我们最近研究了（le）一些来自家庭（tíng）中（zhōng）智能或连网设（shè）备的安全（quán）威胁，以及我们可以采（cǎi）用的解决方案。这些威胁之所以（yǐ）出现，是因（yīn）为当我们购买这些设备（bèi）时，它们通（tōng）常是不安全（quán）的（de）。解决方案似乎是显而易见（jiàn）的——确保设（shè）备在（zài）到达（dá）我们（men）手里之前（qián）是（shì）安全的。

因此，需要立法。

我们将物联网（wǎng）设备分（fèn）为（wéi）三大类：商（shāng）业（yè）物联网（物联网，作为商业IT的一部（bù）分使用）、工业物联网（IIOT，作（zuò）为工（gōng）业运（yùn）营（yíng）的（de）一部分（fèn）使用（yòng））、消费类物联网（我们在家里使（shǐ）用的（de）智能设（shè）备）。

好消（xiāo）息是，世界上许（xǔ）多标准组织都在致力于制定（dìng）物联（lián）网标准。坏消息是，只有两个立法机构在认真试图保护消（xiāo）费者的物联网安全，他们是加利福尼亚州和英国。

时（shí）任（rèn）加州州（zhōu）长杰里·布（bù）朗于2018年9月签署了一项网络安全法案，即连网设备安（ān）全（quán）法案（严格来说（shuō），是（shì）SB327），它将于2020年（nián）1月生效。但是，尽管该法（fǎ）案（àn）对（duì）密码的要求受到（dào）了赞扬，但该法案的其（qí）他部分被认为是薄弱的。

法案要求每个生产的设备都有唯一的密码，并（bìng）且要求用（yòng）户在（zài）首次获得设备（bèi）访问权限（xiàn）之前生成新（xīn）的身份验证（zhèng）方法。此（cǐ）外，对“合理”和“适（shì）当”安全特性的要求被认为实际上毫无意义，因为制（zhì）造商可能（néng）不知道这两个词的（de）真正含义。

计（jì）划中（zhōng）的（de）英国立法

这只是计划中（zhōng）的（de）英国立法（fǎ）。如果可行，它将提（tí）高英国及其他地区智能（néng）设备的安全性（xìng）。此外，如果可行的话（huà），它还可以为（wéi）其他国家的（de）类似立法（fǎ）提供（gòng）一个蓝图，就像欧盟的一般数据保护条例（GDPR）正在为新的隐（yǐn）私立法（fǎ）提供全球蓝图一样（yàng）。

在（zài）本文中（zhōng），我（wǒ）们将研究拟议中（zhōng）的立法，并考虑其是否（fǒu）有效。

立法（fǎ）

英国有传（chuán）统的商业立法方（fāng）法。它首先要求（qiú）自愿遵（zūn）守可（kě）接受的行为准则（zé），通常会明（míng）确警告说，如果不自愿采取（qǔ）行动，立（lì）法将使其成为强制性的。

2018年10月，数字（zì）、文化、媒体和体（tǐ）育部（DCMS）发布了《消（xiāo）费类物联网设备行为安全准则》。它包括（kuò）13条（tiáo）独立的（de）建议（yì），以确保智能设备的安（ān）全性，从没（méi）有默认密码（mǎ）到漏洞披露策略，以及方便消费者删除个人（rén）数据等（děng）。

这些建议的目的是针对结（jié）果（guǒ）的，而不是（shì）规定性的——它们描（miáo）述了应该实现什么，但没（méi）有（yǒu）描述应（yīng）该如何实现。但是，它们比加（jiā）利福（fú）尼（ní）亚（yà）州立法（fǎ）的要求更为明（míng）确。

制（zhì）造商在很大（dà）程度上忽视（shì）了（le）英国的自愿行为（wéi）准则。在商（shāng）业上，如果不需要，他（tā）们就不（bú）会做。今（jīn）年5月（yuè），英国政府开始从自愿向强制过渡。DCMS就政（zhèng）府关于消费（fèi）者（zhě）物联网安全的监管建议发布了一（yī）份咨询意见。

