行業(yè)動(dòng)態(tài)

美國(guó)又對(duì)中國(guó)網(wǎng)絡(luò)安全下手了,據(jù)說是往死里整,真相如何?

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2022-06-06    瀏覽次數(shù):
 

信息來源:安全內(nèi)參

■ 都知道美國(guó)沒有屈原,不過端午節(jié),果然!就在放假前幾天,美國(guó)商務(wù)部工業(yè)和安全局(BIS)發(fā)布的一個(gè)文件震驚了中國(guó)整個(gè)網(wǎng)絡(luò)安全界,一直還在發(fā)酵。很多人認(rèn)為,這個(gè)文件宣布了對(duì)中國(guó)的最新制裁措施,即禁止向中國(guó)分享漏洞信息。幾乎所有國(guó)人都有過使用美國(guó)微軟公司操作系統(tǒng)等產(chǎn)品并不斷修補(bǔ)漏洞的經(jīng)驗(yàn),現(xiàn)在發(fā)現(xiàn)漏洞后不告訴你了,你以后用的美國(guó)產(chǎn)品都是破銅爛鐵了,那還有什么安全可言?對(duì)我們整個(gè)國(guó)家而言,這肯定是大事件。當(dāng)今世界,大家?guī)缀醵夹纬闪艘粋€(gè)共識(shí),漏洞是武器,是戰(zhàn)略資源。一個(gè)漏洞話題,可以撐起整個(gè)中國(guó)黑客發(fā)展史,也牽引了一直以來的網(wǎng)絡(luò)空間大國(guó)暗戰(zhàn)。所以,對(duì)美國(guó)BIS的這份文件,無論如何重視都不過分。

但是,這份文件真的撕下了遮羞布,公開打響了全球漏洞資源爭(zhēng)奪戰(zhàn)的第一槍嗎?真相到底是什么?

5月26日,美國(guó)商務(wù)部工業(yè)和安全局(BIS)在《聯(lián)邦公報(bào)》上發(fā)布了文件《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》。BIS是負(fù)責(zé)實(shí)施美國(guó)出口管制制度的部門,其發(fā)布的文件一向十分敏感。此次的文件被廣泛解讀為,美政府將漏洞納入出口管制范圍,劍指中國(guó)。這無疑將掀起網(wǎng)絡(luò)空間腥風(fēng)血雨,不但違背技術(shù)規(guī)律、破壞國(guó)際慣例,更嚴(yán)重威脅中國(guó)國(guó)家安全。因此,深入研究美國(guó)的政策文件,審慎研判態(tài)勢(shì),科學(xué)制定對(duì)策,是當(dāng)務(wù)之急。我們對(duì)這份文件進(jìn)行了分析,還原了事件的整個(gè)脈絡(luò)。從戰(zhàn)略上,我們認(rèn)為這件事值得高度重視。從戰(zhàn)術(shù)上,我們發(fā)現(xiàn)業(yè)內(nèi)的部分報(bào)道有些失真,不利于從全局上把握。

一、BIS制定《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》的背景

美國(guó)為什么要提出這個(gè)文件?這確實(shí)是專門針對(duì)網(wǎng)絡(luò)安全的(但卻不是專門針對(duì)漏洞),與其實(shí)施出口管制制度有關(guān)。

2013年,美等西方國(guó)家主導(dǎo)、旨在遏制中國(guó)等發(fā)展中國(guó)家獲取高技術(shù)的《瓦森納安排》作了重大修訂,在“網(wǎng)絡(luò)安全”中增加了新的出口控制物項(xiàng)。特別是,增加了對(duì)“入侵軟件”的出口控制。具體涉及到“入侵軟件”中命令和交付平臺(tái)的軟硬件、平臺(tái)開發(fā)生產(chǎn)和利用技術(shù),以及“入侵軟件”本身的開發(fā)技術(shù)。為此,2015年5月20日,BIS發(fā)布了文件《2013年瓦森納安排全體會(huì)議協(xié)議的實(shí)施:入侵和監(jiān)視物項(xiàng)》,對(duì)如何實(shí)施出口管制提出了初步的規(guī)則,并公開征求社會(huì)意見。

很快,美國(guó)社會(huì)對(duì)這份文件提出了300多條意見建議。主要集中在三個(gè)方面:

