美国禁止向我国分享安全漏洞或是搬起石头砸自己的脚！

出品丨自主可控新鲜事

转载请注明出处

正文共1916字，建议阅读时间5分钟

5月26日，美国商务部工业和安全局（BIS）在《联邦公报》上发布针对网络安全领域的最新出口管制规定《信息安全控制：网络安全物项》（No. 220520-0118）。新规将全球国家分为A、B、D、E四类，从A到E的限制措施和严格程度都逐步升级。中国等48个国家被划分为D类，即“最受关注的、受限制国家和地区”。

按照这个规定，如果美国的公司要向D类国家和地区的“政府最终用户”（government end user）分享网络安全事项（如漏洞披露、网络安全事件响应等），都需要先向美国政府申请并获得许可。

简单来说，就是美国实体（网络安全机构或操作系统企业）与中国政府相关的组织和个人合作时，如果发现安全漏洞和信息，不能直接发布，先要通过美国商务部的审批。不出意外的是，这次出口管制也是出于“国家安全和反恐考虑”。

从上图可以看到，中国在国家安全、生化、导弹技术、美国武器禁运这四项都被画了x,显然美国是在变相“制裁”中国的网络安全领域。

网络空间安全至关重要，美一味制裁是搬起石头砸自己的脚

相对应的，2021年10月，美国商务部工业和安全局（BIS）发布临时规定，要求“禁止攻击性网络工具出口”，旨在阻止美国实体单位向中、俄出售攻击性网络工具，并同时限制对D组国家政府（我国被列为D组国家）的网络漏洞和事件响应共享。2022年5月26日，BIS发布最终确认稿，相关网络安全禁令正式生效。

而在此次新规发布后直接引起了微软等企业的反对。微软认为，如果参与网络安全活动的个人和实体因和政府有关联而受限，将大大压制全球网络安全市场目前部署的常规网络安全活动的能力；为了有效应对网络安全风险，信息共享非常重要；新规影响跨境网络安全合作，也会降低网络安全事故或漏洞处理的积极性。由此可见，对美国企业来说，这并不是一件好事。

不少网友表示：

“当他们禁止向我们分享漏洞的时候，同时也失去了我们向他们分享漏洞的利益，制裁永远都是双刃剑。”

“这样的做法只会加快中国独立自主的速度、增强我们自立自强的信念。”

“如果不允许向中国政府分享漏洞，微软产品的可信力将大为下降，开源系统影响会小一些，开源系统修复漏洞很难针对特定区域不公开。从另一角度看，有利于中国信创产业发展。”

还有网友表示：“有些时候不是美企率先发现漏洞，而是中企及时向对方回报漏洞情况，才避免事态的进一步扩大。就像2021年12月，阿里云发现了阿帕奇 Apache Log4j2 组件存在非常大的漏洞，如果不及时处理，这项漏洞可能会造成设备被远程控制，服务中断等危险。”（阿里云因发现漏洞未及时向电信主管部门报告，擅自将“Apache Log4j2组件”漏洞上报给美国开源社区阿帕奇而受到工信部的处罚，体现了我国监管部门对于捍卫国家网络安全主权的坚定态度。）

确实，个体的力量终究是有限的，全球网络空间安全需要各国共同努力，只有做到全面共建共享，才能在群体的力量下得到飞跃。美国选择紧闭大门一味制裁，久而久之可能是自断手臂，搬起石头砸了自己的脚。

写在最后

在中美双方安全战略趋于收紧的大背景下，全球网络安全漏洞共享机制正在受到挑战。新规究竟如何实施，会带来哪些实际影响，还要在实践中观察。不过可以肯定的是，没有硝烟的战场形势逐渐严峻。

对国内市场而言，美国的安全禁令进一步增大了美国网络安全公司向国内机构销售产品的合规成本，有望加速我国网络安全下游客户对于网络安全产品的全产业链国产化升级。此外，重要的是我们要不断提高自身的实力，去应对瞬息万变的局势。

4.美商务部出台新规：未经审批禁止向中国分享安全漏洞，微软反对无效！

https://mp.weixin.qq.com/s/xu21QGkLho--8Qbh_pe88g