美國加州首個“物聯(lián)網(wǎng)安全法案”被批理解過于膚淺
美國加州首個“物聯(lián)網(wǎng)安全法案”已經(jīng)被放到了州長辦公桌上等待簽字,但其本身遭到了安全研究人員的大量批評。專家指出,該法案明顯是基于對此類問題的膚淺理解。該法案(SB-327)于2017年2月推出,比向美國參議院提出的《物聯(lián)網(wǎng)網(wǎng)絡安全改進法案》還要早半年。雖然后者已經(jīng)蒙塵,但加州仍在積極推進,并于8月28-29日兩天通過了州會和議院的批準。
如果沒有公眾或私營企業(yè)對其表示強烈反對,那在州長簽署通過后,新法案將于2020年1月1日起生效。該法案主要規(guī)定了“連接設備的制造商們,應該為設備附上合理的安全功能”。
與大多數(shù)立法工作一樣,該法案對于“合理安全性”的定義相當模糊,但在認證程序方面給出了詳細說明。其寫到——“若設備配備了局域網(wǎng)外的認證手段”,就必須滿足兩個標準之一:
(1)如果設備使用默認密碼,則密碼必須對每個設備是唯一的;
(2)當首次配置設備時,都必須提示用戶設置自己的密碼。
顯然,法案為避免制造商對所有設備使用相同的默認憑證,而給出了硬性的規(guī)定。不過信息安全研究專家羅伯特˙格雷厄姆指出:
新法案的初衷是好的,但在當前的物聯(lián)網(wǎng)市場下,它并不是特別有用、也無法解決困擾物聯(lián)網(wǎng)設備的任何問題。
這是基于對‘增強安全功能’的誤解,就像節(jié)食一樣——人們要求你堅持多吃蔬菜,但無力解決你正在吃薯片的問題!
格雷厄姆在昨日的《法案分析》一文中寫到:
節(jié)食的關鍵不是多吃,而是少吃一點,網(wǎng)絡安全也是如此。其重點不在于增加‘安全特性’,而是移除‘不安全的功能’。
對物聯(lián)網(wǎng)設備來說,這意味著在網(wǎng)絡管理中刪除偵聽端口和跨站點/注入問題。
我們不希望在這些產(chǎn)品中增加防火墻和防病毒等任意功能,那樣只會增加攻擊面,是情況變得更加糟糕。
總而言之:“這項法律基于對問題明顯膚淺的理解。它不會解決真正的威脅,反而會給消費者帶來巨大的‘創(chuàng)新’成本”。

責任編輯:售電衡衡
-
權威發(fā)布 | 新能源汽車產(chǎn)業(yè)頂層設計落地:鼓勵“光儲充放”,有序推進氫燃料供給體系建設
2020-11-03新能源,汽車,產(chǎn)業(yè),設計 -
中國自主研制的“人造太陽”重力支撐設備正式啟運
2020-09-14核聚變,ITER,核電 -
探索 | 既耗能又可供能的數(shù)據(jù)中心 打造融合型綜合能源系統(tǒng)
2020-06-16綜合能源服務,新能源消納,能源互聯(lián)網(wǎng)
-
新基建助推 數(shù)據(jù)中心建設將迎爆發(fā)期
2020-06-16數(shù)據(jù)中心,能源互聯(lián)網(wǎng),電力新基建 -
泛在電力物聯(lián)網(wǎng)建設下看電網(wǎng)企業(yè)數(shù)據(jù)變現(xiàn)之路
2019-11-12泛在電力物聯(lián)網(wǎng) -
泛在電力物聯(lián)網(wǎng)建設典型實踐案例
2019-10-15泛在電力物聯(lián)網(wǎng)案例
-
新基建之充電樁“火”了 想進這個行業(yè)要“心里有底”
2020-06-16充電樁,充電基礎設施,電力新基建 -
燃料電池汽車駛入尋常百姓家還要多久?
-
備戰(zhàn)全面電動化 多部委及央企“定調”充電樁配套節(jié)奏
-
權威發(fā)布 | 新能源汽車產(chǎn)業(yè)頂層設計落地:鼓勵“光儲充放”,有序推進氫燃料供給體系建設
2020-11-03新能源,汽車,產(chǎn)業(yè),設計 -
中國自主研制的“人造太陽”重力支撐設備正式啟運
2020-09-14核聚變,ITER,核電 -
能源革命和電改政策紅利將長期助力儲能行業(yè)發(fā)展
-
探索 | 既耗能又可供能的數(shù)據(jù)中心 打造融合型綜合能源系統(tǒng)
2020-06-16綜合能源服務,新能源消納,能源互聯(lián)網(wǎng) -
5G新基建助力智能電網(wǎng)發(fā)展
2020-06-125G,智能電網(wǎng),配電網(wǎng) -
從智能電網(wǎng)到智能城市