成为VIP会员查看完整内容
VIP会员码认证
首页
主题
发现
会员
服务
注册
·
登录
0
有漏洞也不告诉中国!美国这是要毁掉全球网络安全共享机制了?
2022 年 6 月 13 日
大数据文摘
大数据文摘授权转载自品玩
作者:洪雨晗
以后,微软想给你的电脑更新一个补丁,也需要先经过美国政府的同意。
5月26日,一声令下,BIS(美国商务部工业和安全局)主导的《信息安全控制:网络安全物项》正式发布。该规定称出于“国家安全和防恐考虑”,包括中国、俄罗斯、乌克兰、越南等在内的多个国家和地区被划分为D类“受限制国家和地区”,这意味着当美国实体与该区域的“政府最终用户”分享网络安全事项时,需要先向美国政府申请,获得许可后才能跨境发送可能存在的网络安全漏洞。
图源:美国商务部工业和安全局
在数字化浪潮席卷全球的大背景下,国际社会因对网络、数据安全及个人数据隐私相关立法还不够健全,的确都在加强对上述领域的监管。如,我国自2017年发布《网络安全法》后,2021年又连续发布实施了《数据安全法》《关键基础设施保护条例》,并在2021、2022年两届《政府工作报告》中都强调了“强化网络安全、数据安全和个人信息保护”。
但是,很少有国家就自家网络公司的民用商业软件出口,基于网络安全物项考量做出限制,因为这项规定直接影响的是本土跨国企业以及它们服务的大量普通用户的利益和安全。如,谷歌曾透露搭载安卓系统的智能手机/平板数量超过了30亿台,微软则表示有超过14亿人使用Windows操作系统,用户遍布全球,谷歌、微软都有跨国、跨部门的网络安全团队并实时共享数据信息,部分开源项目甚至不限制第三方参与,以便随时更新补丁、修补漏洞,而BIS新规相对国际网络安全领域长久以来的漏洞分享机制必然会造成影响。
包括微软在内的多家公司曾对BIS的新规提出异议,微软表示BIS对“政府最终用户”的定位过于宽泛,在新规草案的建议中希望BIS能明确定义“政府最终用户”所代指的个人或实体,微软还表示向BIS提交申请也面临着审核时间过长的问题,此外,新规将使公司与网络安全研究人员和漏洞赏金猎人的跨境合作变得冷淡,因为出口商在与这些个人或实体沟通之前,将被要求检查个人是否与政府有关联。
图源:微软文件截图
BIS虽然承认了微软所担忧的问题,但最终拒绝了该提议,BIS认为微软的建议将破坏新规的整体意义,BIS在回应中表示:“然而,由于许可证要求的范围和适用性有限,BIS认为该要求将保护美国的国家安全和外交政策利益,而不会对合法的网络安全活动造成不当影响。”
BIS拒绝微软建议的原因不难理解,BIS的新规脱胎于瓦森纳协议(全称《关于常规武器和两用物品及技术出口控制的瓦森纳协定》),其目的就在于对成员国包括“入侵软件”在内的“军事和两用技术”的出口进行政策性管控。瓦森纳协议成员国由美国、日本、英国、俄罗斯等42个成员国组成。
虽然协议规定成员国可参照共同的管制原则和清单自行决定实施出口管制的措施和方式,但成员国家若拟向中国出口某项高科技设备时,美国通常会向该成员国施加压力,干涉交易。
图源:瓦森纳协定
如今,随着网络安全、数据安全在社会中扮演的角色日益重要,美国也亟需扩大瓦森纳协议的管控范围,把网络安全领域的管控纳入到瓦森纳协议中来。
去年10月,BIS在发布“禁止攻击性网络工具出口”的规定时,美国商务部长吉娜·雷蒙多就强调:“对某些网络安全项目实施出口管制的临时最终规则是一种适当定制的方法,可以保护美国的国家安全免受恶意网络行为者的侵害,同时确保合法的网络安全活动。”因此,BIS近日出台的新规与去年10月发布的征求意见稿相比变化不大。
当然,美国保护自身的网络安全只是其一,在信息安全领域对中国进行技术封锁则是另一重要目的。火线安全联合创始人曾垚对品玩表示:“中国并不在瓦森纳协议的成员国当中,本次美国商务部工业和安全局的限令可看作是继2020年起对部分国家在芯片领域采取严厉限制后,向另一重要领域——信息安全领域的延伸。”
在互联网与社会深度融合、各类应用日益丰富的当下,其背后的网络安全问题其实暗流汹涌。在去年年末爆发的史诗级漏洞“Log4j”事件中,火线安全对Github上的存在该风险开源软件进行了不完全统计,发现在60644个开源项目中有至少321094个软件包存在风险,仅这一漏洞就会影响互联网上超过70%的企业系统安全。
