2024年美國大選終于在上周落下帷幕，美國共和黨總統(tǒng)候選人特朗普在2024年總統(tǒng)選舉中獲勝，4年后將再次重返白宮。在上一個(gè)任期中，特朗普針對(duì)科技行業(yè)推動(dòng)了諸多政策的制定和出臺(tái)，對(duì)全球科技行業(yè)產(chǎn)生重大影響，業(yè)界也在深入分析和預(yù)測(cè)其重新當(dāng)選總統(tǒng)后各領(lǐng)域的走勢(shì)。

物聯(lián)網(wǎng)作為科技行業(yè)的一部分，在過去幾年中也受到了一定程度的影響，形成新的走勢(shì)。在第一個(gè)任期的末期，即2020年12月4日，特朗普正式簽署了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》，促成美國首個(gè)全國性的物聯(lián)網(wǎng)安全法出臺(tái)和實(shí)施。今天，我們不妨回顧一下特朗普曾經(jīng)簽署的這一物聯(lián)網(wǎng)安全法案，在下一個(gè)任期中，美國針對(duì)物聯(lián)網(wǎng)的相關(guān)政策的延續(xù)，這一法案是一個(gè)研究的基礎(chǔ)。

美國首部物聯(lián)網(wǎng)安全法案立法歷程

早在2016年前后，多個(gè)震驚全球的網(wǎng)絡(luò)安全事件的發(fā)生，包括僵尸網(wǎng)絡(luò)攻擊導(dǎo)致熱門網(wǎng)站和平臺(tái)癱瘓，引發(fā)了人們對(duì)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全需求的高度關(guān)注，美國立法者也意識(shí)到，隨著物聯(lián)網(wǎng)設(shè)備連接數(shù)快速增長，安全性的保證必不可少，必須出臺(tái)專門針對(duì)物聯(lián)網(wǎng)領(lǐng)域的安全立法。

2017年，在大西洋理事會(huì)和哈佛大學(xué)的幫助下，美國弗吉尼亞州民主黨參議員和科羅拉多州共和黨參議員提出一個(gè)法案，即《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》，該法案試圖建立一個(gè)框架，要求聯(lián)邦政府的設(shè)備供應(yīng)商遵循行業(yè)范圍內(nèi)的安全實(shí)踐，例如確?？纱┐髟O(shè)備、智能傳感器等設(shè)備能修復(fù)漏洞、更新密碼、推向市場(chǎng)時(shí)不存在已知安全漏洞。該法案目的是期望阻止美國聯(lián)邦政府購買存在少數(shù)幾種明顯安全漏洞的聯(lián)網(wǎng)設(shè)備，但該法案最終因多方面原因并未通過。

2019年3月，美國立法者向國會(huì)重新提出了該法案，法案編號(hào)為HR 1668。該法案提出，其目的是通過為美國政府機(jī)構(gòu)購買的所有物聯(lián)網(wǎng)設(shè)備設(shè)定最低安全標(biāo)準(zhǔn)的方式，來解決其相關(guān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。此法案被重新提出后，得到了民主黨和共和黨多為議員的支持，形成了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》的原始版本。

2020年9月14日，美國眾議院通過了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》，并提交參議院審議。2020年11月17日，參議院未經(jīng)修改通過了該法案，并將該法案呈交給白宮，供總統(tǒng)簽署。2020年12月4日，時(shí)任總統(tǒng)特朗普正式簽署《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》，使其成為法律。

對(duì)于物聯(lián)網(wǎng)安全的全國性立法，在美國具有一定的基礎(chǔ)。在此之前，美國多個(gè)州政府也針對(duì)物聯(lián)網(wǎng)安全推動(dòng)相關(guān)州法案的立法，最為典型的是加利福尼亞州。2018年9月，加州批準(zhǔn)通過了《物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全法》，雖然只是加州的法律，但已是美國推出的首部物聯(lián)網(wǎng)安全專門的立法，具有劃時(shí)代意義，標(biāo)志著對(duì)物聯(lián)網(wǎng)安全監(jiān)管取得實(shí)質(zhì)性進(jìn)展。此后，俄勒岡州也發(fā)布了類似的州立法，并于2020年1月開始實(shí)施。而《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》則是美國歷史上首個(gè)全國性物聯(lián)網(wǎng)安全法案，其里程碑意義更加明顯。

《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》主要內(nèi)容

法案規(guī)定，物聯(lián)網(wǎng)設(shè)備至少有一個(gè)傳感器或執(zhí)行器，用于與物理世界直接交互，且至少有一個(gè)網(wǎng)絡(luò)接口，能夠獨(dú)立運(yùn)行，而不是僅作為更大系統(tǒng)的一部分。法案也進(jìn)一步限定了物聯(lián)網(wǎng)設(shè)備的范圍，智能手機(jī)、筆記本電腦和其他電子設(shè)備不在該法規(guī)范圍內(nèi)。

