在线人数
1498
Tax100会员
28000
搜索
本版
帖子
用户
注册
登录
帐号
自动登录
找回密码
密码
登录
立即注册
只需一步,快速开始
设为首页
收藏本站
税百:专业税务资讯
国际税收讲解
各种证件
搜索
本版
帖子
用户
x
搜索
Tax100 税百
»
论坛
›
全网热点文章
›
精选公众号
›
美国又对中国网络安全下手了,据说是往死里整,真相如何 ...
国务院办公厅印发《重点省份分类加强政府投资项目管理办法(试行
@个体工商户,个税经营所得汇算进行中,这些税惠请收好~
大企业税务新“枫”吹来服务暖风
2023,减税降费这一年
【办税】自助终端--自然人信息登记
退役士兵自主就业,如何填报享受税费优惠政策?
【全网最全】31个省市!残保金政策汇编及申
全网最全|2022年失业保险稳岗补贴政策汇总
2021年个税汇算容易出现哪些错误?税务总局
【全网最全】历史上最高规模退税减税!2022
查看:
156
|
回复:
0
[小贝说安全]
美国又对中国网络安全下手了,据说是往死里整,真相如何?
[复制链接]
数据安全君
数据安全君
当前离线
积分
86
95
主题
95
帖子
86
积分
一级税友
一级税友, 积分 86, 距离下一级还需 114 积分
一级税友, 积分 86, 距离下一级还需 114 积分
积分
86
发消息
2022-6-6 17:35:23
|
显示全部楼层
|
阅读模式
精选公众号文章
公众号名称:
小贝说安全
标题:
美国又对中国网络安全下手了,据说是往死里整,真相如何?
作者:
发布时间:
2022-06-05 11:26
原文链接:
http://mp.weixin.qq.com/s?__biz=MzkwMDE0MzAyOQ==&mid=2247485957&idx=1&sn=c5157dd22ce4705cec4a2a9bbcfdff2c&chksm=c049c8dff73e41c9c740e23f7f9a5af25a2dea5e38193ec96dfb80e55ffdf7bd5b65749a81b4#rd
备注:
-
公众号二维码:
-
|
小贝案语
|
■ 都知道美国没有屈原,不过端午节,果然!就在放假前几天,美国商务部工业和安全局(BIS)发布的一个文件震惊了中国整个网络安全界,一直还在发酵。很多人认为,这个文件宣布了对中国的最新制裁措施,即
禁止向中国分享漏洞信息
。几乎所有国人都有过使用美国微软公司操作系统等产品并不断修补漏洞的经验,现在发现漏洞后不告诉你了,你以后用的美国产品都是破铜烂铁了,那还有什么安全可言?对我们整个国家而言,这肯定是大事件。当今世界,大家几乎都形成了一个共识,漏洞是武器,是战略资源。一个漏洞话题,可以撑起整个中国黑客发展史,也牵引了一直以来的网络空间大国暗战。所以,对美国BIS的这份文件,无论如何重视都不过分。
但是,这份文件真的撕下了遮羞布,公开打响了全球漏洞资源争夺战的第一枪吗?真相到底是什么?
5月26日,美国商务部工业和安全局(BIS)在《联邦公报》上发布了文件《信息安全控制:网络安全物项》。BIS是负责实施美国出口管制制度的部门,其发布的文件一向十分敏感。此次的文件被广泛解读为,美政府将漏洞纳入出口管制范围,剑指中国。这无疑将掀起网络空间腥风血雨,不但违背技术规律、破坏国际惯例,更严重威胁中国国家安全。因此,深入研究美国的政策文件,审慎研判态势,科学制定对策,是当务之急。我们对这份文件进行了分析,还原了事件的整个脉络。
从战略上,我们认为这件事值得高度重视。从战术上,我们发现业内的部分报道有些失真,不利于从全局上把握。
一、BIS
制定《信息安全控制:网络安全物项》的背景
美国为什么要提出这个文件?这确实是专门针对网络安全的(但却不是专门针对漏洞),与其实施出口管制制度有关。
2013年,美等西方国家主导、旨在遏制中国等发展中国家获取高技术的《瓦森纳安排》作了重大修订,在“网络安全”中增加了新的出口控制物项。特别是,
增加了对“入侵软件”的出口控制。
