中国最早的web2.0网站,中国互联网行业的风向标。提供互联网行业资讯、数据分析报告、社区互动、线下交流等服务。是中国互联网从业人士交流最权威的平台,是了解中国互联网行业最重要的窗口。
“公众对技术的不了解常常会造成很多误解,这不利于技术的普及,甚至有碍进步!” 11月26日,针对近期包括中国网在内的多家媒体发布的标题为“权威测评机构报告:360浏览器安全可靠”的报道,中国人民大学计算机系主任,系统与信息安全研究实验室负责人石文昌发表长微博表示:“报道说了外行话!”(石文昌长微博链接:http://weibo.com/2419876533/z6WQ64WJR)
据悉,11月22日起包括中国网在内的多家媒体发布了解读“中国信息安全测评中心、工信部下属中国软件评测中心对360安全浏览器的安全性能分别发布的评测报告”的报道。随即,这篇报道被多方指责内容及观点受奇虎360公司操控,已存在重大误导公众嫌疑。实际上,测评机构并没有下那样的结论。
如前文所提,石文昌点明该篇报道之所以说了外行话一是对安全评测思想及其中的EAL概念不了解;二是对产品的安全性概念了解不够(中国网报道链接:http://t.cn/zjbRmcY)。他指出,中国网仅凭一份《测试证书》和一份《验证报告》就得出结论证明其产品安全可靠是缺乏证据的。
石文昌指出,公众以为两家测评机构做出了产品安全可靠的结论,甚至对测评机构产生了看法,实际上,测评机构并没有下那样的结论,在这一点上,他们被冤枉了。
就《评测证书》而言,它标明的是根据国家标准GB/T18336对产品进行评价,这种评价主要做两方面的事情,一是检查产品中是否有测评申请书中声称的功能,二是评价厂家到底能够在多大程度上保障那些功能得到有效实现。产品功能有效实现的保障程度用EAL1~EAL7来表示,共7个等级,其中EAL7表示保障程度最高,EAL1表示保障程度最低。保障程度刻画的是产品实现预期功能的可信程度,如果一个产品达到EAL7等级,才有充分理由相信它真的实现了预期功能。
而软件产品安全性概念则包含很多因素,与BG/T 18336对应的国际标准就定义了11类安全功能。所以产品的安全性要根据安全目标从多方面评价。而报告中明确指出两家评测机构所做的都是黑盒测试,石文昌提醒大家注意,仅凭黑盒测试是不可能得出高可信程度的结论的。
综上,该篇报道的作者即犯了对产品的安全评测、EAL等级、安全性等概念和思想缺乏足够的了解,以及EAL2等级和黑盒测试等为依据,推断出产品安全可靠地结论。
据记者调查,除了中国网的报道,这篇名为《权威测评机构报告:360浏览器安全可靠》的报道正在互联网上广泛流传,很多媒体显然都使用了360发布的通稿,因此很大程度上,360具有利用媒体误导公众的嫌疑。
据悉,在这两份报告发布几日后,11月25日由“黑客教父”万涛发起的“互联网威慑防御实验室”(IDF)在其官方微博公开发布了两份关于“360安全卫士窃取用户隐私”及“360安全浏览器暗藏后门”的独立检测报告,直指360安全产品不安全,迅速引发安全界的广泛关注与热议。这与此前中科院信息工程研究所内部研讨的关于360浏览器不安全的结果一致。
对此,业内人士纷纷呼吁360须正视自身安全隐私问题,不要再转移视线,挑战用户底线。而在11月28日刚刚结束的易观安全沙龙第二期上,360产品问题又再次成为业内焦点话题。
声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!