綜合外媒報道，中國規(guī)定，所有零日漏洞必須只向中國政府披露。從2021年9月1日起，中國政府將要求任何發(fā)現(xiàn)零日漏洞的中國公民必須向中國政府主管網(wǎng)部門報告細節(jié)，不得向中國境外的任何第三方出售或提供相關信息(易受攻擊產(chǎn)品的制造商除外)。下面梳理《安全周刊》、美聯(lián)社、印度教徒報等媒體對新規(guī)的報道，以及相關安全專家也對此規(guī)定的評論。

　　媒體反應

　　《安全周刊》稱，中國漏洞披露規(guī)則將這一行動描述為“進一步加強了對信息的控制”。這不太可能是新規(guī)則出臺的主要動機，因為政府對數(shù)據(jù)的控制已經(jīng)很糟糕了。企業(yè)可能不會在中國境外存儲中國客戶的數(shù)據(jù)。在中國銷售路由器和其他一些網(wǎng)絡設備的外國公司必須向監(jiān)管機構披露加密功能的工作原理。

　　2017年頒布的《國家情報法》第7條已經(jīng)要求中國公民支持、協(xié)助和配合國家情報工作。因此，這已經(jīng)暗示了中國公民必須支持中國的網(wǎng)絡行動。新規(guī)定明確了這種支持，而且更有可能與中國以情報為主導的網(wǎng)絡行動有關，而不是為了加強對內(nèi)部信息的控制。如果這是真的，那么值得探索的是，這條規(guī)則可能對世界其他地區(qū)產(chǎn)生什么影響。最明顯的假設是，中國發(fā)現(xiàn)的零日漏洞將流入中國的APT組織，而不會被美國國家安全局或俄羅斯國家行為體提供購買。

　　美聯(lián)社（AP）于2021年當?shù)貢r間7月13日發(fā)布了一份報告，提供了簡要細節(jié)。除了聲明之外，沒有其他消息來源?！案鶕?jù)國家互聯(lián)網(wǎng)信息辦公室、公安部和工信部發(fā)布的規(guī)定，任何人不得‘收集、出售或發(fā)布有關網(wǎng)絡產(chǎn)品安全漏洞的信息’?！标P于私人研究是否被禁止，或者私人研究的結果是否受到控制，這份報告并不清楚。后者是最有可能的。

　　印度教徒報報道稱，新規(guī)定將禁止私營部門專家發(fā)現(xiàn)“零日”（zero day），即之前未知的安全漏洞，并將信息出售給警方、間諜機構或公司。此類漏洞一直是重大黑客攻擊的一個特征，本月的一次黑客攻擊被歸咎于一個與俄羅斯有關聯(lián)的組織，該組織讓至少17個國家的數(shù)千家公司感染了病毒。

　　北京對控制有關人民和經(jīng)濟的信息越來越敏感。企業(yè)被禁止在中國境外存儲有關中國客戶的數(shù)據(jù)。包括最近在美國上市的叫車服務公司滴滴全球（Didi Global Inc.）在內(nèi)的一些公司已被公開警告要加強數(shù)據(jù)安全。

　　根據(jù)新規(guī)定，任何在中國發(fā)現(xiàn)漏洞的人都必須告知政府，政府將決定采取何種修復措施。除產(chǎn)品制造商外，任何信息都不能提供給“海外機構或個人”。

　　根據(jù)國家互聯(lián)網(wǎng)信息辦公室、公安部、工信部發(fā)布的規(guī)定，任何人不得“收集、出售、發(fā)布有關網(wǎng)絡產(chǎn)品安全漏洞的信息”。新規(guī)將于9月1日生效。

　　中國執(zhí)政黨的軍事派別人民解放軍在網(wǎng)絡戰(zhàn)技術方面與美國和俄羅斯一樣處于領先地位。解放軍軍官被美國檢察官指控入侵美國公司竊取技術和商業(yè)機密。

　　發(fā)現(xiàn)“零日”弱點的顧問表示，他們的工作是合法的，因為他們?yōu)榫旎蚯閳髾C構服務。一些人被指控幫助被控侵犯人權的政府或監(jiān)視活動人士的組織。

