美国禁止向我国分享安全漏洞或是搬起石头砸自己的脚！

美国禁止向我国分享安全漏洞或是搬起石头砸自己的脚！本站　　个体的力量终究是有限的，全球网络空间安全需要各国共同努力，只有做到全面共建共享，才能在群体的力量下得到飞跃

　　个体的力量终究是有限的，全球网络空间安全需要各国共同努力，只有做到全面共建共享，才能在群体的力量下得到飞跃。美国选择紧闭大门一味制裁，久而久之可能是自断手臂，搬起石头砸了自己的脚。对国内市场而言，美国的安全禁令进一步增大了美国网络安全公司向国内机构销售产品的合规成本，有望加速我国网络安全下游客户对于网络安全产品的全产业链国产化升级。

　　5月26日，美国商务部工业和安全局（BIS）在《联邦公报》上发布针对网络安全领域的最新出口管制规定《信息安全控制：网络安全物项》（No. 220520-0118）。新规将全球国家分为A、B、D、E四类，从A到E的限制措施和严格程度都逐步升级。中国等48个国家被划分为D类，即“最受关注的、受限制国家和地区”。

　　按照这个规定，如果美国的公司要向D类国家和地区的“政府最终用户”（government end user）分享网络安全事项（如漏洞披露、网络安全事件响应等），都需要先向美国政府申请并获得许可。

　　简单来说，就是美国实体（网络安全机构或操作系统企业）与中国政府相关的组织和个人合作时，如果发现安全漏洞和信息，不能直接发布，先要通过美国商务部的审批。不出意外的是，这次出口管制也是出于“和反恐考虑”。

　　从上图可以看到，中国在、生化、导弹技术、美国武器禁运这四项都被画了x,显然美国是在变相“制裁”中国的网络安全领域。

　　如今，网络空间已成为国家在陆、海、空、天之后的“第五疆域”，与其他疆域一样，网络空间也要体现国家主权，保卫网络空间的安全就是保障国家主权的一部分，至关重要。

　　对于中国来说，加强安全防护和漏洞管理、应对来自“不友好”国家的网络攻击，也变得越来越重要。 2021年9月1日，工信部、网信办、三部门联合发布的《网络产品安全漏洞管理规定》（下称“规定”）正式生效，相较于2019年发布的征求意见稿，规定中新增“网络产品提供者在发现漏洞后应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息”和“相关组织或者个人不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供”两项要求，强化了我国对于网络安全漏洞的管控。

　　相对应的，2021年10月，美国商务部工业和安全局（BIS）发布临时规定，要求“禁止攻击性网络工具出口”，旨在阻止美国实体单位向中、俄出售攻击性网络工具，并同时限制对D组国家政府（我国被列为D组国家）的网络漏洞和事件响应共享。2022年5月26日，BIS发布最终确认稿，相关网络安全禁令正式生效。

　　而在此次新规发布后直接引起了微软等企业的反对。微软认为，如果参与网络安全活动的个人和实体因和政府有关联而受限，将大大压制全球网络安全市场目前部署的常规网络安全活动的能力；为了有效应对网络安全风险，信息共享非常重要；新规影响跨境网络安全合作，也会降低网络安全事故或漏洞处理的积极性。由此可见，对美国企业来说，这并不是一件好事。

　　“当他们禁止向我们分享漏洞的时候，同时也失去了我们向他们分享漏洞的利益，制裁永远都是双刃剑。”

　　“如果不允许向中国政府分享漏洞，微软产品的可信力将大为下降，开源系统影响会小一些，开源系统修复漏洞很难针对特定区域不公开。从另一角度看，有利于中国信创产业发展。”

　　还有网友表示：“有些时候不是美企率先发现漏洞，而是中企及时向对方回报漏洞情况，才避免事态的进一步扩大。就像2021年12月，阿里云发现了阿帕奇 Apache Log4j2 组件存在非常大的漏洞，如果不及时处理，这项漏洞可能会造成设备被远程控制，服务中断等危险。”（阿里云因发现漏洞未及时向电信主管部门报告，擅自将“Apache Log4j2组件”漏洞上报给美国开源社区阿帕奇而受到工信部的处罚，体现了我国监管部门对于捍卫国家网络安全主权的坚定态度。）

　　确实，个体的力量终究是有限的，全球网络空间安全需要各国共同努力，只有做到全面共建共享，才能在群体的力量下得到飞跃。美国选择紧闭大门一味制裁，久而久之可能是自断手臂，搬起石头砸了自己的脚。

　　在中美双方安全战略趋于收紧的大背景下，全球网络安全漏洞共享机制正在受到挑战。新规究竟如何实施，会带来哪些实际影响，还要在实践中观察。不过可以肯定的是，没有硝烟的战场形势逐渐严峻。

　　对国内市场而言，美国的安全禁令进一步增大了美国网络安全公司向国内机构销售产品的合规成本，有望加速我国网络安全下游客户对于网络安全产品的全产业链国产化升级。此外，重要的是我们要不断提高自身的实力，去应对瞬息万变的局势。