Redian新闻
>
有漏洞也不告诉中国!美国这是要毁掉全球网络安全共享机制了?

有漏洞也不告诉中国!美国这是要毁掉全球网络安全共享机制了?

科技
作者洪雨晗
邮箱[email protected]
以后,微软想给你的电脑更新一个补丁,也需要先经过美国政府的同意。
5月26日,一声令下,BIS(美国商务部工业和安全局)主导的《信息安全控制:网络安全物项》正式发布。该规定称出于“国家安全和防恐考虑”,包括中国、俄罗斯、乌克兰、越南等在内的多个国家和地区被划分为D类“受限制国家和地区”,这意味着当美国实体与该区域的“政府最终用户”分享网络安全事项时,需要先向美国政府申请,获得许可后才能跨境发送可能存在的网络安全漏洞。
图源:美国商务部工业和安全局
在数字化浪潮席卷全球的大背景下,国际社会因对网络、数据安全及个人数据隐私相关立法还不够健全,的确都在加强对上述领域的监管。如,我国自2017年发布《网络安全法》后,2021年又连续发布实施了《数据安全法》《关键基础设施保护条例》,并在2021、2022年两届《政府工作报告》中都强调了“强化网络安全、数据安全和个人信息保护”。
但是,很少有国家就自家网络公司的民用商业软件出口,基于网络安全物项考量做出限制,因为这项规定直接影响的是本土跨国企业以及它们服务的大量普通用户的利益和安全。如,谷歌曾透露搭载安卓系统的智能手机/平板数量超过了30亿台,微软则表示有超过14亿人使用Windows操作系统,用户遍布全球,谷歌、微软都有跨国、跨部门的网络安全团队并实时共享数据信息,部分开源项目甚至不限制第三方参与,以便随时更新补丁、修补漏洞,而BIS新规相对国际网络安全领域长久以来的漏洞分享机制必然会造成影响。
包括微软在内的多家公司曾对BIS的新规提出异议,微软表示BIS对“政府最终用户”的定位过于宽泛,在新规草案的建议中希望BIS能明确定义“政府最终用户”所代指的个人或实体,微软还表示向BIS提交申请也面临着审核时间过长的问题,此外,新规将使公司与网络安全研究人员和漏洞赏金猎人的跨境合作变得冷淡,因为出口商在与这些个人或实体沟通之前,将被要求检查个人是否与政府有关联。
图源:微软文件截图
BIS虽然承认了微软所担忧的问题,但最终拒绝了该提议,BIS认为微软的建议将破坏新规的整体意义,BIS在回应中表示:“然而,由于许可证要求的范围和适用性有限,BIS认为该要求将保护美国的国家安全和外交政策利益,而不会对合法的网络安全活动造成不当影响。”
BIS拒绝微软建议的原因不难理解,BIS的新规脱胎于瓦森纳协议(全称《关于常规武器和两用物品及技术出口控制的瓦森纳协定》),其目的就在于对成员国包括“入侵软件”在内的“军事和两用技术”的出口进行政策性管控。瓦森纳协议成员国由美国、日本、英国、俄罗斯等42个成员国组成。虽然协议规定成员国可参照共同的管制原则和清单自行决定实施出口管制的措施和方式,但成员国家若拟向中国出口某项高科技设备时,美国通常会向该成员国施加压力,干涉交易。
图源:瓦森纳协定
如今,随着网络安全、数据安全在社会中扮演的角色日益重要,美国也亟需扩大瓦森纳协议的管控范围,把网络安全领域的管控纳入到瓦森纳协议中来。
去年10月,BIS在发布“禁止攻击性网络工具出口”的规定时,美国商务部长吉娜·雷蒙多就强调:“对某些网络安全项目实施出口管制的临时最终规则是一种适当定制的方法,可以保护美国的国家安全免受恶意网络行为者的侵害,同时确保合法的网络安全活动。”因此,BIS近日出台的新规与去年10月发布的征求意见稿相比变化不大。
当然,美国保护自身的网络安全只是其一,在信息安全领域对中国进行技术封锁则是另一重要目的。火线安全联合创始人曾垚对品玩表示:“中国并不在瓦森纳协议的成员国当中,本次美国商务部工业和安全局的限令可看作是继2020年起对部分国家在芯片领域采取严厉限制后,向另一重要领域——信息安全领域的延伸。”
在互联网与社会深度融合、各类应用日益丰富的当下,其背后的网络安全问题其实暗流汹涌。在去年年末爆发的史诗级漏洞“Log4j”事件中,火线安全对Github上的存在该风险开源软件进行了不完全统计,发现在60644个开源项目中有至少321094个软件包存在风险,仅这一漏洞就会影响互联网上超过70%的企业系统安全。
而在全球肆虐的史诗级漏洞“Log4j”的最早发现者却是一位来自中国公司的程序员,该漏洞的修复也不是由一个人、一家公司或是一个国家来主导完成的,是开源社区内无数开发者经过数个日夜无偿加班加点完成修复的。
BIS新规的发布对全球网络安全问题的共享解决机制无疑是一次打击。
“虽然短期来看有利于BIS可以快速通过新规降低中国等国家在软件安全性和安全漏洞发现能力,但长期来看弊端明显,”曾垚对品玩表示,“首先,BIS新规会加速中国等国的软件国产化。其次,新规减少了美国获取全球漏洞信息和情报的能力。从HackerOne、PWN2OWN等全球漏洞比赛来看,中国的漏洞发现能力在全球也位于前位,限制会进一步触发中国漏洞研究能力的输入。最后,美国科技企业因无法向限制国家提供网络漏洞的情报服务,将影响该国企业的网络安全响应能力进而影响商业拓展。”
在地缘政治冲突的大背景下,互联网似乎似乎已不再是那个传统意义上开放、共享的公共领域,网络安全事项的管控也逐渐和武器设备、核材料、高科技设备的管控放到了同一位置,虽然各国对网络安全事项的管控还处于摸索阶段,但美国无疑做了一个坏的表率。