具体涉及到“入侵软件”中命令和交付平台的软硬件、平台开发生产和利用技术,以及“入侵软件”本身的开发技术。为此,2015年5月20日,BIS发布了文件《2013年瓦森纳安排全体会议协议的实施:入侵和监视物项》,对如何实施出口管制提出了初步的规则,并公开征求社会意见。
很快,美国社会对这份文件提出了300多条意见建议。主要集中在三个方面:
一是,
监管对象过于宽泛,而且文件的技术措辞并不能精确描述政府期望达到的出口管制目标。
二是,
这份文件为合法的网络安全交易带来了很大的许可证负担。
三是,
一些网络安全技术与“开发”入侵软件直接关联,如果把上下游技术管制了,将会影响网络安全创新和研究活动。
BIS认为,其提出的实施规则没有问题,但可以对《瓦森纳安排》的原文作调整。为此,在2016年和2017年,美国政府两次协商修改《瓦森纳安排》,并于2017年12月公布了修改后的文件。具体修改体现在三个方面:
一是,
对恶意软件的行为作了更为清晰的描述,强调了其“命令和控制”(Command and Control,C&C)功能。
二是,
在“入侵软件”的“开发”技术中增加注释,排除了“漏洞披露”或“网络事件响应”。
三是,
对“入侵软件”的生成、命令和控制(C&C)、交付增加注释,排除了仅具有基础的软件更新和升级功能的产品。
在此基础上,2021年10月,BIS发布了针对网络安全物项的出口管制规则临时版本,留出了45天的征求意见期。此后又一再延长征求意见时间,直至5月26日发布最终版本。
二、
《信息安全控制:网络安全物项》征求意见情况
2021年10月以来,BIS共收到了对《信息安全控制:网络安全物项》的12条意见,主要集中在受控网络安全产品的精准形态和一些概念的理解上。例如,网络安全事件检测软件是否在其中?什么叫做“知道或应当知道被用于他国”?“政府最终用户”的范围有多大?为此,BIS一方面着手出台专门的指导性文件,另一方面对文件中的定义作了更新。
另外,考虑到业内关注度很高,BIS一再推迟文件的实施日期,与产业界进行了多次沟通。
但是,《信息安全控制:网络安全物项》对于与美不在同一阵营的他国政府相当敌视。
有机构提出,该文件
将阻碍同他国
网络安全研究人员和漏洞赏金猎人的跨境合作,因为出口商将不得不提前调查对方是否有政府隶属关系,故希望BIS删除有关要求。对此,BIS毫不客气予以了回绝。
三、
《信息安全控制:网络安全物项》的新变化
相比于美国以前的出口管制政策,《信息安全控制:网络安全物项》以下方面作了调整。
一是,
面向国家安全、反恐需求,新增了出口管制物项。
二是,
根据业界反馈,对一些出口管制物项作了澄清,增加了若干注解。
三是,
使用了“ACE(授权网络安全出口)许可例外”的概念。即,即如果符合ACE许可例外的条件,则不需申请网络安全出口许可证。但同时,文件又对ACE的许可例外设了限制。
四、《信息安全控制:网络安全物项》到底是怎么谈漏洞的?
在讨论《信息安全控制:网络安全物项》与“漏洞”的关系时,有必要澄清以下三个事实:
一是,
BIS为什么提出“漏洞”问题?一些人认为,漏洞是战略资源,所以美国要对这种战略资源严格管控。漏洞确实是战略资源,非同小可,但BIS提到“漏洞”的原因恰恰相反——它是网络安全的常规操作,不能限制太死,也不可能限制住。为此,BIS制定这份文件,是要在对“入侵软件”的出口管制中,把“漏洞披露”拿走,事发于公众对“入侵软件”的理解有困难。
二是,
《信息安全控制:网络安全物项》
从来没有提到对“漏洞”本身的共享和发布、披露进行限制,而是使用
的“漏洞披露”
。
这两个概念完全不同。后者指与漏洞检测、修补和披露相关的技术,因为这被认为与“入侵软件”密切关联。
三是,
《信息安全控制:网络安全物项》的出发点不是管控漏洞披露技术,故不能认为这是一个针对漏洞下手的文件。其从未单独提到“漏洞披露”(一次也没有),而是把“漏洞披露”和“事件响应”并列提出,均指向技术。否则,“事件响应”又该如何理解呢?
五、《信息安全控制:网络安全物项》到底是怎么限制中国的?
