美国加州首个“物联网安全法案”被批理解过于肤浅

美国加州首个“物联网安全法案”已经被放到了州长办公桌上等待签字，但其本身遭到了安全研究人员的大量批评。专家指出，该法案明显是基于对此类问题的肤浅理解。该法案(SB-327)于2017年2月推出，比向美国参议院提出的《物联网网络安全改进法案》还要早半年。虽然后者已经蒙尘，但加州仍在积极推进，并于8月28-29日两天通过了州会和议院的批准。

如果没有公众或私营企业对其表示强烈反对，那在州长签署通过后，新法案将于2020年1月1日起生效。该法案主要规定了“连接设备的制造商们，应该为设备附上合理的安全功能”。

与大多数立法工作一样，该法案对于“合理安全性”的定义相当模糊，但在认证程序方面给出了详细说明。其写到——“若设备配备了局域网外的认证手段”，就必须满足两个标准之一：

(1)如果设备使用默认密码，则密码必须对每个设备是唯一的;

(2)当首次配置设备时，都必须提示用户设置自己的密码。

显然，法案为避免制造商对所有设备使用相同的默认凭证，而给出了硬性的规定。不过信息安全研究专家罗伯特˙格雷厄姆指出：

新法案的初衷是好的，但在当前的物联网市场下，它并不是特别有用、也无法解决困扰物联网设备的任何问题。

这是基于对‘增强安全功能’的误解，就像节食一样——人们要求你坚持多吃蔬菜，但无力解决你正在吃薯片的问题!

格雷厄姆在昨日的《法案分析》一文中写到：

节食的关键不是多吃，而是少吃一点，网络安全也是如此。其重点不在于增加‘安全特性’，而是移除‘不安全的功能’。

对物联网设备来说，这意味着在网络管理中删除侦听端口和跨站点/注入问题。

我们不希望在这些产品中增加防火墙和防病毒等任意功能，那样只会增加攻击面，是情况变得更加糟糕。

总而言之：“这项法律基于对问题明显肤浅的理解。它不会解决真正的威胁，反而会给消费者带来巨大的‘创新’成本”。