而在全球肆虐的史诗级漏洞“Log4j”的最早发现者却是一位来自中国公司的程序员,该漏洞的修复也不是由一个人、一家公司或是一个国家来主导完成的,是开源社区内无数开发者经过数个日夜无偿加班加点完成修复的。
BIS新规的发布对全球网络安全问题的共享解决机制无疑是一次打击。
“虽然短期来看有利于BIS可以快速通过新规降低中国等国家在软件安全性和安全漏洞发现能力,但长期来看弊端明显,”曾垚表示,“首先,BIS新规会加速中国等国的软件国产化。其次,新规减少了美国获取全球漏洞信息和情报的能力。从HackerOne、PWN2OWN等全球漏洞比赛来看,中国的漏洞发现能力在全球也位于前位,限制会进一步触发中国漏洞研究能力的输入。最后,美国科技企业因无法向限制国家提供网络漏洞的情报服务,将影响该国企业的网络安全响应能力进而影响商业拓展。”
在地缘政治冲突的大背景下,互联网似乎似乎已不再是那个传统意义上开放、共享的公共领域,网络安全事项的管控也逐渐和武器设备、核材料、高科技设备的管控放到了同一位置,虽然各国对网络安全事项的管控还处于摸索阶段,但美国无疑做了一个坏的表率。
点「在看」的人都变好看了哦!
登录查看更多
点赞并收藏
0
暂时没有读者
0
权益说明
本文档仅做收录索引使用,若发现您的权益受到侵害,请立即联系客服(微信: zhuanzhi02,邮箱:bd@zhuanzhi.ai),我们会尽快为您处理
相关内容
网络安全
关注
107
网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
【中文版】《俄罗斯人工智能》30页报告,美国海军分析中心(CNA)
专知会员服务
44+阅读 · 2022年7月27日
美国防部2023年数字现代化、AI、信息技术、网络安全如何布局发展?美国网络、创新技术和信息系统小组委员会听证会给出答案
专知会员服务
89+阅读 · 2022年5月26日
美国军事人工智能发展及其安全问题的思考
专知会员服务
91+阅读 · 2022年4月24日
【AI+军事】附论文+PPT 《俄罗斯试图对全球冲突和暴力产生的影响,2019-2020年》
专知会员服务
15+阅读 · 2022年4月16日
世界经济论坛2022最新发布《全球网络安全 展望2022年》,35页pdf
专知会员服务
30+阅读 · 2022年4月4日
英国国防部《国防数据战略》:构建数字骨干网和释放国防数据力量,41页pdf
专知会员服务
44+阅读 · 2022年4月4日
360发布《网络战序幕:美国国安局NSA(APT-C-40)对全球发起长达十余年无差别攻击》报告
专知会员服务
46+阅读 · 2022年3月27日
【AI+军事】兰德53页PDF:网络任务线程分析——用于评估从网络攻击到武器系统对任务的影响的原型框架
专知会员服务
77+阅读 · 2022年3月14日
工信部印发《车联网网络安全和数据安全标准体系建设指南》
专知会员服务
20+阅读 · 2022年3月9日
美国人工智能国家安全委员会发布最终报告, 130页pdf
专知会员服务
137+阅读 · 2021年3月2日
安全资讯早知道 | 2021年遭遇勒索软件攻击并支付赎金的医疗机构比过去多两倍
CCF计算机安全专委会
0+阅读 · 2022年6月6日
美商务部出台新规:未经审批禁止向中国分享安全漏洞,微软反对无效!
新智元
0+阅读 · 2022年6月4日
安全资讯早知道 | 数字安全观察
CCF计算机安全专委会
0+阅读 · 2022年4月25日
坚决反对 iPhone 侧载!库克怒批监管机构
CSDN
0+阅读 · 2022年4月15日
安全资讯早知道 | 部分云祭扫APP涉侵害隐私;美国务院成立网络空间和数字政策局
CCF计算机安全专委会
0+阅读 · 2022年4月6日
TikTok的美国用户数据或将由甲骨文存储,字节无权访问
CSDN
0+阅读 · 2022年3月15日
TikTok美国数据或将由甲骨文存储,字节跳动无权访问
AI前线
0+阅读 · 2022年3月12日
外媒:美国政府正以安全为由审查阿里云
机器之心
0+阅读 · 2022年1月19日
美国又「拉黑」大疆等8家中国公司,中芯国际恐遭更严厉制裁!
