0 引言

物联网是推动数字经济和实体经济融合发展的新型基础设施。近年来,在政策、市场的双重驱动下,物联网在多个领域得到广泛应用。与此同时,物联网造成的网络安全事件和隐私风险,引起美国和其他国家高度关注。2020年12月4日,美国总统签署《物联网网络安全改进法案2020》(简称《H.R.1668法案》),从而完成了立法的最后一个流程,首部全美层面的物联网安全法律诞生。作为2020年物联网安全领域里程碑式成就,该法案的主要目的是确保联邦政府设备的安全性,并通过政府采购间接提升消费者设备市场的安全能力。《H.R.1668法案》的出台显示了美国政府推动物联网安全优先发展的势头,且对整个物联网行业来说也是一个崭新的开端。

1 物联网安全形势和监管态势

1.1 安全形势

Kaspersky于2020年2月发布的《物联网优势和挑战》报告指出,目前61%的商业组织在其业务推广过程中应用了物联网平台,IT和电信行业的物联网平台使用率更是达到71%。据Gartner预测,到2025年,全球将有超过640亿个物联网设备。物联网高速发展和快速应用的同时,安全风险持续增加,成为物联网应用的首要关注问题。欧洲网络与信息安全局(European Network and Information Security Agency,ENISA)于2017年11月发布的《关键信息基础设施领域的物联网安全基线指南》,回顾分析了过去8年间发生的17起主要物联网安全事件,表明与物联网直接相关的攻击数量在过去几年中大大增加。其中,2016年10月发生在美国的Mirai僵尸网络攻击成为物联网安全的标志性事件。

物联网安全事件呈现以下特点:从数量看,全球具有代表性的物联网安全事件逐年增加;从产品看,摄像头和路由器是出现异常最频繁的设备;从行业看,覆盖范围从电力、电信、工业等基础设施到支付、家居、零售等消费行业;从影响看,威胁生命财产安全、侵犯儿童隐私、泄漏个人信息,生产生活秩序受到严重破坏。

1.2 监管态势

近年来,英国、日本也纷纷推出多项物联网安全法律、政策,旨在加强物联网安全管理,保障经济安全,保护用户隐私。

2018年10月14日,英国数字、文化、传媒和体育部(Ministry of Digital, Culture, Media and Sports,DCMS)与英国国家网络安全中心(National Cyber Security Centre,NCSC)联合发布了《消费类物联网安全实践准则》,提出禁用默认密码、进行漏洞披露、保持软件更新等13个自愿行为准则;2019年5月1日,DCMS发布《消费类物联网安全监管规范的实施咨询》,推动强制实施3条基线安全措施,并要求零售商仅销售具有安全标签的消费者物联网产品。

2019年1月25日,日本国会通过《情报通信研究机构(NICT)法》修正案,修正了一般法律条款《禁止未经授权的计算机访问》,并自2019年2月20日,由隶属于总务省的情报通信研究机构,使用默认和简易密码测试2亿件属于公民和企业物联网设备的密码安全性;2019年10月30日,由日本工业界和学术界组成的关键生命设备安全委员会宣布物联网设备的安全认证系统已启动,从密码设置等常见要求开始,认证了包括ATM机、付款终端、热水遥控器等设备。

2 美国物联网安全新法案立法历程、主要内容和特点分析

2.1 立法历程

2016年,美国发生了轰动世界的Mirai僵尸网络事件,由此引发了人们对物联网设备安全性的关注。同时,也促使美国立法者逐渐意识到,物联网设备需要采取适当保护安全性的措施。因此,在2017年8月1日,美国参议院提出了《物联网网络安全改进法案2017》(简称《S.1691法案》),旨在要求联邦政府内部的物联网设备遵循行业范围内的安全实践,包括不得出现国家标准技术研究院(NIST)漏洞库中已知的安全漏洞,且必须支持更新等。《S.1691法案》的目的是确保美国政府“以身作则”,防止因物联网领域缺乏安全措施使得联邦系统遭遇进一步入侵。但《S.1691法案》提出后未进入下一步的立法进程。2019年3月11日,美国参议院再次提出《物联网网络安全改进法案2019》(简称《S.734法案》),此后《S.734法案》被修订后于2019年9月23日提上参议院立法议程。但参议院后续无新的立法动作。

