Windows发布补丁若受限,中国如何提升网络安全?
四川质量发展研究院高级研究员熊节6月6日在接受观察者网采访时表示,美国商务部新规和之前的“实体清单”其实是一以贯之的。拿微软来举例,以前一直有“安全补丁包”的说法,Windows系统和Office软件通过不断打补丁包的形式来完善自己的服务。补丁包就是一种新的服务贸易形态,可以说:以前美国的制裁和管控没有怎么关注这个方面,现在把这种服贸形态给放进经济制裁的范畴里面来了。
在传统意义上,互联网被人们视为公共场所,它是一种公共品。其发展过程中产生了不歧视、平等对待、自由开放的互联网精神。与此同时,对于什么是“安全的软件”,大家也有长期的讨论。
像IBM(国际商用机器公司)这样的大公司会说,我提供给你的就是安全的。但在自由软件社区、开源社区和黑客社区,人们会认为,一款安全的软件,会有无数双眼睛来盯着它,其能力比这些大公司的产品更强,同时还不会留下后门或营私舞弊的空间。在黑客社区,这也形成了发现漏洞,并且将其(有偿)提供给厂商帮助修复,最终实现保护用户目的的“白帽子”社区。
但是在如今的地缘政治环境下,新的问题产生了:这种行为该怎么定性?
与开源社区团队类似,从事网络安全工作的人们在发现漏洞后,也会以一种网络协作的方式来处理。BIS新规下同样的问题是:那么这种协作属于什么性质?显然,BIS的规定,对于微软这样的巨头也好,对于从事网络安全的个人或者组织也罢,都会带来一系列现实的问题。
自上世纪70年代以来,美国长期引领全球互联网发展,“互联网精神”曾被全球IT界作为一种共同信仰。
在熊节看来,这种精神是比较空泛的,它建立在前面几十年美国主导的世界秩序和全球一体化的秩序基础上。在没有面对意识形态,以及政治、经济和地缘冲突的时候,大家相对比较容易去没有隔阂地开放软件和技术。
眼前发生的事实证明,当地缘政治环境发生变化,政治、外交和意识形态冲突走到明面时,软件社区和互联网社区很难独善其身。过去的开源和互联网社区依赖高度的信任,而不是依赖于机制。
熊节特别指出一种隐患,在软件产品采购过程中,很多买方会认为,我向一家公司买的东西,这家公司会完全具备它的知识产权。但是现实可能让人大跌眼镜:很多软件系统都是从开源社区中获得的,其供应链依赖几千上万个开源项目,如果某一开源软件某天发生了更新,那么整个软件系统也会自动跟着更新。如果没有对开源供应链进行专门监控,甲方和乙方都无法掌控整个过程。