■ 都知道美国没有屈原,不过端午节,果然!就在放假前几天,美国商务部工业和安全局(BIS)发布的一个文件震惊了中国整个网络安全界,一直还在发酵。很多人认为,这个文件宣布了对中国的最新制裁措施,即禁止向中国分享漏洞信息。几乎所有国人都有过使用美国微软公司操作系统等产品并不断修补漏洞的经验,现在发现漏洞后不告诉你了,你以后用的美国产品都是破铜烂铁了,那还有什么安全可言?对我们整个国家而言,这肯定是大事件。当今世界,大家几乎都形成了一个共识,漏洞是武器,是战略资源。一个漏洞话题,可以撑起整个中国黑客发展史,也牵引了一直以来的网络空间大国暗战。所以,对美国BIS的这份文件,无论如何重视都不过分。
但是,这份文件真的撕下了遮羞布,公开打响了全球漏洞资源争夺战的第一枪吗?真相到底是什么?
5月26日,美国商务部工业和安全局(BIS)在《联邦公报》上发布了文件《信息安全控制:网络安全物项》。BIS是负责实施美国出口管制制度的部门,其发布的文件一向十分敏感。此次的文件被广泛解读为,美政府将漏洞纳入出口管制范围,剑指中国。这无疑将掀起网络空间腥风血雨,不但违背技术规律、破坏国际惯例,更严重威胁中国国家安全。因此,深入研究美国的政策文件,审慎研判态势,科学制定对策,是当务之急。我们对这份文件进行了分析,还原了事件的整个脉络。从战略上,我们认为这件事值得高度重视。从战术上,我们发现业内的部分报道有些失真,不利于从全局上把握。
一、BIS制定《信息安全控制:网络安全物项》的背景
美国为什么要提出这个文件?这确实是专门针对网络安全的(但却不是专门针对漏洞),与其实施出口管制制度有关。
2013年,美等西方国家主导、旨在遏制中国等发展中国家获取高技术的《瓦森纳安排》作了重大修订,在“网络安全”中增加了新的出口控制物项。特别是,增加了对“入侵软件”的出口控制。具体涉及到“入侵软件”中命令和交付平台的软硬件、平台开发生产和利用技术,以及“入侵软件”本身的开发技术。为此,2015年5月20日,BIS发布了文件《2013年瓦森纳安排全体会议协议的实施:入侵和监视物项》,对如何实施出口管制提出了初步的规则,并公开征求社会意见。
很快,美国社会对这份文件提出了300多条意见建议。主要集中在三个方面:
一是,监管对象过于宽泛,而且文件的技术措辞并不能精确描述政府期望达到的出口管制目标。
二是,这份文件为合法的网络安全交易带来了很大的许可证负担。
三是,一些网络安全技术与“开发”入侵软件直接关联,如果把上下游技术管制了,将会影响网络安全创新和研究活动。
BIS认为,其提出的实施规则没有问题,但可以对《瓦森纳安排》的原文作调整。为此,在2016年和2017年,美国政府两次协商修改《瓦森纳安排》,并于2017年12月公布了修改后的文件。具体修改体现在三个方面:
一是,对恶意软件的行为作了更为清晰的描述,强调了其“命令和控制”(Command and Control,C&C)功能。
二是,在“入侵软件”的“开发”技术中增加注释,排除了“漏洞披露”或“网络事件响应”。
三是,对“入侵软件”的生成、命令和控制(C&C)、交付增加注释,排除了仅具有基础的软件更新和升级功能的产品。
在此基础上,2021年10月,BIS发布了针对网络安全物项的出口管制规则临时版本,留出了45天的征求意见期。此后又一再延长征求意见时间,直至5月26日发布最终版本。
二、《信息安全控制:网络安全物项》征求意见情况
2021年10月以来,BIS共收到了对《信息安全控制:网络安全物项》的12条意见,主要集中在受控网络安全产品的精准形态和一些概念的理解上。例如,网络安全事件检测软件是否在其中?什么叫做“知道或应当知道被用于他国”?“政府最终用户”的范围有多大?为此,BIS一方面着手出台专门的指导性文件,另一方面对文件中的定义作了更新。
另外,考虑到业内关注度很高,BIS一再推迟文件的实施日期,与产业界进行了多次沟通。
但是,《信息安全控制:网络安全物项》对于与美不在同一阵营的他国政府相当敌视。有机构提出,该文件将阻碍同他国网络安全研究人员和漏洞赏金猎人的跨境合作,因为出口商将不得不提前调查对方是否有政府隶属关系,故希望BIS删除有关要求。对此,BIS毫不客气予以了回绝。
三、《信息安全控制:网络安全物项》的新变化
相比于美国以前的出口管制政策,《信息安全控制:网络安全物项》以下方面作了调整。
一是,面向国家安全、反恐需求,新增了出口管制物项。
二是,根据业界反馈,对一些出口管制物项作了澄清,增加了若干注解。
三是,使用了“ACE(授权网络安全出口)许可例外”的概念。即,即如果符合ACE许可例外的条件,则不需申请网络安全出口许可证。但同时,文件又对ACE的许可例外设了限制。
四、《信息安全控制:网络安全物项》到底是怎么谈漏洞的?