法案要求美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）發(fā)布聯(lián)邦政府使用物聯(lián)網(wǎng)設(shè)備的標(biāo)準(zhǔn)和指南，并指示白宮管理和預(yù)算辦公室（OMB）審查政府政策，以確保它們符合NIST指南，聯(lián)邦機(jī)構(gòu)將不得購買不符合安全要求的物聯(lián)網(wǎng)設(shè)備。

同時(shí)，法案規(guī)定了保護(hù)聯(lián)邦機(jī)構(gòu)免受網(wǎng)絡(luò)攻擊的責(zé)任等級(jí)，執(zhí)行部門、管理和預(yù)算辦公室、國土安全部部長以及各個(gè)此類機(jī)構(gòu)的負(fù)責(zé)人共同負(fù)責(zé)監(jiān)督美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）制定的物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。

該法案適用于由連接到聯(lián)邦信息系統(tǒng)的機(jī)構(gòu)擁有或控制的物聯(lián)網(wǎng)設(shè)備，NIST將其定義為“由行政機(jī)構(gòu)、行政機(jī)構(gòu)的承包商或代表行政機(jī)構(gòu)的其他組織使用或運(yùn)營的信息系統(tǒng)?！?美國聯(lián)邦機(jī)構(gòu)和供應(yīng)商僅使用符合規(guī)定標(biāo)準(zhǔn)的設(shè)備，并將影響設(shè)備的已知漏洞通知機(jī)構(gòu)等。

在這一法案實(shí)施過程中，NIST發(fā)揮了重要作用。NIST為了推動(dòng)法案實(shí)施，于2021年12月發(fā)布了“聯(lián)邦機(jī)構(gòu)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全指南的最終版本- NIST SP 800-213系列”，其中包括：

一是《聯(lián)邦政府物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全指南：建立物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全要求》，根據(jù)利益相關(guān)方的反饋進(jìn)行了修訂，以使聯(lián)邦機(jī)構(gòu)可能感興趣的物聯(lián)網(wǎng)設(shè)備的功能范圍更加清晰、更加可用、更加兼容。

二是對(duì)《物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全要求目錄》進(jìn)行了修訂，使其在表述上更加一致，在技術(shù)和非技術(shù)方面更加平衡，并且更易于參考，該目錄也包括了物聯(lián)網(wǎng)網(wǎng)絡(luò)安全配置文件。

這項(xiàng)立法的目的是讓NIST為聯(lián)邦政府采購的物聯(lián)網(wǎng)設(shè)備設(shè)定最低標(biāo)準(zhǔn)，以便有可能利用聯(lián)邦政府的采購權(quán)來保護(hù)物聯(lián)網(wǎng)設(shè)備，禁止聯(lián)邦機(jī)構(gòu)在2022年12月4日之后采購或使用被認(rèn)為不符合NIST標(biāo)準(zhǔn)的物聯(lián)網(wǎng)設(shè)備。

實(shí)際上，美國政府多年來一直依賴物聯(lián)網(wǎng)設(shè)備來改善其設(shè)施和降低成本，因此在遭受越來越多的攻擊后，通過立法來保護(hù)其購買和連接的物聯(lián)網(wǎng)設(shè)備就不足為奇。例如，在智能建筑領(lǐng)域，已有80多座高能耗政府建筑安裝了低成本的聯(lián)網(wǎng)傳感器；政府服務(wù)管理局使用遠(yuǎn)程信息技術(shù)來跟蹤、定位和監(jiān)控20多萬輛汽車的排放，以確保遵守政府到2025年將溫室氣體排放量減少30%的要求；國防部等其他聯(lián)邦機(jī)構(gòu)使用聯(lián)網(wǎng)設(shè)備上的RFID標(biāo)簽和傳感器來跟蹤和管理軍用物資，如服裝、建筑材料和醫(yī)療用品，這些設(shè)備使國防后勤局和美國運(yùn)輸司令部能夠監(jiān)控國防部后勤系統(tǒng)和商業(yè)運(yùn)輸公司每月數(shù)十億次的交易。

美國政府也考慮到，目前的物聯(lián)網(wǎng)系統(tǒng)正在與其他系統(tǒng)集成，成為“系統(tǒng)中的系統(tǒng)”。通過這種整合，網(wǎng)絡(luò)安全發(fā)展成為一個(gè)更廣泛的信任概念，不僅包括數(shù)據(jù)、連接和設(shè)備的完整性，還包括結(jié)果的可靠性。

法案的后續(xù)影響

《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》立法只是對(duì)聯(lián)邦政府使用的物聯(lián)網(wǎng)設(shè)備的最低標(biāo)準(zhǔn)，還沒形成有面向全國范圍的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)管框架和標(biāo)準(zhǔn)，但開啟了政府對(duì)于物聯(lián)網(wǎng)安全專門關(guān)注和重視之門，對(duì)于后續(xù)全球物聯(lián)網(wǎng)安全的走勢(shì)影響深遠(yuǎn)。

