反思綠壩事件

2021-05-07 14:03:01 字數 2077 閱讀 6204

反思綠壩事件

這裡,我不想對國家有關部門的決定品頭論足,因為**的動機是好的,這一點毫無疑問。不僅如此,我還想為**部門說句話,綠壩軟體是經過競爭勝出的,而且經過了專業的測評機構的測試。**部門的決策過程看起來也沒有問題。

今天,我想和大家分享的是綠壩軟體暴露出來的軟體質量問題,該問題反映了我國軟體行業的現狀,發人深省。

第一,安全軟體本身安全嗎

?目前很多安全軟體廠商在功能上互相比拼,產品出現同質化傾向,使用者關注的主要也是功能性、易用性等方面,很少有人關注軟體自身的安全性問題。綠壩軟體從功能上看,符合國家有關部門和使用者的需要,否則也不會從眾多廠商的軟體中脫穎而出成為全國推廣的作品。但綠壩軟體的口令保護實在之脆弱,乙個小學生就能在很短時間內破解,實在說不過去;其次,軟體防解除安裝能力很弱,經不起任何攻擊,要知道防解除安裝是本軟體的最基本要求。綠壩事件折射出,我們的資訊保安行業發展還很不成熟,無論廠家,還是使用者和測評機構。

第二,這樣的軟體怎麼可以在全國推廣呢

?既然全國推廣,就可能面臨極大範圍的考驗,如競爭對手「雞蛋裡挑骨頭」式的測評,「花季」孩子們會絞盡腦汁地破解,如果軟體不是很過硬,根本就不能投放市場。決策者應該非常明白這一點。不知道權威部門是如何判斷該軟體足夠成熟可以投放市場?是專業的測評機構的測試結果足以讓人放心?還是象網上有人指責的那樣,裡面有潛規則?我相信不是潛規則,現在的**都比較謹慎,再怎麼著也不會犯如此低階的錯誤。如果不是潛規則,那麼可能是專業的測評機構出了問題,他們對外常年提供服務,這點風險意識都沒有嗎?也可能是廠家的推薦,打動了**部門。我相信,廠家去遊說的人一定不是不負責任,而是不懂。我堅信,**也好,廠家也好,測評機構也好,都不想看見這樣的結果,問題是這樣的軟體怎麼就出籠了呢?值得深思。

第三,專業測評機構的測試報告可靠嗎?據我了解,綠壩軟體是經過第三方專業的、權威測評中心測試的,如此權威的測評結構經常給國家專案做測試,給一些重要客戶做驗收測試,為各種各樣的鑑定會、驗收會提供測試報告。有了這樣權威的測評報告,使用者放心了,**放心了,專家也放心了。於是,專案通過驗收和鑑定,**的決策由此而出籠。我在沉思,綠壩軟體存在的問題,那麼簡單,都沒有測試出來,我們使用很多重要的系統,如銀行系統和稅務系統,是不是存在更多問題沒被測出來?基於這樣的測評結果作出的國家決策是靠得住的嗎?測評機構的報告看起來很規範,收費也可觀,樣子很權威,很靠譜。事實究竟如何呢?

第四,產、學、研啥時一體化

?專家做專家的,企業做企業的,使用者關心自己的,三者之間完全脫節,這是大體現狀。在很多場合我已經看出了這一問題,實驗室的專家和教授研究一些純理論問題,往往超前;企業研發自己的產品,將很多技術堆砌在一起,特別是安全產品,功能花裡胡哨,但安全方面是如何考慮的卻少見交代,弄得專家無從發表意見;使用者主要關心的也是產品功能性和易用性,至於安全性如何,他們沒足夠的水平。記得有一次,**部門召集專家、****和企業界代表開會,討論移動儲存介質的管理問題,全國知名的專家、學者、**和企業界人士雲集一堂,應該代表了我們國家的水平了吧。廠家介紹產品時,鼓吹功能如何強大,專家聽了不好表態,「你上了

8道鎖,看起來很安全,但鑰匙放在**沒有講清楚,我不能發表言論說你的產品是安全的。」乙個負責任的專家說了這樣一句話。與此相關的還有個例子,乙個鼎鼎有名的專家研究出乙個抗拒絕服務攻擊(

ddos

)產品,根據他本人的介紹,功能很強,對攻擊行為,他的產品具有很強的自學習能力,意思是說,下次再有類似攻擊發生,系統能自動識別並採取相應措施避免損失。後來他所在的單位在國家有關部門的支援下,成立了安全工程中心,該工程中心成立的意圖是將科研院所的科研成果轉化成商品,但在轉化抗

ddos

系統時,該中心的總工程師告訴我說:專家研製的系統不能成為商品,僅能參考一些思想,我們還要重新開發。總工程師說得很委婉,其言下之意是那位專家的系統根本不能產業化。他後來和我談起感想,說從原型到產品很難,從科研角色轉換到工程人員角色很難,找到合適的測試人員很難。實際上,我想說明的是:教授做出的東西,離商品化還差得太多太多;廠家做出的東西,在教授眼裡也漏洞百出。

我走訪了很多大學教授,都是國內非常有名的大學或科研機構的,我試圖將他們的成果應用到企業來,但幾年努力下來仍無什麼結果。究其根源,科研和廠家脫節嚴重。

綠壩就是這種背景下的產物。

2023年9

月29日星期二

綠壩娘的加速器 綠壩娘的收藏夾

為了方便懶人 開發的提取碼補全與 加速小工具 綠壩娘的加速器 綠壩加速 支援window linux osx,在win7 x64 win8.1 x64下測試 版本 0.2.1 支援以 lb 開頭的115禮包 版本 0.2.0 現在不僅僅可以開啟相關應用,還會修改剪貼簿內容 版本 0.1.2 修正了空...

綠壩模式須謹慎對待

所謂 綠壩模式 是指由 出資買斷某種軟體產品的使用權 一定期限 供全社會使用。採用這種模式需要謹慎對待。為什麼?根據國家工信部5 月 19 日所發檔案,要求把綠壩軟體安裝在硬碟備份分割槽或系統備份光碟裡面,因而,綠壩軟體不易徹底清除,也就談不上什麼可自主選擇安裝,可自由進行解除安裝。經專家分析,如果...

綠壩老闆該當何罪?

今年元月 5 日,中國 就因綠壩侵權問題成了第一被告,真是霉氣 即倒霉之意 肇事者綠壩老闆該當何罪?元月 5 日,美國公司 cybersitter 在乙份新聞稿 一頁 pdf 文稿 中宣稱 該公司已經向舊金山聯邦法院提出控告,指控中國 第一被告 在預裝 推行 綠壩事件中不適當地運用 機密 不公平競爭...