2024年美國大選終于在上周落下帷幕，美國共和黨總統(tǒng)候選人特朗普在2024年總統(tǒng)選舉中獲勝，4年后將再次重返白宮。在上一個任期中，特朗普針對科技行業(yè)推動了諸多政策的制定和出臺，對全球科技行業(yè)產(chǎn)生重大影響，業(yè)界也在深入分析和預(yù)測其重新當選總統(tǒng)后各領(lǐng)域的走勢。

物聯(lián)網(wǎng)作為科技行業(yè)的一部分，在過去幾年中也受到了一定程度的影響，形成新的走勢。在第一個任期的末期，即2020年12月4日，特朗普正式簽署了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案》，促成美國首個全國性的物聯(lián)網(wǎng)安全法出臺和實施。今天，我們不妨回顧一下特朗普曾經(jīng)簽署的這一物聯(lián)網(wǎng)安全法案，在下一個任期中，美國針對物聯(lián)網(wǎng)的相關(guān)政策的延續(xù)，這一法案是一個研究的基礎(chǔ)。

美國首部物聯(lián)網(wǎng)安全法案立法歷程

早在2016年前后，多個震驚全球的網(wǎng)絡(luò)安全事件的發(fā)生，包括僵尸網(wǎng)絡(luò)攻擊導(dǎo)致熱門網(wǎng)站和平臺癱瘓，引發(fā)了人們對物聯(lián)網(wǎng)網(wǎng)絡(luò)安全需求的高度關(guān)注，美國立法者也意識到，隨著物聯(lián)網(wǎng)設(shè)備連接數(shù)快速增長，安全性的保證必不可少，必須出臺專門針對物聯(lián)網(wǎng)領(lǐng)域的安全立法。

2017年，在大西洋理事會和哈佛大學(xué)的幫助下，美國弗吉尼亞州民主黨參議員和科羅拉多州共和黨參議員提出一個法案，即《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案》，該法案試圖建立一個框架，要求聯(lián)邦政府的設(shè)備供應(yīng)商遵循行業(yè)范圍內(nèi)的安全實踐，例如確?？纱┐髟O(shè)備、智能傳感器等設(shè)備能修復(fù)漏洞、更新密碼、推向市場時不存在已知安全漏洞。該法案目的是期望阻止美國聯(lián)邦政府購買存在少數(shù)幾種明顯安全漏洞的聯(lián)網(wǎng)設(shè)備，但該法案最終因多方面原因并未通過。

2019年3月，美國立法者向國會重新提出了該法案，法案編號為HR 1668。該法案提出，其目的是通過為美國政府機構(gòu)購買的所有物聯(lián)網(wǎng)設(shè)備設(shè)定最低安全標準的方式，來解決其相關(guān)網(wǎng)絡(luò)安全風險。此法案被重新提出后，得到了民主黨和共和黨多為議員的支持，形成了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法》的原始版本。

2020年9月14日，美國眾議院通過了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案》，并提交參議院審議。2020年11月17日，參議院未經(jīng)修改通過了該法案，并將該法案呈交給白宮，供總統(tǒng)簽署。2020年12月4日，時任總統(tǒng)特朗普正式簽署《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法》，使其成為法律。

對于物聯(lián)網(wǎng)安全的全國性立法，在美國具有一定的基礎(chǔ)。在此之前，美國多個州政府也針對物聯(lián)網(wǎng)安全推動相關(guān)州法案的立法，最為典型的是加利福尼亞州。2018年9月，加州批準通過了《物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全法》，雖然只是加州的法律，但已是美國推出的首部物聯(lián)網(wǎng)安全專門的立法，具有劃時代意義，標志著對物聯(lián)網(wǎng)安全監(jiān)管取得實質(zhì)性進展。此后，俄勒岡州也發(fā)布了類似的州立法，并于2020年1月開始實施。而《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案》則是美國歷史上首個全國性物聯(lián)網(wǎng)安全法案，其里程碑意義更加明顯。

《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案》主要內(nèi)容

法案規(guī)定，物聯(lián)網(wǎng)設(shè)備至少有一個傳感器或執(zhí)行器，用于與物理世界直接交互，且至少有一個網(wǎng)絡(luò)接口，能夠獨立運行，而不是僅作為更大系統(tǒng)的一部分。法案也進一步限定了物聯(lián)網(wǎng)設(shè)備的范圍，智能手機、筆記本電腦和其他電子設(shè)備不在該法規(guī)范圍內(nèi)。

