據(jù)nextgov.com消息，美國(guó)商務(wù)部工業(yè)與安全局（BIS）正式發(fā)布了針對(duì)網(wǎng)絡(luò)安全領(lǐng)域的最新的出口管制規(guī)定（以下簡(jiǎn)稱“新規(guī)”），2022年5月26日，該規(guī)定已經(jīng)發(fā)布在美國(guó)政府公報(bào)網(wǎng)站《聯(lián)邦公報(bào)》上。

總的來說，BIS此次發(fā)布的新規(guī)和2021年發(fā)布的征求意見稿并無重大修改，微軟等國(guó)家科技巨頭卻表露出擔(dān)憂，全球網(wǎng)絡(luò)安全漏洞共享機(jī)制很有可能遭遇嚴(yán)峻挑戰(zhàn)。

BIS新規(guī)將全球國(guó)家分為ABDE四類，其中D類是最受關(guān)注、限制的國(guó)家和地區(qū)，我國(guó)被劃分在D類里。根據(jù)新規(guī)的要求，各實(shí)體在與D類國(guó)家和地區(qū)的政府相關(guān)部門或個(gè)人進(jìn)行合作時(shí)，必須要提前申請(qǐng)，獲得許可后才能跨境發(fā)送潛在網(wǎng)絡(luò)漏洞信息。當(dāng)然條款也有例外，如果出于合法的網(wǎng)絡(luò)安全目的，如公開披露漏洞或事件響應(yīng)，無需提前申請(qǐng)。

微軟認(rèn)為，BIS發(fā)布的這一規(guī)定將嚴(yán)重阻礙與安全研究人員和漏洞獎(jiǎng)勵(lì)計(jì)劃參與者的跨境合作，但美國(guó)BIS堅(jiān)持認(rèn)為，目前該條款的范圍比較狹窄，執(zhí)行這一規(guī)定對(duì)于保障美國(guó)國(guó)家安全很有好處。

禁止攻擊性網(wǎng)絡(luò)工具出口

2021年10月，美國(guó)BIS就發(fā)布了“禁止攻擊性網(wǎng)絡(luò)工具出口”的規(guī)定，旨在阻止美國(guó)實(shí)體單位向我國(guó)和俄羅斯出售攻擊性網(wǎng)絡(luò)工具，并明確指出任何受到美國(guó)武器禁運(yùn)的國(guó)家都需要獲得許可證才能獲得某些技術(shù)。

美國(guó)商務(wù)部長(zhǎng)吉娜·雷蒙多表示，“對(duì)某些網(wǎng)絡(luò)安全項(xiàng)目實(shí)施出口管制的臨時(shí)最終規(guī)則是一種適當(dāng)定制的方法，可以保護(hù)美國(guó)的國(guó)家安全免受惡意網(wǎng)絡(luò)行為者的侵害，同時(shí)確保合法的網(wǎng)絡(luò)安全活動(dòng)。”

同時(shí)，美國(guó)BIS進(jìn)一步解釋，該規(guī)則符合瓦森納協(xié)議，全稱《關(guān)于常規(guī)武器和兩用物品及技術(shù)出口控制的瓦森納協(xié)定》，協(xié)議管控“軍事和兩用技術(shù)”出口政策，共有42個(gè)協(xié)議國(guó)，包括美英法德，日本等。這里需要注意的是，俄羅斯是協(xié)議國(guó)之一，但依舊是禁運(yùn)目標(biāo)之一。

瓦森納協(xié)議的兩用技術(shù)清單于 2013 年修訂，包括“入侵軟件”控制，根據(jù)該協(xié)議，所有 42 個(gè)成員都受到出口管制。

微軟表示全球漏洞共享機(jī)制或遭挑戰(zhàn)

隨著新規(guī)于上周四（5月26日）定稿發(fā)布，要求跨境發(fā)送潛在網(wǎng)絡(luò)漏洞的實(shí)體在與中國(guó)等政府有關(guān)聯(lián)的任何組織或個(gè)人打交道時(shí)獲得許可證后，微軟隨即向BIS指出了新規(guī)可能給企業(yè)帶來的問題。

微軟認(rèn)為，新規(guī)對(duì)于“政府最終用戶”的定義太過寬泛，這意味著在和對(duì)方合作前，企業(yè)需要自己查詢合作方是否是D類國(guó)家和地區(qū)的政府。毫無疑問此舉使得溝通成本和合規(guī)壓力大大增加，并直接影響微軟等國(guó)際科技巨頭在全球范圍內(nèi)與網(wǎng)絡(luò)安全研究人員、漏洞賞金獵人的跨境合作。因此，微軟建議BIS取消這一限制，或使用更清晰的規(guī)則進(jìn)行修改，但這一建議未被采納。

微軟在建議中寫到，參與網(wǎng)絡(luò)安全活動(dòng)的個(gè)人和實(shí)體因和政府有關(guān)聯(lián)和遭限制，此舉將大大壓制全球網(wǎng)絡(luò)安全市場(chǎng)目前部署的常規(guī)網(wǎng)絡(luò)安全活動(dòng)的能力。很多時(shí)候，在無法確定對(duì)方是否和政府存在關(guān)聯(lián)時(shí)，企業(yè)面對(duì)合規(guī)壓力只能放棄這一合作。此外，微軟很多時(shí)候都是通過逆向工程和其他技術(shù)對(duì)漏洞進(jìn)行分析后才發(fā)布相關(guān)的補(bǔ)丁和升級(jí)，而一旦漏洞分享機(jī)制遭破壞，那么將直接降低微軟發(fā)現(xiàn)和修復(fù)漏洞的速度。

針對(duì)微軟提出的這些顧慮。BIS最終對(duì)新規(guī)進(jìn)行了一定程度的修改，但并沒有完全按照微軟的建議進(jìn)行，因?yàn)槟鞘窃凇捌茐恼麄€(gè)新規(guī)的核心點(diǎn)”。對(duì)此，BIS強(qiáng)調(diào)，對(duì)代表政府行事的個(gè)人和組織必須要進(jìn)行審核和許可，防止D類國(guó)家和地區(qū)違反國(guó)家安全和外交政策獲得相關(guān)的網(wǎng)絡(luò)安全物品、技術(shù)，這是非常有必要的。

對(duì)于已經(jīng)采納的意見和修改，微軟向BIS表示感謝，但依舊對(duì)“政府最終用戶”表示困惑，同時(shí)也非常擔(dān)心新規(guī)無法適應(yīng)一些特定用戶的技術(shù)，以及審核流程會(huì)變的繁瑣和冗長(zhǎng)，并因此導(dǎo)致技術(shù)上的落后。

對(duì)于微軟的這些擔(dān)憂，美國(guó)BIS表示認(rèn)可，但是他們依舊堅(jiān)定地認(rèn)為，執(zhí)行新規(guī)對(duì)于保護(hù)美國(guó)國(guó)家安全有著重要作用，對(duì)于網(wǎng)絡(luò)安全行業(yè)的影響在可控范圍之內(nèi)。

參考來源：https://www.nextgov.com/cybersecurity/2022/05/why-commerce-went-against-microsoft-rule-control-cyber-exploits/367575/