我们最近研究了一些来自家庭中智（zhì）能或连网设（shè）备（bèi）的安全威胁，以（yǐ）及（jí）我们可（kě）以采用的（de）解决方案（àn）。这些威胁之所以出现，是因为当（dāng）我们（men）购（gòu）买这些设备时，它们通常是不安全的。解决（jué）方案（àn）似乎（hū）是显而易（yì）见的——确保（bǎo）设备在到达我们手里之前是安全的。

因此，需要立法。

我们将（jiāng）物联网设备分为（wéi）三大（dà）类：商业物联网（物联网（wǎng），作（zuò）为商（shāng）业IT的（de）一部分使（shǐ）用）、工业物联网（IIOT，作为工业运营的一部分使用）、消费类物（wù）联网（我（wǒ）们在家里使用的智能设（shè）备（bèi））。

好消息（xī）是，世界上许多标准组织都在致力于制定物（wù）联（lián）网标准。坏消息是，只有两（liǎng）个（gè）立法机构（gòu）在（zài）认真试图保护消（xiāo）费者的（de）物联网安（ān）全，他们是加利福尼亚州和（hé）英国。

时任加州州长杰里·布朗于2018年9月签（qiān）署了（le）一项网络（luò）安全法（fǎ）案，即连网（wǎng）设备安全法案（严（yán）格（gé）来说，是SB327），它将（jiāng）于2020年1月生效。但是，尽管（guǎn）该法案对密码的要求受到了（le）赞扬，但该（gāi）法案的其（qí）他部分被认为是薄（báo）弱的。

法案要求每（měi）个生产的（de）设备都有唯（wéi）一的密码（mǎ），并且要求用户在（zài）首次（cì）获得（dé）设备访问权限之前生成新（xīn）的身份验证方法。此外，对“合理”和“适当”安全特性的要求被认为实（shí）际（jì）上毫无意义，因为（wéi）制造商（shāng）可能（néng）不（bú）知道这两个词的（de）真正（zhèng）含义（yì）。

计划中的（de）英国立法

这只是计（jì）划（huá）中（zhōng）的英国立法。如果（guǒ）可行，它将提高英国（guó）及其他地区智能设（shè）备的安全性。此外，如果（guǒ）可行（háng）的话，它还可以为其（qí）他国家的（de）类似立（lì）法提供一个（gè）蓝图，就（jiù）像欧盟的一般数据保护条例（GDPR）正在为新的隐私立法提供全球蓝图一样。

在本文（wén）中，我们将研究（jiū）拟议中的立法，并考虑其（qí）是否（fǒu）有效。

立法

英国有传统的商业立法（fǎ）方法。它首先要求自愿（yuàn）遵守（shǒu）可接受的行为准则，通常会明确警告说，如果（guǒ）不自愿采取行动，立（lì）法将使其成为强制性的。

2018年（nián）10月，数字、文化、媒体（tǐ）和体（tǐ）育部（DCMS）发布了（le）《消费类物联网设备行为（wéi）安全准（zhǔn）则》。它（tā）包括13条独立的建议，以确保智能设备的安全性，从（cóng）没（méi）有（yǒu）默认密码（mǎ）到（dào）漏洞披（pī）露（lù）策略（luè），以及方便消费者删除（chú）个人数据等。

这些建议的目的是针对（duì）结果的，而不是规定性的——它们描述了应该实（shí）现什么，但没有描述应该如何（hé）实现（xiàn）。但是（shì），它们比加利福（fú）尼亚州立法的要求更为明确（què）。

制造商在很大程度上忽视了英国的自（zì）愿行为准则。在商业上，如果不（bú）需（xū）要，他们（men）就不会做。今年5月，英国政府开始从自愿（yuàn）向强（qiáng）制过渡。DCMS就政（zhèng）府关于消（xiāo）费者（zhě）物联网安全的监管建（jiàn）议发（fā）布了（le）一份咨询意见。

政府仍在（zài）缓慢推进，但毫（háo）无疑问要规范（fàn）向（xiàng）家庭销售（shòu）智（zhì）能设备的意图。提议遵守行为守则，从前3项开始（shǐ），分阶段引入所有（yǒu）13项要（yào）求（qiú）。这些是（shì）：

1、所（suǒ）有物联（lián）网设备（bèi）都应（yīng）该有唯一（yī）的（de）密码，并且不能（néng）重置为任何通用出厂默认（rèn）值。

2、制造商应提供公共联络方式，作为（wéi）漏洞披露政策的一部分，以便安全研究人员和其他（tā）人能够报告问（wèn）题。

3、制造商将明确说明产品接收安全更新的最（zuì）短时间。

磋（cuō）商，不是是否应（yīng）该执行这项法律，而是应该如何执（zhí）行。

在这里（lǐ），英国面（miàn）临着所有提议监（jiān）管技术的（de）相（xiàng）同问题——如何在（zài）不妨碍产品创（chuàng）新和（hé）商业运营效率的情况下做到这一点？

英（yīng）国（guó）政府说：“我们意识到抑制创新并对各（gè）种类型制造商带来沉重负担的风险，这就是为什么我们（men）一直致力于根据《行（háng）为（wéi）准则》的前（qián）3大准则，来定义（yì）基本安全的（de）原（yuán）因（yīn）所在”。（来自物联（lián）之家网（wǎng））事实上，监管与创（chuàng）新是一种不可调（diào）和的矛盾（dùn）。

但（dàn）还有一个问题（tí）需（xū）要解（jiě）决（jué）：如（rú）何对海外制造商实施国（guó）家监（jiān）管？最直接的答案是，不能这样做。因此，政府正在对英（yīng）国经销商实施（shī）监管而不是对外国制（zhì）造商。