2021年，美國總統(tǒng)拜登簽發(fā)了《關(guān)于改善國家網(wǎng)絡(luò)安全行政令》，是美國在網(wǎng)絡(luò)安全方面最詳細(xì)的行政命令之一，概述了美國聯(lián)邦政府機(jī)構(gòu)為提高其機(jī)構(gòu)網(wǎng)絡(luò)安全能力而需要采取的55項(xiàng)行動(dòng)。在該行政令中，特意強(qiáng)調(diào)了改善物聯(lián)網(wǎng)安全的必要性，成為《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》的進(jìn)階行動(dòng)，對(duì)于物聯(lián)網(wǎng)安全主要包括：

（1）物聯(lián)網(wǎng)設(shè)定安全標(biāo)準(zhǔn)：該行政令授權(quán)對(duì)于聯(lián)邦政府擁有和運(yùn)營的物聯(lián)網(wǎng)設(shè)備設(shè)立最低安全標(biāo)準(zhǔn)，確保這些設(shè)備免受網(wǎng)絡(luò)威脅。
（2）啟動(dòng)面向消費(fèi)者的網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃：行政令中包括為物聯(lián)網(wǎng)設(shè)備開發(fā)一個(gè)標(biāo)簽計(jì)劃，以告知消費(fèi)者這些產(chǎn)品的安全功能，類似于電器上的能效標(biāo)簽。
（3）機(jī)構(gòu)責(zé)任：要求各機(jī)構(gòu)加強(qiáng)網(wǎng)絡(luò)安全，包括物聯(lián)網(wǎng)設(shè)備在其軟件供應(yīng)鏈中的安全性，使其成為聯(lián)邦采購和運(yùn)營的優(yōu)先事項(xiàng)。
（4）零信任架構(gòu)：鼓勵(lì)各機(jī)構(gòu)采用零信任原則，特別是與政府網(wǎng)絡(luò)內(nèi)物聯(lián)網(wǎng)設(shè)備的安全部署和管理相關(guān)的原則。

可以看出，《關(guān)于改善國家網(wǎng)絡(luò)安全行政令》不僅限于針對(duì)聯(lián)邦政府的物聯(lián)網(wǎng)應(yīng)用安全性要求，也正式啟動(dòng)了針對(duì)消費(fèi)者使用物聯(lián)網(wǎng)設(shè)備安全的工作。近年來，包括美國、歐洲、新加坡、德國等發(fā)達(dá)經(jīng)濟(jì)體針對(duì)消費(fèi)物聯(lián)網(wǎng)開啟的網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃，正是落實(shí)對(duì)消費(fèi)者使用物聯(lián)網(wǎng)設(shè)備安全的工作。

對(duì)于美國來說，消費(fèi)物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃已經(jīng)搭建起了完整的實(shí)施架構(gòu)，落地時(shí)間越來越近，同時(shí)也和歐洲、新加坡等地開展標(biāo)簽互認(rèn)工作，意欲將這一計(jì)劃上升為全球事實(shí)標(biāo)準(zhǔn)。另外，近期美國商務(wù)部物聯(lián)網(wǎng)咨詢委員會(huì)呼吁政府機(jī)構(gòu)和國會(huì)要求汽車經(jīng)銷商在車輛擋風(fēng)玻璃上顯著展示汽車隱私披露信息，作為針對(duì)有關(guān)物聯(lián)網(wǎng)設(shè)備的廣泛建議的一部分，對(duì)于汽車領(lǐng)域也即將開啟物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃。

特朗普上一任期最后一個(gè)月簽署了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》，在此后的4年中，物聯(lián)網(wǎng)安全相關(guān)政策從聯(lián)邦政府采購的設(shè)備已擴(kuò)展到了消費(fèi)物聯(lián)網(wǎng)、車聯(lián)網(wǎng)等領(lǐng)域，或許未來特朗普的第二任總統(tǒng)任期中，物聯(lián)網(wǎng)安全政策覆蓋范圍會(huì)進(jìn)一步擴(kuò)展，涵蓋經(jīng)濟(jì)社會(huì)所有需要用到物聯(lián)網(wǎng)設(shè)備的領(lǐng)域。屆時(shí)，全球物聯(lián)網(wǎng)產(chǎn)業(yè)會(huì)面臨新的挑戰(zhàn)和變革要求，產(chǎn)品的網(wǎng)絡(luò)安全、數(shù)據(jù)安全的設(shè)置成為進(jìn)入全球市場(chǎng)的必選項(xiàng)。

本文來源：物聯(lián)網(wǎng)智庫

作者：趙小飛