政府（fǔ）仍（réng）在缓慢推进，但毫无疑问要规范向家庭销（xiāo）售（shòu）智能设备的意图（tú）。提议遵守行为守则，从前3项开始（shǐ），分（fèn）阶段引入所有13项（xiàng）要求。这（zhè）些是：

1、所（suǒ）有物联网（wǎng）设备（bèi）都（dōu）应（yīng）该（gāi）有唯一的（de）密码（mǎ），并且不能重置为（wéi）任（rèn）何通用出（chū）厂默认值（zhí）。

2、制造（zào）商应（yīng）提供公共联络方式，作为漏洞披露政（zhèng）策的一部分，以便安全研究人员和其他人能够（gòu）报告（gào）问题。

3、制造商将明确说明产（chǎn）品接收安全更新的（de）最短时（shí）间。

磋商，不是（shì）是（shì）否应该执行这项（xiàng）法律（lǜ），而是应（yīng）该如何执行。

在这里，英国面临着（zhe）所有提议监管技术的（de）相同问题（tí）——如（rú）何在不妨碍产品创（chuàng）新和（hé）商（shāng）业运营效率的（de）情（qíng）况下（xià）做到这一（yī）点？

英国（guó）政府说：“我们意识到抑制创新并对各种类型制（zhì）造商带来沉重负（fù）担的风险（xiǎn），这就是为什么我们一直致力（lì）于根据《行为准则》的前3大准则，来定义（yì）基（jī）本（běn）安全的原因（yīn）所在”。（来自物联之（zhī）家网）事实上（shàng），监管与创新是（shì）一种不（bú）可调和的矛盾。

但还（hái）有一个（gè）问（wèn）题需要解（jiě）决（jué）：如（rú）何对海（hǎi）外制造商实施国（guó）家监管？最直接的答（dá）案是（shì），不（bú）能（néng）这样做。因此，政府正在对英（yīng）国（guó）经销商实（shí）施监管而不是对外（wài）国制造商。

实（shí）施

目前争议的焦点是（shì）应采用三种实施方案中的哪一种。它们都是从制（zhì）造商的产品安全标（biāo）签开（kāi）始，因为立法禁止在英（yīng）国销售没（méi）有制造商安全标签的产品。

三（sān）种实施方案是：

选项（xiàng）一：强制经销商只销售带有物联网安全（quán）标签（qiān）的消费类物联网产品，制（zhì）造商可以自行声明并在其消（xiāo）费类物联网产品（pǐn）上张贴安（ān）全标签。

选（xuǎn）项二：要求（qiú）经销商（shāng）仅销售符合（hé）前（qián）3项要求（qiú）的消费类物联（lián）网（wǎng）产品，制造商有责（zé）任（rèn）自行（háng）声（shēng）明其（qí）消费类物联网产品（pǐn）符合《消费类物联网设备行为安（ān）全准则》前3项要求和ETSI TS 103 645标准。

选项三：要（yào）求经销商仅（jǐn）销售（shòu）带有（yǒu）标签的消费类物联网产品，该标签需证明符合《消费类物联（lián）网设备行为安全准则》的所有13项要求，制造商应自行申（shēn）报，并确保标签出现在包装上。

这就是问题所在（zài），所有这三个选项都要求（qiú）制（zhì）造商自行声明安全性。换句（jù）话说，政府正在推行强制性的自（zì）愿立法。在（zài）其拟议的格式中，这项立法依靠市（shì）场（chǎng）力量来执（zhí）行。它不能强迫（pò）外国制（zhì）造商制（zhì）造（zào）安全设备，但它可（kě）以惩罚（fá）出售（shòu）这（zhè）些设备的（de）英（yīng）国经销商。它让（ràng）经销（xiāo）商（shāng）有（yǒu）义务（wù）迫使制（zhì）造商遵守法规。

