美國(guó)以立法形式對(duì)政府采購(gòu)物聯(lián)網(wǎng)技術(shù)和產(chǎn)品的安全性提更嚴(yán)要求
【熱點(diǎn)關(guān)注】
美國(guó)以立法形式對(duì)政府采購(gòu)物聯(lián)網(wǎng)技術(shù)和產(chǎn)品的安全性提更嚴(yán)要求
■ 本報(bào)記者 昝妍
美國(guó)《2020物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》(Internet of Things Cybersecurity Improvement Act,以下簡(jiǎn)稱(chēng)《法案》)于近日出臺(tái)并實(shí)施。該法案是一份專(zhuān)門(mén)針對(duì)物聯(lián)網(wǎng)(IOT)網(wǎng)絡(luò)安全要求的法案,以期通過(guò)美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(以下簡(jiǎn)稱(chēng)“NIST”)提供的標(biāo)準(zhǔn)來(lái)提高美國(guó)聯(lián)邦政府采購(gòu)和使用物聯(lián)網(wǎng)技術(shù)、產(chǎn)品的安全性。
一般政府采購(gòu)項(xiàng)目,采購(gòu)人通過(guò)制定采購(gòu)需求來(lái)滿足其對(duì)物聯(lián)網(wǎng)技術(shù)或設(shè)備所需的安全性。與之不同,美國(guó)則是通過(guò)出臺(tái)《法案》,以國(guó)家法律形式對(duì)政府采購(gòu)物聯(lián)網(wǎng)技術(shù)、產(chǎn)品的安全性提出強(qiáng)制性要求,這在世界范圍內(nèi)十分罕見(jiàn)?!斗ò浮饭舶ǘ虡?biāo)題、國(guó)會(huì)意見(jiàn)、定義、物聯(lián)網(wǎng)設(shè)備使用和管理機(jī)構(gòu)的安全標(biāo)準(zhǔn)和指南、有關(guān)信息系統(tǒng)(包括物聯(lián)網(wǎng)設(shè)備)安全漏洞披露程序的指南、實(shí)施協(xié)同披露與機(jī)構(gòu)信息系統(tǒng)(包括物聯(lián)網(wǎng)設(shè)備)相關(guān)的安全漏洞、供應(yīng)商遵守與機(jī)構(gòu)物聯(lián)網(wǎng)設(shè)備相關(guān)的安全漏洞協(xié)調(diào)披露、美國(guó)政府問(wèn)責(zé)報(bào)告等八節(jié)內(nèi)容?!斗ò浮穬H為框架內(nèi)容,要求美國(guó)國(guó)土安全部至少每五年對(duì)《法案》進(jìn)行一次審查,并酌情適當(dāng)修訂標(biāo)準(zhǔn)和指南,以便新技術(shù)和新標(biāo)準(zhǔn)能夠與時(shí)俱進(jìn)?!斗ò浮返闹贫ㄟ€受到多個(gè)科技公司和組織的支持,包括BSA、Cloudflare、CTIA、Mozilla、Rapid7、Symantec以及Tenable。
《法案》的目標(biāo)對(duì)象為美國(guó)聯(lián)邦政府的物聯(lián)網(wǎng)系統(tǒng),美國(guó)總統(tǒng)是其第一安全責(zé)任人,行政管理和預(yù)算辦公室主管、國(guó)土安全部部長(zhǎng)以及相關(guān)部門(mén)的領(lǐng)導(dǎo)也對(duì)聯(lián)邦政府的物聯(lián)網(wǎng)系統(tǒng)的安全性負(fù)有責(zé)任。此外,聯(lián)邦政府行政部門(mén)中各機(jī)構(gòu)的物聯(lián)網(wǎng)系統(tǒng)的第一安全責(zé)任人均為各部門(mén)負(fù)責(zé)人。
