有漏洞也不告诉中国！美国这是要毁掉全球网络安全共享机制了？

2022 年 6 月 13 日 大数据文摘

大数据文摘授权转载自品玩

作者：洪雨晗

以后，微软想给你的电脑更新一个补丁，也需要先经过美国政府的同意。

5月26日，一声令下，BIS（美国商务部工业和安全局）主导的《信息安全控制：网络安全物项》正式发布。该规定称出于“国家安全和防恐考虑”，包括中国、俄罗斯、乌克兰、越南等在内的多个国家和地区被划分为D类“受限制国家和地区”，这意味着当美国实体与该区域的“政府最终用户”分享网络安全事项时，需要先向美国政府申请，获得许可后才能跨境发送可能存在的网络安全漏洞。

图源：美国商务部工业和安全局

在数字化浪潮席卷全球的大背景下，国际社会因对网络、数据安全及个人数据隐私相关立法还不够健全，的确都在加强对上述领域的监管。如，我国自2017年发布《网络安全法》后，2021年又连续发布实施了《数据安全法》《关键基础设施保护条例》，并在2021、2022年两届《政府工作报告》中都强调了“强化网络安全、数据安全和个人信息保护”。

但是，很少有国家就自家网络公司的民用商业软件出口，基于网络安全物项考量做出限制，因为这项规定直接影响的是本土跨国企业以及它们服务的大量普通用户的利益和安全。如，谷歌曾透露搭载安卓系统的智能手机/平板数量超过了30亿台，微软则表示有超过14亿人使用Windows操作系统，用户遍布全球，谷歌、微软都有跨国、跨部门的网络安全团队并实时共享数据信息，部分开源项目甚至不限制第三方参与，以便随时更新补丁、修补漏洞，而BIS新规相对国际网络安全领域长久以来的漏洞分享机制必然会造成影响。

包括微软在内的多家公司曾对BIS的新规提出异议，微软表示BIS对“政府最终用户”的定位过于宽泛，在新规草案的建议中希望BIS能明确定义“政府最终用户”所代指的个人或实体，微软还表示向BIS提交申请也面临着审核时间过长的问题，此外，新规将使公司与网络安全研究人员和漏洞赏金猎人的跨境合作变得冷淡，因为出口商在与这些个人或实体沟通之前，将被要求检查个人是否与政府有关联。

图源：来源：微软文件截图

图源：微软文件截图

BIS虽然承认了微软所担忧的问题，但最终拒绝了该提议，BIS认为微软的建议将破坏新规的整体意义，BIS在回应中表示：“然而，由于许可证要求的范围和适用性有限，BIS认为该要求将保护美国的国家安全和外交政策利益，而不会对合法的网络安全活动造成不当影响。”

BIS拒绝微软建议的原因不难理解，BIS的新规脱胎于瓦森纳协议（全称《关于常规武器和两用物品及技术出口控制的瓦森纳协定》），其目的就在于对成员国包括“入侵软件”在内的“军事和两用技术”的出口进行政策性管控。瓦森纳协议成员国由美国、日本、英国、俄罗斯等42个成员国组成。

虽然协议规定成员国可参照共同的管制原则和清单自行决定实施出口管制的措施和方式，但成员国家若拟向中国出口某项高科技设备时，美国通常会向该成员国施加压力，干涉交易。

图源：来源：瓦森纳协定

图源：瓦森纳协定

如今，随着网络安全、数据安全在社会中扮演的角色日益重要，美国也亟需扩大瓦森纳协议的管控范围，把网络安全领域的管控纳入到瓦森纳协议中来。

去年10月，BIS在发布“禁止攻击性网络工具出口”的规定时，美国商务部长吉娜·雷蒙多就强调：“对某些网络安全项目实施出口管制的临时最终规则是一种适当定制的方法，可以保护美国的国家安全免受恶意网络行为者的侵害，同时确保合法的网络安全活动。”因此，BIS近日出台的新规与去年10月发布的征求意见稿相比变化不大。

当然，美国保护自身的网络安全只是其一，在信息安全领域对中国进行技术封锁则是另一重要目的。火线安全联合创始人曾垚对品玩表示：“中国并不在瓦森纳协议的成员国当中，本次美国商务部工业和安全局的限令可看作是继2020年起对部分国家在芯片领域采取严厉限制后，向另一重要领域——信息安全领域的延伸。”

在互联网与社会深度融合、各类应用日益丰富的当下，其背后的网络安全问题其实暗流汹涌。在去年年末爆发的史诗级漏洞“Log4j”事件中，火线安全对Github上的存在该风险开源软件进行了不完全统计，发现在60644个开源项目中有至少321094个软件包存在风险，仅这一漏洞就会影响互联网上超过70%的企业系统安全。

而在全球肆虐的史诗级漏洞“Log4j”的最早发现者却是一位来自中国公司的程序员，该漏洞的修复也不是由一个人、一家公司或是一个国家来主导完成的，是开源社区内无数开发者经过数个日夜无偿加班加点完成修复的。

BIS新规的发布对全球网络安全问题的共享解决机制无疑是一次打击。

“虽然短期来看有利于BIS可以快速通过新规降低中国等国家在软件安全性和安全漏洞发现能力，但长期来看弊端明显，”曾垚表示，“首先，BIS新规会加速中国等国的软件国产化。其次，新规减少了美国获取全球漏洞信息和情报的能力。从HackerOne、PWN2OWN等全球漏洞比赛来看，中国的漏洞发现能力在全球也位于前位，限制会进一步触发中国漏洞研究能力的输入。最后，美国科技企业因无法向限制国家提供网络漏洞的情报服务，将影响该国企业的网络安全响应能力进而影响商业拓展。”

在地缘政治冲突的大背景下，互联网似乎似乎已不再是那个传统意义上开放、共享的公共领域，网络安全事项的管控也逐渐和武器设备、核材料、高科技设备的管控放到了同一位置，虽然各国对网络安全事项的管控还处于摸索阶段，但美国无疑做了一个坏的表率。