2024年美國大選終于在上周落下帷幕，美國共和黨總統候選人特朗普在2024年總統選舉中獲勝，4年后將再次重返白宮。在上一個任期中，特朗普針對科技行業推動了諸多政策的制定和出臺，對全球科技行業產生重大影響，業界也在深入分析和預測其重新當選總統后各領域的走勢。

物聯網作為科技行業的一部分，在過去幾年中也受到了一定程度的影響，形成新的走勢。在第一個任期的末期，即2020年12月4日，特朗普正式簽署了《物聯網網絡安全改進法案》，促成美國首個全國性的物聯網安全法出臺和實施。今天，我們不妨回顧一下特朗普曾經簽署的這一物聯網安全法案，在下一個任期中，美國針對物聯網的相關政策的延續，這一法案是一個研究的基礎。

美國首部物聯網安全法案立法歷程

早在2016年前后，多個震驚全球的網絡安全事件的發生，包括僵尸網絡攻擊導致熱門網站和平臺癱瘓，引發了人們對物聯網網絡安全需求的高度關注，美國立法者也意識到，隨著物聯網設備連接數快速增長，安全性的保證必不可少，必須出臺專門針對物聯網領域的安全立法。

2017年，在大西洋理事會和哈佛大學的幫助下，美國弗吉尼亞州民主黨參議員和科羅拉多州共和黨參議員提出一個法案，即《物聯網網絡安全改進法案》，該法案試圖建立一個框架，要求聯邦政府的設備供應商遵循行業范圍內的安全實踐，例如確保可穿戴設備、智能傳感器等設備能修復漏洞、更新密碼、推向市場時不存在已知安全漏洞。該法案目的是期望阻止美國聯邦政府購買存在少數幾種明顯安全漏洞的聯網設備，但該法案最終因多方面原因并未通過。

2019年3月，美國立法者向國會重新提出了該法案，法案編號為HR 1668。該法案提出，其目的是通過為美國政府機構購買的所有物聯網設備設定最低安全標準的方式，來解決其相關網絡安全風險。此法案被重新提出后，得到了民主黨和共和黨多為議員的支持，形成了《物聯網網絡安全改進法》的原始版本。

2020年9月14日，美國眾議院通過了《物聯網網絡安全改進法案》，并提交參議院審議。2020年11月17日，參議院未經修改通過了該法案，并將該法案呈交給白宮，供總統簽署。2020年12月4日，時任總統特朗普正式簽署《物聯網網絡安全改進法》，使其成為法律。

對于物聯網安全的全國性立法，在美國具有一定的基礎。在此之前，美國多個州政府也針對物聯網安全推動相關州法案的立法，最為典型的是加利福尼亞州。2018年9月，加州批準通過了《物聯網設備網絡安全法》，雖然只是加州的法律，但已是美國推出的首部物聯網安全專門的立法，具有劃時代意義，標志著對物聯網安全監管取得實質性進展。此后，俄勒岡州也發布了類似的州立法，并于2020年1月開始實施。而《物聯網網絡安全改進法案》則是美國歷史上首個全國性物聯網安全法案，其里程碑意義更加明顯。

《物聯網網絡安全改進法案》主要內容

法案規定，物聯網設備至少有一個傳感器或執行器，用于與物理世界直接交互，且至少有一個網絡接口，能夠獨立運行，而不是僅作為更大系統的一部分。法案也進一步限定了物聯網設備的范圍，智能手機、筆記本電腦和其他電子設備不在該法規范圍內。

法案要求美國國家標準技術研究院（NIST）發布聯邦政府使用物聯網設備的標準和指南，并指示白宮管理和預算辦公室（OMB）審查政府政策，以確保它們符合NIST指南，聯邦機構將不得購買不符合安全要求的物聯網設備。

同時，法案規定了保護聯邦機構免受網絡攻擊的責任等級，執行部門、管理和預算辦公室、國土安全部部長以及各個此類機構的負責人共同負責監督美國國家標準技術研究院（NIST）制定的物聯網安全標準。

該法案適用于由連接到聯邦信息系統的機構擁有或控制的物聯網設備，NIST將其定義為“由行政機構、行政機構的承包商或代表行政機構的其他組織使用或運營的信息系統。” 美國聯邦機構和供應商僅使用符合規定標準的設備，并將影響設備的已知漏洞通知機構等。

在這一法案實施過程中，NIST發揮了重要作用。NIST為了推動法案實施，于2021年12月發布了“聯邦機構物聯網網絡安全指南的最終版本- NIST SP 800-213系列”，其中包括：

