理工酷

2022年06月06日发布

事件：2022 年 5 月 26 日，美国商务部工业与安全局（BIS）正式发布了针对网络安全领域的最新的出口管制规定，根据新规的要求，各实体在与 D 类国家和地区的政府相关部门或个人进行合作时，必须要提前申请，获得许可后才能跨境发送潜在网络漏洞信息。该规定将全球国家分为 A、 B、 D、 E 四类，限制措施和严格程度逐步递增。中国被分在 D 类，即「受限制国家和地区」。

未经审批禁止向中国分享安全漏洞，微软等巨头抗议无效。 新规的落地代表美国实体与中国政府相关的组织和个人合作时，如果发现安全漏洞和信息，不能直接公布，需要先经过商务部审核。文件中同时指出，对代表政府行事的个人的许可要求是必要的，以防止代表 D 组国家政府行事的人因从事违反美国国家安全和外交政策利益的活动而获得「网络安全项目」。而微软在去年这条规定发布征求意见稿后，曾以书面意见形式提交了对这份文件的异议。微软表示，如果参与网络安全活动的个人和实体因和政府有关联而受限，将大大压制全球网络安全市场目前部署的常规网络安全活动的能力。很多时候，在无法确定对方是否和政府存在关联时，企业面对合规压力只能放弃合作。而微软此项抗议未被 BIS 同意。

新规压制全球漏洞共享机制，国内漏洞平台或将率先受益。 目前的漏洞分享机制主要通过全球化的分享实现逆向追溯实现分析，从而发布各项漏洞补丁。以2021 年 log4J 安全漏洞为例，中国阿里云团队于 2021 年 12 月 23 日于阿里云社区通报：按业界惯例向软件开发方 Apache 报告该问题。此类业界惯例已构成软件开发生态的重要一环。在美国新规落地的背景下，漏洞分享机制很大可能性将遭破坏，而我国各大安全厂商未雨绸缪的建立自身漏洞平台，目前已初现峥嵘，我们整理了相关厂商的漏洞平台和相关案例：1) 奇安信-补天漏洞响应平台：2021 年奇安信 CERT 新收录漏洞信息 21664个，漏洞总数 904234 个；2）奇安信-奇安盘古实验室：发布报告称美国国安局对中国十余年的网络恶意活动；3）三六零-安全大脑漏洞云：协助苹果、谷歌、EOS 等著名厂商修复漏洞；4）三六零：发布报告《网络战序幕：美国国安局 NSA（APT-C-40）对全球发起长达十余年无差别攻击》；5）深信服：漏洞管理服务；6）安恒信息-漏洞管理及响应平台；7）启明星辰-天镜漏洞管理平台。

投资建议：网络安全相关公司通过漏洞响应、扫描及管理等机制，发送至相关软件厂商，并协助修复相关漏洞是网络时代特有的业界惯例，此模式的长久存在助力了全维度软件厂商的安全发展，而此次美国新规的落地对于全球互助互利模式造成了一定的压制，相关网络安全厂商有望受益于自身的漏洞平台完善建立，推荐相关标的：奇安信、三六零、深信服、安恒信息、启明星辰等。

风险提示：行业竞争加剧风险，疫情反复造成交付不及风险