孟雪 周千荷

智慧城市建設正逐漸成為推動經(jīng)濟增長和治理體系現(xiàn)代化的有效抓手，智慧城市的眾多技術應用在抗疫工作中發(fā)揮了重要作用。物聯(lián)網(wǎng)是智慧城市的神經(jīng)末梢，直接影響著智慧城市的運行質量，保障物聯(lián)網(wǎng)安全就成為發(fā)展智慧城市的重中之重。面對嚴峻的物聯(lián)網(wǎng)安全形勢，澳大利亞、美國、歐盟相繼出臺物聯(lián)網(wǎng)安全相關準則及法案，以解決物聯(lián)網(wǎng)行業(yè)安全漏洞頻發(fā)等問題，提高物聯(lián)網(wǎng)安全治理水平，更好地發(fā)揮物聯(lián)網(wǎng)技術的應用效益。

澳、美、歐相繼推出物聯(lián)網(wǎng)安全相關準則法案

澳大利亞政府發(fā)布《實踐準則：為消費者保護物聯(lián)網(wǎng)》

2020年9月3日，澳大利亞政府發(fā)布《實踐準則：為消費者保護物聯(lián)網(wǎng)》（以下簡稱《實踐準則》），被視為其提升本國物聯(lián)網(wǎng)設備安全性的第一步?？紤]到物聯(lián)網(wǎng)設備安全性的全球化性質，《實踐準則》提出的行業(yè)標準與其他國際標準保持一致，以13項原則為基礎，包括：沒有重復的弱口令或默認口令、實施漏洞披露策略、軟件持續(xù)安全更新、憑證的安全存儲、確保實施個人數(shù)據(jù)保護、最小化暴露攻擊面、確保通信安全、確保軟件完整性、使系統(tǒng)具有抗中斷能力、監(jiān)控系統(tǒng)測量數(shù)據(jù)、便于消費者刪除個人數(shù)據(jù)、使得設備易于安裝和維護以及驗證輸入數(shù)據(jù)。

美國眾議院通過《2020年物聯(lián)網(wǎng)網(wǎng)絡安全改進法案》

2020年9月14日，美國眾議院通過了《2020年物聯(lián)網(wǎng)網(wǎng)絡安全改進法案》（以下簡稱《法案》）。鑒于物聯(lián)網(wǎng)設備的安全性是國家安全需要重點考量的新興網(wǎng)絡挑戰(zhàn)，該法案的目標就在于將物聯(lián)網(wǎng)設備引入美國聯(lián)邦政府使用前解決網(wǎng)絡安全問題，以提高聯(lián)邦互聯(lián)網(wǎng)連接設備的安全性?！斗ò浮芬?，聯(lián)邦政府購買的所有與互聯(lián)網(wǎng)連接設備（包括計算機、移動設備和其他具有互聯(lián)網(wǎng)連接能力的產(chǎn)品）必須符合美國國家標準與技術研究院（NIST）發(fā)布的最低安全標準。同時，《法案》還敦促NIST發(fā)布有關聯(lián)邦機構使用物聯(lián)網(wǎng)設備的標準和指南，并指示行政管理和預算局審查政府購買政策。

歐盟網(wǎng)絡安全局發(fā)布《物聯(lián)網(wǎng)安全準則》

2020年11月9日，歐盟網(wǎng)絡安全局（ENISA）發(fā)布了《物聯(lián)網(wǎng)安全準則》（以下簡稱《準則》），旨在幫助物聯(lián)網(wǎng)制造商、開發(fā)商、集成商及所有物聯(lián)網(wǎng)供應鏈的利益相關者在構建、部署或評估物聯(lián)網(wǎng)技術時做出最佳決策?！稖蕜t》的目標在于定義與識別有關物聯(lián)網(wǎng)安全的挑戰(zhàn)、威脅、安全注意事項和成功實踐，以確保物聯(lián)網(wǎng)供應鏈不同階段的安全性?！稖蕜t》給出了五點建議：一是各物聯(lián)網(wǎng)實體之間應建立更良好的關系，包括優(yōu)先與提供網(wǎng)絡安全保證的供應商合作、努力提高透明度、開發(fā)創(chuàng)新的信任模型、向客戶提供安全承諾等。二是進一步普及網(wǎng)絡安全專業(yè)知識，加強對專業(yè)人員的維護和培訓，提升用戶的物聯(lián)網(wǎng)安全意識。三是通過改善物聯(lián)網(wǎng)設計標準實現(xiàn)安全性，包括采用安全設計原則、利用新興技術進行安全控制和審計、實施遠程更新機制等。四是采取更全面、更明確的方法提高安全性，包括建立全面測試計劃、將身份驗證機制集成到電路中、在默認情況下使用出廠設置等。五是充分利用現(xiàn)有標準和成功實踐，提高供應鏈產(chǎn)品的安全性和服務質量。

澳、美、歐物聯(lián)網(wǎng)安全法案和準則的異同點

均從多個方面健全物聯(lián)網(wǎng)設備安全防護準則

澳大利亞、美國及歐盟都提出了物聯(lián)網(wǎng)設備的多項安全準則，比如要確保設備口令復雜程度足夠高、采用多因子身份認證方式、保證身份憑據(jù)的安全存儲以及及時披露和修復安全漏洞、定期提供安全更新、最小化暴露網(wǎng)絡攻擊面等，旨在有效提高物聯(lián)網(wǎng)設備的安全性。

均注重加強物聯(lián)網(wǎng)個人隱私保護

澳大利亞、美國及歐盟的法案和準則都將個人隱私保護作為物聯(lián)網(wǎng)安全的重要部分。例如，澳大利亞在《實踐準則》中提出，物聯(lián)網(wǎng)設備應當默認設置為隱私保護，當處理個人數(shù)據(jù)時，必須提前獲得用戶同意，并支持用戶隨時刪除個人數(shù)據(jù)，撤回隱私許可，以最大程度地保護用戶的個人隱私和敏感數(shù)據(jù)。

覆蓋范圍和面向對象不同

澳大利亞《實踐準則》面向消費者，有助于提高與物聯(lián)網(wǎng)設備相關的安全保障意識，增強消費者對物聯(lián)網(wǎng)技術的信心，使澳大利亞從推廣中獲益。美國《法案》主要覆蓋美國聯(lián)邦政府，旨在規(guī)范政府對物聯(lián)網(wǎng)設備的安全評估，確保政府機構購買和使用的物聯(lián)網(wǎng)設備安全性符合標準。歐盟《準則》的落腳點是物聯(lián)網(wǎng)供應鏈，目標受眾為物聯(lián)網(wǎng)設備和軟件開發(fā)商、制造商、安全專家、采購團隊等供應鏈實體，通過研究和應對供應鏈在不同階段面臨的不同安全威脅，以達到構建安全的物聯(lián)網(wǎng)生態(tài)系統(tǒng)這一目標。

對物聯(lián)網(wǎng)安全的政府監(jiān)管效力不同

作為政府相關機構提出的建議性措施，歐盟的《準則》、澳大利亞的《實踐準則》均不具有強制性。美國的《法案》則具有政府效力，包含多項硬性規(guī)定，比如明確要求美國國家標準與技術研究院（NIST）須在《法案》頒發(fā)后的90日內(nèi)發(fā)布有關聯(lián)邦機構使用物聯(lián)網(wǎng)設備的安全標準和指南，以指導行政管理機構和預算局開展物聯(lián)網(wǎng)審查監(jiān)管工作;對于不符合安全要求的物聯(lián)網(wǎng)設備，聯(lián)邦政府和機構將不予購買和使用。