实施

目（mù）前（qián）争议的焦点是应（yīng）采用三（sān）种实（shí）施方案（àn）中的哪一（yī）种（zhǒng）。它们都是从制造商的产品安全标签（qiān）开始，因为立法（fǎ）禁止在英国销（xiāo）售没有制造商（shāng）安（ān）全标签（qiān）的（de）产品。

三种实施方案是：

选（xuǎn）项（xiàng）一：强制经销商只销售带有物联（lián）网安全标签的消费类物联网产（chǎn）品，制造商（shāng）可以自行声明（míng）并在其消费类（lèi）物联网产品上张贴安全标签。

选项二：要求经销商仅销售符合前3项要求的消费类物联网产（chǎn）品，制造商有责任自行声明其消费类物联网产品符合《消费类物联（lián）网设备行为安全准则》前3项要求和ETSI TS 103 645标（biāo）准。

选项（xiàng）三：要求经销商仅销售带有标签的（de）消费类物联网产品，该标签需证明符合《消费类（lèi）物联网设备行为安全准则（zé）》的所有13项要求，制造商应自（zì）行申报，并（bìng）确保标签出现在包装上。

这就（jiù）是问（wèn）题所在，所（suǒ）有（yǒu）这三个选项都要求制造商自（zì）行声明安（ān）全性（xìng）。换句话说，政府正在推行强制（zhì）性的自愿立法。在其拟议的格式（shì）中（zhōng），这项立法依靠市场力（lì）量来执行。它不能强迫外国制造商（shāng）制造安全设备，但它可以惩罚出售（shòu）这些设（shè）备的英国经销商。它让经销商有义务迫使制造商（shāng）遵守法规。

如果（guǒ）我们从立法历史中（zhōng）学到了什么，那就是制造商和（hé）经销商都将（jiāng）遵（zūn）循阻力最小的要求。

政（zhèng）府的下一（yī）步行动将决定这项立法的目的是成功（gōng）还是失败。例如，DMCS声明，“我们（men）打算在议会时间允许（xǔ）的情况（kuàng）下制定主（zhǔ）要立法，让DCMS事务大臣能够为强制（zhì）性标签计（jì）划设定（dìng）要（yào）求和（hé）/或（huò）为在英国销售（shòu）的设备设定安全要求，这些要求将在二（èr）级立法中（zhōng）确立”。

英国（guó）的二级立法不需要议会投票（piào）——只需要相（xiàng）关（guān）官员的同意即可。DCMS还指出，政府的意图（tú）是强制执行《消费（fèi）类物（wù）联网设（shè）备行为（wéi）安（ān）全（quán）准则》的所（suǒ）有13项内容。（来源物联（lián）之家网（wǎng））一旦这（zhè）3项初（chū）步（bù）要（yào）求成（chéng）为法（fǎ）律（lǜ），从理论上讲，政（zhèng）府有可能在接下来的（de）10个月内，每月（yuè）要（yào）求一项（剩余的10项准则）成为法律，或者（zhě）说，任何其他被认为（wéi）相关的要求。

英国立法会让消费（fèi）者物联网更（gèng）加安全吗？

有（yǒu）用（yòng）吗？可能有用（yòng），也可（kě）能（néng）没用，至少没有希望的那么有用。

有两个根本困难。第（dì）一是（shì）制造商的（de）自我安（ān）全声（shēng）明。有好主意的（de）、新（xīn）的、小的制造商将继续抢在（zài）竞（jìng）争（zhēng）对手之前把他们（men）的产品推向市场，而匆忙（máng）推向市场意味着产品功（gōng）能的安全性开发不足。

不安全的产（chǎn）品仍然会进入市场——如果10台智能设（shè）备中有9台不让黑客（kè）进入，而第10台让黑客进入，那么对消费者（zhě）来说，意义何在？

第二个问题是：由谁来认证产品（pǐn）是（shì）否符（fú）合要（yào）求？解决此类问题的标（biāo）准方（fāng）法是引（yǐn）入（rù）强制性（xìng）第三方认证，而这可以通过二级（jí）立法轻（qīng）松完成。但是，由谁来支付必要的（de）产品测试费用？

如果由制造商（shāng）来付费，那么他们（men）可能会（huì）放弃向（xiàng）英国销售——英（yīng）国只是庞大全（quán）球市场中的一个而已。

如果由经销商来（lái）付费，则（zé）有可能会将物（wù）联网（wǎng）设备赶出市（shì）场，从（cóng）而让智能家居（jū）设备在英国市场上短缺。而用户可能（néng）会通过国外网站购买不安（ān）全（quán）、未（wèi）经测试的外国产品。

政府（fǔ）显（xiǎn）然意识（shí）到了这些问题，并希（xī）望在分阶段（duàn）实施（shī）的（de）同时繁荣市（shì）场，而不（bú）是一口气要（yào）求太（tài）多。不过，也只有（yǒu）时间才（cái）能证明它是否成功。

但现实（shí）是，这项立法本身（shēn）并不（bú）能解（jiě）决这些问（wèn）题。成功（gōng）的最大希望将（jiāng）是，如果有足够多（duō）的其他国（guó）家（jiā）政府认为这一做法有价值，并颁（bān）布了要求（qiú）采取同样措施的（de）立法。（来自iothome）只有这样（yàng），才能迫使所有制造商构建安（ān）全的消（xiāo）费类物联网（wǎng）设备。

与此同（tóng）时，我们所有（yǒu）人（rén）都有责任（rèn）采取我们所能采取的（de）预防（fáng）措施，而不是（shì）假设我（wǒ）们购买的设（shè）备（bèi）是安全的（de）。正如Avast和斯坦福（fú）大学新的研（yán）究表明，我们发现（xiàn）物联网世界中（zhōng）仍有很多地方没（méi）有受到保护。