物联网安全问题严重：美国国会政府推动立法

除NTIA外，美国国家标准与技术研究所（NIST）为了执行13800号行政令，也于7月11日至12日召开了专门研讨会，探讨在物联网环境下增强网络弹性及应对僵尸网络威胁的解决方案。参加研讨会的既有微软、思科、赛门铁克、AT&T等公司的代表，也有美国卫生和人类服务部、国土安全部、联邦调查局、联邦贸易委员会等政府机构人员，还有来自马里兰大学等学术机构的专家。

研讨会上，与会人员就当前加强物联网安全，降低僵尸网络威胁的标准、技术及做法，物联网设备开发，互联网用户的自我保护，物联网安全研究以及政府角色等问题，进行了集中讨论。NIST称，他们将整合研讨会讨论意见，形成材料供政府决策参考。

国会议员推动物联网安全法案

物联网安全问题也引起一些国会议员的重视。8月1日，民主党参议员马克·华纳、罗恩·维登和共和党参议员史蒂夫·戴恩斯、科里·加德纳携手向国会提交了一项关于物联网安全的法案《2017物联网网络安全改进法》，希望通过设定联邦政府采购物联网设备安全标准，来改善美政府所面临的物联网安全问题。

该法案提出，联邦政府的物联网设备供应商要保证其设备采用政府认可的标准协议，不能包含硬编码密码，不能含有已知的安全漏洞，并且是可以打补丁的。如果供应商发现新的安全漏洞，必须向有关部门披露，并解释为什么设备存在这样的漏洞仍被认为是安全的，以及他们针对漏洞采取了哪些措施。据此信息，联邦政府采购部门的首席信息官可以决定是否放弃采购这些设备。对于某些不能满足上述要求的设备，如果能证明可有效控制安全风险，采购部门可向美国政府管理预算局（OMB）申请，获准购买这样的设备。法案授权OMB和NIST与相关行业协调，确认政府机构可采取的特定安全防范措施，如网络分段、使用网关等是否有效。

法案还提出，如果联邦政府机构有自己更严格的安全标准，或相关行业有更严格的第三方设备认证标准，可提供等效或更严格的安全保证（具体由NIST来认定），则可以不采纳该法案的建议。

法案还要求国土安全部计划司（NPPD）与相关行业合作开发物联网设备安全漏洞披露指南，免除《计算机欺诈与滥用法》和《数字千年版权法》规定的网络安全研究人员责任。同时，这些设备的安全漏洞一经发现，则应第一时间进行修补，或者更换设备。

此外，法案还要求联邦政府机构要保留物联网设备使用清单。OMB要在5年后向国会提交指南有效性和更新建议的报告。

这一法案受到包括哈佛大学伯克曼克莱因网络与社会中心、民主与科技中心（CDT）等团体以及赛门铁克、威睿（VMware）等公司的支持。尽管该法案只是着眼于联邦政府设备采购方面，且距离成为真正的法律还需时日，但意义重大。威睿公司副总裁兼首席技术官雷·奥法雷尔称，该法案安全建议合理，是两党推进物联网生态系统安全的重要一步。美国软件公司Sonatype则认为，这一法案有助于推动整个物联网安全标准的发展，会受到所有物联网企业的重视。

（科技日报华盛顿8月26日电）