會等政府機構人員,還有來自馬里蘭大學等學術機構的專家����。
研討會上,與會人員就當前加強物聯(lián)網(wǎng)安全�����,降低僵尸網(wǎng)絡威脅的標準�、技術及做法,物聯(lián)網(wǎng)設備開發(fā)�����,互聯(lián)網(wǎng)用戶的自我保護��,物聯(lián)網(wǎng)安全研究以及政府角色等問題�,進行了集中討論。NIST稱,他們將整合研討會討論意見�,形成材料供政府決策參考。
國會議員推動物聯(lián)網(wǎng)安全法案
物聯(lián)網(wǎng)安全問題也引起一些國會議員的重視��。8月1日���,民主黨參議員馬克·華納�、羅恩·維登和共和黨參議員史蒂夫·戴恩斯����、科里·加德納攜手向國會提交了一項關于物聯(lián)網(wǎng)安全的法案《2017物聯(lián)網(wǎng)網(wǎng)絡安全改進法》,希望通過設定聯(lián)邦政府采購物聯(lián)網(wǎng)設備安全標準��,來改善美政府所面臨的物聯(lián)網(wǎng)安全問題�。
該法案提出,聯(lián)邦政府的物聯(lián)網(wǎng)設備供應商要保證其設備采用政府認可的標準協(xié)議�����,不能包含硬編碼密碼���,不能含有已知的安全漏洞,并且是可以打補丁的�。如果供應商發(fā)現(xiàn)新的安全漏洞,必須向有關部門披露,并解釋為什么設備存在這樣的漏洞仍被認為是安全的���,以及他們針對漏洞采取了哪些措施����。據(jù)此信息�,聯(lián)邦政府采購部門的首席信息官可以決定是否放棄采購這些設備。對于某些不能滿足上述要求的設備����,如果能證明可有效控制安全風險,采購部門可向美國政府管理預算局(OMB)申請�,獲準購買這樣的設備。法案授權OMB和NIST與相關行業(yè)協(xié)調����,確認政府機構可采取的特定安全防范措施,如網(wǎng)絡分段����、使用網(wǎng)關等是否有效。
法案還提出�,如果聯(lián)邦政府機構有自己更嚴格的安全標準,或相關行業(yè)有更嚴格的第三方設備認證標準����,可提供等效或更嚴格的安全保證(具體由NIST來認定)��,則可以不采納該法案的建議�����。
法案還要求國土安全部計劃司(NPPD)與相關行業(yè)合作開發(fā)物聯(lián)網(wǎng)設備安全漏洞披露指南����,免除《計算機欺詐與濫用法》和《數(shù)字千年版權法》規(guī)定的網(wǎng)絡安全研究人員責任����。同時,這些設備的安全漏洞一經(jīng)發(fā)現(xiàn)���,則應第一時間進行修補����,或者更換設備�����。
此外�,法案還要求聯(lián)邦政府機構要保留物聯(lián)網(wǎng)設備使用清單。OMB要在5年后向國會提交指南有效性和更新建議的報告��。
這一法案受到包括哈佛大學伯克曼克萊因網(wǎng)絡與社會中心�����、民主與科技中心(CDT)等團體以及各公司的支持���。盡管該法案只是著眼于聯(lián)邦政府設備采購方面��,且距離成為真正的法律還需時日���,但意義重大。威睿公司副總裁兼首席技術官雷·奧法雷爾稱��,該法案安全建議合理���,是兩黨推進物聯(lián)網(wǎng)生態(tài)系統(tǒng)安全的重要一步�����。這一法案有助于推動整個物聯(lián)網(wǎng)安全標準的發(fā)展�,會受到所有物聯(lián)網(wǎng)企業(yè)的重視�。