一是,監(jiān)管對(duì)象過于寬泛,而且文件的技術(shù)措辭并不能精確描述政府期望達(dá)到的出口管制目標(biāo)。

二是,這份文件為合法的網(wǎng)絡(luò)安全交易帶來了很大的許可證負(fù)擔(dān)。

三是,一些網(wǎng)絡(luò)安全技術(shù)與“開發(fā)”入侵軟件直接關(guān)聯(lián),如果把上下游技術(shù)管制了,將會(huì)影響網(wǎng)絡(luò)安全創(chuàng)新和研究活動(dòng)。

BIS認(rèn)為,其提出的實(shí)施規(guī)則沒有問題,但可以對(duì)《瓦森納安排》的原文作調(diào)整。為此,在2016年和2017年,美國(guó)政府兩次協(xié)商修改《瓦森納安排》,并于2017年12月公布了修改后的文件。具體修改體現(xiàn)在三個(gè)方面:

一是,對(duì)惡意軟件的行為作了更為清晰的描述,強(qiáng)調(diào)了其“命令和控制”(Command and Control,C&C)功能。

二是,在“入侵軟件”的“開發(fā)”技術(shù)中增加注釋,排除了“漏洞披露”或“網(wǎng)絡(luò)事件響應(yīng)”。

三是,對(duì)“入侵軟件”的生成、命令和控制(C&C)、交付增加注釋,排除了僅具有基礎(chǔ)的軟件更新和升級(jí)功能的產(chǎn)品。

在此基礎(chǔ)上,2021年10月,BIS發(fā)布了針對(duì)網(wǎng)絡(luò)安全物項(xiàng)的出口管制規(guī)則臨時(shí)版本,留出了45天的征求意見期。此后又一再延長(zhǎng)征求意見時(shí)間,直至5月26日發(fā)布最終版本。

二、《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》征求意見情況

2021年10月以來,BIS共收到了對(duì)《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》的12條意見,主要集中在受控網(wǎng)絡(luò)安全產(chǎn)品的精準(zhǔn)形態(tài)和一些概念的理解上。例如,網(wǎng)絡(luò)安全事件檢測(cè)軟件是否在其中?什么叫做“知道或應(yīng)當(dāng)知道被用于他國(guó)”?“政府最終用戶”的范圍有多大?為此,BIS一方面著手出臺(tái)專門的指導(dǎo)性文件,另一方面對(duì)文件中的定義作了更新。

另外,考慮到業(yè)內(nèi)關(guān)注度很高,BIS一再推遲文件的實(shí)施日期,與產(chǎn)業(yè)界進(jìn)行了多次溝通。

但是,《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》對(duì)于與美不在同一陣營(yíng)的他國(guó)政府相當(dāng)敵視。有機(jī)構(gòu)提出,該文件將阻礙同他國(guó)網(wǎng)絡(luò)安全研究人員和漏洞賞金獵人的跨境合作,因?yàn)槌隹谏虒⒉坏貌惶崆罢{(diào)查對(duì)方是否有政府隸屬關(guān)系,故希望BIS刪除有關(guān)要求。對(duì)此,BIS毫不客氣予以了回絕。

三、《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》的新變化

相比于美國(guó)以前的出口管制政策,《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》以下方面作了調(diào)整。

一是,面向國(guó)家安全、反恐需求,新增了出口管制物項(xiàng)。

二是,根據(jù)業(yè)界反饋,對(duì)一些出口管制物項(xiàng)作了澄清,增加了若干注解。

三是,使用了“ACE(授權(quán)網(wǎng)絡(luò)安全出口)許可例外”的概念。即,即如果符合ACE許可例外的條件,則不需申請(qǐng)網(wǎng)絡(luò)安全出口許可證。但同時(shí),文件又對(duì)ACE的許可例外設(shè)了限制。

四、《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》到底是怎么談漏洞的?

