《网络安全改进法案》自2020年以来已经生效。该法案要求美国国家标准与技术研究所(NIST)为联邦政府制定最低安全标准和指导方针,这些标准和指导方针将构成新的物联网采购限制的基础。
物联网设备制造商必须遵循新的标准和规定,以满足这些政府机构的要求。
网络安全改进法案和NIST指南的简要介绍
《2020年网络安全改进法案》 (IoT CIA) 是美国第一部监管物联网设备安全的联邦法律。根据法律,物联网设备是具有至少一个用于与物理世界直接交互的传感器或执行器,至少一个网络接口,以及独立功能的能力,而不是仅作为更大系统的一部分。智能手机、笔记本电脑和其他电子设备不在该法规的覆盖范围内。
该法律适用于由与联邦信息系统相连的机构拥有或控制的物联网设备,NIST将其定义为“由执行机构、执行机构的承包商或代表执行机构的另一个组织使用或运营的信息系统”。
物联网CIA并不关心通过强制实施密码要求或加密标准来保护单个设备,这两者都需要发展。相反,它指望美国国家标准与技术研究所(NIST)建立联邦组织在购买互联设备时必须遵循的许多标准。这些规则将整体安全视为组件的集合,需要设备、云和通信安全的特定规定。
《2020年IoT网络安全改进法案》要求NIST为机构发布关于“机构适当使用和管理[IoT]设备”的标准和指南。NIST于2021年12月发布了联邦机构物联网网络安全指南的最终版本——NIST SP 800-213系列。
-
SP 800-213,《联邦政府物联网设备网络安全指南:建立物联网设备网络安全要求》,根据利益相关者的反馈进行了修订,以更清晰、更可用、更适应联邦机构可能感兴趣的物联网设备的功能范围。
-
SP 800-213A,物联网设备网络安全需求目录,修订后在表述上更一致,在技术和非技术方面更平衡,更容易参考。该目录包括SP 800-53和网络安全框架以及物联网网络安全配置文件的映射。这份新出版物中包含的材料是基于2021年全年NIST通过GitHub收到的来自公众的协作输入。
这项立法背后的目标是NIST为联邦政府采购和购买的物联网设备设定最低标准,以便潜在地使用联邦政府的采购权力来保护物联网设备。
2020年的《物联网网络安全改进法案》一般禁止机构在2022年12月4日之后采购或使用物联网设备,如果该设备被认为“不符合”美国国家标准和技术研究所(NIST)制定的标准。
联邦机构客户必须记住,风险管理框架(RMF)仍然是联邦系统的基础安全指导,并同样适用于任何其他信息、通信或操作技术的物联网设备。
美国政府对物联网的采用
美国政府多年来一直依赖物联网设备,在遭受越来越多的攻击后,现在制定了保护其购买和连接的物联网的法律也就不足为奇了。
美国政府广泛使用物联网设备来改善设施和降低成本。例如,在智能建筑领域,在80座高能耗政府大楼安装了数千个低成本连接传感器。政府服务管理局使用远程信息技术跟踪、定位和监测20多万辆汽车的排放,以确保遵守到2025年将温室气体排放减少30%的政府要求。其他联邦机构,如国防部(DoD),使用来自互联设备的RFID标签和传感器来跟踪和管理军事用品,如服装、建筑材料和医疗用品。这些设备使国防后勤局和美国运输司令部能够监控来自国防部后勤系统和商业运输公司的每月数十亿笔交易。
我们还应该考虑到,今天的物联网系统正在与其他系统集成,成为“系统中的系统”。随着这种整合,网络安全发展为更广泛的信任概念,这不仅包括数据、连接和设备的完整性,还包括结果的可靠性。
《拜登-哈里斯简报》提供了“符合美国政府标准并经审查和批准的实体测试的产品”的进一步信息。
最佳实践
NIST最初的规则包括当今的最佳实践。这些实践包括每个设备的唯一身份,以便在网络上识别它,以及授权用户更改与访问和安全相关功能的方法,还确保无线设备更新程序,指南还包括记录物联网设备或其相关应用程序的操作,并清楚和安全地向用户传达设备安全的细节。
对于制造业这样越来越依赖数字证书和公钥基础设施(PKI)的行业,如GlobalSign提供的安全设备身份认证,这条法律是朝着正确方向迈出的一步。多年来,专家们一直警告称,如果无法为联网设备的软件打补丁或替换工厂设置的共享硬编码密码,联网设备可能会被暴露。由于黑客以利用基本安全漏洞而闻名,尤其是在传感器方面,这一问题越来越令人担忧。通过利用现有的最佳实践,更强的身份验证方法(如每台设备唯一的数字证书)正在被更广泛地采用。这条法律是一个转折点,让制造商与网络安全行业更紧密地合作,以确保爆炸式增长的物联网市场中的设备尽可能安全。
我们对该法案的看法
GlobalSign多年来一直提供身份识别和安全解决方案。作为一些世界上最大的组织的身份和安全领域的专家,我们相信这部法律表明政府已经采取了必要的步骤来确保连接设备的安全,并且将采取更强大的安全解决方案来限制攻击。我们公司在向物联网设备签发大量、大规模数字证书方面具有独特的优势,可提供强大的设备标识,为物联网安全奠定基础;认证、加密和设备完整性。我们正在与其中一些设备的制造商密切合作,这些设备在某些情况下可能是政府网络的一部分。
我们也意识到,对于当前和未来的政府合作,由机构拥有或控制的物联网设备必须具备适当的安全措施。如果不遵守这些严格的控制,就可能导致现有或未来商业机会的重大损失。
联邦物联网利益相关者必须保持参与和积极参与这一环境,因为NIST的物联网安全标准和建议将对整个物联网生态系统产生长期影响。
不受此法律影响的物联网领域非政府公司也应考虑实施NIST标准。其优势在于,他们可以按照符合联邦安全标准的标准销售其物联网产品线。
有关物联网安全如何从PKI开始的更多信息,请单击此处了解有关我们的物联网解决方案的更多信息。
