近年來,奇虎360科技有限(xian)公司(以(yi)下簡(jian)稱360)旗下的相關(guan)安全產品,一直(zhi)處于被輿論質疑的風口浪尖。為此,360在多種(zhong)場(chang)合(he),向外(wai)展示了 “國(guo)內(nei)外(wai)三大權(quan)威機構”的相關(guan)認證,以(yi)自(zi)證清(qing)白。
然而,《每日經濟(ji)新聞》記者調查了解到,“國內外三大權威機(ji)構”的(de)(de)相(xiang)關認證也并不一(yi)定能證明360所有安(an)全產品(pin)就是100%安(an)全的(de)(de),其中存在偷換標準概(gai)念、“替身式”測試以及360以“三步(bu)曲”的(de)(de)方(fang)式,為(wei)360產品(pin)勾勒“安(an)全”與(yu)“合(he)格”的(de)(de)外衣等作弊嫌疑。
一步曲:認證標準“跳高賽”自降“欄桿”
在(zai)跳高(gao)資(zi)(zi)(zi)格(ge)(ge)賽中,一般(ban)都會設立一個最(zui)低標準,比如1.80米獲(huo)得資(zi)(zi)(zi)格(ge)(ge)賽。如果有隊(dui)員將標桿(gan)從1.80米降低為1.60米,然后宣稱獲(huo)得資(zi)(zi)(zi)格(ge)(ge)賽資(zi)(zi)(zi)格(ge)(ge),那算是典型的作弊。
360在安全產品安全等級概念方面,則涉嫌玩弄了這樣的手法。
今年2月(yue),360在發布的(de)一份(fen)聲(sheng)明中宣稱:360所(suo)有產品均“通過了中國(guo)信息安全(quan)測評中心的(de)測評……以(yi)及國(guo)內外網絡(luo)安全(quan)軟件的(de)各(ge)項標準,安全(quan)可(ke)信。”
周(zhou)鴻?進一步補充說:“將安(an)全瀏(liu)(liu)覽器(qi)(qi)送檢(jian)兩家評測機構(gou)檢(jian)測,主要是因為(wei)方舟子質疑360瀏(liu)(liu)覽器(qi)(qi)的安(an)全問題”,“360為(wei)此花了兩個月時間得到了EAL2級檢(jian)測結果,而國內(nei)沒(mei)有瀏(liu)(liu)覽器(qi)(qi)達到這個級別。”
2月28日(ri),在360召開(kai)(kai)的(de)“媒體開(kai)(kai)放日(ri)懇談(tan)會”上(shang),360技術工程師聲稱,“只(zhi)要(yao)過了(le)EAL1,安全(quan)性就很有保(bao)證(zheng)了(le),而EAL2級(ji)是公共系(xi)統要(yao)求,EAL4已經達到了(le)美(mei)國(guo)軍方(fang)的(de)標準。”
EAL2級標準(zhun),果真(zhen)是這樣嗎?
先來看(kan)一(yi)看(kan),“EAL2”到底是怎樣的一(yi)個(ge)安全(quan)級(ji)別(bie)標準(zhun)呢?
安全專家李鐵軍(jun)向《每日經濟新(xin)聞》記者介紹說,國際上都把(ba)CC
(1999年12月正式頒(ban)布國際標準ISO/IEC15408《信息(xi)(xi)技術(shu)(shu)、安全(quan)技術(shu)(shu)、信息(xi)(xi)技術(shu)(shu)安全(quan)性評(ping)估(gu)準則》CommonCriteria,簡稱為CC)作為評(ping)估(gu)信息(xi)(xi)技術(shu)(shu)安全(quan)性的通用尺度和方法。
李(li)鐵(tie)軍(jun)進(jin)一步介紹說,CC將評估級分為7級,其(qi)分別為:
EAL1:功能行為與文檔(dang)一致(zhi);對已(yi)知威脅提供(gong)了保護。低(di)級安全保證。功能測試(shi)。
EAL2:低級到中級安(an)全保證(zheng),但(dan)無完整開(kai)發(fa)記錄,審查開(kai)發(fa)者所做(zuo)的測試和脆弱性分析。結構測試。
EAL3:中級的(de)獨立保證的(de)安全保證,徹查開發(fa)過(guo)程。
EAL4:中級到高級的獨立保證的安全性,審查詳細設計與重要實現(代碼(ma)).
