强征网络“零日漏洞”信息 中国新法迫使外国公司“自废武功”?
Voice of America
中国本月开始施行的数据安全法规强制在华外国公司在发现自身网络安全漏洞时立刻向北京汇报。外界担心,这项规定将让中国在增强自身网络安全防御能力的同时,也让中国黑客轻易获取发动“零日袭击”的网络资源,对外国目标发动攻击。
何为零日漏洞? 中国自9月1日开始实施的《数据安全法》要求在中国境内的组织和个人在“发生数据安全事件时”“立即采取处置措施,按照规定及时告知用户并向有关主管部门报告”。中国工业和信息化部、国家互联网信息办公室、公安部出台了相应的《网络产品安全漏洞管理规定》,要求“网络产品提供者”必须在2天内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息,并不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。 分析指出,由于主流网络产品在世界各地都被广泛使用,中国的新法规将让中国政府提前掌握外国消费者和军政部门使用的软件的“零日漏洞”信息,并可能以此发动网络袭击。 “零日漏洞”(zero-day vulnerability)指的是网络产品的软件设计和制造者对其自身产品不知晓、或者尚无补救措施的技术安全缺陷。黑客常常利用“零日漏洞”对相关目标进行网络攻击。 设在以色列特拉维夫的Check Point软件技术公司网络研究总监雅尼夫•巴尔马斯(Yaniv Balmas)通过电子邮件对美国之音说:“零日漏洞是几乎所有网络攻击武器的基础,它们是可以成为武器的产品或服务中发现的安全漏洞。例如,安卓系统中的零日漏洞可能让攻击者通过远程进入你的整个手机。”More Related News