加入星計(jì)劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴(kuò)散
  • 作品版權(quán)保護(hù)
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長(zhǎng)期合作伙伴
立即加入
  • 正文
    • 美國(guó)首部物聯(lián)網(wǎng)安全法案立法歷程
    • 《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》的主要內(nèi)容
    • 法案的后續(xù)影響
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請(qǐng)入駐 產(chǎn)業(yè)圖譜

特朗普重返白宮,回顧一下他曾經(jīng)簽署的美國(guó)首部物聯(lián)網(wǎng)安全法

11/17 10:25
1473
閱讀需 11 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點(diǎn)資訊討論

作者:趙小飛,物聯(lián)網(wǎng)智庫(kù) 原創(chuàng)

2024年美國(guó)大選終于在上周落下帷幕,美國(guó)共和黨總統(tǒng)候選人特朗普在2024年總統(tǒng)選舉中獲勝,4年后將再次重返白宮。在上一個(gè)任期中,特朗普針對(duì)科技行業(yè)推動(dòng)了諸多政策的制定和出臺(tái),對(duì)全球科技行業(yè)產(chǎn)生重大影響,業(yè)界也在深入分析和預(yù)測(cè)其重新當(dāng)選總統(tǒng)后各領(lǐng)域的走勢(shì)。

物聯(lián)網(wǎng)作為科技行業(yè)的一部分,在過(guò)去幾年中也受到了一定程度的影響,形成新的走勢(shì)。在第一個(gè)任期的末期,即2020年12月4日,特朗普正式簽署了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》,促成美國(guó)首個(gè)全國(guó)性的物聯(lián)網(wǎng)安全法出臺(tái)和實(shí)施。今天,我們不妨回顧一下特朗普曾經(jīng)簽署的這一物聯(lián)網(wǎng)安全法案,在下一個(gè)任期中,美國(guó)針對(duì)物聯(lián)網(wǎng)的相關(guān)政策的延續(xù),這一法案是一個(gè)研究的基礎(chǔ)。

美國(guó)首部物聯(lián)網(wǎng)安全法案立法歷程

早在2016年前后,多個(gè)震驚全球的網(wǎng)絡(luò)安全事件的發(fā)生,包括僵尸網(wǎng)絡(luò)攻擊導(dǎo)致熱門(mén)網(wǎng)站和平臺(tái)癱瘓,引發(fā)了人們對(duì)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全需求的高度關(guān)注,美國(guó)立法者也意識(shí)到,隨著物聯(lián)網(wǎng)設(shè)備連接數(shù)快速增長(zhǎng),安全性的保證必不可少,必須出臺(tái)專門(mén)針對(duì)物聯(lián)網(wǎng)領(lǐng)域的安全立法。

2017年,在大西洋理事會(huì)和哈佛大學(xué)的幫助下,美國(guó)弗吉尼亞州民主黨參議員和科羅拉多州共和黨參議員提出一個(gè)法案,即《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》,該法案試圖建立一個(gè)框架,要求聯(lián)邦政府的設(shè)備供應(yīng)商遵循行業(yè)范圍內(nèi)的安全實(shí)踐,例如確保可穿戴設(shè)備、智能傳感器等設(shè)備能修復(fù)漏洞、更新密碼、推向市場(chǎng)時(shí)不存在已知安全漏洞。該法案目的是期望阻止美國(guó)聯(lián)邦政府購(gòu)買(mǎi)存在少數(shù)幾種明顯安全漏洞的聯(lián)網(wǎng)設(shè)備,但該法案最終因多方面原因并未通過(guò)。

2019年3月,美國(guó)立法者向國(guó)會(huì)重新提出了該法案,法案編號(hào)為HR 1668。該法案提出,其目的是通過(guò)為美國(guó)政府機(jī)構(gòu)購(gòu)買(mǎi)的所有物聯(lián)網(wǎng)設(shè)備設(shè)定最低安全標(biāo)準(zhǔn)的方式,來(lái)解決其相關(guān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。此法案被重新提出后,得到了民主黨和共和黨多為議員的支持,形成了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》的原始版本。