　　沒有跡象表明這類私營部門的研究人員在中國工作，但禁止該領域的決定表明，北京方面將其視為一個潛在威脅。

　　在過去20年里，中國穩(wěn)步加強了對信息和計算機安全的控制。

　　被視為敏感的銀行和其他實體被要求盡可能只使用中國制造的安全產(chǎn)品。在中國銷售路由器和其他一些網(wǎng)絡產(chǎn)品的外國供應商被要求向監(jiān)管機構披露加密功能的工作原理。

　　安全專家觀點

　　ThycoticCentrify首席安全科學家兼首席信息安全官Joseph Carson

　　“我預計中國政府將發(fā)現(xiàn)的任何安全漏洞武器化，以增強中國的網(wǎng)絡安全能力，”他告訴《安全周刊》?！斑@項新規(guī)定將收緊安全研究人員此前擁有的任何靈活性，迫使他們與中國政府分享安全研究，并限制進一步披露?！?/p>

　　BreachQuest聯(lián)合創(chuàng)始人兼首席技術官杰克？威廉姆斯（Jake Williams）

　　“政府幾乎肯定會將這些漏洞傳遞給政府背景的威脅參與者。這可能不會導致攻擊數(shù)量的增加，但很可能會增加復雜性。作為一個旁注，”他補充說，“中國政府機構能夠減輕被發(fā)現(xiàn)的漏洞的防御優(yōu)勢，可能遠遠超過任何進攻性收獲。”

　　知名密碼學家、網(wǎng)絡安全專家布魯斯。施耐爾

　　對新規(guī)則給予了積極評價，稱中國正在控制零日攻擊，將確保所有新發(fā)現(xiàn)的零日漏洞都被披露給政府。根據(jù)新規(guī)定，任何在中國發(fā)現(xiàn)漏洞的人都必須告知政府，政府將決定采取何種修復措施。除產(chǎn)品制造商外，任何信息都不能提供給“海外機構或個人”。國家互聯(lián)網(wǎng)信息辦公室、公安部、工業(yè)部發(fā)布的規(guī)定規(guī)定，任何人不得“收集、出售、發(fā)布有關網(wǎng)絡產(chǎn)品安全漏洞的信息”。這只是阻止了網(wǎng)絡武器交易。這并不妨礙研究人員告知產(chǎn)品的公司，即使產(chǎn)品在中國境外。

　　對漏洞研究的影響

　　還會有其他不那么引人注目的涓滴效應?？ㄉ赋?，這對在中國進行業(yè)務發(fā)展的西方組織產(chǎn)生了不利影響，因為中國政府將在他們之前了解自己產(chǎn)品的潛在安全漏洞。雖然規(guī)定指出，漏洞可能會向外國產(chǎn)品制造商披露，但并不確定這種情況會發(fā)生。

　　如果中國研究人員確實不愿意向西方制造商披露他們的發(fā)現(xiàn)，這將影響發(fā)現(xiàn)的缺陷的數(shù)量（APT組織知道這些缺陷，但制造商仍然不知道）。這可能是一個很大的數(shù)字。在Adobe于本周（2021年7月13日）發(fā)布的補丁公告中，中國科學院大學（UCAS）的徐鵬和奇安信科技研究院的王艷浩等研究人員被Adobe公司稱贊為他們的工作。

　　中國的新規(guī)定也可能對漏洞賞金程序和Pwn2Own黑客競賽產(chǎn)生影響，這兩項比賽通常都有來自中國的選手。目前尚不清楚是否明確禁止參與漏洞獎勵計劃，因為這相當于“出售”研究成果，但它可能被豁免，因為這些發(fā)現(xiàn)最終在理論上被提供給了產(chǎn)品制造商——這是允許的。然而，當研究人員可以把零日賣給另一個提供比零日更多的人時，賞金程序已經(jīng)被跳過了——這是明確禁止的。

　　同樣的基本論點也適用于Pwn2Own的競爭。雖然中國參與者數(shù)量的任何減少不會影響賞金計劃和黑客競賽的繼續(xù)，但可能會影響發(fā)現(xiàn)和披露的漏洞數(shù)量。

　　但這可能會反彈到中國。威廉姆斯說：“最可能出現(xiàn)的問題之一就是人才流失。如果中國研究人員可以從其他地方的工作中獲得豐厚的利潤，但在中國卻不能，他們?yōu)槭裁匆粝聛恚窟@可能在短期內(nèi)對中國有利，但長期而言對中國不利?！?/p>