据nextgov.com消息，美国商务部工业与安全局（BIS）正式发布了针对网络安全领域的最新的出口管制规定（以下简称“新规”），2022年5月26日，该规定已经发布在美国政府公报网站《联邦公报》上。

总的来说，BIS此次发布的新规和2021年发布的征求意见稿并无重大修改，微软等国家科技巨头却表露出担忧，全球网络安全漏洞共享机制很有可能遭遇严峻挑战。

BIS新规将全球国家分为ABDE四类，其中D类是最受关注、限制的国家和地区，我国被划分在D类里。根据新规的要求，各实体在与D类国家和地区的政府相关部门或个人进行合作时，必须要提前申请，获得许可后才能跨境发送潜在网络漏洞信息。当然条款也有例外，如果出于合法的网络安全目的，如公开披露漏洞或事件响应，无需提前申请。

微软认为，BIS发布的这一规定将严重阻碍与安全研究人员和漏洞奖励计划参与者的跨境合作，但美国BIS坚持认为，目前该条款的范围比较狭窄，执行这一规定对于保障美国国家安全很有好处。

禁止攻击性网络工具出口 

2021年10月，美国BIS就发布了“禁止攻击性网络工具出口”的规定，旨在阻止美国实体单位向我国和俄罗斯出售攻击性网络工具，并明确指出任何受到美国武器禁运的国家都需要获得许可证才能获得某些技术。

美国商务部长吉娜·雷蒙多表示，"对某些网络安全项目实施出口管制的临时最终规则是一种适当定制的方法，可以保护美国的国家安全免受恶意网络行为者的侵害，同时确保合法的网络安全活动。"

同时，美国BIS进一步解释，该规则符合瓦森纳协议，全称《关于常规武器和两用物品及技术出口控制的瓦森纳协定》，协议管控"军事和两用技术"出口政策，共有42个协议国，包括美英法德，日本等。这里需要注意的是，俄罗斯是协议国之一，但依旧是禁运目标之一。

瓦森纳协议的两用技术清单于 2013 年修订，包括"入侵软件"控制，根据该协议，所有 42 个成员都受到出口管制。

微软表示全球漏洞共享机制或遭挑战 

随着新规于上周四（5月26日）定稿发布，要求跨境发送潜在网络漏洞的实体在与中国等政府有关联的任何组织或个人打交道时获得许可证后，微软随即向BIS指出了新规可能给企业带来的问题。

微软认为，新规对于"政府最终用户"的定义太过宽泛，这意味着在和对方合作前，企业需要自己查询合作方是否是D类国家和地区的政府。毫无疑问此举使得沟通成本和合规压力大大增加，并直接影响微软等国际科技巨头在全球范围内与网络安全研究人员、漏洞赏金猎人的跨境合作。因此，微软建议BIS取消这一限制，或使用更清晰的规则进行修改，但这一建议未被采纳。

微软在建议中写到，参与网络安全活动的个人和实体因和政府有关联和遭限制，此举将大大压制全球网络安全市场目前部署的常规网络安全活动的能力。很多时候，在无法确定对方是否和政府存在关联时，企业面对合规压力只能放弃这一合作。此外，微软很多时候都是通过逆向工程和其他技术对漏洞进行分析后才发布相关的补丁和升级，而一旦漏洞分享机制遭破坏，那么将直接降低微软发现和修复漏洞的速度。

针对微软提出的这些顾虑。BIS最终对新规进行了一定程度的修改，但并没有完全按照微软的建议进行，因为那是在"破坏整个新规的核心点"。对此，BIS强调，对代表政府行事的个人和组织必须要进行审核和许可，防止D类国家和地区违反国家安全和外交政策获得相关的网络安全物品、技术，这是非常有必要的。

对于已经采纳的意见和修改，微软向BIS表示感谢，但依旧对"政府最终用户"表示困惑，同时也非常担心新规无法适应一些特定用户的技术，以及审核流程会变的繁琐和冗长，并因此导致技术上的落后。

对于微软的这些担忧，美国BIS表示认可，但是他们依旧坚定地认为，执行新规对于保护美国国家安全有着重要作用，对于网络安全行业的影响在可控范围之内。

参考来源：

https://www.nextgov.com/cybersecurity/2022/05/why-commerce-went-against-microsoft-rule-control-cyber-exploits/367575/

原文来源：FreeBuf

“投稿联系方式：孙中豪 010-82992251 sunzhonghao@cert.org.cn”