原创文学网(htwxw.com)
当前位置: 首页 > 考研 > 内容详情

360安全认证“三步曲”奇招 替身式测试涉嫌作弊

时间:2019-04-16来源:黔西南新闻网 -[收藏本文]

  近年来,奇虎360科技有限公司(以下简称360)旗下的相关安全产品,一直处于被舆论质疑的风口浪尖。为此,360在多种场合,向外展示了 “国内外三大权威机构”的相关认证,以自证清白。

  然而,《每日经济新闻》记者调查了解到,“国内外三大权威机构”的相关认证也并不一定能证明360所有安全产品就是100%安全的,其中存在偷换标准概念、“替身式”测试以及360以“三步曲”的方式,为360产品勾勒“安全”与“合格”的外衣等作弊嫌疑。

  一步曲:认证标准“跳高赛”自降“栏杆”

  在跳高资格赛中,一般都会设立一个最低标准,比如1.80米获得资格赛。如果有队癫痫比较好的医院员将标杆从1.80米降低为1.60米,然后宣称获得资格赛资格,那算是典型的作弊。

  360在安全产品安全等级概念方面,则涉嫌玩弄了这样的手法。

  今年2月,360在发布的一份声明中宣称:360所有产品均“通过了中国信息安全测评中心的测评……以及国内外网络安全软件的各项标准,安全可信。”

  周鸿?进一步补充说:“将安全浏览器送检两家评测机构检测,主要是因为方舟子质疑360浏览器的安全问题”,“360为此花了两个月时间得到了EAL2级检测结果,而国内没有浏览器达到这个级别。”

  2月28日,在360召开的“媒体开放日恳谈会”上,360技术工程师声称,“只要过了EAL1癫痫怎么能看好,安全性就很有保证了,而EAL2级是公共系统要求,EAL4已经达到了美国军方的标准。”

  EAL2级标准,果真是这样吗?

  先来看一看,“EAL2”到底是怎样的一个安全级别标准呢?

  安全专家李铁军向《每日经济新闻》记者介绍说,国际上都把CC

  (1999年12月正式颁布国际标准ISO/IEC15408《信息技术、安全技术、信息技术安全性评估准则》CommonCriteria,简称为CC)作为评估信息技术安全性的通用尺度和方法。

  李铁军进一步介绍说,CC将评估级分为7级,其分别为:

  EAL1:功能行为与文档一致;对已早期癫痫病怎么治疗知威胁提供了保护。低级安全保证。功能测试。

  EAL2:低级到中级安全保证,但无完整开发记录,审查开发者所做的测试和脆弱性分析。结构测试。

  EAL3:中级的独立保证的安全保证,彻查开发过程。

  EAL4:中级到高级的独立保证的安全性,审查详细设计与重要实现(代码).

  EAL5~7:完全代码级。略。

  独立调查员描述了“EAL2”在评估等级中的位置:“EAL2级评估仅比功能测试级 (EAL1)稍高一点,而诸如安全加强的高层设计(概要设计)、低层设计 (详细设计)、设计实现(代码)子集、安全策略模型、测试覆盖分析、问题跟踪覆盖、独立的脆弱性分平顶山市羊羔疯的早期症状有哪些析等重要的安全评估手段全部不涉及。”

  中国安全专家、北京知道创宇信息技术有限公司创始人赵伟则指出,浏览器对于安全等级的要求比一般的软件产品高,而微软浏览器InternetExplorer则达到“EAL4+”级。此外,国内主流的防火墙厂商如华为、天融信等一般都达到EAL3。他说:“像所谓安全浏览器此类对于高度敏感的基于云服务的登录管家模块,最少要做EAL4级评估,只做到EAL2级评估纯属隔靴搔痒、无实际意义。”

  由此可知,EAL2是安全产品的初级标准,而对360安全浏览器而言,其不仅不能证明其合格,反而证明了其只是一个非常初级的安全产品,但360却将EAL2作为宣扬其产品合格的依据。