信息來源：安全內(nèi)參

■ 都知道美國(guó)沒有屈原，不過端午節(jié)，果然！就在放假前幾天，美國(guó)商務(wù)部工業(yè)和安全局（BIS）發(fā)布的一個(gè)文件震驚了中國(guó)整個(gè)網(wǎng)絡(luò)安全界，一直還在發(fā)酵。很多人認(rèn)為，這個(gè)文件宣布了對(duì)中國(guó)的最新制裁措施，即禁止向中國(guó)分享漏洞信息。幾乎所有國(guó)人都有過使用美國(guó)微軟公司操作系統(tǒng)等產(chǎn)品并不斷修補(bǔ)漏洞的經(jīng)驗(yàn)，現(xiàn)在發(fā)現(xiàn)漏洞后不告訴你了，你以后用的美國(guó)產(chǎn)品都是破銅爛鐵了，那還有什么安全可言？對(duì)我們整個(gè)國(guó)家而言，這肯定是大事件。當(dāng)今世界，大家?guī)缀醵夹纬闪艘粋€(gè)共識(shí)，漏洞是武器，是戰(zhàn)略資源。一個(gè)漏洞話題，可以撐起整個(gè)中國(guó)黑客發(fā)展史，也牽引了一直以來的網(wǎng)絡(luò)空間大國(guó)暗戰(zhàn)。所以，對(duì)美國(guó)BIS的這份文件，無論如何重視都不過分。

但是，這份文件真的撕下了遮羞布，公開打響了全球漏洞資源爭(zhēng)奪戰(zhàn)的第一槍嗎？真相到底是什么？

5月26日，美國(guó)商務(wù)部工業(yè)和安全局（BIS）在《聯(lián)邦公報(bào)》上發(fā)布了文件《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》。BIS是負(fù)責(zé)實(shí)施美國(guó)出口管制制度的部門，其發(fā)布的文件一向十分敏感。此次的文件被廣泛解讀為，美政府將漏洞納入出口管制范圍，劍指中國(guó)。這無疑將掀起網(wǎng)絡(luò)空間腥風(fēng)血雨，不但違背技術(shù)規(guī)律、破壞國(guó)際慣例，更嚴(yán)重威脅中國(guó)國(guó)家安全。因此，深入研究美國(guó)的政策文件，審慎研判態(tài)勢(shì)，科學(xué)制定對(duì)策，是當(dāng)務(wù)之急。我們對(duì)這份文件進(jìn)行了分析，還原了事件的整個(gè)脈絡(luò)。從戰(zhàn)略上，我們認(rèn)為這件事值得高度重視。從戰(zhàn)術(shù)上，我們發(fā)現(xiàn)業(yè)內(nèi)的部分報(bào)道有些失真，不利于從全局上把握。

一、BIS制定《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》的背景

美國(guó)為什么要提出這個(gè)文件？這確實(shí)是專門針對(duì)網(wǎng)絡(luò)安全的（但卻不是專門針對(duì)漏洞），與其實(shí)施出口管制制度有關(guān)。

2013年，美等西方國(guó)家主導(dǎo)、旨在遏制中國(guó)等發(fā)展中國(guó)家獲取高技術(shù)的《瓦森納安排》作了重大修訂，在“網(wǎng)絡(luò)安全”中增加了新的出口控制物項(xiàng)。特別是，增加了對(duì)“入侵軟件”的出口控制。具體涉及到“入侵軟件”中命令和交付平臺(tái)的軟硬件、平臺(tái)開發(fā)生產(chǎn)和利用技術(shù)，以及“入侵軟件”本身的開發(fā)技術(shù)。為此，2015年5月20日，BIS發(fā)布了文件《2013年瓦森納安排全體會(huì)議協(xié)議的實(shí)施：入侵和監(jiān)視物項(xiàng)》，對(duì)如何實(shí)施出口管制提出了初步的規(guī)則，并公開征求社會(huì)意見。

