物(wù)聯網安全問題嚴重:美國國會政府推動立法

發布日期:2017-08-28首頁 > IT資(zī)訊
8677-1FPQ3511L36.jpg
 

  =本報駐美國記者 劉海英

  2016年10月,發生(shēng)了惡意軟件Mirai攻擊物(wù)聯網設備事件;今年5月,“WannaCry”勒索病毒大(dà)規模暴發。不法分(fēn)子利用物(wù)聯網設備實施網絡攻擊的威脅,讓美國聯邦部門意識到了物(wù)聯網安全問題的嚴重性。無論是聯邦政府還是國會,開(kāi)始積極探讨和研究如何應對物(wù)聯網面臨的安全沖擊。

  除國會推出法案外(wài),政府部門也有所行動,雖然還沒有最終的政策性文件出台,但這些舉措足見美國聯邦部門對物(wù)聯網安全的重視。

  總統令要求政府部門增強網絡恢複能力

  今年5月11日,特朗普簽署13800号總統行政令——《加強聯邦網絡和關鍵基礎設施的網絡安全》,其中(zhōng)内容之一(yī)就是要增強美國應對僵屍網絡及其他自動化和分(fēn)布式威脅的能力。

  行政令要求商(shāng)務部和國土安全部共同研究如何改善網絡和通信系統的彈性,降低自動化和分(fēn)布式攻擊威脅,并在2018年1月10日前提交初步報告,在2018年5月前提交最終報告。

  爲了響應13800号行政令,美商(shāng)務部下(xià)屬的國家電(diàn)信和信息管理局(NTIA)于6月13日發布征求評議文件《促進利益相關者對僵屍網絡和其他自動威脅的行動》,向私營企業、研究機構、社會團體(tǐ)等征求意見建議,以應對物(wù)聯網安全尤其是僵屍網絡分(fēn)布式拒絕服務(DDoS)攻擊威脅。

  NTIA要求各方圍繞減少僵屍網絡威脅和維護物(wù)聯網終端設備安全問題,提出法律、政策、标準、技術等方面的建議,闡明目前存在的差距以及彌補這些差距應采取的辦法,并就政府與各方協調、加強國際合作、對物(wù)聯網終端用戶進行安全教育等問題提出意見。截至7月31日,NTIA已收到包括谷歌、微軟、賽門鐵克、美國商(shāng)會、美國電(diàn)信學會等46個機構的評估文件。

  除NTIA外(wài),美國國家标準與技術研究所(NIST)爲了執行13800号行政令,也于7月11日至12日召開(kāi)了專門研讨會,探讨在物(wù)聯網環境下(xià)增強網絡彈性及應對僵屍網絡威脅的解決方案。參加研讨會的既有微軟、思科、賽門鐵克、AT&T等公司的代表,也有美國衛生(shēng)和人類服務部、國土安全部、聯邦調查局、聯邦貿易委員(yuán)會等政府機構人員(yuán),還有來自馬裏蘭大(dà)學等學術機構的專家。

  研讨會上,與會人員(yuán)就當前加強物(wù)聯網安全,降低僵屍網絡威脅的标準、技術及做法,物(wù)聯網設備開(kāi)發,互聯網用戶的自我(wǒ)保護,物(wù)聯網安全研究以及政府角色等問題,進行了集中(zhōng)讨論。NIST稱,他們将整合研讨會讨論意見,形成材料供政府決策參考。

  國會議員(yuán)推動物(wù)聯網安全法案

  物(wù)聯網安全問題也引起一(yī)些國會議員(yuán)的重視。8月1日,民主黨參議員(yuán)馬克·華納、羅恩·維登和共和黨參議員(yuán)史蒂夫·戴恩斯、科裏·加德納攜手向國會提交了一(yī)項關于物(wù)聯網安全的法案《2017物(wù)聯網網絡安全改進法》,希望通過設定聯邦政府采購物(wù)聯網設備安全标準,來改善美政府所面臨的物(wù)聯網安全問題。

  該法案提出,聯邦政府的物(wù)聯網設備供應商(shāng)要保證其設備采用政府認可的标準協議,不能包含硬編碼密碼,不能含有已知(zhī)的安全漏洞,并且是可以打補丁的。如果供應商(shāng)發現新的安全漏洞,必須向有關部門披露,并解釋爲什麽設備存在這樣的漏洞仍被認爲是安全的,以及他們針對漏洞采取了哪些措施。據此信息,聯邦政府采購部門的首席信息官可以決定是否放(fàng)棄采購這些設備。對于某些不能滿足上述要求的設備,如果能證明可有效控制安全風險,采購部門可向美國政府管理預算局(OMB)申請,獲準購買這樣的設備。法案授權OMB和NIST與相關行業協調,确認政府機構可采取的特定安全防範措施,如網絡分(fēn)段、使用網關等是否有效。

  法案還提出,如果聯邦政府機構有自己更嚴格的安全标準,或相關行業有更嚴格的第三方設備認證标準,可提供等效或更嚴格的安全保證(具體(tǐ)由NIST來認定),則可以不采納該法案的建議。

  法案還要求國土安全部計劃司(NPPD)與相關行業合作開(kāi)發物(wù)聯網設備安全漏洞披露指南(nán),免除《計算機欺詐與濫用法》和《數字千年版權法》規定的網絡安全研究人員(yuán)責任。同時,這些設備的安全漏洞一(yī)經發現,則應第一(yī)時間進行修補,或者更換設備。

  此外(wài),法案還要求聯邦政府機構要保留物(wù)聯網設備使用清單。OMB要在5年後向國會提交指南(nán)有效性和更新建議的報告。

  這一(yī)法案受到包括哈佛大(dà)學伯克曼克萊因網絡與社會中(zhōng)心、民主與科技中(zhōng)心(CDT)等團體(tǐ)以及賽門鐵克、威睿(VMware)等公司的支持。盡管該法案隻是着眼于聯邦政府設備采購方面,且距離(lí)成爲真正的法律還需時日,但意義重大(dà)。威睿公司副總裁兼首席技術官雷·奧法雷爾稱,該法案安全建議合理,是兩黨推進物(wù)聯網生(shēng)态系統安全的重要一(yī)步。美國軟件公司Sonatype則認爲,這一(yī)法案有助于推動整個物(wù)聯網安全标準的發展,會受到所有物(wù)聯網企業的重視。