加州通过第一个IoT装置安全法,,继月中加州议会通过后

原标题：加州通过第一个IoT装置安全法

示意图，与新闻事件无关。 继月中加州议会通过后，加州州长Jerry△Brown上周签署了名为《SB-327资讯隐私：连网装置》的法案，成为第一个物联网(IoT)装置安全法。新法案通过后，从2020年1月1日开始，要求“连网装置...

示意图，与新闻事件无关。

继月中加州议会通过后，加州州长Jerry△Brown上周签署了名为《SB-327资讯隐私：连网装置》的法案，成为第一个物联网(IoT)装置安全法。

新法案通过后，从2020年1月1日开始，要求“连网装置制造商必须为装置增加合理的安全功能，或相应于装置本质或功能、或相应于它搜集、包含或传输的资讯”的功能，以“保护装置及其包含的资讯不受非授权存取、破坏、使用、修改或遭揭露。”

新法最重要的进展在于，若装置允许在本地网络以外用密码存取，则该装置必须每一台分配自有密码，或强制使用者在首次连网时设定自有密码。这意谓着，连网装置不得再使用大家都一样的预设密码。

根据本法案的定义，连网装置意指任何可直接或间接连网，具有IP或蓝牙位址的装置或其他实体物品。而所谓制造商，则是指其制造或委外制造的产品在加州销售或供货的厂商。

资安学界对此评价不一。有人认为新法案虽然还不够完美，但至少是个开始。但也有安全专家如Robert△Graham批评，新法是基于“增加”新安全功能的思维，但网络安全的重点不是增加安全功能，而是“拿掉不安全的功能”。对物联网装置而言，这是指移除可听取讯息的传输埠或跨站注入程式码的问题。如果在物联网产品中加入防火墙或防毒等附加功能，只会徒然增加攻击面。

此外，他也指出，该法旨在解决写死密码的问题，但忽略了IoT装置还有其他验证系统，如Telnet；有不重复或使用者自设的密码不代表Telnet没有漏洞。例如Mirai正是借由开采Telnet漏洞而一举攻陷近20万台装置。

橙山网（Csnd.net）简评：继月中加州议会通过后，加州州长Jerry△Brown上周签署了名为《SB-327资讯隐私：连网装置》的法案，成为第一个物联网(IoT)装置安全法。新法案通过后，从2020年1月1日开始，要求“连网装置