物联网安全法要求标准 来源 : 原创     2021-01-25

对于许多物联网开发团队而言，安全性仍然是一个愿望清单，被视为不值得在消费类产品中实施所需的成本和精力。消费者似乎不愿意为增强的网络安全功能或为避免产品缺少此类功能而支付额外费用。但是，立法活动开始使安全性成为消费者物联网设计的法律要求。

美国国家标准与技术研究院（NIST）的项目经理Katerina Megas在今天的IoT世界今天的IoT安全峰会上发表讲话，指出要求IoT设备纳入安全性的立法已经在某些州开始生效，并且正在被添加到其中。联邦法律也是如此。Megas指出，在2020年1月，加利福尼亚州和俄勒冈州均颁布了法律，要求其所在州的联网设备制造商为其设备配备“合理的安全功能”。此外，其他几个州-包括伊利诺伊州，马萨诸塞州，纽约州和弗吉尼亚州-也有类似的立法正在等待或正在考虑中。

梅加斯还指出，美国政府正在开始制定法规来强制物联网安全。例如，美国众议院于3月推出了HR 1668 – 2020年物联网网络安全改进法案。该法案要求为联邦政府制定“标准和指南，以指导联邦政府适当使用和管理由机构拥有或控制的并与机构拥有或控制的信息系统相连的物联网设备，包括最低程度的信息安全性”。管理与此类设备相关的网络安全风险的要求。” 它通过了众议院和参议院，并于12月4日签署成为法律；标准和指南必须在90天内发布。

尽管HR 1668仅适用于美国政府使用的物联网系统，但它标志着网络安全法规的开始，该法规最终还将在美国范围内适用于工业和消费者系统。2019年，国会成立了网络空间日光浴室委员会，以制定一项战略方针，使美国在网络空间中捍卫自己。该委员会的第一份报告包含80多项建议，包括50多项立法建议，以帮助实施该委员会的分层防御战略。这些建议中的许多不仅影响政府的系统，而且也适用于工业和消费者系统。

物联网开发团队强烈关注三个具体建议。有人呼吁美国通过一项物联网安全法，以强制执行“合理的安全措施”，以符合NIST的建议，例如NISTIR 8259 —物联网设备制造商的基础网络安全活动。另一个建议要求建立国家网络安全认证和标签管理机构，以验证物联网设备是否符合要求。此外，该提案要求该机构将其范围扩展到联邦和工业物联网系统之外，以涵盖个人和消费电子产品。

值得关注的第三项建议有可能推翻在设计中可能存在的对实施物联网安全性的任何经济反对意见。该提议要求对最终货物组装者承担赔偿责任。如果实施，则出售的IoT设备制造商将承担赔偿责任，如果他们的设备无法防范已知漏洞。换句话说，物联网安全性无论是否诱使消费者增加支出，都将成为一项“必备”功能。不实施安全性的风险将非常高。

到目前为止，所有这些立法所要求的“合理的安全功能”仍然只是模糊的定义。根据Megas的说法，在加利福尼亚州和俄勒冈州的法律中，“合理”的定义仅要求采取适合设备功能及其所处理信息的措施，并试图防止他人未经授权擅自访问，披露，使用，修改或破坏设备。该信息。未定义具体措施。

他们也不可能那样。正如Megas在演讲中所指出的那样，NIST在推荐网络安全措施时的指导思想是，一个规模并不适合所有规模。因此，这些法律未纳入具体措施。相反，这些努力正在采取基于结果的方法。即将出台的法律将要求物联网设计实现网络安全，但并未规定如何实现。这种决心仍将取决于开发团队。但是，对物联网安全性及其实现功能的需求正在从合理的角度发展为法律要求。