美國加州物聯網法案引爭議
來源:大數據觀察 更新時間:2018-11-08

  如今,越來越多的物聯網(IoT,Internet of Things)設備走進了日常生活,給人們帶來了更為高效和便捷的體驗。這些設備不僅給用戶提供了便利,也給黑客開啟了另一扇“大門”。就在今年1月,HNS僵屍網絡用不到10天時間就感染了2萬台有安全缺陷的網絡攝像頭……

隨著物聯網與工業、金融、交通等領域的深度融合,相關安全問題不再局限於個人範圍,而是影響到整個網絡空間。

   如何才能在物聯網世界裡築起一道安全屏障?

   近日,美國加利福尼亞州州長傑裡·布朗簽署了SB-327法案,該法案使加州成為美國首個推出物聯網安全法案的州政府。據悉,此法案將於2020年1月1日起正式實施,法案規定所有聯網設備的制造商都要為其產品配備安全設置,以防止信息被未授權訪問或者修改。

   該法案能否成為解決物聯網安全問題的“解藥”?

新法案立意雖好,卻惹業界非議

   有關SB-327法案的消息一出,便引來了廣泛關注,外界對此褒貶不一。肯定者認為這是完善相關法律法規的良好開端,而質疑者則詬病該法案存在許多不足。

   “相關安全專家認為該法案的‘槽點’主要有3個方面。”北京理工大學網絡攻防對抗技術研究所所長閆懷志在接受科技日報記者采訪時表示,該法案的條文描述過於籠統,存在許多模糊之處。法案主要規定了“連接設備的制造商應為設備附上合理的安全功能”,但對“安全合理性”的界定比較模糊。

   “該法案的核心思想是增加新的安全功能,而非去除不安全的功能,也就是將重點放在補缺而非除漏。這是法案的第二個‘槽點’。”閆懷志表示,“但補缺也是一把雙刃劍,新增加的安全功能可能會擴大攻擊面,從而制造了新威脅。”

“其三,該法案未從整體上考慮安全問題。”閆懷志說,該方案只強調了設置物聯網設備密碼口令等規定,而未提及遠程登錄服務等其他協議驗證系統。這些驗證系統如存在缺陷,也會給系統帶來致命威脅。

法規、標准齊發力,形成體系化保障

   這項法案或許難以擔起維護物聯網安全的重任,那麼什麼樣的制度設計才可以?

   國際的通行做法是圍繞安全法律、法規制定配套標准,輔以規範指南等,形成層次化、立體化的一整套安全保障約束體系。

   早在2016年年底,美國國土安全部就發布了《保障物聯網安全戰略原則》,公開表示“物聯網安全已演變為國土安全問題”。2017年8月,美國國會議員提交了《物聯網網絡安全改進法案》,希望通過設定聯邦政府采購物聯網設備安全標准,來改善美國政府所面臨的物聯網安全問題。

   比上述法規出台時間更早,美國一些行業主管部門就發布了相關文件,以保障特定應用領域的物聯網安全。2014年,美國國家標准與技術研究院發布了《提升關鍵基礎設施網絡安全的框架》,規定了關鍵基礎設施在解決網絡風險問題時的技術標准;2016年,美國高速公路安全管理局發布了《現代汽車網絡安全最佳實踐》,明確了具有聯網功能車輛的安全保障要求。

   “目前,與物聯網安全相關的約束規範以法規文件居多,其實配套標准也非常重要。沒有標准的‘保駕護航’,相關法規也難以較好地保護物聯網。”在閆懷志看來,制定物聯網安全法規、標准時,應該特別注意各層次規範的地位和使命,既要做到分工明確、避免越俎代庖,又要做到相互配合,形成有機整體。

基於國情發展,管控措施逐步落地

   “在技術層面上,我國在物聯網發展過程中遇到的安全問題與美國並無顯著不同。但中美在基本國情、法律制度、技術發展水平上存在較大差異,因此不能對其照搬照抄。”閆懷志說。

   我國向來對物聯網安全問題極為重視,已將物聯網列為國家關鍵信息基礎設施。2017年6月1日起,我國第一部全面規範網絡空間安全領域問題的基礎性法律《中華人民共和國網絡安全法》正式施行。與之配套的《關鍵信息基礎設施安全保護條例(征求意見稿)》業已發布,新版網絡安全等級保護系列標准也將進入頒布和實施階段,包涵了針對物聯網等新技術、新應用的安全規範。專門針對物聯網的數據傳輸、感知層等相關安全技術標准也進入送審稿階段,醫療、汽車行業相關安全標准也在逐步落實。

   物聯網關系到人們的日常生活以及社會生產發展,強化物聯網安全不會一蹴而就。正如360公司董事長周鴻祎所說,安全問題才是物聯網時代的最大挑戰,很多固有的防範手段將會失效,真正的網絡戰爭才剛剛開始。

(美國加州物聯網法案引爭議 物聯世界的安全網到底該怎麼建)