一是《聯邦政府物聯網設備網絡安全指南：建立物聯網設備網絡安全要求》，根據利益相關方的反饋進行了修訂，以使聯邦機構可能感興趣的物聯網設備的功能范圍更加清晰、更加可用、更加兼容。

二是對《物聯網設備網絡安全要求目錄》進行了修訂，使其在表述上更加一致，在技術和非技術方面更加平衡，并且更易于參考，該目錄也包括了物聯網網絡安全配置文件。

這項立法的目的是讓NIST為聯邦政府采購的物聯網設備設定最低標準，以便有可能利用聯邦政府的采購權來保護物聯網設備，禁止聯邦機構在2022年12月4日之后采購或使用被認為不符合NIST標準的物聯網設備。

實際上，美國政府多年來一直依賴物聯網設備來改善其設施和降低成本，因此在遭受越來越多的攻擊后，通過立法來保護其購買和連接的物聯網設備就不足為奇。例如，在智能建筑領域，已有80多座高能耗政府建筑安裝了低成本的聯網傳感器；政府服務管理局使用遠程信息技術來跟蹤、定位和監控20多萬輛汽車的排放，以確保遵守政府到2025年將溫室氣體排放量減少30%的要求；國防部等其他聯邦機構使用聯網設備上的RFID標簽和傳感器來跟蹤和管理軍用物資，如服裝、建筑材料和醫療用品，這些設備使國防后勤局和美國運輸司令部能夠監控國防部后勤系統和商業運輸公司每月數十億次的交易。

美國政府也考慮到，目前的物聯網系統正在與其他系統集成，成為“系統中的系統”。通過這種整合，網絡安全發展成為一個更廣泛的信任概念，不僅包括數據、連接和設備的完整性，還包括結果的可靠性。

法案的后續影響

《物聯網網絡安全改進法案》立法只是對聯邦政府使用的物聯網設備的最低標準，還沒形成有面向全國范圍的物聯網網絡安全監管框架和標準，但開啟了政府對于物聯網安全專門關注和重視之門，對于后續全球物聯網安全的走勢影響深遠。

2021年，美國總統拜登簽發了《關于改善國家網絡安全行政令》，是美國在網絡安全方面最詳細的行政命令之一，概述了美國聯邦政府機構為提高其機構網絡安全能力而需要采取的55項行動。在該行政令中，特意強調了改善物聯網安全的必要性，成為《物聯網網絡安全改進法案》的進階行動，對于物聯網安全主要包括：

（1）物聯網設定安全標準：該行政令授權對于聯邦政府擁有和運營的物聯網設備設立最低安全標準，確保這些設備免受網絡威脅。
（2）啟動面向消費者的網絡安全標簽計劃：行政令中包括為物聯網設備開發一個標簽計劃，以告知消費者這些產品的安全功能，類似于電器上的能效標簽。
（3）機構責任：要求各機構加強網絡安全，包括物聯網設備在其軟件供應鏈中的安全性，使其成為聯邦采購和運營的優先事項。
（4）零信任架構：鼓勵各機構采用零信任原則，特別是與政府網絡內物聯網設備的安全部署和管理相關的原則。

可以看出，《關于改善國家網絡安全行政令》不僅限于針對聯邦政府的物聯網應用安全性要求，也正式啟動了針對消費者使用物聯網設備安全的工作。近年來，包括美國、歐洲、新加坡、德國等發達經濟體針對消費物聯網開啟的網絡安全標簽計劃，正是落實對消費者使用物聯網設備安全的工作。

對于美國來說，消費物聯網安全標簽計劃已經搭建起了完整的實施架構，落地時間越來越近，同時也和歐洲、新加坡等地開展標簽互認工作，意欲將這一計劃上升為全球事實標準。另外，近期美國商務部物聯網咨詢委員會呼吁政府機構和國會要求汽車經銷商在車輛擋風玻璃上顯著展示汽車隱私披露信息，作為針對有關物聯網設備的廣泛建議的一部分，對于汽車領域也即將開啟物聯網安全標簽計劃。

特朗普上一任期最后一個月簽署了《物聯網網絡安全改進法案》，在此后的4年中，物聯網安全相關政策從聯邦政府采購的設備已擴展到了消費物聯網、車聯網等領域，或許未來特朗普的第二任總統任期中，物聯網安全政策覆蓋范圍會進一步擴展，涵蓋經濟社會所有需要用到物聯網設備的領域。屆時，全球物聯網產業會面臨新的挑戰和變革要求，產品的網絡安全、數據安全的設置成為進入全球市場的必選項。

本文來源：物聯網智庫

作者：趙小飛