美國又對中國網(wǎng)絡(luò)安全下手了,據(jù)說是往死里整,真相如何? |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2022-06-06 瀏覽次數(shù): |
信息來源:安全內(nèi)參 ■ 都知道美國沒有屈原,不過端午節(jié),果然!就在放假前幾天,美國商務(wù)部工業(yè)和安全局(BIS)發(fā)布的一個(gè)文件震驚了中國整個(gè)網(wǎng)絡(luò)安全界,一直還在發(fā)酵。很多人認(rèn)為,這個(gè)文件宣布了對中國的最新制裁措施,即禁止向中國分享漏洞信息。幾乎所有國人都有過使用美國微軟公司操作系統(tǒng)等產(chǎn)品并不斷修補(bǔ)漏洞的經(jīng)驗(yàn),現(xiàn)在發(fā)現(xiàn)漏洞后不告訴你了,你以后用的美國產(chǎn)品都是破銅爛鐵了,那還有什么安全可言?對我們整個(gè)國家而言,這肯定是大事件。當(dāng)今世界,大家?guī)缀醵夹纬闪艘粋€(gè)共識,漏洞是武器,是戰(zhàn)略資源。一個(gè)漏洞話題,可以撐起整個(gè)中國黑客發(fā)展史,也牽引了一直以來的網(wǎng)絡(luò)空間大國暗戰(zhàn)。所以,對美國BIS的這份文件,無論如何重視都不過分。 但是,這份文件真的撕下了遮羞布,公開打響了全球漏洞資源爭奪戰(zhàn)的第一槍嗎?真相到底是什么? 5月26日,美國商務(wù)部工業(yè)和安全局(BIS)在《聯(lián)邦公報(bào)》上發(fā)布了文件《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》。BIS是負(fù)責(zé)實(shí)施美國出口管制制度的部門,其發(fā)布的文件一向十分敏感。此次的文件被廣泛解讀為,美政府將漏洞納入出口管制范圍,劍指中國。這無疑將掀起網(wǎng)絡(luò)空間腥風(fēng)血雨,不但違背技術(shù)規(guī)律、破壞國際慣例,更嚴(yán)重威脅中國國家安全。因此,深入研究美國的政策文件,審慎研判態(tài)勢,科學(xué)制定對策,是當(dāng)務(wù)之急。我們對這份文件進(jìn)行了分析,還原了事件的整個(gè)脈絡(luò)。從戰(zhàn)略上,我們認(rèn)為這件事值得高度重視。從戰(zhàn)術(shù)上,我們發(fā)現(xiàn)業(yè)內(nèi)的部分報(bào)道有些失真,不利于從全局上把握。 一、BIS制定《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》的背景 美國為什么要提出這個(gè)文件?這確實(shí)是專門針對網(wǎng)絡(luò)安全的(但卻不是專門針對漏洞),與其實(shí)施出口管制制度有關(guān)。 2013年,美等西方國家主導(dǎo)、旨在遏制中國等發(fā)展中國家獲取高技術(shù)的《瓦森納安排》作了重大修訂,在“網(wǎng)絡(luò)安全”中增加了新的出口控制物項(xiàng)。特別是,增加了對“入侵軟件”的出口控制。具體涉及到“入侵軟件”中命令和交付平臺的軟硬件、平臺開發(fā)生產(chǎn)和利用技術(shù),以及“入侵軟件”本身的開發(fā)技術(shù)。為此,2015年5月20日,BIS發(fā)布了文件《2013年瓦森納安排全體會(huì)議協(xié)議的實(shí)施:入侵和監(jiān)視物項(xiàng)》,對如何實(shí)施出口管制提出了初步的規(guī)則,并公開征求社會(huì)意見。 很快,美國社會(huì)對這份文件提出了300多條意見建議。主要集中在三個(gè)方面: 一是,監(jiān)管對象過于寬泛,而且文件的技術(shù)措辭并不能精確描述政府期望達(dá)到的出口管制目標(biāo)。 二是,這份文件為合法的網(wǎng)絡(luò)安全交易帶來了很大的許可證負(fù)擔(dān)。 三是,一些網(wǎng)絡(luò)安全技術(shù)與“開發(fā)”入侵軟件直接關(guān)聯(lián),如果把上下游技術(shù)管制了,將會(huì)影響網(wǎng)絡(luò)安全創(chuàng)新和研究活動(dòng)。 