· 文章版权归品玩所有,未经授权不得转载。
· 发送关键词 转载合作招聘 到品玩微信公众号,获得相应信息。
· 您亦可在微博、知乎、今日头条、百家号上关注我们。

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
故事美国突然宣布,彻底放开!澳洲中国等国去,再也没有边境这限制了!中国重开美国公民赴中探亲工作签证,这是要开国门了吗?两个消息让我深感不安:一个要毁我历史,一个要灭我未来!龙卷风健康快递 163“毁掉一个人很简单,只需要毁了她的童年”:在打击和冷漠中长大的孩子,如何爱自己?有人特别想“羊”民国哀鸿遍野蒋介石骂谎报滥调终于踏上回国路,分享机票候补成功经验头秃也能环保??全球网友存下脱发:我的福气在后头……毁坏青麦是为了做饲料?这不只是要断我们的粮,更是要断我们的根洗头总掉头发,是要秃了吗?告诉你一个脱发的真相……我学语文教语文的一生(47)“社牛”火烈鸟的美容秘密,一般人我不告诉他离婚半年,汪小菲被锤婚内出轨后发疯:我要毁掉大s的下半生拜登给乌克兰330亿美元,这是要反推俄罗斯?dating快三个月了,男生还不告白,我是该进一步吗求求内娱顶流,不要毁了这国产9.0欧洲最大水上乐园居然在英国!夏天就是要玩水!美哭!今年“超级花血月”时长创纪录!快看全球网友晒的图不给钱就下架还不够,苹果这是要逼着开发者整活?宋方金:编剧与责编之间需要更良好的沟通机制和项目机制“这是要稳定人民币汇率的清晰信号”突发:墨尔本多地枪声大作!校园旁一人被当街打死!民宅遭扫射数十抢,子弹乱飞1公里,这是要变美国吗?云安全中心API应急漏洞扫描实战硬核观察 #632 F5 的 BIG-IP 防火墙出现 9.8 级严重安全漏洞波士顿35°C?太离谱,破纪录危险高温周末来袭!这是要把人热懵啊.....扎心!美女在中国工作,全球网寻失踪男友 结局没想到你的基因数据可能泄露了!占中国70%市场的因美纳爆十年来最大安全漏洞现代人结婚已经不告诉亲戚了国际 | 国际清算银行宣布多个新项目,扩大网络安全和绿色金融实验奥克维尔优质房源精选:这么好的独立屋一般人我绝不告诉……小哥变完性后悔了!怎么不告诉我手术后遗症这么多!起诉NHS:你们怎么能让我变性呢?网络安全公司跨界数据库,Cloudflare推出云数据库产品D1德普回归《加勒比海盗》?!全球网友欢呼!结果又出事了...
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。