EAL5~7:完全代碼級。略。
獨(du)立(li)調查員描述了“EAL2”在評(ping)估(gu)等級(ji)中的(de)位置:“EAL2級(ji)評(ping)估(gu)僅比功(gong)能測試級(ji) (EAL1)稍高一點,而諸如安全(quan)加強的(de)高層設(she)(she)計(ji)(ji)(概要設(she)(she)計(ji)(ji))、低層設(she)(she)計(ji)(ji) (詳細設(she)(she)計(ji)(ji))、設(she)(she)計(ji)(ji)實(shi)現(xian)(代(dai)碼(ma))子集、安全(quan)策略(lve)模型、測試覆(fu)蓋(gai)分(fen)析、問題跟蹤覆(fu)蓋(gai)、獨(du)立(li)的(de)脆弱性分(fen)析等重要的(de)安全(quan)評(ping)估(gu)手段全(quan)部不涉及。”
中國安(an)全專家、北京知道創宇信(xin)息技術有限公司創始(shi)人(ren)趙偉則指(zhi)出,瀏(liu)覽(lan)器對于(yu)安(an)全等級的(de)(de)要(yao)求比一般的(de)(de)軟件產品(pin)高,而微軟瀏(liu)覽(lan)器InternetExplorer則達(da)到(dao)“EAL4+”級。此外,國內主流的(de)(de)防火墻廠商如華為、天融信(xin)等一般都達(da)到(dao)EAL3。他說:“像所謂安(an)全瀏(liu)覽(lan)器此類(lei)對于(yu)高度(du)敏(min)感(gan)的(de)(de)基于(yu)云(yun)服務的(de)(de)登(deng)錄管家模塊(kuai),最(zui)少要(yao)做EAL4級評估,只(zhi)做到(dao)EAL2級評估純(chun)屬隔靴搔癢(yang)、無實(shi)際意義。”
由此可(ke)知,EAL2是安(an)全產(chan)品的初級標準,而對360安(an)全瀏(liu)覽器而言,其不僅不能證明(ming)其合(he)格(ge),反(fan)而證明(ming)了其只是一個非常(chang)初級的安(an)全產(chan)品,但360卻將(jiang)EAL2作為(wei)宣揚(yang)其產(chan)品合(he)格(ge)的依據。
中(zhong)(zhong)(zhong)證(zheng)(zheng)網(wang)聲明:凡本網(wang)注明“來源(yuan):中(zhong)(zhong)(zhong)國(guo)(guo)證(zheng)(zheng)券報(bao)(bao)·中(zhong)(zhong)(zhong)證(zheng)(zheng)網(wang)”的所有作品,版權(quan)均(jun)屬于(yu)中(zhong)(zhong)(zhong)國(guo)(guo)證(zheng)(zheng)券報(bao)(bao)、中(zhong)(zhong)(zhong)證(zheng)(zheng)網(wang)。中(zhong)(zhong)(zhong)國(guo)(guo)證(zheng)(zheng)券報(bao)(bao)·中(zhong)(zhong)(zhong)證(zheng)(zheng)網(wang)與作品作者聯(lian)合(he)聲明,任(ren)何組織(zhi)未經中(zhong)(zhong)(zhong)國(guo)(guo)證(zheng)(zheng)券報(bao)(bao)、中(zhong)(zhong)(zhong)證(zheng)(zheng)網(wang)以及(ji)作者書面授權(quan)不(bu)得轉(zhuan)載、摘編或利(li)用其它方(fang)式使(shi)用上述作品。凡本網(wang)注明來源(yuan)非中(zhong)(zhong)(zhong)國(guo)(guo)證(zheng)(zheng)券報(bao)(bao)·中(zhong)(zhong)(zhong)證(zheng)(zheng)網(wang)的作品,均(jun)轉(zhuan)載自其它媒體,轉(zhuan)載目的在于(yu)更(geng)好(hao)服(fu)務讀者、傳遞信息之需,并不(bu)代表(biao)本網(wang)贊同其觀點,本網(wang)亦不(bu)對其真實(shi)性負(fu)責,持(chi)異(yi)議者應與原(yuan)出處單位主張(zhang)權(quan)利(li)。
特別鏈接:政府部門交易機構證券期貨四所兩司新聞發布平臺友情鏈接版權聲明
關于報社關于本站廣告發布免責條款
中國證券報社版權所有,未經書面授權不得復制或建立鏡像 經營許可證編號:京B2-20180749 京公網安備0-1
Copyright 2001-2018 China Securities Journal. All Rights Reserved
中(zhong)國證券報(bao)社版(ban)權所有,未經(jing)書面(mian)授權不得復制或建(jian)立鏡(jing)像(xiang)
經營許可證編號(hao):京B2-20180749 京公網安(an)備(bei)0-1
Copyright 2001-2018 China Securities Journal. All Rights Reserved