2020年9月14日,美國(guó)眾議院通過(guò)了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》,并提交參議院審議。2020年11月17日,參議院未經(jīng)修改通過(guò)了該法案,并將該法案呈交給白宮,供總統(tǒng)簽署。2020年12月4日,時(shí)任總統(tǒng)特朗普正式簽署《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》,使其成為法律。

對(duì)于物聯(lián)網(wǎng)安全的全國(guó)性立法,在美國(guó)具有一定的基礎(chǔ)。在此之前,美國(guó)多個(gè)州政府也針對(duì)物聯(lián)網(wǎng)安全推動(dòng)相關(guān)州法案的立法,最為典型的是加利福尼亞州。2018年9月,加州批準(zhǔn)通過(guò)了《物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全法》,雖然只是加州的法律,但已是美國(guó)推出的首部物聯(lián)網(wǎng)安全專門(mén)的立法,具有劃時(shí)代意義,標(biāo)志著對(duì)物聯(lián)網(wǎng)安全監(jiān)管取得實(shí)質(zhì)性進(jìn)展。此后,俄勒岡州也發(fā)布了類似的州立法,并于2020年1月開(kāi)始實(shí)施。而《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》則是美國(guó)歷史上首個(gè)全國(guó)性物聯(lián)網(wǎng)安全法案,其里程碑意義更加明顯。

《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》的主要內(nèi)容

法案規(guī)定,物聯(lián)網(wǎng)設(shè)備至少有一個(gè)傳感器或執(zhí)行器,用于與物理世界直接交互,且至少有一個(gè)網(wǎng)絡(luò)接口,能夠獨(dú)立運(yùn)行,而不是僅作為更大系統(tǒng)的一部分。法案也進(jìn)一步限定了物聯(lián)網(wǎng)設(shè)備的范圍,智能手機(jī)、筆記本電腦和其他電子設(shè)備不在該法規(guī)范圍內(nèi)。

法案要求美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)發(fā)布聯(lián)邦政府使用物聯(lián)網(wǎng)設(shè)備的標(biāo)準(zhǔn)和指南,并指示白宮管理和預(yù)算辦公室(OMB)審查政府政策,以確保它們符合NIST指南,聯(lián)邦機(jī)構(gòu)將不得購(gòu)買(mǎi)不符合安全要求的物聯(lián)網(wǎng)設(shè)備。

同時(shí),法案規(guī)定了保護(hù)聯(lián)邦機(jī)構(gòu)免受網(wǎng)絡(luò)攻擊的責(zé)任等級(jí),執(zhí)行部門(mén)、管理和預(yù)算辦公室、國(guó)土安全部部長(zhǎng)以及各個(gè)此類機(jī)構(gòu)的負(fù)責(zé)人共同負(fù)責(zé)監(jiān)督美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)制定的物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。

該法案適用于由連接到聯(lián)邦信息系統(tǒng)的機(jī)構(gòu)擁有或控制的物聯(lián)網(wǎng)設(shè)備,NIST將其定義為“由行政機(jī)構(gòu)、行政機(jī)構(gòu)的承包商或代表行政機(jī)構(gòu)的其他組織使用或運(yùn)營(yíng)的信息系統(tǒng)。” 美國(guó)聯(lián)邦機(jī)構(gòu)和供應(yīng)商僅使用符合規(guī)定標(biāo)準(zhǔn)的設(shè)備,并將影響設(shè)備的已知漏洞通知機(jī)構(gòu)等。

在這一法案實(shí)施過(guò)程中,NIST發(fā)揮了重要作用。NIST為了推動(dòng)法案實(shí)施,于2021年12月發(fā)布了“聯(lián)邦機(jī)構(gòu)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全指南的最終版本- NIST SP 800-213系列”,其中包括:

一是《聯(lián)邦政府物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全指南:建立物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全要求》,根據(jù)利益相關(guān)方的反饋進(jìn)行了修訂,以使聯(lián)邦機(jī)構(gòu)可能感興趣的物聯(lián)網(wǎng)設(shè)備的功能范圍更加清晰、更加可用、更加兼容。

