美國以立法形式對政府采購物聯(lián)網(wǎng)技術(shù)和產(chǎn)品的安全性提更嚴要求

【熱點關(guān)注】

美國以立法形式對政府采購物聯(lián)網(wǎng)技術(shù)和產(chǎn)品的安全性提更嚴要求

■ 本報記者 昝妍

美國《2020物聯(lián)網(wǎng)網(wǎng)絡安全改進法案》（Internet of Things Cybersecurity Improvement Act，以下簡稱《法案》）于近日出臺并實施。該法案是一份專門針對物聯(lián)網(wǎng)（IOT）網(wǎng)絡安全要求的法案，以期通過美國國家標準技術(shù)研究院（以下簡稱“NIST”）提供的標準來提高美國聯(lián)邦政府采購和使用物聯(lián)網(wǎng)技術(shù)、產(chǎn)品的安全性。

一般政府采購項目，采購人通過制定采購需求來滿足其對物聯(lián)網(wǎng)技術(shù)或設備所需的安全性。與之不同，美國則是通過出臺《法案》，以國家法律形式對政府采購物聯(lián)網(wǎng)技術(shù)、產(chǎn)品的安全性提出強制性要求，這在世界范圍內(nèi)十分罕見?！斗ò浮饭舶ǘ虡祟}、國會意見、定義、物聯(lián)網(wǎng)設備使用和管理機構(gòu)的安全標準和指南、有關(guān)信息系統(tǒng)（包括物聯(lián)網(wǎng)設備）安全漏洞披露程序的指南、實施協(xié)同披露與機構(gòu)信息系統(tǒng)（包括物聯(lián)網(wǎng)設備）相關(guān)的安全漏洞、供應商遵守與機構(gòu)物聯(lián)網(wǎng)設備相關(guān)的安全漏洞協(xié)調(diào)披露、美國政府問責報告等八節(jié)內(nèi)容?！斗ò浮穬H為框架內(nèi)容，要求美國國土安全部至少每五年對《法案》進行一次審查，并酌情適當修訂標準和指南，以便新技術(shù)和新標準能夠與時俱進?！斗ò浮返闹贫ㄟ€受到多個科技公司和組織的支持，包括BSA、Cloudflare、CTIA、Mozilla、Rapid7、Symantec以及Tenable。

《法案》的目標對象為美國聯(lián)邦政府的物聯(lián)網(wǎng)系統(tǒng)，美國總統(tǒng)是其第一安全責任人，行政管理和預算辦公室主管、國土安全部部長以及相關(guān)部門的領(lǐng)導也對聯(lián)邦政府的物聯(lián)網(wǎng)系統(tǒng)的安全性負有責任。此外，聯(lián)邦政府行政部門中各機構(gòu)的物聯(lián)網(wǎng)系統(tǒng)的第一安全責任人均為各部門負責人。

《法案》明確NIST為美國聯(lián)邦政府機關(guān)使用物聯(lián)網(wǎng)設備制定使用標準和指南。在法案生效的90日內(nèi)，NIST院長應公布美國聯(lián)邦政府信息系統(tǒng)相連接的物聯(lián)網(wǎng)設備的最低信息安全要求；180日內(nèi)，NIST院長應公布漏洞信息共享標準等解決方案。這里特別值得關(guān)注的是《法案》要求NIST在制定標準時必須要求聯(lián)邦政府內(nèi)部的漏洞信息要共享以及供應商和聯(lián)邦政府之間的漏洞信息要共享。也就是說，無論哪國的供應商，只要其想在美國聯(lián)邦政府物聯(lián)網(wǎng)采購市場分一杯羹，那么不僅要滿足NIST稍后發(fā)布的信息安全標準，還要滿足漏洞信息共享的要求。對于美國聯(lián)邦政府是否會將相關(guān)設備的漏洞及時向供應商公開或?qū)ν夤_，《法案》并沒有提及。因此，業(yè)內(nèi)有專家對此表示憂慮。美國是否會利用供應商提供的漏洞信息攻擊其他國家的政府系統(tǒng)（其他國家也使用相同供應商提供的物理網(wǎng)技術(shù)和設備），部分專家持保留意見。