法案要求美國國家標準技術(shù)研究院（NIST）發(fā)布聯(lián)邦政府使用物聯(lián)網(wǎng)設(shè)備的標準和指南，并指示白宮管理和預(yù)算辦公室（OMB）審查政府政策，以確保它們符合NIST指南，聯(lián)邦機構(gòu)將不得購買不符合安全要求的物聯(lián)網(wǎng)設(shè)備。

同時，法案規(guī)定了保護聯(lián)邦機構(gòu)免受網(wǎng)絡(luò)攻擊的責任等級，執(zhí)行部門、管理和預(yù)算辦公室、國土安全部部長以及各個此類機構(gòu)的負責人共同負責監(jiān)督美國國家標準技術(shù)研究院（NIST）制定的物聯(lián)網(wǎng)安全標準。

該法案適用于由連接到聯(lián)邦信息系統(tǒng)的機構(gòu)擁有或控制的物聯(lián)網(wǎng)設(shè)備，NIST將其定義為“由行政機構(gòu)、行政機構(gòu)的承包商或代表行政機構(gòu)的其他組織使用或運營的信息系統(tǒng)。” 美國聯(lián)邦機構(gòu)和供應(yīng)商僅使用符合規(guī)定標準的設(shè)備，并將影響設(shè)備的已知漏洞通知機構(gòu)等。

在這一法案實施過程中，NIST發(fā)揮了重要作用。NIST為了推動法案實施，于2021年12月發(fā)布了“聯(lián)邦機構(gòu)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全指南的最終版本- NIST SP 800-213系列”，其中包括：

一是《聯(lián)邦政府物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全指南：建立物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全要求》，根據(jù)利益相關(guān)方的反饋進行了修訂，以使聯(lián)邦機構(gòu)可能感興趣的物聯(lián)網(wǎng)設(shè)備的功能范圍更加清晰、更加可用、更加兼容。

二是對《物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全要求目錄》進行了修訂，使其在表述上更加一致，在技術(shù)和非技術(shù)方面更加平衡，并且更易于參考，該目錄也包括了物聯(lián)網(wǎng)網(wǎng)絡(luò)安全配置文件。

這項立法的目的是讓NIST為聯(lián)邦政府采購的物聯(lián)網(wǎng)設(shè)備設(shè)定最低標準，以便有可能利用聯(lián)邦政府的采購權(quán)來保護物聯(lián)網(wǎng)設(shè)備，禁止聯(lián)邦機構(gòu)在2022年12月4日之后采購或使用被認為不符合NIST標準的物聯(lián)網(wǎng)設(shè)備。

實際上，美國政府多年來一直依賴物聯(lián)網(wǎng)設(shè)備來改善其設(shè)施和降低成本，因此在遭受越來越多的攻擊后，通過立法來保護其購買和連接的物聯(lián)網(wǎng)設(shè)備就不足為奇。例如，在智能建筑領(lǐng)域，已有80多座高能耗政府建筑安裝了低成本的聯(lián)網(wǎng)傳感器；政府服務(wù)管理局使用遠程信息技術(shù)來跟蹤、定位和監(jiān)控20多萬輛汽車的排放，以確保遵守政府到2025年將溫室氣體排放量減少30%的要求；國防部等其他聯(lián)邦機構(gòu)使用聯(lián)網(wǎng)設(shè)備上的RFID標簽和傳感器來跟蹤和管理軍用物資，如服裝、建筑材料和醫(yī)療用品，這些設(shè)備使國防后勤局和美國運輸司令部能夠監(jiān)控國防部后勤系統(tǒng)和商業(yè)運輸公司每月數(shù)十億次的交易。

美國政府也考慮到，目前的物聯(lián)網(wǎng)系統(tǒng)正在與其他系統(tǒng)集成，成為“系統(tǒng)中的系統(tǒng)”。通過這種整合，網(wǎng)絡(luò)安全發(fā)展成為一個更廣泛的信任概念，不僅包括數(shù)據(jù)、連接和設(shè)備的完整性，還包括結(jié)果的可靠性。

