行業(yè)動態(tài)

美國又對中國網(wǎng)絡(luò)安全下手了,據(jù)說是往死里整,真相如何?

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2022-06-06    瀏覽次數(shù):
 

信息來源:安全內(nèi)參

■ 都知道美國沒有屈原,不過端午節(jié),果然!就在放假前幾天,美國商務(wù)部工業(yè)和安全局(BIS)發(fā)布的一個文件震驚了中國整個網(wǎng)絡(luò)安全界,一直還在發(fā)酵。很多人認為,這個文件宣布了對中國的最新制裁措施,即禁止向中國分享漏洞信息。幾乎所有國人都有過使用美國微軟公司操作系統(tǒng)等產(chǎn)品并不斷修補漏洞的經(jīng)驗,現(xiàn)在發(fā)現(xiàn)漏洞后不告訴你了,你以后用的美國產(chǎn)品都是破銅爛鐵了,那還有什么安全可言?對我們整個國家而言,這肯定是大事件。當今世界,大家?guī)缀醵夹纬闪艘粋€共識,漏洞是武器,是戰(zhàn)略資源。一個漏洞話題,可以撐起整個中國黑客發(fā)展史,也牽引了一直以來的網(wǎng)絡(luò)空間大國暗戰(zhàn)。所以,對美國BIS的這份文件,無論如何重視都不過分。

但是,這份文件真的撕下了遮羞布,公開打響了全球漏洞資源爭奪戰(zhàn)的第一槍嗎?真相到底是什么?

5月26日,美國商務(wù)部工業(yè)和安全局(BIS)在《聯(lián)邦公報》上發(fā)布了文件《信息安全控制:網(wǎng)絡(luò)安全物項》。BIS是負責實施美國出口管制制度的部門,其發(fā)布的文件一向十分敏感。此次的文件被廣泛解讀為,美政府將漏洞納入出口管制范圍,劍指中國。這無疑將掀起網(wǎng)絡(luò)空間腥風血雨,不但違背技術(shù)規(guī)律、破壞國際慣例,更嚴重威脅中國國家安全。因此,深入研究美國的政策文件,審慎研判態(tài)勢,科學制定對策,是當務(wù)之急。我們對這份文件進行了分析,還原了事件的整個脈絡(luò)。從戰(zhàn)略上,我們認為這件事值得高度重視。從戰(zhàn)術(shù)上,我們發(fā)現(xiàn)業(yè)內(nèi)的部分報道有些失真,不利于從全局上把握。

一、BIS制定《信息安全控制:網(wǎng)絡(luò)安全物項》的背景

美國為什么要提出這個文件?這確實是專門針對網(wǎng)絡(luò)安全的(但卻不是專門針對漏洞),與其實施出口管制制度有關(guān)。

2013年,美等西方國家主導、旨在遏制中國等發(fā)展中國家獲取高技術(shù)的《瓦森納安排》作了重大修訂,在“網(wǎng)絡(luò)安全”中增加了新的出口控制物項。特別是,增加了對“入侵軟件”的出口控制。具體涉及到“入侵軟件”中命令和交付平臺的軟硬件、平臺開發(fā)生產(chǎn)和利用技術(shù),以及“入侵軟件”本身的開發(fā)技術(shù)。為此,2015年5月20日,BIS發(fā)布了文件《2013年瓦森納安排全體會議協(xié)議的實施:入侵和監(jiān)視物項》,對如何實施出口管制提出了初步的規(guī)則,并公開征求社會意見。

很快,美國社會對這份文件提出了300多條意見建議。主要集中在三個方面:

一是,監(jiān)管對象過于寬泛,而且文件的技術(shù)措辭并不能精確描述政府期望達到的出口管制目標。

二是,這份文件為合法的網(wǎng)絡(luò)安全交易帶來了很大的許可證負擔。

三是,一些網(wǎng)絡(luò)安全技術(shù)與“開發(fā)”入侵軟件直接關(guān)聯(lián),如果把上下游技術(shù)管制了,將會影響網(wǎng)絡(luò)安全創(chuàng)新和研究活動。