在美国参议院提出《S.734法案》的同一天,众议院也提出相关法案,即《物联网网络安全改进法案2019》(简称《H.R.1668法案》)。相较于前两次提案,《H.R.1668法案》对NIST提出了更多的要求,希望通过设定最低安全标准,从设备采购流程入手提高美国政府机构购买的所有物联网设备的安全性。提出《H.R.1668法案》后,美国众议院于2020年9月14日通过该法案,并移交参议院表决。2020年11月17日,美国参议院无修改地通过了《H.R.1668法案》,使该法案提交总统签署,这是立法进程的关键一步,推动了自2017年以来一直在国会停滞不前的相关立法。2020年12月4日,美国总统正式签署《物联网网络安全改进法案》,使其成为法律。

综上,近年来物联网安全立法被多次提出、修订、通过,这充分说明了物联网安全监管已进入美国最高立法机关的视野。而美国参议院和众议院均通过最新立法提案,说明两院在通过统一立法的方式提升物联网安全方面达成共识。

2.2 主要内容

《H.R.1668法案》的整体思路是通过NIST标准来提高美国联邦政府机构物联网设备的安全性,并要求NIST每5年对发布的标准和指南进行审查,必要时对这些标准和指南进行修订。

2.2.1 明确指出物联网设备的范围

根据该法案,物联网设备是指具有以下特性的设备:一是存在用于与物理世界直接交互的传感器或驱动器,且拥有网络接口,但不包括智能手机和笔记本电脑等传统信息设备等;二是能够独立工作,而不仅作为另一个设备的组件(如处理器)运行。

2.2.2 以强制性要求确保物联网安全

《H.R.1668法案》要求NIST应当在法案颁布之后的90天内,根据相关法案为联邦政府购买的物联网设备设定最低安全标准,并通过持续不断的努力解决安全开发、身份管理、修补漏洞及配置管理等安全问题。管理和预算办公室(OMB)审查联邦政府机构物联网设备是否与上述最低安全标准保持一致。

2.2.3 以漏洞协调披露改善物联网安全

《H.R.1668法案》尤其重视物联网漏洞管理,以较大篇幅赋予了NIST漏洞纰漏指南制定及实施的职责,即物联网设备的漏洞信息及补救信息应当具备完善的报告、协调、发布、接收程序。对于向政府机关提供物联网设备的各级供应商,法案特别指出了其接收和传播安全漏洞信息的义务。OMB负责监督漏洞披露的执行情况。

2.2.4 从采购环节管控物联网安全

《H.R.1668法案》设置了采购条款,若物联网设备的使用将妨碍联邦政府机构遵守前述的设备安全要求和漏洞纰漏指南,相关设备则禁止被机构采购,除非存在科研目的等豁免情形。联邦采购条款应做出与此一致的修订。美国总审计长负责每两年向国会提交采购条款的执行报告。

2.3 特点分析

美国通过立法的方式改善联邦政府物联网安全的做法,与英国和日本物联网安全监管举措相比,既有相似之处,也存在明显差异。

2.3.1 相同点

(1)物联网安全监管均具有一定的强制性

从世界范围看,物联网自2018年开始普遍进行监管视野。2018年以前,各国物联网安全监管多以自愿性方式推进,之后主流国家策略发生重大变化,国家对物联网安全监管力度具有强制性。NIST自2019年开始发布多个参考性文件,而最新法案要求由专业标准组织制定物联网设备安全指南,联邦政府购买的任何物联网设备都必须遵守这些指南;英国从自愿遵守13个安全准则到强制实施前3条,并考虑实施设备认证制度;日本在不通知企业和公民的情况下对物联网设备安全进行渗透测试。

(2)均将设备安全作为重中之重

物联网终端是最主要的安全风险源头,主要表现在以下两个方面:一是物联网终端安全事件占比高。2019年上半年,Kaspersky研究人员检测到针对IoT设备的攻击共计1.05亿起,同比增长6倍之多。二是物联网设备逐渐成为DDoS攻击的主力。首先,物联网设备数量多、分布广,构成绝佳攻击场景;其次,物联网设备生命周期长、人机交互低,很难发现清除;最后,物联网设备缺乏杀毒软件等防护措施,更易被攻陷。为此,英国和日本均从设备入手,提升物联网安全能力,如英国3条强制性要求及物联网安全标签制度、日本政府安全渗透测试及社团法人三级安全认证制度均围绕摄像头等物联网设备进行。