二是對(duì)《物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全要求目錄》進(jìn)行了修訂,使其在表述上更加一致,在技術(shù)和非技術(shù)方面更加平衡,并且更易于參考,該目錄也包括了物聯(lián)網(wǎng)網(wǎng)絡(luò)安全配置文件。

這項(xiàng)立法的目的是讓NIST為聯(lián)邦政府采購(gòu)的物聯(lián)網(wǎng)設(shè)備設(shè)定最低標(biāo)準(zhǔn),以便有可能利用聯(lián)邦政府的采購(gòu)權(quán)來(lái)保護(hù)物聯(lián)網(wǎng)設(shè)備,禁止聯(lián)邦機(jī)構(gòu)在2022年12月4日之后采購(gòu)或使用被認(rèn)為不符合NIST標(biāo)準(zhǔn)的物聯(lián)網(wǎng)設(shè)備。

實(shí)際上,美國(guó)政府多年來(lái)一直依賴物聯(lián)網(wǎng)設(shè)備來(lái)改善其設(shè)施和降低成本,因此在遭受越來(lái)越多的攻擊后,通過(guò)立法來(lái)保護(hù)其購(gòu)買(mǎi)和連接的物聯(lián)網(wǎng)設(shè)備就不足為奇。例如,在智能建筑領(lǐng)域,已有80多座高能耗政府建筑安裝了低成本的聯(lián)網(wǎng)傳感器;政府服務(wù)管理局使用遠(yuǎn)程信息技術(shù)來(lái)跟蹤、定位和監(jiān)控20多萬(wàn)輛汽車(chē)的排放,以確保遵守政府到2025年將溫室氣體排放量減少30%的要求;國(guó)防部等其他聯(lián)邦機(jī)構(gòu)使用聯(lián)網(wǎng)設(shè)備上的RFID標(biāo)簽和傳感器來(lái)跟蹤和管理軍用物資,如服裝、建筑材料和醫(yī)療用品,這些設(shè)備使國(guó)防后勤局和美國(guó)運(yùn)輸司令部能夠監(jiān)控國(guó)防部后勤系統(tǒng)和商業(yè)運(yùn)輸公司每月數(shù)十億次的交易。

美國(guó)政府也考慮到,目前的物聯(lián)網(wǎng)系統(tǒng)正在與其他系統(tǒng)集成,成為“系統(tǒng)中的系統(tǒng)”。通過(guò)這種整合,網(wǎng)絡(luò)安全發(fā)展成為一個(gè)更廣泛的信任概念,不僅包括數(shù)據(jù)、連接和設(shè)備的完整性,還包括結(jié)果的可靠性。

法案的后續(xù)影響

《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》立法只是對(duì)聯(lián)邦政府使用的物聯(lián)網(wǎng)設(shè)備的最低標(biāo)準(zhǔn),還沒(méi)形成有面向全國(guó)范圍的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)管框架和標(biāo)準(zhǔn),但開(kāi)啟了政府對(duì)于物聯(lián)網(wǎng)安全專門(mén)關(guān)注和重視之門(mén),對(duì)于后續(xù)全球物聯(lián)網(wǎng)安全的走勢(shì)影響深遠(yuǎn)。

2021年,美國(guó)總統(tǒng)拜登簽發(fā)了《關(guān)于改善國(guó)家網(wǎng)絡(luò)安全行政令》,是美國(guó)在網(wǎng)絡(luò)安全方面最詳細(xì)的行政命令之一,概述了美國(guó)聯(lián)邦政府機(jī)構(gòu)為提高其機(jī)構(gòu)網(wǎng)絡(luò)安全能力而需要采取的55項(xiàng)行動(dòng)。在該行政令中,特意強(qiáng)調(diào)了改善物聯(lián)網(wǎng)安全的必要性,成為《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》的進(jìn)階行動(dòng),對(duì)于物聯(lián)網(wǎng)安全主要包括:

