美國以立法形式對政府采購物聯網技術和產品的安全性提更嚴要求

【熱點關注】

美國以立法形式對政府采購物聯網技術和產品的安全性提更嚴要求

■ 本報記者 昝妍

美國《2020物聯網網絡安全改進法案》（Internet of Things Cybersecurity Improvement Act，以下簡稱《法案》）于近日出臺并實施。該法案是一份專門針對物聯網（IOT）網絡安全要求的法案，以期通過美國國家標準技術研究院（以下簡稱“NIST”）提供的標準來提高美國聯邦政府采購和使用物聯網技術、產品的安全性。

一般政府采購項目，采購人通過制定采購需求來滿足其對物聯網技術或設備所需的安全性。與之不同，美國則是通過出臺《法案》，以國家法律形式對政府采購物聯網技術、產品的安全性提出強制性要求，這在世界范圍內十分罕見。《法案》共包括短標題、國會意見、定義、物聯網設備使用和管理機構的安全標準和指南、有關信息系統（包括物聯網設備）安全漏洞披露程序的指南、實施協同披露與機構信息系統（包括物聯網設備）相關的安全漏洞、供應商遵守與機構物聯網設備相關的安全漏洞協調披露、美國政府問責報告等八節內容?！斗ò浮穬H為框架內容，要求美國國土安全部至少每五年對《法案》進行一次審查，并酌情適當修訂標準和指南，以便新技術和新標準能夠與時俱進?！斗ò浮返闹贫ㄟ€受到多個科技公司和組織的支持，包括BSA、Cloudflare、CTIA、Mozilla、Rapid7、Symantec以及Tenable。

《法案》的目標對象為美國聯邦政府的物聯網系統，美國總統是其第一安全責任人，行政管理和預算辦公室主管、國土安全部部長以及相關部門的領導也對聯邦政府的物聯網系統的安全性負有責任。此外，聯邦政府行政部門中各機構的物聯網系統的第一安全責任人均為各部門負責人。

《法案》明確NIST為美國聯邦政府機關使用物聯網設備制定使用標準和指南。在法案生效的90日內，NIST院長應公布美國聯邦政府信息系統相連接的物聯網設備的最低信息安全要求；180日內，NIST院長應公布漏洞信息共享標準等解決方案。這里特別值得關注的是《法案》要求NIST在制定標準時必須要求聯邦政府內部的漏洞信息要共享以及供應商和聯邦政府之間的漏洞信息要共享。也就是說，無論哪國的供應商，只要其想在美國聯邦政府物聯網采購市場分一杯羹，那么不僅要滿足NIST稍后發布的信息安全標準，還要滿足漏洞信息共享的要求。對于美國聯邦政府是否會將相關設備的漏洞及時向供應商公開或對外公開，《法案》并沒有提及。因此，業內有專家對此表示憂慮。美國是否會利用供應商提供的漏洞信息攻擊其他國家的政府系統（其他國家也使用相同供應商提供的物理網技術和設備），部分專家持保留意見。

根據《法案》，聯邦政府行政管理和預算辦公室（OMB）負責審查政府采購政策，以確保政府采購政策符合NIST公布的標準和指南。如果聯邦政府中某行政機構的首席信息官認為該機構中的某一物聯網設備的使用妨礙或者不滿足本《法案》第四節中物聯網設備使用和管理機構的安全標準和指南以及第五節中有關系統安全漏洞披露程序的指南等規定，則該機構的負責人不得使用、采購或通過其他方式（比如租賃）獲得此類設備或者更新此設備的政府采購合同。此規定于《法案》實施之日起的兩年后正式生效。當然，《法案》還對未滿足NIST所公布的標準和指南的物聯網技術和設備的政府采購提出了例外情況。比如，行政機構中的的首席信息官認為，為了國家安全利益、為了研究目的、擁有有效方法或程序可控制該設備等情況。此外，《法案》還指出，在本法實施之日起的六年年內，美國總審計長每兩年向眾議院監督和改革委員會、眾議院國土安全委員會以及參議院元國土安全和政府事務委員會提交包括政府采購物聯網設備的建議和最佳實踐做法。每一份報告均應以非機密形式提交，但可包括機密附件。

從《法案》的出臺不難看出，美國在頂層設計上非常重視聯邦政府一級行政機構物聯網設備的安全性，通過NIST制定的標準將對物聯網設備開展更嚴密的審查。這是否會對想參與美國聯邦政府物聯網設備采購市場的外國供應商產生巨大沖擊，還有待進一步觀察。

·相關內容·

《法案》中物聯網的定義

與《對物聯網設備制造商的建議：基礎活動和核心設備網絡安全能力基線》這一文件中的物聯網定義保持一致，認為其是“能夠獨立工作，擁有網絡接口，至少有一個傳感器（傳感器或驅動器）用于與物理世界直接交互的設備”，其涵蓋范圍非常廣泛。

《法案》出臺的背景介紹

2017 年，美國民主黨參議員馬克沃納和共和黨參議員克里加德納提出建立《物聯網網絡安全改進法案》，法案要求提供聯邦政府的物聯網設備的供應商遵循行業范圍內的安全實踐。

2019 年3 月11 日，美國國會提出了建立《物聯網網絡安全改進法案》（編號HR1668），法案要求為美國各級政府機構購買的所有物聯網設備設定最低安全標準的方式解決其相關網絡風險。該法安是《2020 物聯網網絡安全改進法》的最初版本。

2020年9月14日，美國眾議院通過了《物聯網網絡安全改進法案》（編號HR1668），并提交參議院審議。

2020 年11 月17 日，參議院未經修改通過了《物聯網網絡安全改進法案》，將該法案呈交給白宮，供美國總統特朗普簽署。

2020 年12 月4 日，特朗普總統正式簽署《物聯網網絡安全改進法》，美國《2020 物聯網網絡安全改進法案》正式出臺。

（文字/昝妍）

本報擁有此文版權，若需轉載或復制，請注明來源于中國政府采購報，標注作者，并保持文章的完整性。否則，將追究法律責任。