本篇文章1940字,读完约5分钟
互联网上的图片
华盛顿,8月26日(科学日报)——2016年10月,恶意软件Mirai未来组合攻击了物联网设备。今年5月,一场大规模的“万纳克里”勒索病毒爆发了。犯罪分子使用物联网设备进行网络攻击的威胁使得美国联邦部门意识到了物联网安全问题的严重性。联邦政府和议会已经开始积极讨论和研究如何应对物联网面临的安全影响。
除了国会提出的法案,政府部门也采取了行动。尽管最终的政策文件尚未出台,但这些措施表明美国联邦政府部门非常重视物联网的安全。
总统令呼吁政府部门加强网络恢复
今年5月11日,特朗普签署了第13800号总统行政命令“加强联邦网络和关键基础设施的网络安全”,其中之一是增强美国应对僵尸网络和其他自动化和分布式威胁的能力。
该行政命令要求商务部和国土安全部共同研究如何提高网络和通信系统的灵活性,减少自动化和分布式攻击的威胁,并在2018年1月10日前提交初步报告,在2018年5月前提交最终报告。
作为对第13800号行政命令的回应,美国商务部下属的国家电信和信息管理局(NTIA)于6月13日发布了一份咨询文件“促进利益相关者对僵尸网络和其他自动威胁的行动”,征求私营企业、研究机构、社会组织等的意见和建议。应对物联网安全威胁,特别是僵尸网络上的分布式拒绝服务攻击。
NTIA要求各方提出法律、政策、标准、技术等方面的建议,以减少僵尸网络的威胁,维护物联网终端设备的安全,明确存在的差距和应采取的措施,并就政府与各方的协调、加强国际合作、开展物联网终端用户安全教育等问题提出意见。截至7月31日,NTIA已收到来自46个组织的评估文件,包括谷歌、微软、赛门铁克、美国商会和美国电信协会。
除NTIA外,国家标准与技术研究所(NIST)还于7月11日至12日举行了一次特别研讨会,讨论增强网络灵活性和应对物联网环境中僵尸网络威胁的解决方案,以实施第13800号行政命令。来自微软、思科、赛门铁克、AT&T和其他公司的代表,以及美国卫生与公众服务部、国土安全部、联邦调查局和联邦贸易委员会等政府机构,以及马里兰大学等学术机构的专家参加了研讨会。
在研讨会上,与会者重点讨论了当前加强物联网安全和减少僵尸网络威胁的标准、技术和做法、物联网设备的开发、互联网用户的自我保护、物联网安全研究以及政府的作用。NIST表示,他们将整合研讨会的讨论意见,形成政府决策材料。
立法者推动物联网安全法案
物联网安全问题也引起了一些国会议员的关注。8月1日,民主党参议员马克·华纳、罗恩·怀登、共和党参议员史蒂夫·戴恩斯和科里·加德纳联合向国会提交了一项关于物联网安全的法案,即2017年物联网安全改进法案,希望通过设定联邦政府购买的物联网设备的安全标准来改善美国政府面临的物联网安全问题。
该法案建议,联邦政府的物联网设备供应商应确保其设备采用政府批准的标准协议,不能包含硬编码密码,不能包含已知的安全漏洞,并且可以修补。如果供应商发现新的安全漏洞,他们必须向相关部门披露,并解释为什么这些漏洞仍然被认为是安全的,以及他们采取了什么措施来解决这些问题。根据这一信息,联邦政府采购部门的首席信息官可以决定是否放弃购买设备。对于一些不能满足上述要求的设备,如果能够证明安全风险能够得到有效控制,采购部门可以向美国政府管理和预算局(OMB)提出申请,允许采购此类设备。该法案授权OMB和NIST与相关行业进行协调,以确认政府机构可以采取的具体安全防范措施的有效性,例如网络分割和网关的使用。
该法案还建议,如果联邦政府机构有自己更严格的安全标准,或相关行业有更严格的第三方设备认证标准,可以提供同等或更严格的安全保证(具体由NIST决定),该法案的建议可能不会被采纳。
该法案还要求国土安全部规划部(NPPD)与相关行业合作,制定物联网设备安全漏洞披露指南,免除互联网安全研究人员根据《计算机欺诈和滥用法案》和《数字千年版权法》承担的责任。同时,一旦发现这些设备的安全漏洞,应该立即修复或更换。
此外,该法案还要求联邦机构保留一份物联网设备清单。OMB将在五年内向大会提交一份关于准则有效性和最新建议的报告。
该法案得到了包括哈佛大学伯克曼·克莱恩网络和社会中心、民主和技术中心(CDT)以及赛门铁克和VMware等公司在内的团体的支持。尽管该法案只关注联邦政府购买设备的问题,而且要成为一部真正的法律还需要一段时间,但它意义重大。Veritas副总裁兼首席技术官雷·奥法雷尔(Ray O 'Farrell)表示,该法案的安全提议是合理的,是双方促进物联网生态系统安全的重要一步。美国软件公司Sonatype认为,该法案将有助于推动整个物联网安全标准的发展,并将受到所有物联网企业的关注。