如果我们从立（lì）法（fǎ）历史中（zhōng）学到了什（shí）么（me），那就是（shì）制造商和经（jīng）销商都将遵循阻力最小（xiǎo）的要求。

政府的（de）下一步行动（dòng）将决定这项立法的目的是成功还是失（shī）败（bài）。例如（rú），DMCS声明，“我们（men）打（dǎ）算在议（yì）会时间允许的情况（kuàng）下制定主要立（lì）法，让DCMS事务大臣能够为强制性标签计划设定（dìng）要求和/或（huò）为在英国（guó）销（xiāo）售的设备设定安全要（yào）求，这（zhè）些要求将（jiāng）在二级（jí）立法中确立”。

英国的二级立（lì）法不（bú）需要议会投票——只需要相关官员的同意即可。DCMS还指出，政（zhèng）府的意图（tú）是强制执行《消（xiāo）费（fèi）类物联网设备行为安全（quán）准则》的所有13项内容。（来（lái）源（yuán）物联之家网（wǎng））一旦这3项初步要求成为（wéi）法律，从理论上（shàng）讲，政府有可能在接下来的10个月内，每月（yuè）要求一（yī）项（剩余的（de）10项准（zhǔn）则（zé））成为法律（lǜ），或者说（shuō），任何其他被认为相关的要求。

英国立法会让消（xiāo）费者物联网更加（jiā）安全吗？

有用吗？可能有（yǒu）用，也可能没用（yòng），至（zhì）少（shǎo）没有希望的（de）那么有用。

有（yǒu）两个根本困难。第一是制造商的自我安全声（shēng）明。有好主意的、新的、小（xiǎo）的（de）制（zhì）造商将继续抢在竞（jìng）争对手之前把（bǎ）他们的产品推向市（shì）场，而匆（cōng）忙推向市场意味着产（chǎn）品功能（néng）的（de）安全性（xìng）开发不足。

不安（ān）全（quán）的产品（pǐn）仍然会（huì）进入市（shì）场——如果10台智（zhì）能（néng）设备中有9台不让（ràng）黑（hēi）客进入，而第10台让黑（hēi）客进入（rù），那么对消费者（zhě）来（lái）说，意义何在？

第（dì）二个问题是（shì）：由谁来认证产品是否符合要求（qiú）？解决（jué）此（cǐ）类问（wèn）题的（de）标（biāo）准方法是引（yǐn）入强制性第三方认证，而这可以通过二级立法（fǎ）轻（qīng）松（sōng）完（wán）成。但（dàn）是，由谁（shuí）来（lái）支付必要（yào）的产品测（cè）试费用？

如果（guǒ）由制造（zào）商（shāng）来付费，那么他们可能（néng）会放弃向英国（guó）销（xiāo）售——英国只（zhī）是庞大全球市场中的一个（gè）而已。

如果由经销商来付费，则（zé）有可能会将物（wù）联网设备赶出市场（chǎng），从而让智（zhì）能家居设备在英国市场上短缺。而（ér）用（yòng）户可能会（huì）通过（guò）国外网站购买不安全、未经测试的外国产（chǎn）品。

政府显然意识到了（le）这些问题，并希（xī）望在（zài）分阶段实施的同时繁荣市（shì）场，而不是一口气要求太多。不（bú）过，也（yě）只有（yǒu）时间才能证明它是否（fǒu）成功。

但现实（shí）是，这项（xiàng）立法本（běn）身并不能解决这些问题（tí）。成功的最大希望（wàng）将（jiāng）是，如（rú）果有足够（gòu）多（duō）的其他国家（jiā）政（zhèng）府认为这一做法有价值，并颁布了要求（qiú）采取同样措（cuò）施的立法。（来自iothome）只（zhī）有这样（yàng），才能（néng）迫使所有（yǒu）制（zhì）造商（shāng）构建安全的消（xiāo）费类物联网设备。

与此同时，我们所有人都有责任（rèn）采取我（wǒ）们所能采取的预防（fáng）措施，而不是假设我们购买的设备是安（ān）全的（de）。正如Avast和斯坦（tǎn）福（fú）大学新（xīn）的研究表明（míng），我们发现（xiàn）物联网世界中（zhōng）仍有（yǒu）很多地方没有受（shòu）到保（bǎo）护。