《2020年物联网网络安全改进法案》——联邦政府的努力还是又一个法律武器 – 作者:钱塘山人2020

2021年的某一天，所有的供货商都会发现联邦政府的采购流程发生了改变。甚至发现自己一直提供的服务或者产品一夜之间不再满足要求，继续服务的前提是满足NIST的一大堆的规范要求。这是为什么呢？因为2020年12月4日几经波折的国会H.R.1668号法案，已经被美国总统特朗普正式签署，成为美国法律，这一切都是法律的要求。该法案是众多法埃中的一个，吸引我特意分析它的原因是，这是一份专门针对IoT网络安全要求的法案。它的内容以及未来它可能产生的正面的甚至是负面的影响有哪些，可能影响的深度和广度有多大都是值得我们关注的。

《2020年物联网网络安全改进法案》（’Internet of Things Cybersecurity Improvement Act of 2020’），法案的原文共有7页PDF，2423字。这个内容体量是无法容纳具体的技术要求的。那么这2432个单词具体规定了什么能确保其发挥实际的价值呢？我们可以总结出如下四个主题：

1，确定责任；

如上所述法案目标对象是联邦政府的IoT系统，那么联邦政府系统的安全的责任人是谁呢？总统，对就是总统，法案的第二部里面明确指出第一安全责任人是总统（目前就是特朗普总统），其次是行政管理和预算办公室是主任（目前是罗素·沃特），然后是各个部门的负责人如国土安全部部长， 联邦调查局等等的部门负责人。用国内的提法就叫“安全是一把手责任”，国内早已经是这样的共识和责任划分了。美国这一次是不是抄我们作业呢？

• 指定部门；

指定大老板作为责任人也不会吓退问题，那么具体的解决问题的方案就落到了NIST局长的头上，法案明确指定由NIST在法案生效的90天之内输出对联邦信息系统的基线安全标准，180天内输出漏洞信息共享标准等等的解决方案 。要在90天内形成对整个联邦政府相关的安全标准和指南，NIST肯定是有备而来的，NIST在90天内要做的就是把现在已经形成的按标准如SP800系列应用到联邦政府的系统中，并且让利益相关方接受NIST的方案，我想后者才是NIST局长正真要解决的问题。

看过SP800系列的你一定知道出标准对与NIST并不是特别复杂的事情，复杂的是如何让NIST的标准形成约束力。这个任务就交给了联邦行政预算办公室主任的头上。办公室主任通过控制钱袋子的方式来实现NIST技术要求。

• 修改流程；

上面我们已经讲过联邦行政预算办公室主任通过控制钱袋子的方法来实现NIST规范的约束力，这个过程是咋样产生的呢？就是通过修改采购的流程，在采购过程中要求所采购的相关产品和系统符合NIST的规范，从而实现约束力。

• 共享漏洞；

这里共享漏洞其实也是对NIST做标准的一个要求，也许法案的作者们觉得共享漏洞这个方案非常的有效，所以就明确提出对共享漏洞的要求，首先是联邦政府内部的漏洞共享的要求，还有供应商和联邦政府共享漏洞的要求。

法案中还对周期性的审计和度量提出的初步的要求，主要是确保法案的持续度量和运营以及根据具体的需求和执行情况做出调整。

整个法案形成如下图的关系

当然具体执行过程中还需要引入第三方的实验室用于验证产品的遵守程度，作为一个法案最重要的是形成这样一个格局，这个格局就是通过控制预算的使用条件来提高联邦IoT系统安全性。

通过控制招标要求来控制最终的交付质量是系统建设的常规手段，但是像本法案这样通过国家法律系统性的对信息系统的建设过程做出要的还是值得各国深思。

• 法案是一个信息化建设过程中可攻可守的武器

通过上文我们可以看出来，本法案只是一个框架，具体的要求在后期会逐步完善，也就是说可以根据需要填入自己想要的内容。比如说针对性的防止特定企业甚至是国家的产品进入邦政府系统，这个操作我们是不是很熟悉呢！法案变成法案使得这种操作可以变得明火执仗。同时也的确可以通过增加安全性的要求，推进安全技术的落地，如近年来NIST推进的ZTA（零信任架构）计划。

• 法案是利用国家财政促安全建设的手段

联邦政府直接促进某类市场的手段比较多，本法案也可以算是一种，至少在事实上可以达到这个效果，并且在名义上更符合自由市场的逻辑。 相较于政府补贴的方式来说，这是一个采购行为，事实上联邦政府完全可以控制预算和采购的规则来实现等同于补贴的效果。

联邦政府每年在信息系统建设上的预算足以让市场做出调整，甚至对整个美国安全市场的施加长期持续的影响。

• 法案是具有示范效应和传染的效应

虽然本法案的直接作用对象是联邦政府，但是不排除会扩展到其他部门和领域。无独有偶就在2020年11月美国国防部(DoD)也强化了国防部的采购合规要求要求未来供应商要通过CMMC（Cybersecurity Maturity Model Certification ）的认证。

除了示范性该法案还有传染性，尤其是对漏洞信息共享的要求是针对整个供应链体系的而不是直接的服务商。这种合规要求传染到整个供应链体系中就会可能会影响到全球供应链体系，类似于GDPR的效果，本来是一个区域性的法律要求，但是会对全球产生影响。

针对上述影响其他国家和地区以及企业应该如何响应呢？

首先不能选择所鸵鸟，除非你的国家或者企业与全球供应链没有一点关系。

其次是对于其他国家而言，这个法案是通过经济策略来影响市场的手段，只要你有相当的经济实力也是可以形成自己的对技术的约束力和自己的标准。对于企业而言这是甲方的一个需求，如果甲方的需求统一反而方便与自己的产品设计和开发，自己要做的是跟上节奏。

我们最关心的是本法案对我国的影响，作为全球供应链的中心，必然受到影响，由于NIST细则还没有发布，具体技术细节还不能做出评估，但是可以肯定的是未来针对美国的进出口又多了一个需要评估的法案虽然是间接的影响。我认为最先产生影响的是漏洞信息共享的要求，如上所述此要求是有传染性的。漏洞的共享首先要实现资产信息的共享，资产信息的共享就必然会涉及到制造商信息的共享，这就提高了通过调整注册公司地址来满足合规要求的难度，因为设备制造需要有产地的信息。同时漏洞信息共享对我国企业而言的挑战是更高的，毕竟我们企业现有的漏洞管理的成熟度还是低于一些海外老牌企业的。当然漏洞共享需要从正反两个方面来分析。正向而言漏洞共享对整个安全行业而言是有利的，当然最终NIST的要求是否会将联邦政府相关的漏洞及时公开甚至是否对外公开还是一个未知数。联邦政府通过该法案收集的漏洞是否会作为网络攻击武器也是个未知数，只是在事实上漏洞可以作为武器来使用。综上所述在漏洞管理方面，国内的企业一方面要提升自己的漏洞管理成熟度，另一方面积极主动的响应国内的漏洞管理标准（GB/T 30276），不要出现自己的漏洞会优先发发布与联邦政府的漏洞库中的尴尬场景；其他方面相关企业可以参考NIST现有的要求如SP800系列对受影响和可能受影响的产品和服务做内部的影响分析，提前做出调整。12

最后一点是IoT技术对世界的影响是远大于之前的Web技术，一个全新的IoT世界也是一个荒蛮的一个需要建立安全与秩序的世界，群雄逐鹿是历史的必然，个人、组织以及国家都要做出自己的抉择。

法案原文地址：https://www.congress.gov/bill/116th-congress/house-bill/1668

来源：freebuf.com 2020-12-16 22:17:23 by: 钱塘山人2020