反思绿坝事件

来源:互联网 发布:java zero copy 编辑:程序博客网 时间:2024/03/29 14:47

 

反思绿坝事件

 

这里,我不想对国家有关部门的决定品头论足,因为政府的动机是好的,这一点毫无疑问。不仅如此,我还想为政府部门说句话,绿坝软件是经过竞争胜出的,而且经过了专业的测评机构的测试。政府部门的决策过程看起来也没有问题。

今天,我想和大家分享的是绿坝软件暴露出来的软件质量问题,该问题反映了我国软件行业的现状,发人深省。

 

第一,安全软件本身安全吗? 目前很多安全软件厂商在功能上互相比拼,产品出现同质化倾向,用户关注的主要也是功能性、易用性等方面,很少有人关注软件自身的安全性问题。绿坝软件从功能上看,符合国家有关部门和用户的需要,否则也不会从众多厂商的软件中脱颖而出成为全国推广的作品。但绿坝软件的口令保护实在之脆弱,一个小学生就能在很短时间内破解,实在说不过去;其次,软件防卸载能力很弱,经不起任何攻击,要知道防卸载是本软件的最基本要求。绿坝事件折射出,我们的信息安全行业发展还很不成熟,无论厂家,还是用户和测评机构。

第二,这样的软件怎么可以在全国推广呢? 既然全国推广,就可能面临极大范围的考验,如竞争对手“鸡蛋里挑骨头”式的测评,“花季”孩子们会绞尽脑汁地破解,如果软件不是很过硬,根本就不能投放市场。决策者应该非常明白这一点。不知道权威部门是如何判断该软件足够成熟可以投放市场?是专业的测评机构的测试结果足以让人放心?还是象网上有人指责的那样,里面有潜规则?我相信不是潜规则,现在的官员都比较谨慎,再怎么着也不会犯如此低级的错误。如果不是潜规则,那么可能是专业的测评机构出了问题,他们对外常年提供服务,这点风险意识都没有吗?也可能是厂家的推荐,打动了政府部门。我相信,厂家去游说的人一定不是不负责任,而是不懂。我坚信,政府也好,厂家也好,测评机构也好,都不想看见这样的结果,问题是这样的软件怎么就出笼了呢?值得深思。

第三,专业测评机构的测试报告可靠吗?据我了解,绿坝软件是经过第三方专业的、权威测评中心测试的,如此权威的测评结构经常给国家项目做测试,给一些重要客户做验收测试,为各种各样的鉴定会、验收会提供测试报告。有了这样权威的测评报告,用户放心了,政府放心了,专家也放心了。于是,项目通过验收和鉴定,政府的决策由此而出笼。我在沉思,绿坝软件存在的问题,那么简单,都没有测试出来,我们使用很多重要的系统,如银行系统和税务系统,是不是存在更多问题没被测出来?基于这样的测评结果作出的国家决策是靠得住的吗?测评机构的报告看起来很规范,收费也可观,样子很权威,很靠谱。事实究竟如何呢?

第四,产、学、研啥时一体化? 专家做专家的,企业做企业的,用户关心自己的,三者之间完全脱节,这是大体现状。在很多场合我已经看出了这一问题,实验室的专家和教授研究一些纯理论问题,往往超前;企业研发自己的产品,将很多技术堆砌在一起,特别是安全产品,功能花里胡哨,但安全方面是如何考虑的却少见交代,弄得专家无从发表意见;用户主要关心的也是产品功能性和易用性,至于安全性如何,他们没足够的水平。记得有一次,政府部门召集专家、政府官员和企业界代表开会,讨论移动存储介质的管理问题,全国知名的专家、学者、官员和企业界人士云集一堂,应该代表了我们国家的水平了吧。厂家介绍产品时,鼓吹功能如何强大,专家听了不好表态,“你上了8道锁,看起来很安全,但钥匙放在哪里没有讲清楚,我不能发表言论说你的产品是安全的。”一个负责任的专家说了这样一句话。与此相关的还有个例子,一个鼎鼎有名的专家研究出一个抗拒绝服务攻击(DDOS)产品,根据他本人的介绍,功能很强,对攻击行为,他的产品具有很强的自学习能力,意思是说,下次再有类似攻击发生,系统能自动识别并采取相应措施避免损失。后来他所在的单位在国家有关部门的支持下,成立了安全工程中心,该工程中心成立的意图是将科研院所的科研成果转化成商品,但在转化抗DDOS系统时,该中心的总工程师告诉我说:专家研制的系统不能成为商品,仅能参考一些思想,我们还要重新开发。总工程师说得很委婉,其言下之意是那位专家的系统根本不能产业化。他后来和我谈起感想,说从原型到产品很难,从科研角色转换到工程人员角色很难,找到合适的测试人员很难。实际上,我想说明的是:教授做出的东西,离商品化还差得太多太多;厂家做出的东西,在教授眼里也漏洞百出。

我走访了很多大学教授,都是国内非常有名的大学或科研机构的,我试图将他们的成果应用到企业来,但几年努力下来仍无什么结果。究其根源,科研和厂家脱节严重。

绿坝就是这种背景下的产物。

 

2009929日星期二



原创粉丝点击