加州首個(gè)“物聯(lián)網(wǎng)安全法案”已經(jīng)被放到了州長(zhǎng)辦公桌上等待簽字，但其本身遭到了安全研究人員的大量批評(píng)。專家指出，該法案明顯是基于對(duì)此類問題的膚淺理解。 該法案（SB-327）于 2017 年 2 月推出，比向美國(guó)參議院提出的《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》還要早半年。雖然后者已經(jīng)蒙塵，但加州仍在積極推進(jìn)，并于 8 月 28-29 日兩天通過了州會(huì)和議院的批準(zhǔn)。

如果沒有公眾或私營(yíng)企業(yè)對(duì)其表示強(qiáng)烈反對(duì)，那在州長(zhǎng)簽署通過后，新法案將于 2020 年 1 月 1 日起生效。該法案主要規(guī)定了“連接設(shè)備的制造商們，應(yīng)該為設(shè)備附上合理的安全功能”。

與大多數(shù)立法工作一樣，該法案對(duì)于“合理安全性”的定義相當(dāng)模糊，但在認(rèn)證程序方面給出了詳細(xì)說明。 其寫到 ——“若設(shè)備配備了局域網(wǎng)外的認(rèn)證手段”，就必須滿足兩個(gè)標(biāo)準(zhǔn)之一：

（1）如果設(shè)備使用默認(rèn)密碼，則密碼必須對(duì)每個(gè)設(shè)備是唯一的；

（2）當(dāng)首次配置設(shè)備時(shí)，都必須提示用戶設(shè)置自己的密碼。

顯然，法案為避免制造商對(duì)所有設(shè)備使用相同的默認(rèn)憑證，而給出了硬性的規(guī)定。 不過信息安全研究專家羅伯特·格雷厄姆指出：

新法案的初衷是好的，但在當(dāng)前的物聯(lián)網(wǎng)市場(chǎng)下，它并不是特別有用、也無法解決困擾物聯(lián)網(wǎng)設(shè)備的任何問題。

這是基于對(duì)‘增強(qiáng)安全功能’的誤解，就像節(jié)食一樣 —— 人們要求你堅(jiān)持多吃蔬菜，但無力解決你正在吃薯片的問題！

格雷厄姆在昨日的《法案分析》一文中寫到：

節(jié)食的關(guān)鍵不是多吃，而是少吃一點(diǎn)，網(wǎng)絡(luò)安全也是如此。其重點(diǎn)不在于增加‘安全特性’，而是移除‘不安全的功能’。

對(duì)物聯(lián)網(wǎng)設(shè)備來說，這意味著在網(wǎng)絡(luò)管理中刪除偵聽端口和跨站點(diǎn)/注入問題。

我們不希望在這些產(chǎn)品中增加防火墻和防病毒等任意功能，那樣只會(huì)增加攻擊面，是情況變得更加糟糕。

總而言之 ：“這項(xiàng)法律基于對(duì)問題明顯膚淺的理解。它不會(huì)解決真正的威脅，反而會(huì)給消費(fèi)者帶來巨大的‘創(chuàng)新’成本”。