BIS認為,其提出的實施規(guī)則沒有問題,但可以對《瓦森納安排》的原文作調(diào)整。為此,在2016年和2017年,美國政府兩次協(xié)商修改《瓦森納安排》,并于2017年12月公布了修改后的文件。具體修改體現(xiàn)在三個方面:

一是,對惡意軟件的行為作了更為清晰的描述,強調(diào)了其“命令和控制”(Command and Control,C&C)功能。

二是,在“入侵軟件”的“開發(fā)”技術(shù)中增加注釋,排除了“漏洞披露”或“網(wǎng)絡(luò)事件響應(yīng)”。

三是,對“入侵軟件”的生成、命令和控制(C&C)、交付增加注釋,排除了僅具有基礎(chǔ)的軟件更新和升級功能的產(chǎn)品。

在此基礎(chǔ)上,2021年10月,BIS發(fā)布了針對網(wǎng)絡(luò)安全物項的出口管制規(guī)則臨時版本,留出了45天的征求意見期。此后又一再延長征求意見時間,直至5月26日發(fā)布最終版本。

二、《信息安全控制:網(wǎng)絡(luò)安全物項》征求意見情況

2021年10月以來,BIS共收到了對《信息安全控制:網(wǎng)絡(luò)安全物項》的12條意見,主要集中在受控網(wǎng)絡(luò)安全產(chǎn)品的精準形態(tài)和一些概念的理解上。例如,網(wǎng)絡(luò)安全事件檢測軟件是否在其中?什么叫做“知道或應(yīng)當知道被用于他國”?“政府最終用戶”的范圍有多大?為此,BIS一方面著手出臺專門的指導性文件,另一方面對文件中的定義作了更新。

另外,考慮到業(yè)內(nèi)關(guān)注度很高,BIS一再推遲文件的實施日期,與產(chǎn)業(yè)界進行了多次溝通。

但是,《信息安全控制:網(wǎng)絡(luò)安全物項》對于與美不在同一陣營的他國政府相當敵視。有機構(gòu)提出,該文件將阻礙同他國網(wǎng)絡(luò)安全研究人員和漏洞賞金獵人的跨境合作,因為出口商將不得不提前調(diào)查對方是否有政府隸屬關(guān)系,故希望BIS刪除有關(guān)要求。對此,BIS毫不客氣予以了回絕。

三、《信息安全控制:網(wǎng)絡(luò)安全物項》的新變化

相比于美國以前的出口管制政策,《信息安全控制:網(wǎng)絡(luò)安全物項》以下方面作了調(diào)整。

一是,面向國家安全、反恐需求,新增了出口管制物項。

二是,根據(jù)業(yè)界反饋,對一些出口管制物項作了澄清,增加了若干注解。

三是,使用了“ACE(授權(quán)網(wǎng)絡(luò)安全出口)許可例外”的概念。即,即如果符合ACE許可例外的條件,則不需申請網(wǎng)絡(luò)安全出口許可證。但同時,文件又對ACE的許可例外設(shè)了限制。

四、《信息安全控制:網(wǎng)絡(luò)安全物項》到底是怎么談漏洞的?

