?

反思綠壩事件

?

這里，我不想對國家有關部門的決定品頭論足，因為政府的動機是好的，這一點毫無疑問。不僅如此，我還想為政府部門說句話，綠壩軟件是經過競爭勝出的，而且經過了專業的測評機構的測試。政府部門的決策過程看起來也沒有問題。

今天，我想和大家分享的是綠壩軟件暴露出來的軟件質量問題，該問題反映了我國軟件行業的現狀，發人深省。

?

第一，安全軟件本身安全嗎? 目前很多安全軟件廠商在功能上互相比拼，產品出現同質化傾向，用戶關注的主要也是功能性、易用性等方面，很少有人關注軟件自身的安全性問題。綠壩軟件從功能上看，符合國家有關部門和用戶的需要，否則也不會從眾多廠商的軟件中脫穎而出成為全國推廣的作品。但綠壩軟件的口令保護實在之脆弱，一個小學生就能在很短時間內破解，實在說不過去；其次，軟件防卸載能力很弱，經不起任何攻擊，要知道防卸載是本軟件的最基本要求。綠壩事件折射出，我們的信息安全行業發展還很不成熟，無論廠家，還是用戶和測評機構。

第二，這樣的軟件怎么可以在全國推廣呢? 既然全國推廣，就可能面臨極大范圍的考驗，如競爭對手“雞蛋里挑骨頭”式的測評，“花季”孩子們會絞盡腦汁地破解，如果軟件不是很過硬，根本就不能投放市場。決策者應該非常明白這一點。不知道權威部門是如何判斷該軟件足夠成熟可以投放市場？是專業的測評機構的測試結果足以讓人放心？還是象網上有人指責的那樣，里面有潛規則？我相信不是潛規則，現在的官員都比較謹慎，再怎么著也不會犯如此低級的錯誤。如果不是潛規則，那么可能是專業的測評機構出了問題，他們對外常年提供服務，這點風險意識都沒有嗎？也可能是廠家的推薦，打動了政府部門。我相信，廠家去游說的人一定不是不負責任，而是不懂。我堅信，政府也好，廠家也好，測評機構也好，都不想看見這樣的結果，問題是這樣的軟件怎么就出籠了呢？值得深思。

第三，專業測評機構的測試報告可靠嗎？據我了解，綠壩軟件是經過第三方專業的、權威測評中心測試的，如此權威的測評結構經常給國家項目做測試，給一些重要客戶做驗收測試，為各種各樣的鑒定會、驗收會提供測試報告。有了這樣權威的測評報告，用戶放心了，政府放心了，專家也放心了。于是，項目通過驗收和鑒定，政府的決策由此而出籠。我在沉思，綠壩軟件存在的問題，那么簡單，都沒有測試出來，我們使用很多重要的系統，如銀行系統和稅務系統，是不是存在更多問題沒被測出來？基于這樣的測評結果作出的國家決策是靠得住的嗎？測評機構的報告看起來很規范，收費也可觀，樣子很權威，很靠譜。事實究竟如何呢？

第四，產、學、研啥時一體化? 專家做專家的，企業做企業的，用戶關心自己的，三者之間完全脫節，這是大體現狀。在很多場合我已經看出了這一問題，實驗室的專家和教授研究一些純理論問題，往往超前；企業研發自己的產品，將很多技術堆砌在一起，特別是安全產品，功能花里胡哨，但安全方面是如何考慮的卻少見交代，弄得專家無從發表意見；用戶主要關心的也是產品功能性和易用性，至于安全性如何，他們沒足夠的水平。記得有一次，政府部門召集專家、政府官員和企業界代表開會，討論移動存儲介質的管理問題，全國知名的專家、學者、官員和企業界人士云集一堂，應該代表了我們國家的水平了吧。廠家介紹產品時，鼓吹功能如何強大，專家聽了不好表態，“你上了8道鎖，看起來很安全，但鑰匙放在哪里沒有講清楚，我不能發表言論說你的產品是安全的。”一個負責任的專家說了這樣一句話。與此相關的還有個例子，一個鼎鼎有名的專家研究出一個抗拒絕服務攻擊（DDOS）產品，根據他本人的介紹，功能很強，對攻擊行為，他的產品具有很強的自學習能力，意思是說，下次再有類似攻擊發生，系統能自動識別并采取相應措施避免損失。后來他所在的單位在國家有關部門的支持下，成立了安全工程中心，該工程中心成立的意圖是將科研院所的科研成果轉化成商品，但在轉化抗DDOS系統時，該中心的總工程師告訴我說：專家研制的系統不能成為商品，僅能參考一些思想，我們還要重新開發。總工程師說得很委婉，其言下之意是那位專家的系統根本不能產業化。他后來和我談起感想，說從原型到產品很難，從科研角色轉換到工程人員角色很難，找到合適的測試人員很難。實際上，我想說明的是：教授做出的東西，離商品化還差得太多太多；廠家做出的東西，在教授眼里也漏洞百出。

我走訪了很多大學教授，都是國內非常有名的大學或科研機構的，我試圖將他們的成果應用到企業來，但幾年努力下來仍無什么結果。究其根源，科研和廠家脫節嚴重。

綠壩就是這種背景下的產物。

?

2009年9月29日星期二

總結

以上是生活随笔為你收集整理的反思绿坝事件的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。