国旭首页  >>  新闻资讯

美国网络安全禁令生效,限制向包括中国在内的多个国家共享网络漏洞

作者:Doris   来源:国旭科技   时间:2022-06-14





5 月 26 日,美国商务部工业与安全局(英文简称 BIS),正式发布了针对网络安全领域的最新的出口管制规定,根据新规的要求,各实体在与 D 类国家和地区的政府相关部门或个人进行合作时,必须要提前申请,获得许可后才能跨境发送潜在网络漏洞信息。该规定将全球国家分为 A、B、D、E 四类,限制措施和严格程度逐步递增。而中国就被分在 D 类,即受严格限制的国家和地区。像微软、谷歌、苹果、甲骨文、SAP这些在美国注册或上市的公司,在发现软件系统中存在漏洞和安全问题,对外公布之前需要进行审批,并且未经许可不得擅自向中国客户或合作方进行分享。





《联邦公报》文件截图对于BIS的这个新规,美国国内科技巨头也不算是铁板一块,软件巨头微软公司就明确表示了异议。早在去年,这条规定发布征求意见稿后,微软就以书面意见形式在评论部分提交了对这份文件的异议。微软表示,如果参与网络安全活动的个人和实体因和政府有关联而受限,将大大压制全球网络安全市场目前部署的常规网络安全活动的能力。很多时候,在无法确定对方是否和政府存在关联时,企业面对合规压力只能放弃合作。微软提出,BIS应该进一步明确定义「政府最终用户」,或者至少澄清这个定义下可能涵盖哪些个人或实体。BIS在该规定的最终决定稿发布时,提及了微软的反对意见,但没有点名,并表示「BIS不同意该意见」。BIS在文件中提到:「有公司表示,对代表'政府最终用户'人的限制,将阻碍与网络安全人员的跨境合作,因为在与这些人沟通之前,要检查其是否与政府有联系。该公司建议取消这一要求或对其进行修改。BIS不同意这一建议。」不过,该规定采纳了研究界的一些意见,对需要核查的安全漏洞范围做了进一步收窄,并增加了临时例外条款。即:如果是出于合法的网络安全目的,如披露公共漏洞或安全事件响应,无需审核。微软在感谢BIS对规则修改的同时,也表示,不确定这样的例外条款能否解决实际问题。





四川质量发展研究院高级研究员熊节表示,在当前的国际地缘环境下,特别是美国BIS出台上述新规的背景下。网络安全对于中国显得尤为重要,特别是很有必要对现有开源生态进行升级。“我们需要打造一个更负责的、更可追踪的、更可回溯责任的开源系统,”熊节认为,同时,从事开源供应链咨询、审核并提供相关工具技术的人才也要形成一个生态产业。在基础设施、机制、人员和服务的合力下,共建“安全的供应链”。

(图源网络,侵删)

国旭科技_www.xdns.cn

国旭科技_www.xdns.cn

国旭科技_www.xdns.cn