这项法案希望透过立法为美国政府未来采购IoT装置设下安全门槛,包括装置必需能够修补,不使用固定密码或含有任何已知漏洞、建立IoT装置的安全要件、要求国土安全部揭露漏洞予IoT供应商等等。

美国4名参议员在本周二(8/1)提出了物联网网络安全改善法案,盼能促进立法以对美国政府所购买的IoT装置建立安全门槛。

在《2017 物联网网络安全 提升法案》中, 试图利用政府的购买力,为出售给美国人民的物联网设备制定一个基本安全级别 。例如,该议案规定联邦政府的联网设备供应商,应确保设备已安装最新安全更新,不使用硬编码(静态)密码,且出售时不存在已知漏洞。

该法案的內容涵盖了IoT制造商应确保出售给政府的装置能够修补,不得使用固定密码或含有任何已知漏洞;指导美国行动管理与预算局针对IoT装置建立安全要求;指导国土安全部制定有关网络安全漏洞揭露政策的指导方针予IoT供应商;针对那些利用骇客技术寻找装置漏洞的安全研究人员提供法律上的保障;要求每个使用IoT的部门清点这些装置。

该议案由Sens.Steve Daines(R-Mont.)、Cory Gardner(R-Colo.)、Mark Warner(D-Va.)和Ron Wyden(D-Ore.)提出,为白宫的管理和预算办公室在为具备有限数据处理和软件功能的设备开发替代性网络安全需求时提供指导。此外,这需要每个执行机构列出包含全部所用联网设备的清单。

实际上,该议案的规定适用于任何接入网络传输数据的设备。在本提议中,物联网设备有非常广泛的定义,即 “具备联网能力且能正常连接网络的物理对象”以及“具备计算机处理能力,可收集、发送或接收数据”的设备。

本议案的核心提案人表示,此举已得到了数个关键的法律技术团队的支持,包括民主与技术中心(CDT)、Mozilla以及哈佛伯克曼互联网与社会研究中心的伯克利网络安全项目。

物联网发展日新月异,用户渐失掌控能力

根据估计,全球的物联网装置数量到2020年将会超过200亿个,这些装置所搜集与传递的数据可用来造福产业与消费者,但同时也会造成安全上的挑战,有些装置采用固定密码且经常无法修补,让IoT装置成为安全漏洞,可能危及整个网络。

近来发生的几起资安事件都与IoT装置有关,骇客利用IoT装置的安全漏洞建置了庞大的僵尸网络,针对特定网站、代管服务供应商及网络架构供应商发动分散式阻断服务攻击。

物联网安全威胁有

  • 勒索软件(利用现有的漏洞、不安全的设计\代码、第三方开源代码、开发网络端口)
  • 黑客(利用不安全的网络协议、不安全的云\应用服务、不安全的FOTA/SOTA)
  • 僵尸网络DDoS攻击(简陋的身份认证\授权管理机制、不完善的密钥管理)。

参议院网络安全核心小组主席之一的Mark△Warner表示,虽然他们很期待物联网所带来的创新与生产力,但也一直担心市场上有太多没有适当安全措施的IoT装置,此一立法将替联邦政府的IoT装置采购案建立完整又有弹性的准则,得以补救明显的市场失灵状态,并鼓励制造商于产品安全性的互相竞争。

哈佛大学的Berkman△Klein网络暨社会研究中心共同创办人Jonathan△Zittrain表示,IoT装置带来新兴的安全问题,在购买IoT装置之后,这些问题可能会持续数月或数年之久,此一法案利用联邦采购市场的势力,而非借由直接规范制造商,来鼓励制造商在产品中部署基本的安全措施,将让所有人受益,包括非政府机关的采购者。

该方案还有其它两个意义,1、方案支持安全研究员对物联网安全的研究,避免法律不正当的处罚研究员;2、有可能发布网络安全漏洞披露指导原则,用于约束向美国政府提供联网设备的承包商。

作者 极限网络

深圳市极限网络科技有限公司——国家高新技术企业,自2009年成立以来,一直秉承“以技术推动产品、以产品助力服务、以服务满足客户”的运营理念,为政府、金融、能源、互联网及教育、医疗等重点行业客户,提供全面、优质的安全产品和解决方案,帮助客户实现业务安全、顺畅运行。 基于多年的安全攻防研究和项目工程经验,极限网络在安全评估、检测防御等领域建树良多,形成了包括入侵检测、风险评估、抗DOS攻击等完整、全面的安全产品线及专业的安全服务体系。目前,已经得到了互联网管理机构、测评中心以及多家世界五百强企业的高度认可,成为了企业网络安全市场的领跑者。 极限优质的技术支持以及渠道体系为用户提供最及时、最专业的服务,先后为十八大安保、深圳市安全检查、南方电网等大型行业的信息安全保驾护航。我们始终坚持安全技术的研究和分析,拥有一流的安全技术专家团队和国家级先进的安全研究实验室,目前已获得多项创造性专利技术。