大家好,我是校长。昨天看到一则新闻,美国商务部出台新规定,禁止未经批准向中国分享安全漏洞,微软反对无效。事情大致是这样的:2022年5月26日,美国商务部工业与安全局(简称BIS)正式发布了网络安全领域的最新出口管制规定。与这些国家和地区的相关政府部门或个人合作时,必须事先申请,获得许可后方可跨境发送网络潜在漏洞信息。该规定将世界各国分为A、B、D、E四类,限制和严格程度逐渐提高。而我们中国属于D类,即“受限国家和地区”。即禁止未经批准向中国分享安全漏洞,微软等巨头抗议无效。新规定的实施意味着,美国实体与中国政府相关组织和个人开展合作时,如发现安全漏洞和信息,不得直接对外发布,必须先通过商务部审核。该文件还指出,对代表政府行事的个人的许可要求是必要的,以防止代表D组政府行事的个人获得“网络安全计划”以从事违反美国国家安全和外交政策利益的活动。微软在去年针对该规定发布征求意见稿后,以书面意见的形式提交了对该文件的异议。微软表示,如果参与网络安全活动的个人和实体因其政府关系而受到限制,将显着抑制全球网络安全市场部署日常网络安全活动的能力。很多时候,当无法确定对方是否与政府有关时,企业在合规压力面前只能放弃合作。微软的抗议没有得到BIS的同意。当然,微软是肯定反对的。毕竟涉及到自身的商业利益。一是微软在向客户销售产品时,如何判断客户是否与政府有关系?客户将在哪里使用它?这个很模糊,尤其是以后国有企业和政府单位招标的时候。由于这项新规定,微软可能无法参与投标,也无法赚钱。其实我觉得这件事未必是坏事。有时候,我们自己国家技术的进步和创新需要外部环境的倒逼,就像美国国家航天局禁止与中国航天合作一样,反而会激励我们航天事业不仅没有受到影响,但它正在稳步推进。在网络安全和操作系统方面,有的时候,不被人逼,你怎么努力?说到分享安全漏洞,说实话让我想起了去年在国内技术圈反响强烈,甚至波及整个Java世界的一个超级大漏洞:log4J安全漏洞。当时,国内阿里云团队率先发现该漏洞,并于2021年12月23日向阿里云社区报告,同时按照行业惯例将问题报告给软件开发商Apache。这种行业惯例已经构成了软件开发生态的重要组成部分,即按照国际惯例,一旦发现漏洞,首先需要向软件开发者报告。但在美国新规实施的背景下,漏洞共享机制很可能被破坏。也就是说,以后如果发现漏洞,不会主动上报给软件开发商,而是先上报国家审批。所以,我觉得既然美国这样做了,我们国家也得这样做。去年,阿里云没有第一时间向国家举报,而是先向软件开发商举报,并因此受到处罚。看来国家还是有先见之明的。美国这样做是基于自身的技术优势,技术处于领先地位。因此,它认为今后不会对外公开任何发现的漏洞,并可以率先利用漏洞利用他国的软件或系统进行攻击或窃取机密。同时,如果将这个安全漏洞共享给其他国家,如果不及时修复,可能会被其他外国黑客用来攻击自己国家的系统或者窃取机密。我觉得在找漏洞方面,不一定是哪个国家更好?如果美国要这么做,其他国家就会找漏洞,以后就不会共享了。嗯,感觉整个互联网都安全了,软件生态就岌岌可危了。目前,我国各大安全厂商都提前建立了自己的漏洞平台,并开始崭露头角。例如:奇安信-补天漏洞响应平台:2021年,奇安信CERT新增漏洞信息21664条,漏洞总数904234条;奇安信安信-钱盘古实验室:发布报告称美国国家安全局对中国进行恶意网络活动已超过十年;360-安全大脑漏洞云:协助苹果、谷歌、EOS等知名厂商修复漏洞;360:发布报告《网络战序幕:美国国安局 NSA(APT-C-40)对全球发起长达十余年无差别攻击》;确信:漏洞管理服务;安恒信息-漏洞管理与响应平台;Venus-天津漏洞管理平台。希望我国的网络安全厂商多做一些。另外,发展我们自己的操作系统,打造一个立足于我们自己国家的软件生态圈,真的是势在必行。未来的世界大战可能不再是枪支,而是网络安全。