很快，美國(guó)社會(huì)對(duì)這份文件提出了300多條意見建議。主要集中在三個(gè)方面：

一是，監(jiān)管對(duì)象過于寬泛，而且文件的技術(shù)措辭并不能精確描述政府期望達(dá)到的出口管制目標(biāo)。

二是，這份文件為合法的網(wǎng)絡(luò)安全交易帶來了很大的許可證負(fù)擔(dān)。

三是，一些網(wǎng)絡(luò)安全技術(shù)與“開發(fā)”入侵軟件直接關(guān)聯(lián)，如果把上下游技術(shù)管制了，將會(huì)影響網(wǎng)絡(luò)安全創(chuàng)新和研究活動(dòng)。

BIS認(rèn)為，其提出的實(shí)施規(guī)則沒有問題，但可以對(duì)《瓦森納安排》的原文作調(diào)整。為此，在2016年和2017年，美國(guó)政府兩次協(xié)商修改《瓦森納安排》，并于2017年12月公布了修改后的文件。具體修改體現(xiàn)在三個(gè)方面：

一是，對(duì)惡意軟件的行為作了更為清晰的描述，強(qiáng)調(diào)了其“命令和控制”（Command and Control，C&C）功能。

二是，在“入侵軟件”的“開發(fā)”技術(shù)中增加注釋，排除了“漏洞披露”或“網(wǎng)絡(luò)事件響應(yīng)”。

三是，對(duì)“入侵軟件”的生成、命令和控制（C&C）、交付增加注釋，排除了僅具有基礎(chǔ)的軟件更新和升級(jí)功能的產(chǎn)品。

在此基礎(chǔ)上，2021年10月，BIS發(fā)布了針對(duì)網(wǎng)絡(luò)安全物項(xiàng)的出口管制規(guī)則臨時(shí)版本，留出了45天的征求意見期。此后又一再延長(zhǎng)征求意見時(shí)間，直至5月26日發(fā)布最終版本。

二、《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》征求意見情況

2021年10月以來，BIS共收到了對(duì)《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》的12條意見，主要集中在受控網(wǎng)絡(luò)安全產(chǎn)品的精準(zhǔn)形態(tài)和一些概念的理解上。例如，網(wǎng)絡(luò)安全事件檢測(cè)軟件是否在其中？什么叫做“知道或應(yīng)當(dāng)知道被用于他國(guó)”？“政府最終用戶”的范圍有多大？為此，BIS一方面著手出臺(tái)專門的指導(dǎo)性文件，另一方面對(duì)文件中的定義作了更新。

另外，考慮到業(yè)內(nèi)關(guān)注度很高，BIS一再推遲文件的實(shí)施日期，與產(chǎn)業(yè)界進(jìn)行了多次溝通。

但是，《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》對(duì)于與美不在同一陣營(yíng)的他國(guó)政府相當(dāng)敵視。有機(jī)構(gòu)提出，該文件將阻礙同他國(guó)網(wǎng)絡(luò)安全研究人員和漏洞賞金獵人的跨境合作，因?yàn)槌隹谏虒⒉坏貌惶崆罢{(diào)查對(duì)方是否有政府隸屬關(guān)系，故希望BIS刪除有關(guān)要求。對(duì)此，BIS毫不客氣予以了回絕。

三、《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》的新變化

相比于美國(guó)以前的出口管制政策，《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》以下方面作了調(diào)整。

一是，面向國(guó)家安全、反恐需求，新增了出口管制物項(xiàng)。

二是，根據(jù)業(yè)界反饋，對(duì)一些出口管制物項(xiàng)作了澄清，增加了若干注解。

三是，使用了“ACE（授權(quán)網(wǎng)絡(luò)安全出口）許可例外”的概念。即，即如果符合ACE許可例外的條件，則不需申請(qǐng)網(wǎng)絡(luò)安全出口許可證。但同時(shí)，文件又對(duì)ACE的許可例外設(shè)了限制。

四、《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》到底是怎么談漏洞的？

在討論《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》與“漏洞”的關(guān)系時(shí)，有必要澄清以下三個(gè)事實(shí)：

一是，BIS為什么提出“漏洞”問題？一些人認(rèn)為，漏洞是戰(zhàn)略資源，所以美國(guó)要對(duì)這種戰(zhàn)略資源嚴(yán)格管控。漏洞確實(shí)是戰(zhàn)略資源，非同小可，但BIS提到“漏洞”的原因恰恰相反——它是網(wǎng)絡(luò)安全的常規(guī)操作，不能限制太死，也不可能限制住。為此，BIS制定這份文件，是要在對(duì)“入侵軟件”的出口管制中，把“漏洞披露”拿走，事發(fā)于公眾對(duì)“入侵軟件”的理解有困難。

