图片22

精准农业、水资源利用监测、远程医疗等都只是在扩大使用物联网(IoT)设备方面取得的一些进展。毋庸置疑，物联网设备能够改善我们的生活。但同时，随着物联网设备使用的增加，人们开始关注安全、隐私和信任，并需要建立个人隐私和安全标准。

近几年来，国际标准化组织(ISO)、欧洲电信标准协会(ETSI)和美国国家标准与技术研究所(NIST)等标准制定机构都发布了各种自愿的物联网安全标准。但是，如今，全世界的政府希望能做更多的事来解决这个问题。管理和制定物联网标准的要求将对蓬勃发展的物联网产业造成财政压力。所以各国政府都在努力寻找一条解决物联网产业问题的途径。

举例来说，芬兰的国家网络安全中心(NCSC-FI)与若干私营公司已结成公私合作伙伴关系，以使消费者了解所购买的物联网产品的网络安全标签，同时英国也发布了消费者物联网安全业务守则。但是，这力度并不足够。所以，英国政府决定通过一项更具约束力的立法来确保消费物联网产品更加安全，而且这一问题目前正接受公众咨询。新加坡网络安全局制定了网络安全标签计划(CLS)，该计划提供网络安全等级，从而使消费者能够基于自己的安全等级来选择产品。为鼓励厂商申请标签，CLS安全标签申请费被免除一年。

另外，最近一个关于政府监管的例子出现在美国，上周发布了“物联网网络安全改善法案”。在此项两党立法基础上：(1)国家标准与技术研究所将公布联邦政府使用和管理物联网设备的标准和指南，列入最基本的信息安全要求；(2)管理和预算办公室(OMB)将审查联邦政府的信息安全政策并作出任何必要的改变，(3)NIST和OMB均应至少每五年更新一次物联网安全标准、指导方针和政策；(4)联邦机构不得使用不满足这些安全要求的物联网设备；(5)NIST应至少每五年更新一次；(6)联邦机构信息系统安全漏洞报告指南；(7)OMB将负责制订和执行必要政策，为了消除包括物联网设备在内的联邦机构信息系统的安全漏洞，并且遵守NIST发布的指导方针；(8)为美国政府提供物联网设备的承包商必须制定协调的漏洞披露政策，这样，一旦出现漏洞，就可以发布信息。

简单地说，根据该法，NIST将负责建立联邦物联网标准，而那些希望与政府合作的企业必须遵守这些标准。NIST决定承担这些责任也就不足为奇了。近几年来，NIST发布了许多有关物联网标准的指南和项目，例如保护小企业和家庭物联网(IoT)设备、保护工业物联网安全和物联网设备制造商的基本网络安全活动。另外，工业界和民间社会组织都承认该机构是需要处理这些问题的专业实体。

但是，值得注意的是，美国的做法有别于上面提到的其他政府。第一，这一方法并非直接与物联网设备制造商合作，而是鼓励那些希望与联邦政府合作的公司，从而让他们选择如何经营。第二，立法对象只有联邦政府拥有或控制的物联网设备，而不是面向消费者的物联网，后者也是隐私和安全问题的来源。所以，这一立法是否会造成连锁反应，甚至改变美国消费者物联网设备的安全性和隐私标准，还有待观察。