美國政府擬立法改進物聯網安全：禁止硬編碼密碼、已知漏洞必須修復

美國參議院四位參議員Warner、Gardner、Wyden和Daines最近提交一項名為《物聯網安全改進法案》（the Internet of Things Cybersecurity Improvement Act of 2017，簡稱IoT-CIA）的草擬法案，旨在加強物聯網廠商對設備安全性的投入。

這項法案不是針對所有物聯網設備，只是適用於美國政府內部使用的設備，因此不大可能會有大的反對意見，通過立法幾率很大。而通過之後，由於行業自身沒有標準，它也可以成為既定事實的監督標準。

《物聯網安全改進法案》的具體內容包括：

設備不能有硬編碼密碼，已知漏洞均已修復，軟體更新有驗證環節，使用標準協議，支持安裝安全補丁。設備生產商需和行業協作制定漏洞協調和披露指南，允許研究員去發現產品漏洞並進行負責任披露，而不必擔心「計算機欺詐和濫用法」（CFAA）和「數字千年版權法案」（DMCA）的指控。設備生產商接收漏洞後必須及時修復或更換設備。設備生產商發現或知曉漏洞後，必須向採購機構披露，給出漏洞存在原因、影響和修復方案。根據提供信息，採購機構CIO可以放棄採購設備。……

硬編碼密碼和已知未修復漏洞是當前物聯網設備面臨的最大安全問題，也是最容易解決的問題。解決硬編碼密碼問題，只需改變默認密碼創建規則，為每台設備生成一個密碼印於標籤之上。生產帶已知漏洞的設備無疑是荒謬的，製造商應加強安全生產流程。

其次是要求對更新進行驗證，以及支持安裝安全補丁。一旦出貨的設備出現漏洞，製造商可以有能力去修補。這對製造商來說是一種負擔，但如果沒有，設備安裝後出現漏洞就立刻要過時廢棄了。

CFAA、DMCA條款的豁免，則是為安全研究人員開了特例。它意味著研究人員對政府採購設備的負責任研究行為，不適用常規民事、刑事處罰，也就是說免受指控。當然，如果把範圍擴大到所有物聯網設備就更好了。

目前這項法案還不是很完善，比如沒怎麼提雲端安全、數據安全。但總體而言，它還是一個很大的進步，至少我們很快會有一個規範了。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！