根據(jù)《法案》，聯(lián)邦政府行政管理和預算辦公室（OMB）負責審查政府采購政策，以確保政府采購政策符合NIST公布的標準和指南。如果聯(lián)邦政府中某行政機構(gòu)的首席信息官認為該機構(gòu)中的某一物聯(lián)網(wǎng)設備的使用妨礙或者不滿足本《法案》第四節(jié)中物聯(lián)網(wǎng)設備使用和管理機構(gòu)的安全標準和指南以及第五節(jié)中有關(guān)系統(tǒng)安全漏洞披露程序的指南等規(guī)定，則該機構(gòu)的負責人不得使用、采購或通過其他方式（比如租賃）獲得此類設備或者更新此設備的政府采購合同。此規(guī)定于《法案》實施之日起的兩年后正式生效。當然，《法案》還對未滿足NIST所公布的標準和指南的物聯(lián)網(wǎng)技術(shù)和設備的政府采購提出了例外情況。比如，行政機構(gòu)中的的首席信息官認為，為了國家安全利益、為了研究目的、擁有有效方法或程序可控制該設備等情況。此外，《法案》還指出，在本法實施之日起的六年年內(nèi)，美國總審計長每兩年向眾議院監(jiān)督和改革委員會、眾議院國土安全委員會以及參議院元國土安全和政府事務委員會提交包括政府采購物聯(lián)網(wǎng)設備的建議和最佳實踐做法。每一份報告均應以非機密形式提交，但可包括機密附件。

從《法案》的出臺不難看出，美國在頂層設計上非常重視聯(lián)邦政府一級行政機構(gòu)物聯(lián)網(wǎng)設備的安全性，通過NIST制定的標準將對物聯(lián)網(wǎng)設備開展更嚴密的審查。這是否會對想?yún)⑴c美國聯(lián)邦政府物聯(lián)網(wǎng)設備采購市場的外國供應商產(chǎn)生巨大沖擊，還有待進一步觀察。

·相關(guān)內(nèi)容·

《法案》中物聯(lián)網(wǎng)的定義

與《對物聯(lián)網(wǎng)設備制造商的建議：基礎(chǔ)活動和核心設備網(wǎng)絡安全能力基線》這一文件中的物聯(lián)網(wǎng)定義保持一致，認為其是“能夠獨立工作，擁有網(wǎng)絡接口，至少有一個傳感器（傳感器或驅(qū)動器）用于與物理世界直接交互的設備”，其涵蓋范圍非常廣泛。

《法案》出臺的背景介紹

2017 年，美國民主黨參議員馬克沃納和共和黨參議員克里加德納提出建立《物聯(lián)網(wǎng)網(wǎng)絡安全改進法案》，法案要求提供聯(lián)邦政府的物聯(lián)網(wǎng)設備的供應商遵循行業(yè)范圍內(nèi)的安全實踐。

2019 年3 月11 日，美國國會提出了建立《物聯(lián)網(wǎng)網(wǎng)絡安全改進法案》（編號HR1668），法案要求為美國各級政府機構(gòu)購買的所有物聯(lián)網(wǎng)設備設定最低安全標準的方式解決其相關(guān)網(wǎng)絡風險。該法安是《2020 物聯(lián)網(wǎng)網(wǎng)絡安全改進法》的最初版本。

2020年9月14日，美國眾議院通過了《物聯(lián)網(wǎng)網(wǎng)絡安全改進法案》（編號HR1668），并提交參議院審議。

2020 年11 月17 日，參議院未經(jīng)修改通過了《物聯(lián)網(wǎng)網(wǎng)絡安全改進法案》，將該法案呈交給白宮，供美國總統(tǒng)特朗普簽署。

2020 年12 月4 日，特朗普總統(tǒng)正式簽署《物聯(lián)網(wǎng)網(wǎng)絡安全改進法》，美國《2020 物聯(lián)網(wǎng)網(wǎng)絡安全改進法案》正式出臺。

（文字/昝妍）

本報擁有此文版權(quán)，若需轉(zhuǎn)載或復制，請注明來源于中國政府采購報，標注作者，并保持文章的完整性。否則，將追究法律責任。