BIS認(rèn)為,其提出的實(shí)施規(guī)則沒有問題,但可以對《瓦森納安排》的原文作調(diào)整。為此,在2016年和2017年,美國政府兩次協(xié)商修改《瓦森納安排》,并于2017年12月公布了修改后的文件。具體修改體現(xiàn)在三個(gè)方面: 一是,對惡意軟件的行為作了更為清晰的描述,強(qiáng)調(diào)了其“命令和控制”(Command and Control,C&C)功能。 二是,在“入侵軟件”的“開發(fā)”技術(shù)中增加注釋,排除了“漏洞披露”或“網(wǎng)絡(luò)事件響應(yīng)”。 三是,對“入侵軟件”的生成、命令和控制(C&C)、交付增加注釋,排除了僅具有基礎(chǔ)的軟件更新和升級功能的產(chǎn)品。 在此基礎(chǔ)上,2021年10月,BIS發(fā)布了針對網(wǎng)絡(luò)安全物項(xiàng)的出口管制規(guī)則臨時(shí)版本,留出了45天的征求意見期。此后又一再延長征求意見時(shí)間,直至5月26日發(fā)布最終版本。 二、《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》征求意見情況 2021年10月以來,BIS共收到了對《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》的12條意見,主要集中在受控網(wǎng)絡(luò)安全產(chǎn)品的精準(zhǔn)形態(tài)和一些概念的理解上。例如,網(wǎng)絡(luò)安全事件檢測軟件是否在其中?什么叫做“知道或應(yīng)當(dāng)知道被用于他國”?“政府最終用戶”的范圍有多大?為此,BIS一方面著手出臺專門的指導(dǎo)性文件,另一方面對文件中的定義作了更新。 另外,考慮到業(yè)內(nèi)關(guān)注度很高,BIS一再推遲文件的實(shí)施日期,與產(chǎn)業(yè)界進(jìn)行了多次溝通。 但是,《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》對于與美不在同一陣營的他國政府相當(dāng)敵視。有機(jī)構(gòu)提出,該文件將阻礙同他國網(wǎng)絡(luò)安全研究人員和漏洞賞金獵人的跨境合作,因?yàn)槌隹谏虒⒉坏貌惶崆罢{(diào)查對方是否有政府隸屬關(guān)系,故希望BIS刪除有關(guān)要求。對此,BIS毫不客氣予以了回絕。 三、《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》的新變化 相比于美國以前的出口管制政策,《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》以下方面作了調(diào)整。 一是,面向國家安全、反恐需求,新增了出口管制物項(xiàng)。 二是,根據(jù)業(yè)界反饋,對一些出口管制物項(xiàng)作了澄清,增加了若干注解。 三是,使用了“ACE(授權(quán)網(wǎng)絡(luò)安全出口)許可例外”的概念。即,即如果符合ACE許可例外的條件,則不需申請網(wǎng)絡(luò)安全出口許可證。但同時(shí),文件又對ACE的許可例外設(shè)了限制。 四、《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》到底是怎么談漏洞的? 在討論《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》與“漏洞”的關(guān)系時(shí),有必要澄清以下三個(gè)事實(shí): 一是,BIS為什么提出“漏洞”問題?一些人認(rèn)為,漏洞是戰(zhàn)略資源,所以美國要對這種戰(zhàn)略資源嚴(yán)格管控。漏洞確實(shí)是戰(zhàn)略資源,非同小可,但BIS提到“漏洞”的原因恰恰相反——它是網(wǎng)絡(luò)安全的常規(guī)操作,不能限制太死,也不可能限制住。