反思綠壩事件

這裡，我不想對國家有關部門的決定品頭論足，因為**的動機是好的，這一點毫無疑問。不僅如此，我還想為**部門說句話，綠壩軟體是經過競爭勝出的，而且經過了專業的測評機構的測試。**部門的決策過程看起來也沒有問題。

今天，我想和大家分享的是綠壩軟體暴露出來的軟體質量問題，該問題反映了我國軟體行業的現狀，發人深省。

第一，安全軟體本身安全嗎

?目前很多安全軟體廠商在功能上互相比拼，產品出現同質化傾向，使用者關注的主要也是功能性、易用性等方面，很少有人關注軟體自身的安全性問題。綠壩軟體從功能上看，符合國家有關部門和使用者的需要，否則也不會從眾多廠商的軟體中脫穎而出成為全國推廣的作品。但綠壩軟體的口令保護實在之脆弱，乙個小學生就能在很短時間內破解，實在說不過去；其次，軟體防解除安裝能力很弱，經不起任何攻擊，要知道防解除安裝是本軟體的最基本要求。綠壩事件折射出，我們的資訊保安行業發展還很不成熟，無論廠家，還是使用者和測評機構。

第二，這樣的軟體怎麼可以在全國推廣呢

?既然全國推廣，就可能面臨極大範圍的考驗，如競爭對手「雞蛋裡挑骨頭」式的測評，「花季」孩子們會絞盡腦汁地破解，如果軟體不是很過硬，根本就不能投放市場。決策者應該非常明白這一點。不知道權威部門是如何判斷該軟體足夠成熟可以投放市場？是專業的測評機構的測試結果足以讓人放心？還是象網上有人指責的那樣，裡面有潛規則？我相信不是潛規則，現在的**都比較謹慎，再怎麼著也不會犯如此低階的錯誤。如果不是潛規則，那麼可能是專業的測評機構出了問題，他們對外常年提供服務，這點風險意識都沒有嗎？也可能是廠家的推薦，打動了**部門。我相信，廠家去遊說的人一定不是不負責任，而是不懂。我堅信，**也好，廠家也好，測評機構也好，都不想看見這樣的結果，問題是這樣的軟體怎麼就出籠了呢？值得深思。

第三，專業測評機構的測試報告可靠嗎？據我了解，綠壩軟體是經過第三方專業的、權威測評中心測試的，如此權威的測評結構經常給國家專案做測試，給一些重要客戶做驗收測試，為各種各樣的鑑定會、驗收會提供測試報告。有了這樣權威的測評報告，使用者放心了，**放心了，專家也放心了。於是，專案通過驗收和鑑定，**的決策由此而出籠。我在沉思，綠壩軟體存在的問題，那麼簡單，都沒有測試出來，我們使用很多重要的系統，如銀行系統和稅務系統，是不是存在更多問題沒被測出來？基於這樣的測評結果作出的國家決策是靠得住的嗎？測評機構的報告看起來很規範，收費也可觀，樣子很權威，很靠譜。事實究竟如何呢？

第四，產、學、研啥時一體化

?專家做專家的，企業做企業的，使用者關心自己的，三者之間完全脫節，這是大體現狀。在很多場合我已經看出了這一問題，實驗室的專家和教授研究一些純理論問題，往往超前；企業研發自己的產品，將很多技術堆砌在一起，特別是安全產品，功能花裡胡哨，但安全方面是如何考慮的卻少見交代，弄得專家無從發表意見；使用者主要關心的也是產品功能性和易用性，至於安全性如何，他們沒足夠的水平。記得有一次，**部門召集專家、****和企業界代表開會，討論移動儲存介質的管理問題，全國知名的專家、學者、**和企業界人士雲集一堂，應該代表了我們國家的水平了吧。廠家介紹產品時，鼓吹功能如何強大，專家聽了不好表態，「你上了

8道鎖，看起來很安全，但鑰匙放在**沒有講清楚，我不能發表言論說你的產品是安全的。」乙個負責任的專家說了這樣一句話。與此相關的還有個例子，乙個鼎鼎有名的專家研究出乙個抗拒絕服務攻擊（

ddos

）產品，根據他本人的介紹，功能很強，對攻擊行為，他的產品具有很強的自學習能力，意思是說，下次再有類似攻擊發生，系統能自動識別並採取相應措施避免損失。後來他所在的單位在國家有關部門的支援下，成立了安全工程中心，該工程中心成立的意圖是將科研院所的科研成果轉化成商品，但在轉化抗

ddos

系統時，該中心的總工程師告訴我說：專家研製的系統不能成為商品，僅能參考一些思想，我們還要重新開發。總工程師說得很委婉，其言下之意是那位專家的系統根本不能產業化。他後來和我談起感想，說從原型到產品很難，從科研角色轉換到工程人員角色很難，找到合適的測試人員很難。實際上，我想說明的是：教授做出的東西，離商品化還差得太多太多；廠家做出的東西，在教授眼裡也漏洞百出。

我走訪了很多大學教授，都是國內非常有名的大學或科研機構的，我試圖將他們的成果應用到企業來，但幾年努力下來仍無什麼結果。究其根源，科研和廠家脫節嚴重。

綠壩就是這種背景下的產物。

2023年9

月29日星期二

反思綠壩事件

綠壩娘的加速器綠壩娘的收藏夾

綠壩模式須謹慎對待

綠壩老闆該當何罪？

反思綠壩事件

綠壩娘的加速器 綠壩娘的收藏夾

綠壩模式須謹慎對待

綠壩老闆該當何罪？

相關推薦

綠壩娘的加速器綠壩娘的收藏夾