2.3.2 不同点

(1)美国以专门立法的形式加强物联网安全

英国、日本立法或司法机关均不同程度地介入物联网安全管理,但并未制定新的专门性物联网安全法律。除在全美层面生效实施《H.R.1668法案》,早在2018年9月28日,美国加利福尼亚州州长杰里·布朗(Jerry Brown)就签署了《加州物联网安全法案》,要求物联网设备制造商为设备配置合理的安全性能。

(2)美国优先解决政府部门物联网安全问题

按应用场景不同,物联网可分为工业互联网、消费物联网、政府物联网等。鉴于消费型物联网终端安全能力较弱,易被攻击,且一旦被非法控制,用户隐私、人身安全将受到严重威胁,并造成经济损失,英国、日本均特别关注消费型物联网的安全,分别采取发布政策、制定标准、推行安全认证等手段加强消费型物联网安全,确保联网设备在其生命周期内的安全性。与英国、日本优先关注消费物联网安全不同,美国物联网安全致力于提升联邦政府物联网安全。

3 美国最新物联网安全立法动态对我国的启示

3.1 提高对物联网安全的重视程度,由全国层面的国家机关出台专门的物联网安全法律

《H.R.1668法案》认为,联邦政府的数字政府建设在一定程度上取决于政府如何应对物联网安全,并将政府部门的网络安全职责赋予总统及OBM、DHS等较高权力位阶部门,这也是这部立法取得重大进展的主要原因。反观我国,截至目前,我国尚未出台专门针对物联网安全管理的法律和政策,仅在国务院、工业和信息化部出台的物联网整体发展规划中以较小篇幅提及安全要求,较难推动贯彻落实。建议重视物联网安全监管,由全国人民代表大会、国务院等出台法律位阶较高的专门性立法。

3.2 充分发挥政府采购对物联网生态的影响,避免普遍强制性要求对产业发展造成不良影响

《H.R.1668法案》侧重美国联邦一级的设备保护,充分利用联邦政府采购权引导私营部门采用最佳的物联网安全方法和实践,并逐渐渗透到消费者设备市场。当前,物联网产业蓬勃发展,若不加区分地对所有物联网设定最低安全要求,将抑制“新基建”发展势头。我国可借鉴美国这一做法,优先保障政府物联网安全,并通过政府影响市场,间接提升物联网安全。

3.3 抓住确保物联网安全关键主体,明确物联网设备供应商的义务

《H.R.1668法案》明确了物联网供应商的义务,包括漏洞纰漏和采购审查。物联网系统和设备供应商是物联网安全关键一环,而我国尚未从义务条款角度规范物联网供应商行为。下一步,建议对供应商设置相应义务和罚责规定,从采购环节管控物联网安全。

4 结束语

美国国会自2017年多次提出物联网安全法案,最终于2020年年底正式通过《H.R.1668法案》。《H.R.1668法案》的通过标志着美国在保障物联网安全方面迈出关键一步。《H.R.1668法案》要求NIST提出联邦政府物联网设备最低的安全要求,规定了供应商披露漏洞信息的义务,并设置了OMB审查和监督机制,以此来保障联邦政府物联网安全,并通过政府行为提升物联网整体安全能力。与英国、日本物联网安全监管举措相比,美国新法案具有强制性和注重设备安全的共性,也有专门法和优先关注政府部门物联网安全的特性。美国《H.R.1668法案》启示我国应由全国层面的国家机关出台专门的物联网安全法律,明确物联网设备供应商的义务,并避免普遍强制性要求对产业造成的不良影响。

参考文献:

[1] 有关网站

[2] 中国信息通信研究院. 物联网白皮书[R], 2020.

[3] 中国信息通信研究院. 物联网安全白皮书[R], 2018.

[4] 丰诗朵, 曹珩, 高婧杰. 从美国《IoT设备网络安全法》看物联网设备安全监管趋势及对我国的启示[J]. 信息通信技术与政策, 2019(7):78-80.

[5] 认证日本产学团体将对物联网产品实施星级安全评定[J]. 电器, 2019(2):44.

原文刊载于《互联网天地》2021年6期,作者:张夕夜,单位:中国信息通信研究院安全研究所重要通信研究部

声明:本文来自互联网天地杂志,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。