《法案》明確NIST為美國(guó)聯(lián)邦政府機(jī)關(guān)使用物聯(lián)網(wǎng)設(shè)備制定使用標(biāo)準(zhǔn)和指南。在法案生效的90日內(nèi),NIST院長(zhǎng)應(yīng)公布美國(guó)聯(lián)邦政府信息系統(tǒng)相連接的物聯(lián)網(wǎng)設(shè)備的最低信息安全要求;180日內(nèi),NIST院長(zhǎng)應(yīng)公布漏洞信息共享標(biāo)準(zhǔn)等解決方案。這里特別值得關(guān)注的是《法案》要求NIST在制定標(biāo)準(zhǔn)時(shí)必須要求聯(lián)邦政府內(nèi)部的漏洞信息要共享以及供應(yīng)商和聯(lián)邦政府之間的漏洞信息要共享。也就是說(shuō),無(wú)論哪國(guó)的供應(yīng)商,只要其想在美國(guó)聯(lián)邦政府物聯(lián)網(wǎng)采購(gòu)市場(chǎng)分一杯羹,那么不僅要滿足NIST稍后發(fā)布的信息安全標(biāo)準(zhǔn),還要滿足漏洞信息共享的要求。對(duì)于美國(guó)聯(lián)邦政府是否會(huì)將相關(guān)設(shè)備的漏洞及時(shí)向供應(yīng)商公開(kāi)或?qū)ν夤_(kāi),《法案》并沒(méi)有提及。因此,業(yè)內(nèi)有專(zhuān)家對(duì)此表示憂慮。美國(guó)是否會(huì)利用供應(yīng)商提供的漏洞信息攻擊其他國(guó)家的政府系統(tǒng)(其他國(guó)家也使用相同供應(yīng)商提供的物理網(wǎng)技術(shù)和設(shè)備),部分專(zhuān)家持保留意見(jiàn)。
根據(jù)《法案》,聯(lián)邦政府行政管理和預(yù)算辦公室(OMB)負(fù)責(zé)審查政府采購(gòu)政策,以確保政府采購(gòu)政策符合NIST公布的標(biāo)準(zhǔn)和指南。如果聯(lián)邦政府中某行政機(jī)構(gòu)的首席信息官認(rèn)為該機(jī)構(gòu)中的某一物聯(lián)網(wǎng)設(shè)備的使用妨礙或者不滿足本《法案》第四節(jié)中物聯(lián)網(wǎng)設(shè)備使用和管理機(jī)構(gòu)的安全標(biāo)準(zhǔn)和指南以及第五節(jié)中有關(guān)系統(tǒng)安全漏洞披露程序的指南等規(guī)定,則該機(jī)構(gòu)的負(fù)責(zé)人不得使用、采購(gòu)或通過(guò)其他方式(比如租賃)獲得此類(lèi)設(shè)備或者更新此設(shè)備的政府采購(gòu)合同。此規(guī)定于《法案》實(shí)施之日起的兩年后正式生效。當(dāng)然,《法案》還對(duì)未滿足NIST所公布的標(biāo)準(zhǔn)和指南的物聯(lián)網(wǎng)技術(shù)和設(shè)備的政府采購(gòu)提出了例外情況。比如,行政機(jī)構(gòu)中的的首席信息官認(rèn)為,為了國(guó)家安全利益、為了研究目的、擁有有效方法或程序可控制該設(shè)備等情況。此外,《法案》還指出,在本法實(shí)施之日起的六年年內(nèi),美國(guó)總審計(jì)長(zhǎng)每?jī)赡晗虮娮h院監(jiān)督和改革委員會(huì)、眾議院國(guó)土安全委員會(huì)以及參議院元國(guó)土安全和政府事務(wù)委員會(huì)提交包括政府采購(gòu)物聯(lián)網(wǎng)設(shè)備的建議和最佳實(shí)踐做法。每一份報(bào)告均應(yīng)以非機(jī)密形式提交,但可包括機(jī)密附件。
從《法案》的出臺(tái)不難看出,美國(guó)在頂層設(shè)計(jì)上非常重視聯(lián)邦政府一級(jí)行政機(jī)構(gòu)物聯(lián)網(wǎng)設(shè)備的安全性,通過(guò)NIST制定的標(biāo)準(zhǔn)將對(duì)物聯(lián)網(wǎng)設(shè)備開(kāi)展更嚴(yán)密的審查。這是否會(huì)對(duì)想?yún)⑴c美國(guó)聯(lián)邦政府物聯(lián)網(wǎng)設(shè)備采購(gòu)市場(chǎng)的外國(guó)供應(yīng)商產(chǎn)生巨大沖擊,還有待進(jìn)一步觀察。
·相關(guān)內(nèi)容·
《法案》中物聯(lián)網(wǎng)的定義
與《對(duì)物聯(lián)網(wǎng)設(shè)備制造商的建議:基礎(chǔ)活動(dòng)和核心設(shè)備網(wǎng)絡(luò)安全能力基線》這一文件中的物聯(lián)網(wǎng)定義保持一致,認(rèn)為其是“能夠獨(dú)立工作,擁有網(wǎng)絡(luò)接口,至少有一個(gè)傳感器(傳感器或驅(qū)動(dòng)器)用于與物理世界直接交互的設(shè)備”,其涵蓋范圍非常廣泛。
