據nextgov.com消息，美國商務部工業與安全局（BIS）正式發布了針對網絡安全領域的最新的出口管制規定（以下簡稱“新規”），2022年5月26日，該規定已經發布在美國政府公報網站《聯邦公報》上。

總的來說，BIS此次發布的新規和2021年發布的征求意見稿并無重大修改，微軟等國家科技巨頭卻表露出擔憂，全球網絡安全漏洞共享機制很有可能遭遇嚴峻挑戰。

BIS新規將全球國家分為ABDE四類，其中D類是最受關注、限制的國家和地區，我國被劃分在D類里。根據新規的要求，各實體在與D類國家和地區的政府相關部門或個人進行合作時，必須要提前申請，獲得許可后才能跨境發送潛在網絡漏洞信息。當然條款也有例外，如果出于合法的網絡安全目的，如公開披露漏洞或事件響應，無需提前申請。

微軟認為，BIS發布的這一規定將嚴重阻礙與安全研究人員和漏洞獎勵計劃參與者的跨境合作，但美國BIS堅持認為，目前該條款的范圍比較狹窄，執行這一規定對于保障美國國家安全很有好處。

禁止攻擊性網絡工具出口 

2021年10月，美國BIS就發布了“禁止攻擊性網絡工具出口”的規定，旨在阻止美國實體單位向我國和俄羅斯出售攻擊性網絡工具，并明確指出任何受到美國武器禁運的國家都需要獲得許可證才能獲得某些技術。

美國商務部長吉娜·雷蒙多表示，"對某些網絡安全項目實施出口管制的臨時最終規則是一種適當定制的方法，可以保護美國的國家安全免受惡意網絡行為者的侵害，同時確保合法的網絡安全活動。"

同時，美國BIS進一步解釋，該規則符合瓦森納協議，全稱《關于常規武器和兩用物品及技術出口控制的瓦森納協定》，協議管控"軍事和兩用技術"出口政策，共有42個協議國，包括美英法德，日本等。這里需要注意的是，俄羅斯是協議國之一，但依舊是禁運目標之一。

瓦森納協議的兩用技術清單于 2013 年修訂，包括"入侵軟件"控制，根據該協議，所有 42 個成員都受到出口管制。

微軟表示全球漏洞共享機制或遭挑戰 

隨著新規于上周四（5月26日）定稿發布，要求跨境發送潛在網絡漏洞的實體在與中國等政府有關聯的任何組織或個人打交道時獲得許可證后，微軟隨即向BIS指出了新規可能給企業帶來的問題。

微軟認為，新規對于"政府最終用戶"的定義太過寬泛，這意味著在和對方合作前，企業需要自己查詢合作方是否是D類國家和地區的政府。毫無疑問此舉使得溝通成本和合規壓力大大增加，并直接影響微軟等國際科技巨頭在全球范圍內與網絡安全研究人員、漏洞賞金獵人的跨境合作。因此，微軟建議BIS取消這一限制，或使用更清晰的規則進行修改，但這一建議未被采納。

微軟在建議中寫到，參與網絡安全活動的個人和實體因和政府有關聯和遭限制，此舉將大大壓制全球網絡安全市場目前部署的常規網絡安全活動的能力。很多時候，在無法確定對方是否和政府存在關聯時，企業面對合規壓力只能放棄這一合作。此外，微軟很多時候都是通過逆向工程和其他技術對漏洞進行分析后才發布相關的補丁和升級，而一旦漏洞分享機制遭破壞，那么將直接降低微軟發現和修復漏洞的速度。

針對微軟提出的這些顧慮。BIS最終對新規進行了一定程度的修改，但并沒有完全按照微軟的建議進行，因為那是在"破壞整個新規的核心點"。對此，BIS強調，對代表政府行事的個人和組織必須要進行審核和許可，防止D類國家和地區違反國家安全和外交政策獲得相關的網絡安全物品、技術，這是非常有必要的。

對于已經采納的意見和修改，微軟向BIS表示感謝，但依舊對"政府最終用戶"表示困惑，同時也非常擔心新規無法適應一些特定用戶的技術，以及審核流程會變的繁瑣和冗長，并因此導致技術上的落后。

對于微軟的這些擔憂，美國BIS表示認可，但是他們依舊堅定地認為，執行新規對于保護美國國家安全有著重要作用，對于網絡安全行業的影響在可控范圍之內。

參考來源：

https://www.nextgov.com/cybersecurity/2022/05/why-commerce-went-against-microsoft-rule-control-cyber-exploits/367575/

原文來源：FreeBuf

“投稿聯系方式：孫中豪 010-82992251 sunzhonghao@cert.org.cn”