為此,BIS制定這份文件,是要在對“入侵軟件”的出口管制中,把“漏洞披露”拿走,事發(fā)于公眾對“入侵軟件”的理解有困難。 二是,《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》從來沒有提到對“漏洞”本身的共享和發(fā)布、披露進(jìn)行限制,而是使用的“漏洞披露”。這兩個(gè)概念完全不同。后者指與漏洞檢測、修補(bǔ)和披露相關(guān)的技術(shù),因?yàn)檫@被認(rèn)為與“入侵軟件”密切關(guān)聯(lián)。 三是,《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》的出發(fā)點(diǎn)不是管控漏洞披露技術(shù),故不能認(rèn)為這是一個(gè)針對漏洞下手的文件。其從未單獨(dú)提到“漏洞披露”(一次也沒有),而是把“漏洞披露”和“事件響應(yīng)”并列提出,均指向技術(shù)。否則,“事件響應(yīng)”又該如何理解呢? 五、《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》到底是怎么限制中國的? 坦率說,《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》是一個(gè)非常繞的文件,乍一看很難理解其中的邏輯關(guān)系。這源于其對“漏洞披露”轉(zhuǎn)折了3次。 第一次,文件把“漏洞披露”排除在《瓦森納安排》的出口控制物項(xiàng)中,這在前面已經(jīng)交代。 第二次,文件規(guī)定,“ACE(授權(quán)網(wǎng)絡(luò)安全出口)許可例外”對幾種“政府最終用戶”不適用(即還是需要嚴(yán)格管控)。 第一種是E:1或E:2的政府最終用戶(伊朗、朝鮮、古巴屬于此類)。 第二種是D:1至D:5地區(qū)的政府最終用戶(中國屬于D:5)。但如果該國家或地區(qū)既屬于D:1至D:5,又屬于A:6(例如我國臺灣地區(qū)),則可以對“漏洞披露”和“事件響應(yīng)”技術(shù)豁免。這相當(dāng)于,漏洞披露、事件響應(yīng)技術(shù)不能向大陸的中國政府用戶出口,但可以向中國的臺灣地區(qū)出口。 然而,BIS一開始不是說了漏洞披露、事件響應(yīng)技術(shù)已經(jīng)從《瓦森納安排》的“信息安全”物項(xiàng)中豁免了嗎?這不是前后矛盾嗎?所以BIS又作了注解:對政府最終用戶而言,ACE許可例外的限制優(yōu)先于《瓦森納安排》對漏洞披露的豁免——即,繞來繞去還是不能向中國政府出口漏洞披露技術(shù)。 第三次,文件除了定義了“政府最終用戶”外,還提出了“非政府最終用戶”。對于D:1至D:5地區(qū)的非政府最終用戶,依然需要嚴(yán)格進(jìn)行出口管控(即,中國依然屬于嚴(yán)格的出口管制地區(qū)),但如果屬于對漏洞披露、事件響應(yīng)技術(shù)的出口,則又可以豁免了。即,位于中國的非政府最終用戶,并不會(huì)受到美國對于漏洞披露技術(shù)的出口管制限制。 因此,BIS的《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》沒那么夸張,但我們也不能掉以輕心。至于說,中國政府使用的美國公司的操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件等,是不是以后就不能升級了?這不太可能,因?yàn)槁┒葱畔⒈旧聿⒉皇恰锻呱{安排》和美國實(shí)施出口管制制度的對象,其目的是防止所謂的敵對或競爭對手國家政府利用漏洞挖掘、漏洞掃描技術(shù)實(shí)施攻擊行為。 但在《信息安全控制:網(wǎng)絡(luò)安全物項(xiàng)》制定過程中,美國微軟公司也的確向BIS表達(dá)了強(qiáng)烈的反對——可能是自己人更了解自己人多么壞吧。 |
上一篇:富士康墨西哥工廠遭勒索軟件攻擊 下一篇:2022年6月6日聚銘安全速遞 |