《物联网网络安全改进法案》，规范IoT设备安全标准

发布日期：2017-08-07

周二，美国两党议员联合引入新法案，希望通过制定政府采购和使用IoT设备(包括电脑，路由和监控摄像头等)的行业安全标准，保护联网设备。

去年，大规模网络攻击对物联网设备下手，大量物联网设备被“黑”。网络攻击日益猖獗的今天，联网设备极易遭受入侵，信息安全行业专家多次呼吁制造商重视网络安全。

去年10月，攻击利用Mirai发起的DDoS攻击虽然持续时间不到一天，但却让人意识到物联网设备存在的安全隐患。正是由于业界对供应设备最基本的安全漠不关心，因此加剧了物联网易遭受劫持的情况。

物联网网络安全改进法案

美国弗吉尼亚州民主党参议员马克沃纳和科罗拉多州共和党参议员克里加德纳提出新法案《物联网网络安全改进法案》，要求联邦政府的设备供应商遵循行业范围内的安全实践，例如确保可穿戴设备、智能传感器等设备能修复漏洞、更新密码、推向市场时不存在已知安全漏洞。这项法案将禁止厂商使用硬编码和无法更改的用户名和密码。

去年，攻击者利用默认登录凭证入侵并重定向网络带宽让系统和服务器不堪重负，最终导致系统和服务器宕机崩溃。

这份法案草案在大西洋理事会(Atlantic Council)和哈佛大学(Harvard University)的帮助下起草。

立法人员希望通过“最小限度的干预”解决“显而易见的市场失灵”状况。沃纳接受路透社采访时表示，立法人员希望“尽力以最小限度加以干预”。他提出，这项法案旨在弥补“显而易见的市场失灵”现象---这种现象让设备制造商缺乏构建安全的动机。

加德纳表示，立法人员称《物联网网络安全改进法案》将确保美国政府“以身作则”，防止因物联网领域缺乏重大创新使联邦系统遭遇进一步入侵。

预计到2020年，联网设备数量将达到300亿台。这项法案旨在总结错误经验，与时俱进。

安全研究人员和黑客长期警告称，物联网设备问题重重，因为大多数设备制造商无法将自身设备(以及连接到同一网络的其它任何设备)的安全作为优先考虑事项。

为此法案提供建议的密码学家兼安全专家布鲁斯施奈尔表示，市场将不会自行提供安全保障，因为买家或卖家除了维护自身利益，没有采取任何行动的动机。

这两名参议员还警告称，此法案将扩大对“善意”入侵设备寻找漏洞的安全研究人员的法律保护范围，因此厂商能修复先前未知的漏洞。此外，此法案还将扩大对物联网领域安全研究人员的法律保护范围，豁免联邦入侵法律规定的“善意”漏洞寻找行为。

虽然物联网安全问题数年来已成为众所周知的问题，但某些制造商却表示，他们不具备足够的配备制造安全联网设备。

云计算公司VMware首席技术官雷奥法雷尔表示，这项新法案包含“合理安全建议”，这对保护美国联邦政府网络安全至关重要。