《物联网安全改进法案》：美国又一针对我国物联网厂商的重磅法律武器？

本文作者：安全内参社区研究员 常涛

2021年的某一天，所有的供应商都会发现美国联邦政府的采购流程发生了改变，自己一直提供的服务或者产品一夜之间不再满足要求，继续服务的前提是需要满足NIST的众多规范要求。这是为什么呢？

因为在2020年12月4日，几经波折的美国国会H.R.1668号法案——《2020年物联网网络安全改进法案》（以下简称《法案》）正式出台。该法案是一份专门针对物联网（IOT）网络安全要求的法案。该法案的内容、未来可能造成哪些正面及负面的影响以及影响的范围有多大都是值得我们关注的。

01《物联网网络安全改进法案》的内容

1、确定安全负责人

本法案的目标对象是联邦政府的IoT系统，那么联邦政府系统的安全的责任人是谁呢？总统，对就是总统，法案的第二部里明确指出第一安全责任人是总统（目前就是特朗普总统），其次是行政管理和预算办公室主任（目前是罗素·沃特）；然后是各个部门例如美国国土安全部、联邦调查局等第一安全责任人均为各部负责人。用国内的提法就叫“安全是一把手责任”，国内早已是这样的共识和责任划分了。美国这一次是不是抄我们作业呢？

2、确定实施部门

指定一把手作为安全责任人并不能解决实际的安全问题，那么具体解决问题的方案就落到了NIST院长的头上。法案明确指出由NIST在法案生效的90天之内提交对联邦信息系统的基线安全标准，180天内给出漏洞信息共享标准等解决方案。NIST要在90天内形成对整个联邦政府相关的安全标准和指南，肯定提前有所准备。NIST目前要做的就是把现在已经形成的标准如SP800系列应用到联邦政府的系统中，并且让利益相关方接受NIST的方案，我想后者才是NIST院长正真要解决的问题。

看过SP800系列的读者一定知道制定标准对于NIST并不是特别复杂的事情，困难的是如何让NIST的标准形成约束力。这个任务就交给了联邦行政预算办公室主任。办公室主任通过控制预算的方式来实现NIST技术要求。

3、修改采购流程

上面我们已经讲过联邦行政预算办公室主任通过控制钱袋子的方法来实现NIST规范的约束力，这个过程是如何产生的呢？就是通过修改采购的流程，在采购过程中要求所采购的相关产品和系统符合NIST的规范，从而实现约束力。

4、共享漏洞

这里的共享漏洞其实也是对NIST在制定标准时提出的一个要求。或许法案的制定者们认为共享漏洞这个方案非常有效，因此明确提出相关要求，首先是联邦政府内部的漏洞共享的要求，以及供应商和联邦政府共享漏洞的要求。

法案中还对周期性的审计和度量提出初步的要求，主要是确保法案的持续度量和运营以及根据具体的需求和执行情况做出调整。

整个法案的结构关系如下图所示：

02《物联网网络安全改进法案》的作用

当然，法案在具体执行过程中还需要引入第三方实验室用于验证产品是否符合要求。但最重要的是形成一个通过控制预算的使用条件来提高联邦IoT系统安全性的格局。

通过制定招标要求来控制最终的交付质量是系统建设的常规手段，但是像本法案这样通过国家法律系统性的对信息系统的建设过程提要求的方法还是值得各国深思。

1、法案是信息化建设过程中可攻可守的武器

通过以上分析我们可以看到，本法案只是一个框架，具体的要求会在后期逐步完善，可以根据需求填入相应的内容。比如说有针对性的阻止特定企业甚至是国家的产品进入联邦政府系统。出台法案可以将这种操作变得理所当然。同时也可以通过增强安全需求来推进安全技术的落地，比如近年来NIST推进的ZTA（零信任架构）计划。

2、法案是利用国家财政促进安全建设的手段

联邦政府可以通过多种手段来促进某类市场的发展，本法案也可以算是一种，至少实际中能够达到这个效果，且在名义上更符合自由市场的逻辑。相较于政府补贴的方式来说，这是一个采购行为，事实上联邦政府完全可以控制预算和采购的规则来实现等同于补贴的效果。

联邦政府每年在信息系统建设上的预算足以让市场做出调整，甚至对整个美国安全市场造成长期持续的影响。

3、法案是具有示范和扩散的效应

虽然本法案的直接作用对象是联邦政府，但是不排除会扩展到其他部门和领域。就在今年11月美国国防部(DoD)也强化了内部的采购合规流程，要求未来供应商要通过CMMC (Cybersecurity Maturity Model Certification)的认证。

除了示范性该法案还有扩散性，尤其是对漏洞信息共享的要求是针对整个供应链体系的而不是直接的服务商。这种合规要求会贯穿整个供应链体系，因此可能会形成类似于GDPR的效果，本来是一个区域性的法律要求，但是会对全球产生影响。

03《物联网网络安全改进法案》对我国的影响

首先我们不能选择视而不见，除非是与全球供应链毫无关系的国家或者企业。

其次对于其他国家而言，这个法案是通过经济策略来影响市场的手段，当拥有了强大的经济实力后也可以形成本国对技术的约束力和标准。对于企业而言这是甲方的一个需求，当甲方提出的需求可以促进自身的产品设计和开发时，那么企业就必须做出改变。

我们最关心的是本法案对我国的影响。我国作为全球供应链的中心，必然会受到影响。但由于NIST细则还没有发布，因此具体技术细节还不能做出评估，但是可以肯定的是未来针对美国的进出口又多了一个间接需要评估的法案。

最先产生影响的是漏洞信息共享的要求，如上所述此要求是有扩散性的。漏洞的共享首先要实现资产信息的共享，资产信息的共享就必然会涉及到制造商信息的共享，这就提高了通过调整注册公司地址来满足合规要求的难度，因为设备制造需要有产地的信息。

同时漏洞信息共享对我国企业而言的挑战是更高的，毕竟我们企业目前的漏洞管理的成熟度还是低于一些海外老牌企业的。当然漏洞共享需要从正反两个方面来分析。正向而言漏洞共享对整个安全行业而言是有利的，当然最终NIST的要求是否会将联邦政府相关设备的漏洞及时公开甚至是否对外公开还是一个未知数，美国政府通过该法案收集的漏洞是否会作为网络攻击武器也是个未知数，只不过在事实上漏洞可以作为武器来使用。

综上所述，在漏洞管理方面，国内的企业一方面要提升自己的漏洞管理成熟度，积极主动的响应国内的漏洞管理标准（GB/T 30276），不要出现自己的漏洞优先发布到联邦政府的漏洞库中的尴尬场景；另一方面相关企业可以参考NIST现有的要求如SP800系列对受影响和可能受影响的产品和服务做出内部的影响分析，提前进行调整。

最后，IoT技术对世界的影响是远大于之前的Web技术，一个全新的IoT世界也是一个需要建立安全与秩序的世界，群雄逐鹿是历史的必然，个人、组织以及国家都要做出自己的抉择。

参考链接：

https://www.congress.gov/bill/116th-congress/house-bill/1668

声明：本文来自互联网安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。