(1)物聯(lián)網(wǎng)設(shè)定安全標(biāo)準(zhǔn):該行政令授權(quán)對(duì)于聯(lián)邦政府擁有和運(yùn)營(yíng)的物聯(lián)網(wǎng)設(shè)備設(shè)立最低安全標(biāo)準(zhǔn),確保這些設(shè)備免受網(wǎng)絡(luò)威脅。
(2)啟動(dòng)面向消費(fèi)者的網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃:行政令中包括為物聯(lián)網(wǎng)設(shè)備開(kāi)發(fā)一個(gè)標(biāo)簽計(jì)劃,以告知消費(fèi)者這些產(chǎn)品的安全功能,類似于電器上的能效標(biāo)簽。
(3)機(jī)構(gòu)責(zé)任:要求各機(jī)構(gòu)加強(qiáng)網(wǎng)絡(luò)安全,包括物聯(lián)網(wǎng)設(shè)備在其軟件供應(yīng)鏈中的安全性,使其成為聯(lián)邦采購(gòu)和運(yùn)營(yíng)的優(yōu)先事項(xiàng)。
(4)零信任架構(gòu):鼓勵(lì)各機(jī)構(gòu)采用零信任原則,特別是與政府網(wǎng)絡(luò)內(nèi)物聯(lián)網(wǎng)設(shè)備的安全部署和管理相關(guān)的原則。

可以看出,《關(guān)于改善國(guó)家網(wǎng)絡(luò)安全行政令》不僅限于針對(duì)聯(lián)邦政府的物聯(lián)網(wǎng)應(yīng)用安全性要求,也正式啟動(dòng)了針對(duì)消費(fèi)者使用物聯(lián)網(wǎng)設(shè)備安全的工作。近年來(lái),包括美國(guó)、歐洲、新加坡、德國(guó)等發(fā)達(dá)經(jīng)濟(jì)體針對(duì)消費(fèi)物聯(lián)網(wǎng)開(kāi)啟的網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃,正是落實(shí)對(duì)消費(fèi)者使用物聯(lián)網(wǎng)設(shè)備安全的工作。

對(duì)于美國(guó)來(lái)說(shuō),消費(fèi)物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃已經(jīng)搭建起了完整的實(shí)施架構(gòu),落地時(shí)間越來(lái)越近,同時(shí)也和歐洲、新加坡等地開(kāi)展標(biāo)簽互認(rèn)工作,意欲將這一計(jì)劃上升為全球事實(shí)標(biāo)準(zhǔn)。另外,近期美國(guó)商務(wù)部物聯(lián)網(wǎng)咨詢委員會(huì)呼吁政府機(jī)構(gòu)和國(guó)會(huì)要求汽車(chē)經(jīng)銷商在車(chē)輛擋風(fēng)玻璃上顯著展示汽車(chē)隱私披露信息,作為針對(duì)有關(guān)物聯(lián)網(wǎng)設(shè)備的廣泛建議的一部分,對(duì)于汽車(chē)領(lǐng)域也即將開(kāi)啟物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃。

特朗普上一任期最后一個(gè)月簽署了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》,在此后的4年中,物聯(lián)網(wǎng)安全相關(guān)政策從聯(lián)邦政府采購(gòu)的設(shè)備已擴(kuò)展到了消費(fèi)物聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)等領(lǐng)域,或許未來(lái)特朗普的第二任總統(tǒng)任期中,物聯(lián)網(wǎng)安全政策覆蓋范圍會(huì)進(jìn)一步擴(kuò)展,涵蓋經(jīng)濟(jì)社會(huì)所有需要用到物聯(lián)網(wǎng)設(shè)備的領(lǐng)域。屆時(shí),全球物聯(lián)網(wǎng)產(chǎn)業(yè)會(huì)面臨新的挑戰(zhàn)和變革要求,產(chǎn)品的網(wǎng)絡(luò)安全、數(shù)據(jù)安全的設(shè)置成為進(jìn)入全球市場(chǎng)的必選項(xiàng)。

相關(guān)推薦

電子產(chǎn)業(yè)圖譜