在讨论《信息安全控制:网络安全物项》与“漏洞”的关系时,有必要澄清以下三个事实:
一是,BIS为什么提出“漏洞”问题?一些人认为,漏洞是战略资源,所以美国要对这种战略资源严格管控。漏洞确实是战略资源,非同小可,但BIS提到“漏洞”的原因恰恰相反——它是网络安全的常规操作,不能限制太死,也不可能限制住。为此,BIS制定这份文件,是要在对“入侵软件”的出口管制中,把“漏洞披露”拿走,事发于公众对“入侵软件”的理解有困难。
二是,《信息安全控制:网络安全物项》从来没有提到对“漏洞”本身的共享和发布、披露进行限制,而是使用的“漏洞披露”。这两个概念完全不同。后者指与漏洞检测、修补和披露相关的技术,因为这被认为与“入侵软件”密切关联。
三是,《信息安全控制:网络安全物项》的出发点不是管控漏洞披露技术,故不能认为这是一个针对漏洞下手的文件。其从未单独提到“漏洞披露”(一次也没有),而是把“漏洞披露”和“事件响应”并列提出,均指向技术。否则,“事件响应”又该如何理解呢?
五、《信息安全控制:网络安全物项》到底是怎么限制中国的?
坦率说,《信息安全控制:网络安全物项》是一个非常绕的文件,乍一看很难理解其中的逻辑关系。这源于其对“漏洞披露”转折了3次。
第一次,文件把“漏洞披露”排除在《瓦森纳安排》的出口控制物项中,这在前面已经交代。
第二次,文件规定,“ACE(授权网络安全出口)许可例外”对几种“政府最终用户”不适用(即还是需要严格管控)。
第一种是E:1或E:2的政府最终用户(伊朗、朝鲜、古巴属于此类)。
第二种是D:1至D:5地区的政府最终用户(中国属于D:5)。但如果该国家或地区既属于D:1至D:5,又属于A:6(例如我国台湾地区),则可以对“漏洞披露”和“事件响应”技术豁免。这相当于,漏洞披露、事件响应技术不能向大陆的中国政府用户出口,但可以向中国的台湾地区出口。
然而,BIS一开始不是说了漏洞披露、事件响应技术已经从《瓦森纳安排》的“信息安全”物项中豁免了吗?这不是前后矛盾吗?所以BIS又作了注解:对政府最终用户而言,ACE许可例外的限制优先于《瓦森纳安排》对漏洞披露的豁免——即,绕来绕去还是不能向中国政府出口漏洞披露技术。
第三次,文件除了定义了“政府最终用户”外,还提出了“非政府最终用户”。对于D:1至D:5地区的非政府最终用户,依然需要严格进行出口管控(即,中国依然属于严格的出口管制地区),但如果属于对漏洞披露、事件响应技术的出口,则又可以豁免了。即,位于中国的非政府最终用户,并不会受到美国对于漏洞披露技术的出口管制限制。
因此,BIS的《信息安全控制:网络安全物项》没那么夸张,但我们也不能掉以轻心。至于说,中国政府使用的美国公司的操作系统、数据库、应用软件等,是不是以后就不能升级了?这不太可能,因为漏洞信息本身并不是《瓦森纳安排》和美国实施出口管制制度的对象,其目的是防止所谓的敌对或竞争对手国家政府利用漏洞挖掘、漏洞扫描技术实施攻击行为。
但在《信息安全控制:网络安全物项》制定过程中,美国微软公司也的确向BIS表达了强烈的反对——可能是自己人更了解自己人多么坏吧。
|小贝结语|
■ 看完了BIS的文件,小贝突然理解了美国为什么有那么多律师——这可不是一般的绕。但万变不离其宗,其遏制和击败中国的战略意图是不会变的。我们也当以不变应万变,那就是,打铁还得自身硬。最后小贝祝大家端午节快乐,一同纪念伟大的爱国诗人。“路漫漫其修远兮,吾将上下而求索。”
声明:本文来自小贝说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。