坦率说,《信息安全控制:网络安全物项》是一个非常绕的文件,乍一看很难理解其中的逻辑关系。这源于其对“漏洞披露”转折了3次。
第一次,
文件把“漏洞披露”排除在《瓦森纳安排》的出口控制物项中,这在前面已经交代。
第二次,
文件规定,“ACE(授权网络安全出口)许可例外”对几种“政府最终用户”不适用(即还是需要严格管控)。
第一种是E:1
或E:2
的政府最终用户(伊朗、朝鲜、古巴属于此类)。
第二种是D:1
至D:5
地区的政府最终用户(中国属于D:5
)。
但如果该国家或地区既属于D:1至D:5,又属于A:6(例如我国台湾地区),则可以对“漏洞披露”和“事件响应”技术豁免。这相当于,漏洞披露、事件响应技术不能向大陆的中国政府用户出口,但可以向中国的台湾地区出口。
然而,BIS一开始不是说了漏洞披露、事件响应技术已经从《瓦森纳安排》的“信息安全”物项中豁免了吗?这不是前后矛盾吗?所以BIS又作了注解:对政府最终用户而言,ACE许可例外的限制优先于《瓦森纳安排》对漏洞披露的豁免——即,绕来绕去还是
不能向中国政府出口漏洞披露技术。
第三次,
文件除了定义了
“政府最终用户”
外,还提出了
“非政府最终用户”
。对于D:1至D:5地区的非政府最终用户,依然需要严格进行出口管控(即,中国依然属于严格的出口管制地区),但如果属于对漏洞披露、事件响应技术的出口,则又可以豁免了。即,
位于中国的非政府最终用户,并不会受到美国对于漏洞披露技术的出口管制限制。
因此,
BIS
的《信息安全控制:网络安全物项》没那么夸张,但我们也不能掉以轻心。
至于说,中国政府使用的美国公司的操作系统、数据库、应用软件等,是不是以后就不能升级了?这不太可能,因为漏洞信息本身并不是《瓦森纳安排》和美国实施出口管制制度的对象,其目的是防止所谓的敌对或竞争对手国家政府利用漏洞挖掘、漏洞扫描技术实施攻击行为。
但在《信息安全控制:网络安全物项》制定过程中,美国微软公司也的确向BIS表达了强烈的反对——
可能是自己人更了解自己人多么坏吧。
|
小贝结语
|
■ 看完了BIS的文件,小贝突然理解了美国为什么有那么多律师——这可不是一般的绕。但万变不离其宗,其遏制和击败中国的战略意图是不会变的。我们也当以不变应万变,那就是,打铁还得自身硬。最后小贝祝大家端午节快乐,一同纪念伟大的爱国诗人。“路漫漫其修远兮,吾将上下而求索。”
总编辑|小贝
微信公众号
微信号|xiaobeisaq
长按二维码关注
官方微信
长按二维码关注
了解更多信息
相关帖子
•
明确了!雇主责任险能否冲抵工伤赔偿?最高法院一锤定音!| 劳动法库
•
员工拒绝调岗不去新岗位报到仍去原岗出勤构成旷工吗?(还有更多)
•
最新!广东高院关于审理机动车交通事故责任纠纷案件的指引(2024)| 劳动法库
•
第五届全国人民代表大会常务委员会关于批准《国务院关于职工探亲待遇的规定》的决议 | 劳动法库
•
收藏!人社部现行有效76件规章汇总(附文号及施行日期)| 劳动法库
•
公开课:入职管理、调岗管理与解雇管理实操技巧(2024)
回复
使用道具
举报
返回列表
官方链接
中国人大网
中国政府网
发改委
国家税务总局
北京市税务局
天津市税务局
河北省税务局
山西省税务局
内蒙古税务局
辽宁省税务局
吉林省税务局
黑龙江税务局
上海市税务局
江苏省税务局
浙江省税务局
安徽省税务局
福建省税务局
山东省税务局
江西省税务局
河南省税务局
湖北省税务局
湖南省税务局
广东省税务局
广西税务总局
海南省税务局
重庆市税务局
四川省税务局
贵州省税务局
云南省税务局
西藏税务总局
甘肃省税务局
陕西省税务局
青海省税务局
宁夏税务总局
新疆税务总局
大连市税务局
宁波市税务局
厦门市税务局
青岛市税务局
深圳市税务局
友情链接
51社保
信用卡申请
Copyright © 2001-2013
Comsenz Inc.
Powered by
Discuz!
X3.4
京公网安备 11010802035448号
(
京ICP备19053597号-1,电话18600416813,邮箱liwei03@51shebao.com
)
了解
Tax100
创始人胡万军
优化与建议
隐私政策
快速回复
返回列表
返回顶部