綜合外媒報(bào)道，中國(guó)規(guī)定，所有零日漏洞必須只向中國(guó)政府披露。從2021年9月1日起，中國(guó)政府將要求任何發(fā)現(xiàn)零日漏洞的中國(guó)公民必須向中國(guó)政府主管網(wǎng)部門報(bào)告細(xì)節(jié)，不得向中國(guó)境外的任何第三方出售或提供相關(guān)信息(易受攻擊產(chǎn)品的制造商除外)。下面梳理《安全周刊》、美聯(lián)社、印度教徒報(bào)等媒體對(duì)新規(guī)的報(bào)道，以及相關(guān)安全專家也對(duì)此規(guī)定的評(píng)論。

　　媒體反應(yīng)

　　《安全周刊》稱，中國(guó)漏洞披露規(guī)則將這一行動(dòng)描述為“進(jìn)一步加強(qiáng)了對(duì)信息的控制”。這不太可能是新規(guī)則出臺(tái)的主要?jiǎng)訖C(jī)，因?yàn)檎畬?duì)數(shù)據(jù)的控制已經(jīng)很糟糕了。企業(yè)可能不會(huì)在中國(guó)境外存儲(chǔ)中國(guó)客戶的數(shù)據(jù)。在中國(guó)銷售路由器和其他一些網(wǎng)絡(luò)設(shè)備的外國(guó)公司必須向監(jiān)管機(jī)構(gòu)披露加密功能的工作原理。

　　2017年頒布的《國(guó)家情報(bào)法》第7條已經(jīng)要求中國(guó)公民支持、協(xié)助和配合國(guó)家情報(bào)工作。因此，這已經(jīng)暗示了中國(guó)公民必須支持中國(guó)的網(wǎng)絡(luò)行動(dòng)。新規(guī)定明確了這種支持，而且更有可能與中國(guó)以情報(bào)為主導(dǎo)的網(wǎng)絡(luò)行動(dòng)有關(guān)，而不是為了加強(qiáng)對(duì)內(nèi)部信息的控制。如果這是真的，那么值得探索的是，這條規(guī)則可能對(duì)世界其他地區(qū)產(chǎn)生什么影響。最明顯的假設(shè)是，中國(guó)發(fā)現(xiàn)的零日漏洞將流入中國(guó)的APT組織，而不會(huì)被美國(guó)國(guó)家安全局或俄羅斯國(guó)家行為體提供購(gòu)買。

　　美聯(lián)社（AP）于2021年當(dāng)?shù)貢r(shí)間7月13日發(fā)布了一份報(bào)告，提供了簡(jiǎn)要細(xì)節(jié)。除了聲明之外，沒(méi)有其他消息來(lái)源。“根據(jù)國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部和工信部發(fā)布的規(guī)定，任何人不得‘收集、出售或發(fā)布有關(guān)網(wǎng)絡(luò)產(chǎn)品安全漏洞的信息’。”關(guān)于私人研究是否被禁止，或者私人研究的結(jié)果是否受到控制，這份報(bào)告并不清楚。后者是最有可能的。

　　印度教徒報(bào)報(bào)道稱，新規(guī)定將禁止私營(yíng)部門專家發(fā)現(xiàn)“零日”（zero day），即之前未知的安全漏洞，并將信息出售給警方、間諜機(jī)構(gòu)或公司。此類漏洞一直是重大黑客攻擊的一個(gè)特征，本月的一次黑客攻擊被歸咎于一個(gè)與俄羅斯有關(guān)聯(lián)的組織，該組織讓至少17個(gè)國(guó)家的數(shù)千家公司感染了病毒。

　　北京對(duì)控制有關(guān)人民和經(jīng)濟(jì)的信息越來(lái)越敏感。企業(yè)被禁止在中國(guó)境外存儲(chǔ)有關(guān)中國(guó)客戶的數(shù)據(jù)。包括最近在美國(guó)上市的叫車服務(wù)公司滴滴全球（Didi Global Inc.）在內(nèi)的一些公司已被公開警告要加強(qiáng)數(shù)據(jù)安全。

　　根據(jù)新規(guī)定，任何在中國(guó)發(fā)現(xiàn)漏洞的人都必須告知政府，政府將決定采取何種修復(fù)措施。除產(chǎn)品制造商外，任何信息都不能提供給“海外機(jī)構(gòu)或個(gè)人”。

　　根據(jù)國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部、工信部發(fā)布的規(guī)定，任何人不得“收集、出售、發(fā)布有關(guān)網(wǎng)絡(luò)產(chǎn)品安全漏洞的信息”。新規(guī)將于9月1日生效。

　　中國(guó)執(zhí)政黨的軍事派別人民解放軍在網(wǎng)絡(luò)戰(zhàn)技術(shù)方面與美國(guó)和俄羅斯一樣處于領(lǐng)先地位。解放軍軍官被美國(guó)檢察官指控入侵美國(guó)公司竊取技術(shù)和商業(yè)機(jī)密。

　　發(fā)現(xiàn)“零日”弱點(diǎn)的顧問(wèn)表示，他們的工作是合法的，因?yàn)樗麄優(yōu)榫旎蚯閳?bào)機(jī)構(gòu)服務(wù)。一些人被指控幫助被控侵犯人權(quán)的政府或監(jiān)視活動(dòng)人士的組織。