法案的后續(xù)影響

《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案》立法只是對聯(lián)邦政府使用的物聯(lián)網(wǎng)設(shè)備的最低標準，還沒形成有面向全國范圍的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)管框架和標準，但開啟了政府對于物聯(lián)網(wǎng)安全專門關(guān)注和重視之門，對于后續(xù)全球物聯(lián)網(wǎng)安全的走勢影響深遠。

2021年，美國總統(tǒng)拜登簽發(fā)了《關(guān)于改善國家網(wǎng)絡(luò)安全行政令》，是美國在網(wǎng)絡(luò)安全方面最詳細的行政命令之一，概述了美國聯(lián)邦政府機構(gòu)為提高其機構(gòu)網(wǎng)絡(luò)安全能力而需要采取的55項行動。在該行政令中，特意強調(diào)了改善物聯(lián)網(wǎng)安全的必要性，成為《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案》的進階行動，對于物聯(lián)網(wǎng)安全主要包括：

（1）物聯(lián)網(wǎng)設(shè)定安全標準：該行政令授權(quán)對于聯(lián)邦政府擁有和運營的物聯(lián)網(wǎng)設(shè)備設(shè)立最低安全標準，確保這些設(shè)備免受網(wǎng)絡(luò)威脅。
（2）啟動面向消費者的網(wǎng)絡(luò)安全標簽計劃：行政令中包括為物聯(lián)網(wǎng)設(shè)備開發(fā)一個標簽計劃，以告知消費者這些產(chǎn)品的安全功能，類似于電器上的能效標簽。
（3）機構(gòu)責任：要求各機構(gòu)加強網(wǎng)絡(luò)安全，包括物聯(lián)網(wǎng)設(shè)備在其軟件供應(yīng)鏈中的安全性，使其成為聯(lián)邦采購和運營的優(yōu)先事項。
（4）零信任架構(gòu)：鼓勵各機構(gòu)采用零信任原則，特別是與政府網(wǎng)絡(luò)內(nèi)物聯(lián)網(wǎng)設(shè)備的安全部署和管理相關(guān)的原則。

可以看出，《關(guān)于改善國家網(wǎng)絡(luò)安全行政令》不僅限于針對聯(lián)邦政府的物聯(lián)網(wǎng)應(yīng)用安全性要求，也正式啟動了針對消費者使用物聯(lián)網(wǎng)設(shè)備安全的工作。近年來，包括美國、歐洲、新加坡、德國等發(fā)達經(jīng)濟體針對消費物聯(lián)網(wǎng)開啟的網(wǎng)絡(luò)安全標簽計劃，正是落實對消費者使用物聯(lián)網(wǎng)設(shè)備安全的工作。

對于美國來說，消費物聯(lián)網(wǎng)安全標簽計劃已經(jīng)搭建起了完整的實施架構(gòu)，落地時間越來越近，同時也和歐洲、新加坡等地開展標簽互認工作，意欲將這一計劃上升為全球事實標準。另外，近期美國商務(wù)部物聯(lián)網(wǎng)咨詢委員會呼吁政府機構(gòu)和國會要求汽車經(jīng)銷商在車輛擋風玻璃上顯著展示汽車隱私披露信息，作為針對有關(guān)物聯(lián)網(wǎng)設(shè)備的廣泛建議的一部分，對于汽車領(lǐng)域也即將開啟物聯(lián)網(wǎng)安全標簽計劃。

特朗普上一任期最后一個月簽署了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案》，在此后的4年中，物聯(lián)網(wǎng)安全相關(guān)政策從聯(lián)邦政府采購的設(shè)備已擴展到了消費物聯(lián)網(wǎng)、車聯(lián)網(wǎng)等領(lǐng)域，或許未來特朗普的第二任總統(tǒng)任期中，物聯(lián)網(wǎng)安全政策覆蓋范圍會進一步擴展，涵蓋經(jīng)濟社會所有需要用到物聯(lián)網(wǎng)設(shè)備的領(lǐng)域。屆時，全球物聯(lián)網(wǎng)產(chǎn)業(yè)會面臨新的挑戰(zhàn)和變革要求，產(chǎn)品的網(wǎng)絡(luò)安全、數(shù)據(jù)安全的設(shè)置成為進入全球市場的必選項。

本文來源：物聯(lián)網(wǎng)智庫

作者：趙小飛