二是，《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》從來沒有提到對(duì)“漏洞”本身的共享和發(fā)布、披露進(jìn)行限制，而是使用的“漏洞披露”。這兩個(gè)概念完全不同。后者指與漏洞檢測(cè)、修補(bǔ)和披露相關(guān)的技術(shù)，因?yàn)檫@被認(rèn)為與“入侵軟件”密切關(guān)聯(lián)。

三是，《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》的出發(fā)點(diǎn)不是管控漏洞披露技術(shù)，故不能認(rèn)為這是一個(gè)針對(duì)漏洞下手的文件。其從未單獨(dú)提到“漏洞披露”（一次也沒有），而是把“漏洞披露”和“事件響應(yīng)”并列提出，均指向技術(shù)。否則，“事件響應(yīng)”又該如何理解呢？

五、《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》到底是怎么限制中國(guó)的？

坦率說，《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》是一個(gè)非常繞的文件，乍一看很難理解其中的邏輯關(guān)系。這源于其對(duì)“漏洞披露”轉(zhuǎn)折了3次。

第一次，文件把“漏洞披露”排除在《瓦森納安排》的出口控制物項(xiàng)中，這在前面已經(jīng)交代。

第二次，文件規(guī)定，“ACE（授權(quán)網(wǎng)絡(luò)安全出口）許可例外”對(duì)幾種“政府最終用戶”不適用（即還是需要嚴(yán)格管控）。

第一種是E:1或E:2的政府最終用戶（伊朗、朝鮮、古巴屬于此類）。

第二種是D:1至D:5地區(qū)的政府最終用戶（中國(guó)屬于D:5）。但如果該國(guó)家或地區(qū)既屬于D:1至D:5，又屬于A:6（例如我國(guó)臺(tái)灣地區(qū)），則可以對(duì)“漏洞披露”和“事件響應(yīng)”技術(shù)豁免。這相當(dāng)于，漏洞披露、事件響應(yīng)技術(shù)不能向大陸的中國(guó)政府用戶出口，但可以向中國(guó)的臺(tái)灣地區(qū)出口。

然而，BIS一開始不是說了漏洞披露、事件響應(yīng)技術(shù)已經(jīng)從《瓦森納安排》的“信息安全”物項(xiàng)中豁免了嗎？這不是前后矛盾嗎？所以BIS又作了注解：對(duì)政府最終用戶而言，ACE許可例外的限制優(yōu)先于《瓦森納安排》對(duì)漏洞披露的豁免——即，繞來繞去還是不能向中國(guó)政府出口漏洞披露技術(shù)。

第三次，文件除了定義了“政府最終用戶”外，還提出了“非政府最終用戶”。對(duì)于D:1至D:5地區(qū)的非政府最終用戶，依然需要嚴(yán)格進(jìn)行出口管控（即，中國(guó)依然屬于嚴(yán)格的出口管制地區(qū)），但如果屬于對(duì)漏洞披露、事件響應(yīng)技術(shù)的出口，則又可以豁免了。即，位于中國(guó)的非政府最終用戶，并不會(huì)受到美國(guó)對(duì)于漏洞披露技術(shù)的出口管制限制。

因此，BIS的《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》沒那么夸張，但我們也不能掉以輕心。至于說，中國(guó)政府使用的美國(guó)公司的操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用軟件等，是不是以后就不能升級(jí)了？這不太可能，因?yàn)槁┒葱畔⒈旧聿⒉皇恰锻呱{安排》和美國(guó)實(shí)施出口管制制度的對(duì)象，其目的是防止所謂的敵對(duì)或競(jìng)爭(zhēng)對(duì)手國(guó)家政府利用漏洞挖掘、漏洞掃描技術(shù)實(shí)施攻擊行為。

但在《信息安全控制：網(wǎng)絡(luò)安全物項(xiàng)》制定過程中，美國(guó)微軟公司也的確向BIS表達(dá)了強(qiáng)烈的反對(duì)——可能是自己人更了解自己人多么壞吧。