　　沒(méi)有跡象表明這類私營(yíng)部門的研究人員在中國(guó)工作，但禁止該領(lǐng)域的決定表明，北京方面將其視為一個(gè)潛在威脅。

　　在過(guò)去20年里，中國(guó)穩(wěn)步加強(qiáng)了對(duì)信息和計(jì)算機(jī)安全的控制。

　　被視為敏感的銀行和其他實(shí)體被要求盡可能只使用中國(guó)制造的安全產(chǎn)品。在中國(guó)銷售路由器和其他一些網(wǎng)絡(luò)產(chǎn)品的外國(guó)供應(yīng)商被要求向監(jiān)管機(jī)構(gòu)披露加密功能的工作原理。

　　安全專家觀點(diǎn)

　　ThycoticCentrify首席安全科學(xué)家兼首席信息安全官Joseph Carson

　　“我預(yù)計(jì)中國(guó)政府將發(fā)現(xiàn)的任何安全漏洞武器化，以增強(qiáng)中國(guó)的網(wǎng)絡(luò)安全能力，”他告訴《安全周刊》。“這項(xiàng)新規(guī)定將收緊安全研究人員此前擁有的任何靈活性，迫使他們與中國(guó)政府分享安全研究，并限制進(jìn)一步披露。”

　　BreachQuest聯(lián)合創(chuàng)始人兼首席技術(shù)官杰克？威廉姆斯（Jake Williams）

　　“政府幾乎肯定會(huì)將這些漏洞傳遞給政府背景的威脅參與者。這可能不會(huì)導(dǎo)致攻擊數(shù)量的增加，但很可能會(huì)增加復(fù)雜性。作為一個(gè)旁注，”他補(bǔ)充說(shuō)，“中國(guó)政府機(jī)構(gòu)能夠減輕被發(fā)現(xiàn)的漏洞的防御優(yōu)勢(shì)，可能遠(yuǎn)遠(yuǎn)超過(guò)任何進(jìn)攻性收獲。”

　　知名密碼學(xué)家、網(wǎng)絡(luò)安全專家布魯斯。施耐爾

　　對(duì)新規(guī)則給予了積極評(píng)價(jià)，稱中國(guó)正在控制零日攻擊，將確保所有新發(fā)現(xiàn)的零日漏洞都被披露給政府。根據(jù)新規(guī)定，任何在中國(guó)發(fā)現(xiàn)漏洞的人都必須告知政府，政府將決定采取何種修復(fù)措施。除產(chǎn)品制造商外，任何信息都不能提供給“海外機(jī)構(gòu)或個(gè)人”。國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部、工業(yè)部發(fā)布的規(guī)定規(guī)定，任何人不得“收集、出售、發(fā)布有關(guān)網(wǎng)絡(luò)產(chǎn)品安全漏洞的信息”。這只是阻止了網(wǎng)絡(luò)武器交易。這并不妨礙研究人員告知產(chǎn)品的公司，即使產(chǎn)品在中國(guó)境外。

　　對(duì)漏洞研究的影響

　　還會(huì)有其他不那么引人注目的涓滴效應(yīng)。卡森指出，這對(duì)在中國(guó)進(jìn)行業(yè)務(wù)發(fā)展的西方組織產(chǎn)生了不利影響，因?yàn)橹袊?guó)政府將在他們之前了解自己產(chǎn)品的潛在安全漏洞。雖然規(guī)定指出，漏洞可能會(huì)向外國(guó)產(chǎn)品制造商披露，但并不確定這種情況會(huì)發(fā)生。

　　如果中國(guó)研究人員確實(shí)不愿意向西方制造商披露他們的發(fā)現(xiàn)，這將影響發(fā)現(xiàn)的缺陷的數(shù)量（APT組織知道這些缺陷，但制造商仍然不知道）。這可能是一個(gè)很大的數(shù)字。在Adobe于本周（2021年7月13日）發(fā)布的補(bǔ)丁公告中，中國(guó)科學(xué)院大學(xué)（UCAS）的徐鵬和奇安信科技研究院的王艷浩等研究人員被Adobe公司稱贊為他們的工作。

　　中國(guó)的新規(guī)定也可能對(duì)漏洞賞金程序和Pwn2Own黑客競(jìng)賽產(chǎn)生影響，這兩項(xiàng)比賽通常都有來(lái)自中國(guó)的選手。目前尚不清楚是否明確禁止參與漏洞獎(jiǎng)勵(lì)計(jì)劃，因?yàn)檫@相當(dāng)于“出售”研究成果，但它可能被豁免，因?yàn)檫@些發(fā)現(xiàn)最終在理論上被提供給了產(chǎn)品制造商——這是允許的。然而，當(dāng)研究人員可以把零日賣給另一個(gè)提供比零日更多的人時(shí)，賞金程序已經(jīng)被跳過(guò)了——這是明確禁止的。

　　同樣的基本論點(diǎn)也適用于Pwn2Own的競(jìng)爭(zhēng)。雖然中國(guó)參與者數(shù)量的任何減少不會(huì)影響賞金計(jì)劃和黑客競(jìng)賽的繼續(xù)，但可能會(huì)影響發(fā)現(xiàn)和披露的漏洞數(shù)量。

　　但這可能會(huì)反彈到中國(guó)。威廉姆斯說(shuō)：“最可能出現(xiàn)的問(wèn)題之一就是人才流失。如果中國(guó)研究人員可以從其他地方的工作中獲得豐厚的利潤(rùn)，但在中國(guó)卻不能，他們?yōu)槭裁匆粝聛?lái)？這可能在短期內(nèi)對(duì)中國(guó)有利，但長(zhǎng)期而言對(duì)中國(guó)不利。”