《法案》出臺(tái)的背景介紹
2017 年,美國(guó)民主黨參議員馬克沃納和共和黨參議員克里加德納提出建立《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》,法案要求提供聯(lián)邦政府的物聯(lián)網(wǎng)設(shè)備的供應(yīng)商遵循行業(yè)范圍內(nèi)的安全實(shí)踐。
2019 年3 月11 日,美國(guó)國(guó)會(huì)提出了建立《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》(編號(hào)HR1668),法案要求為美國(guó)各級(jí)政府機(jī)構(gòu)購(gòu)買(mǎi)的所有物聯(lián)網(wǎng)設(shè)備設(shè)定最低安全標(biāo)準(zhǔn)的方式解決其相關(guān)網(wǎng)絡(luò)風(fēng)險(xiǎn)。該法安是《2020 物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》的最初版本。
2020年9月14日,美國(guó)眾議院通過(guò)了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》(編號(hào)HR1668),并提交參議院審議。
2020 年11 月17 日,參議院未經(jīng)修改通過(guò)了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》,將該法案呈交給白宮,供美國(guó)總統(tǒng)特朗普簽署。
2020 年12 月4 日,特朗普總統(tǒng)正式簽署《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》,美國(guó)《2020 物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》正式出臺(tái)。
(文字/昝妍)
本報(bào)擁有此文版權(quán),若需轉(zhuǎn)載或復(fù)制,請(qǐng)注明來(lái)源于中國(guó)政府采購(gòu)報(bào),標(biāo)注作者,并保持文章的完整性。否則,將追究法律責(zé)任。
責(zé)任編輯:LIZHENG
點(diǎn)擊排行
歡迎訂閱中國(guó)政府采購(gòu)報(bào)
我國(guó)政府采購(gòu)領(lǐng)域第一份“中”字頭的專(zhuān)業(yè)報(bào)紙——《中國(guó)政府采購(gòu)報(bào)》已于2010年5月7日正式創(chuàng)刊!
《中國(guó)政府采購(gòu)報(bào)》由中國(guó)財(cái)經(jīng)報(bào)社主辦,作為財(cái)政部指定的政府采購(gòu)信息發(fā)布媒體,服務(wù)政府采購(gòu)改革,支持政府采購(gòu)事業(yè),推動(dòng)政府采購(gòu)發(fā)展是國(guó)家和時(shí)代賦予《中國(guó)政府采購(gòu)報(bào)》的重大使命。
《中國(guó)政府采購(gòu)報(bào)》的前身是伴隨我國(guó)政府采購(gòu)事業(yè)一路同行12年的《中國(guó)財(cái)經(jīng)報(bào)?政府采購(gòu)周刊》?!吨袊?guó)政府采購(gòu)報(bào)》以專(zhuān)業(yè)的水準(zhǔn)、豐富的資訊、及時(shí)的報(bào)道、權(quán)威的影響,與您一起把握和感受中國(guó)政府采購(gòu)發(fā)展事業(yè)的脈搏與動(dòng)向。
《中國(guó)政府采購(gòu)報(bào)》為國(guó)際流行對(duì)開(kāi)大報(bào),精美彩色印刷;每周二、周五出版,每期8個(gè)版,全年訂價(jià)276元,每月定價(jià)23元,每季定價(jià)69元。零售每份3元??梢云圃隆⑵萍居嗛?。 可以破月、破季訂閱。
歡迎訂閱《中國(guó)政府采購(gòu)報(bào)》!
訂閱方式:郵局訂閱(請(qǐng)到當(dāng)?shù)剜]局直接訂閱)