美国商务部工业和安全局(BIS)正式发布了针对网络安全领域的最新的出口管制规定,里面包含了关于网络安全和漏洞信息的管控。
美国把全球国家划分为了A、B、D、E四类,而中国恰好就是老美口中的D类受限制国家(E为全面禁运国家)。
这一次BIS发布的关于网络安全和漏洞信息的管控,其中就要求美国实体单位在与D类国家和地区的政府相关部门或个人进行合作时,必须要提前申请,在经过商务部审核获得许可后才能跨境发送潜在网络漏洞信息。
换言之,作为D类国家的中国,以后在网络安全上遇见漏洞时,可能要落后别人很长一段时间才能知道,甚至根本不知道。
因为美国BIS的这项规定,短期来看对我们国家的相关领域并不会产生太大的影响,但是长期来看,无疑是一项“伤敌一千自损八百”的策略,它或许能对中国相关领域起到一定的遏制作用,但是因为这种不公平待遇,中国工程师也没有必要再遵循相关的精神主动提交漏洞。
所以,对于这个决定,微软是带头反对的。
作为世界上最大的那几家软件公司之一,微软认为此举将严重阻碍安全研究人员和漏洞分享机制的跨境合作,同时也会影响网络安全事故以及漏洞处理的积极性。
根据微软安全架构师的解读表示,这个规定对于使用微软产品的客户没有影响,但是特定的厂商和个人就可以受到影响。其中最重要的就是微软不能提前分享未公开的漏洞信息给特定的合作伙伴。
可能大家觉得这也没啥,不就是漏洞晚别人一段时间知道嘛,又没有什么大不了的。
大错特错!
首先就目前为止,在一些专业领域,国内仍旧在使用微软、IBM等美国巨头的产品,这些产品的系统依旧是由美国方面提供。
这时候,如果出现一个漏洞没有及时修复,那么就极有可能导致提前拿到漏洞的组织通过该漏洞进入我们的后台。因为渗透渠道是后台漏洞而不是正面攻击,所以被我们发现的概率也是小之又小。
站在微软的角度,因为它受限于规定不能向我们分享相关的漏洞,这也势必会降低我们发现并分享漏洞的动力。
比如去年阿里云发现了一个堪比“永恒之蓝”的超级漏洞——阿帕奇漏洞,其影响的服务器高达数亿台。像亚马逊、NSA、谷歌、苹果、Steam、推特等大型互联网公司均可能受其影响。
彼时的阿里云根据开源精神第一时间就通知了开发Log4j2组件的公司阿帕奇,让阿帕奇软件基金会的官方计算机应急小组率先发布了相关问题的全球预警。
因为早期忽视了该漏洞的重要性,忘记通知国内相关部门,所以阿里云还被工信部给处罚了一顿。
或许也正是这个例子,让微软知道了中国工程师的厉害之处,也害怕中国工程师再次发现一个影响巨大的漏洞之后,选择不再向软件开发商报告问题。彼时,美国的软件开发商就只有自讨苦吃。
站在另一种角度来说,这也是国产系统的一个发展机会。
目前为止,国产系统大多基于Linux开发,而作为开源的操作系统,Linux可供用户和组织进行深度修改定制。
目前来说,国产操作系统(比如统信UOS)在普通的办公领域已经完全可以代替Windows之类的操作系统,唯有在设计、制图、建模等更专业的领域落后于主流操作系统。
不过,随着相关企业的加持帮助,国产操作系统迟早有一天可以做到完全替代其他操作系统。
正所谓塞翁失马焉知非福,黑马也相信,这项更是间接助力了国产操作系统的发展。等我们全产业链实现自给自足的那一天,老美也就只能干瞪眼了!