在討論《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》與“漏洞”的關(guān)系時(shí),有必要澄清以下三個(gè)事實(shí):

一是,BIS為什么提出“漏洞”問題?一些人認(rèn)為,漏洞是戰(zhàn)略資源,所以美國(guó)要對(duì)這種戰(zhàn)略資源嚴(yán)格管控。漏洞確實(shí)是戰(zhàn)略資源,非同小可,但BIS提到“漏洞”的原因恰恰相反——它是網(wǎng)絡(luò)安全的常規(guī)操作,不能限制太死,也不可能限制住。為此,BIS制定這份文件,是要在對(duì)“入侵軟件”的出口管制中,把“漏洞披露”拿走,事發(fā)于公眾對(duì)“入侵軟件”的理解有困難。

二是,《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》從來沒有提到對(duì)“漏洞”本身的共享和發(fā)布、披露進(jìn)行限制,而是使用的“漏洞披露”。這兩個(gè)概念完全不同。后者指與漏洞檢測(cè)、修補(bǔ)和披露相關(guān)的技術(shù),因?yàn)檫@被認(rèn)為與“入侵軟件”密切關(guān)聯(lián)。

三是,《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》的出發(fā)點(diǎn)不是管控漏洞披露技術(shù),故不能認(rèn)為這是一個(gè)針對(duì)漏洞下手的文件。其從未單獨(dú)提到“漏洞披露”(一次也沒有),而是把“漏洞披露”和“事件響應(yīng)”并列提出,均指向技術(shù)。否則,“事件響應(yīng)”又該如何理解呢?

五、《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》到底是怎么限制中國(guó)的?

坦率說,《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》是一個(gè)非常繞的文件,乍一看很難理解其中的邏輯關(guān)系。這源于其對(duì)“漏洞披露”轉(zhuǎn)折了3次。

第一次,文件把“漏洞披露”排除在《瓦森納安排》的出口控制物項(xiàng)中,這在前面已經(jīng)交代。

第二次,文件規(guī)定,“ACE(授權(quán)網(wǎng)絡(luò)安全出口)許可例外”對(duì)幾種“政府最終用戶”不適用(即還是需要嚴(yán)格管控)。

第一種是E:1或E:2的政府最終用戶(伊朗、朝鮮、古巴屬于此類)。

第二種是D:1至D:5地區(qū)的政府最終用戶(中國(guó)屬于D:5)。但如果該國(guó)家或地區(qū)既屬于D:1至D:5,又屬于A:6(例如我國(guó)臺(tái)灣地區(qū)),則可以對(duì)“漏洞披露”和“事件響應(yīng)”技術(shù)豁免。這相當(dāng)于,漏洞披露、事件響應(yīng)技術(shù)不能向大陸的中國(guó)政府用戶出口,但可以向中國(guó)的臺(tái)灣地區(qū)出口。

然而,BIS一開始不是說了漏洞披露、事件響應(yīng)技術(shù)已經(jīng)從《瓦森納安排》的“信息安全”物項(xiàng)中豁免了嗎?這不是前后矛盾嗎?所以BIS又作了注解:對(duì)政府最終用戶而言,ACE許可例外的限制優(yōu)先于《瓦森納安排》對(duì)漏洞披露的豁免——即,繞來繞去還是不能向中國(guó)政府出口漏洞披露技術(shù)。

第三次,文件除了定義了“政府最終用戶”外,還提出了“非政府最終用戶”。對(duì)于D:1至D:5地區(qū)的非政府最終用戶,依然需要嚴(yán)格進(jìn)行出口管控(即,中國(guó)依然屬于嚴(yán)格的出口管制地區(qū)),但如果屬于對(duì)漏洞披露、事件響應(yīng)技術(shù)的出口,則又可以豁免了。即,位于中國(guó)的非政府最終用戶,并不會(huì)受到美國(guó)對(duì)于漏洞披露技術(shù)的出口管制限制。

因此,BIS的《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》沒那么夸張,但我們也不能掉以輕心。至于說,中國(guó)政府使用的美國(guó)公司的操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用軟件等,是不是以后就不能升級(jí)了?這不太可能,因?yàn)槁┒葱畔⒈旧聿⒉皇恰锻呱{安排》和美國(guó)實(shí)施出口管制制度的對(duì)象,其目的是防止所謂的敵對(duì)或競(jìng)爭(zhēng)對(duì)手國(guó)家政府利用漏洞挖掘、漏洞掃描技術(shù)實(shí)施攻擊行為。

但在《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》制定過程中,美國(guó)微軟公司也的確向BIS表達(dá)了強(qiáng)烈的反對(duì)——可能是自己人更了解自己人多么壞吧。

 
 

上一篇:富士康墨西哥工廠遭勒索軟件攻擊

下一篇:2022年6月6日聚銘安全速遞