极市平台
0+阅读 · 2021年12月16日
“天府杯”国际网络安全大赛 iPhone 13全球首次公开远程越狱
威锋网
0+阅读 · 2021年10月17日
气象参数对中国气溶胶年际变化的影响
国家自然科学基金
0+阅读 · 2014年12月31日
基于互联网基础设施操控的高级持续网络攻击检测与防范
国家自然科学基金
3+阅读 · 2014年12月31日
云存储中数据泄漏的主动防护关键技术研究
国家自然科学基金
0+阅读 · 2013年12月31日
移动互联网下P2P文件共享系统安全机制研究
国家自然科学基金
0+阅读 · 2013年12月31日
XBRL信息环境下会计账簿数据与财务报告数据的整合与实现研究
国家自然科学基金
0+阅读 · 2012年12月31日
面向云存储服务的文档保护与组合关键技术
国家自然科学基金
0+阅读 · 2012年12月31日
航空通信中NEMO网络路由优化技术和AAA机制的研究
国家自然科学基金
0+阅读 · 2012年12月31日
复杂无线环境下的主动跨层恶意节点定位算法研究
国家自然科学基金
0+阅读 · 2012年12月31日
云存储的数据自主访问控制与数据完整性盲审计方法研究
国家自然科学基金
0+阅读 · 2012年12月31日
《中国文物古迹保护准则》实施十年回顾与中国文化遗产保护准则未来发展方向的探索
国家自然科学基金
2+阅读 · 2011年12月31日
The Search and Rescue Game on a Cycle
Arxiv
0+阅读 · 2022年7月31日
Secure Email Transmission Protocols -- A New Architecture Design
Arxiv
0+阅读 · 2022年7月31日
PrePARE: Predictive Proprioception for Agile Failure Event Detection in Robotic Exploration of Extreme Terrains
Arxiv
0+阅读 · 2022年7月30日
A Gray Code of Ordered Trees
Arxiv
0+阅读 · 2022年7月28日
Federated Learning for IoUT: Concepts, Applications, Challenges and Opportunities
Arxiv
0+阅读 · 2022年7月28日
Read, Retrospect, Select: An MRC Framework to Short Text Entity Linking
Arxiv
11+阅读 · 2021年1月7日
Memory-Gated Recurrent Networks
Arxiv
12+阅读 · 2020年12月24日
已删除
Arxiv
32+阅读 · 2020年3月23日
MAD-GAN: Multivariate Anomaly Detection for Time Series Data with Generative Adversarial Networks
Arxiv
15+阅读 · 2019年1月15日
Convolutional Neural Networks for Aerial Multi-Label Pedestrian Detection
Arxiv
11+阅读 · 2018年7月16日
VIP会员
自助开通(推荐)
客服开通
详情
相关主题
网络安全
中国
安全控制
数据安全
微软
系统
相关VIP内容
【中文版】《俄罗斯人工智能》30页报告,美国海军分析中心(CNA)
专知会员服务
44+阅读 · 2022年7月27日
美国防部2023年数字现代化、AI、信息技术、网络安全如何布局发展?美国网络、创新技术和信息系统小组委员会听证会给出答案
专知会员服务
89+阅读 · 2022年5月26日
美国军事人工智能发展及其安全问题的思考
专知会员服务
91+阅读 · 2022年4月24日
【AI+军事】附论文+PPT 《俄罗斯试图对全球冲突和暴力产生的影响,2019-2020年》
专知会员服务
15+阅读 · 2022年4月16日
世界经济论坛2022最新发布《全球网络安全 展望2022年》,35页pdf
专知会员服务
30+阅读 · 2022年4月4日
英国国防部《国防数据战略》:构建数字骨干网和释放国防数据力量,41页pdf
专知会员服务
44+阅读 · 2022年4月4日
360发布《网络战序幕:美国国安局NSA(APT-C-40)对全球发起长达十余年无差别攻击》报告
专知会员服务
46+阅读 · 2022年3月27日
【AI+军事】兰德53页PDF:网络任务线程分析——用于评估从网络攻击到武器系统对任务的影响的原型框架
专知会员服务
77+阅读 · 2022年3月14日
工信部印发《车联网网络安全和数据安全标准体系建设指南》
专知会员服务
20+阅读 · 2022年3月9日
美国人工智能国家安全委员会发布最终报告, 130页pdf
专知会员服务
137+阅读 · 2021年3月2日
热门VIP内容
开通专知VIP会员 享更多权益服务
机器战争:将自主系统纳入军事框架
《作战战略和决策规划的数学模型》
美空军条令《反陆作战》最新84页
《军事高价值资产自主防御与护航的深度强化学习方法》最新148页
相关资讯
安全资讯早知道 | 2021年遭遇勒索软件攻击并支付赎金的医疗机构比过去多两倍
CCF计算机安全专委会
0+阅读 · 2022年6月6日
美商务部出台新规:未经审批禁止向中国分享安全漏洞,微软反对无效!
