美国以立法形式对政府采购物联网技术和产品的安全性提更严要求

■ 本报记者 昝妍

美国《2020物联网网络安全改进法案》（Internet of Things Cybersecurity Improvement Act，以下简称《法案》）于近日出台并实施。该法案是一份专门针对物联网（IOT）网络安全要求的法案，以期通过美国国家标准技术研究院（以下简称“NIST”）提供的标准来提高美国联邦政府采购和使用物联网技术、产品的安全性。

一般政府采购项目，采购人通过制定采购需求来满足其对物联网技术或设备所需的安全性。与之不同，美国则是通过出台《法案》，以国家法律形式对政府采购物联网技术、产品的安全性提出强制性要求，这在世界范围内十分罕见。《法案》共包括短标题、国会意见、定义、物联网设备使用和管理机构的安全标准和指南、有关信息系统（包括物联网设备）安全漏洞披露程序的指南、实施协同披露与机构信息系统（包括物联网设备）相关的安全漏洞、供应商遵守与机构物联网设备相关的安全漏洞协调披露、美国政府问责报告等八节内容。《法案》仅为框架内容，要求美国国土安全部至少每五年对《法案》进行一次审查，并酌情适当修订标准和指南，以便新技术和新标准能够与时俱进。《法案》的制定还受到多个科技公司和组织的支持，包括BSA、Cloudflare、CTIA、Mozilla、Rapid7、Symantec以及Tenable。

《法案》的目标对象为美国联邦政府的物联网系统，美国总统是其第一安全责任人，行政管理和预算办公室主管、国土安全部部长以及相关部门的领导也对联邦政府的物联网系统的安全性负有责任。此外，联邦政府行政部门中各机构的物联网系统的第一安全责任人均为各部门负责人。

《法案》明确NIST为美国联邦政府机关使用物联网设备制定使用标准和指南。在法案生效的90日内，NIST院长应公布美国联邦政府信息系统相连接的物联网设备的最低信息安全要求；180日内，NIST院长应公布漏洞信息共享标准等解决方案。这里特别值得关注的是《法案》要求NIST在制定标准时必须要求联邦政府内部的漏洞信息要共享以及供应商和联邦政府之间的漏洞信息要共享。也就是说，无论哪国的供应商，只要其想在美国联邦政府物联网采购市场分一杯羹，那么不仅要满足NIST稍后发布的信息安全标准，还要满足漏洞信息共享的要求。对于美国联邦政府是否会将相关设备的漏洞及时向供应商公开或对外公开，《法案》并没有提及。因此，业内有专家对此表示忧虑。美国是否会利用供应商提供的漏洞信息攻击其他国家的政府系统（其他国家也使用相同供应商提供的物理网技术和设备），部分专家持保留意见。

根据《法案》，联邦政府行政管理和预算办公室（OMB）负责审查政府采购政策，以确保政府采购政策符合NIST公布的标准和指南。如果联邦政府中某行政机构的首席信息官认为该机构中的某一物联网设备的使用妨碍或者不满足本《法案》第四节中物联网设备使用和管理机构的安全标准和指南以及第五节中有关系统安全漏洞披露程序的指南等规定，则该机构的负责人不得使用、采购或通过其他方式（比如租赁）获得此类设备或者更新此设备的政府采购合同。此规定于《法案》实施之日起的两年后正式生效。当然，《法案》还对未满足NIST所公布的标准和指南的物联网技术和设备的政府采购提出了例外情况。比如，行政机构中的的首席信息官认为，为了国家安全利益、为了研究目的、拥有有效方法或程序可控制该设备等情况。此外，《法案》还指出，在本法实施之日起的六年年内，美国总审计长每两年向众议院监督和改革委员会、众议院国土安全委员会以及参议院元国土安全和政府事务委员会提交包括政府采购物联网设备的建议和最佳实践做法。每一份报告均应以非机密形式提交，但可包括机密附件。

从《法案》的出台不难看出，美国在顶层设计上非常重视联邦政府一级行政机构物联网设备的安全性，通过NIST制定的标准将对物联网设备开展更严密的审查。这是否会对想参与美国联邦政府物联网设备采购市场的外国供应商产生巨大冲击，还有待进一步观察。

·相关内容·

《法案》中物联网的定义

与《对物联网设备制造商的建议：基础活动和核心设备网络安全能力基线》这一文件中的物联网定义保持一致，认为其是“能够独立工作，拥有网络接口，至少有一个传感器（传感器或驱动器）用于与物理世界直接交互的设备”，其涵盖范围非常广泛。

《法案》出台的背景介绍

2017 年，美国民主党参议员马克沃纳和共和党参议员克里加德纳提出建立《物联网网络安全改进法案》，法案要求提供联邦政府的物联网设备的供应商遵循行业范围内的安全实践。

2019 年3 月11 日，美国国会提出了建立《物联网网络安全改进法案》（编号HR1668），法案要求为美国各级政府机构购买的所有物联网设备设定最低安全标准的方式解决其相关网络风险。该法安是《2020 物联网网络安全改进法》的最初版本。

2020年9月14日，美国众议院通过了《物联网网络安全改进法案》（编号HR1668），并提交参议院审议。

2020 年11 月17 日，参议院未经修改通过了《物联网网络安全改进法案》，将该法案呈交给白宫，供美国总统特朗普签署。

2020 年12 月4 日，特朗普总统正式签署《物联网网络安全改进法》，美国《2020 物联网网络安全改进法案》正式出台。

（文字/昝妍）

 

 

本报拥有此文版权，若需转载或复制，请注明来源于中国政府采购报，标注作者，并保持文章的完整性。否则，将追究法律责任。