在討論《信息安全控制:網(wǎng)絡(luò)安全物項》與“漏洞”的關(guān)系時,有必要澄清以下三個事實:

一是,BIS為什么提出“漏洞”問題?一些人認為,漏洞是戰(zhàn)略資源,所以美國要對這種戰(zhàn)略資源嚴格管控。漏洞確實是戰(zhàn)略資源,非同小可,但BIS提到“漏洞”的原因恰恰相反——它是網(wǎng)絡(luò)安全的常規(guī)操作,不能限制太死,也不可能限制住。為此,BIS制定這份文件,是要在對“入侵軟件”的出口管制中,把“漏洞披露”拿走,事發(fā)于公眾對“入侵軟件”的理解有困難。

二是,《信息安全控制:網(wǎng)絡(luò)安全物項》從來沒有提到對“漏洞”本身的共享和發(fā)布、披露進行限制,而是使用的“漏洞披露”。這兩個概念完全不同。后者指與漏洞檢測、修補和披露相關(guān)的技術(shù),因為這被認為與“入侵軟件”密切關(guān)聯(lián)。

三是,《信息安全控制:網(wǎng)絡(luò)安全物項》的出發(fā)點不是管控漏洞披露技術(shù),故不能認為這是一個針對漏洞下手的文件。其從未單獨提到“漏洞披露”(一次也沒有),而是把“漏洞披露”和“事件響應(yīng)”并列提出,均指向技術(shù)。否則,“事件響應(yīng)”又該如何理解呢?

五、《信息安全控制:網(wǎng)絡(luò)安全物項》到底是怎么限制中國的?

坦率說,《信息安全控制:網(wǎng)絡(luò)安全物項》是一個非常繞的文件,乍一看很難理解其中的邏輯關(guān)系。這源于其對“漏洞披露”轉(zhuǎn)折了3次。

第一次,文件把“漏洞披露”排除在《瓦森納安排》的出口控制物項中,這在前面已經(jīng)交代。

第二次,文件規(guī)定,“ACE(授權(quán)網(wǎng)絡(luò)安全出口)許可例外”對幾種“政府最終用戶”不適用(即還是需要嚴格管控)。

第一種是E:1或E:2的政府最終用戶(伊朗、朝鮮、古巴屬于此類)。

第二種是D:1至D:5地區(qū)的政府最終用戶(中國屬于D:5)。但如果該國家或地區(qū)既屬于D:1至D:5,又屬于A:6(例如我國臺灣地區(qū)),則可以對“漏洞披露”和“事件響應(yīng)”技術(shù)豁免。這相當于,漏洞披露、事件響應(yīng)技術(shù)不能向大陸的中國政府用戶出口,但可以向中國的臺灣地區(qū)出口。

然而,BIS一開始不是說了漏洞披露、事件響應(yīng)技術(shù)已經(jīng)從《瓦森納安排》的“信息安全”物項中豁免了嗎?這不是前后矛盾嗎?所以BIS又作了注解:對政府最終用戶而言,ACE許可例外的限制優(yōu)先于《瓦森納安排》對漏洞披露的豁免——即,繞來繞去還是不能向中國政府出口漏洞披露技術(shù)。

第三次,文件除了定義了“政府最終用戶”外,還提出了“非政府最終用戶”。對于D:1至D:5地區(qū)的非政府最終用戶,依然需要嚴格進行出口管控(即,中國依然屬于嚴格的出口管制地區(qū)),但如果屬于對漏洞披露、事件響應(yīng)技術(shù)的出口,則又可以豁免了。即,位于中國的非政府最終用戶,并不會受到美國對于漏洞披露技術(shù)的出口管制限制。

因此,BIS的《信息安全控制:網(wǎng)絡(luò)安全物項》沒那么夸張,但我們也不能掉以輕心。至于說,中國政府使用的美國公司的操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件等,是不是以后就不能升級了?這不太可能,因為漏洞信息本身并不是《瓦森納安排》和美國實施出口管制制度的對象,其目的是防止所謂的敵對或競爭對手國家政府利用漏洞挖掘、漏洞掃描技術(shù)實施攻擊行為。

但在《信息安全控制:網(wǎng)絡(luò)安全物項》制定過程中,美國微軟公司也的確向BIS表達了強烈的反對——可能是自己人更了解自己人多么壞吧。

 
 

上一篇:富士康墨西哥工廠遭勒索軟件攻擊

下一篇:2022年6月6日聚銘安全速遞