新智元
0+阅读 · 2022年6月4日
安全资讯早知道 | 数字安全观察
CCF计算机安全专委会
0+阅读 · 2022年4月25日
坚决反对 iPhone 侧载!库克怒批监管机构
CSDN
0+阅读 · 2022年4月15日
安全资讯早知道 | 部分云祭扫APP涉侵害隐私;美国务院成立网络空间和数字政策局
CCF计算机安全专委会
0+阅读 · 2022年4月6日
TikTok的美国用户数据或将由甲骨文存储,字节无权访问
CSDN
0+阅读 · 2022年3月15日
TikTok美国数据或将由甲骨文存储,字节跳动无权访问
AI前线
0+阅读 · 2022年3月12日
外媒:美国政府正以安全为由审查阿里云
机器之心
0+阅读 · 2022年1月19日
美国又「拉黑」大疆等8家中国公司,中芯国际恐遭更严厉制裁!
极市平台
0+阅读 · 2021年12月16日
“天府杯”国际网络安全大赛 iPhone 13全球首次公开远程越狱
威锋网
0+阅读 · 2021年10月17日
相关基金
气象参数对中国气溶胶年际变化的影响
国家自然科学基金
0+阅读 · 2014年12月31日
基于互联网基础设施操控的高级持续网络攻击检测与防范
国家自然科学基金
3+阅读 · 2014年12月31日
云存储中数据泄漏的主动防护关键技术研究
国家自然科学基金
0+阅读 · 2013年12月31日
移动互联网下P2P文件共享系统安全机制研究
国家自然科学基金
0+阅读 · 2013年12月31日
XBRL信息环境下会计账簿数据与财务报告数据的整合与实现研究
国家自然科学基金
0+阅读 · 2012年12月31日
面向云存储服务的文档保护与组合关键技术
国家自然科学基金
0+阅读 · 2012年12月31日
航空通信中NEMO网络路由优化技术和AAA机制的研究
国家自然科学基金
0+阅读 · 2012年12月31日
复杂无线环境下的主动跨层恶意节点定位算法研究
国家自然科学基金
0+阅读 · 2012年12月31日
云存储的数据自主访问控制与数据完整性盲审计方法研究
国家自然科学基金
0+阅读 · 2012年12月31日
《中国文物古迹保护准则》实施十年回顾与中国文化遗产保护准则未来发展方向的探索
国家自然科学基金
2+阅读 · 2011年12月31日
相关论文
The Search and Rescue Game on a Cycle
Arxiv
0+阅读 · 2022年7月31日
Secure Email Transmission Protocols -- A New Architecture Design
Arxiv
0+阅读 · 2022年7月31日
PrePARE: Predictive Proprioception for Agile Failure Event Detection in Robotic Exploration of Extreme Terrains
Arxiv
0+阅读 · 2022年7月30日
A Gray Code of Ordered Trees
Arxiv
0+阅读 · 2022年7月28日
Federated Learning for IoUT: Concepts, Applications, Challenges and Opportunities
Arxiv
0+阅读 · 2022年7月28日
Read, Retrospect, Select: An MRC Framework to Short Text Entity Linking
Arxiv
11+阅读 · 2021年1月7日
Memory-Gated Recurrent Networks
Arxiv
12+阅读 · 2020年12月24日
已删除
Arxiv
32+阅读 · 2020年3月23日
MAD-GAN: Multivariate Anomaly Detection for Time Series Data with Generative Adversarial Networks
Arxiv
15+阅读 · 2019年1月15日
Convolutional Neural Networks for Aerial Multi-Label Pedestrian Detection
Arxiv
11+阅读 · 2018年7月16日
大家都在搜
palantir
壁画
武器目标分配
兵棋推演
知识图谱
MoE
智能推荐
汽车智能化
笛卡尔
EBSD晶体学织构基础及数据处理
Top
提示
微信扫码
咨询专知VIP会员与技术项目合作
(加微信请备注: "专知")
微信扫码咨询专知VIP会员
Top