美国,硅谷
“没有信息安全,就没有完全意义上的国家安全,也没有真正的政治安全、军事安全和经济安全。…因此,要把我国的信息安全问题放在全球战略考虑,…”
---- 中国工程院院士、国家863计划专项研究专家组组长 何德全
“通用准则认证是全球公认的、最高等级的、独立的、评估信息技术产品安全特性和能力的国际标准(ISO15408),该准则在2001年正式成为中国的国家标准《信息技术安全技术信息技术安全性评估准则》(GB/T18336)。Windows2000在去年10月在美国获得通用准则认证,这意味着Windows2000具有迄今为止操作系统在真实环境下最广泛的适用范围。”---- 微软新闻公告:《微软在中国签署“政府源代码备案”计划协议》
“3月10日黑客利用微软Windows2000缺陷攻击并控制了美军网络服务器,…美国陆军对网络进行扫描之后发现有资料从它的多个内部网络服器上被输出到一个‘不明确的区域’,从而发现这个安全事件。”
文章精 -- 2003年3月18 《联邦计算机周刊》:《Window2000安全缺陷导致美军网络服务器被控制》
《万分危险的微软“政府安全计划”》一文的部分读者反馈:
“…舆论是什么? 在中国什么也不是!
…假公济私的事情还少么?
…假如…照样把法律当空文的话,即使无论怎么说,其实也无所谓的。
危险,危险是什么? 就我看,关键是把关的人,而不是微软。”
---- 菁菁蓬蓬 3月13日(IT业界论坛 )
“微软不过是一个美国公司,作为公司,必然追求最大利益,作为美国公司又肯定只能听从美国政府的,绝对是美国利益第一。…”
---- NM 3月14日(eNet )
“你的文章提出:‘中国信息安全产品测评认证中心与外界的交往,必须受到高度的安全监管,否则,这种重要的政府安全机构就会成为收买、影响、控制和窃取安全机密的对象。’我听说微软将要付给测评认证中心六百万美元的‘测试费用’。‘吃了别人的嘴软、拿了别人的手软’,测评结果可想而知,这样,中国的网络安全就成了失去哨站的防线。”
---- MP 3月14日(Sohu )
“舆论是什么? 在中国什么也不是!”
这是何等悲愤的一句话。
如果舆论不能起作用,这是一种社会的病态、深深的病态。当记者被红包所控制、当媒体被厂商广告费所制伏或者被某些人想掩盖真相而封口、当民众对执法的人失去了最起码舆论监督能力而得出“无论怎么说,其实也无所谓的”这样绝望的结论的时候,我们就应该警醒,国家面临何等的危险!
不断出现的疑点,协议中有没有金钱的条款?
“中国信息安全产品测评认证中心”与微软签署“政府安全计划”协议。以盖茨的话来说“鉴于这个协议对于微软件公司来说有重要的意义,所以说它是具有里程碑式的事件,…微软同中国的关系方面。…决定由我到中国的时候,来签这个协议。”
首先,为什么微软把“政府安全计划”在他们的中文新闻公布当中改称为“政府源代码备案计划”?
为什么要把“被控方式查看”(”with controled access to”)翻译成中文的“可控方式查看”?
为什么明明是不可能看到全部的代码,而盖茨在回答《人民日报》记者“微软会在多大的程度上向中国开放他们的源代码?”这个问题的时候说“我们百分之百公开我们全部源代码”(注意:这里使用了“百分之百”和“全部”两个词)。
为什么这次签约要秘密地进行?为什么签约之后只由微软单方面发出新闻公告?
为什么这是个秘密协议,内容不能公开?但微软却可以随心所欲地按照他们的方式去谈论和讲述这个协议如何如何,去误导公众?
吴世忠在先前的谈话中承认:微软操作系统涉及许多其他部门与机构的内容,这些内容,不会“开放”,比如软件中涉及美国政府的密码等…。然而,在他新的谈话当中,却改口说:部分涉及到第三方知识产权的源代码,微软无权与签约方分享。
微软在新闻公告当中对公众说:“政府源代码备案计划是一个无需付费的计划”,既然微软谈到了金钱的问题,读者反映的这样一个需要核实的消息:“微软将要付给测评认证中心六百万美元的‘测试费用’”。我们希望签约的双方能够就这个问题给出一个答复,当然,我们不希望得到“律师方式”的诡辩答复,因为律师们完全可以说:“协议文本中没有这么一个条款。”原因是,协议文本中的措辞可能并不是百分之一百地准确翻译出这个消息的每一个字、词。我们想要知道的是,究竟有没有任何有关金钱上的条款。
得到金钱上的好处之后,“中国信息安全产品测评认证中心”的所作出的判断的可信度就存在极大的疑问。
在包尔默来中国操作所谓的“62亿大单”的时候,倪光南院士一针见血地指出:“微软高价聘请麦肯锡写的《中国软件产业发展战略研究报告》为中国提出了许多‘远景目标’、‘发展阶段’和‘举措’等等,但就是不要中国做操作系统。按照报告的‘发展战略’,在操作系统方面中国采用Windows就可以了,做操作系统不是中国人的事,最多是做Windows中一个安全模块的‘本地化’而已。”
其他方面,我们还可以记得微软金钱资助下得出来的“微软服务器拥有成本低于Linux”等等各种各样服务于微软市场运作的“研究 、调查结果”。
“微软与政府建立安全合作机制”?
明明是微软针对政府采购的一次市场运作,以盖茨的话来说就是“…对市场的承诺,因为我们的产品不仅要在中国市场还要在全球市场取得成功,…”,然而,“中国信息安全产品测评认证中心”主任吴世忠签约后对媒体的一系列谈话都在力求捧高这个协议的“意义”,这更增加了我们的疑问。吴世忠先生说:这是关于信息安全的合同,其中可能涉及到国家安全,此类签约事件,签约者都不宜大事炒作。吴世忠先生还说:有一点很重要,微软这次签约,意味着微软与政府建立安全合作机制的开始。这不是销售协议,也不是商业合同,所以不能用商业合同来衡量微软此次签约的意义。
这就奇怪了,微软的不干商业。正如吴世忠先生自己也承认的:微软毕竟是一家商业机构,以盈利为目的。
微软的操作系统软件被专家发现有有意设置的“后门”,现在居然与中国签订起关系到“国家安全”的协议,居然“与政府建立安全合作机制”。
“中国信息安全产品测评认证中心”是中国网络安全防线的一个哨站吗?我们应当怎样认识它的作用?
从美军Windows2000服务器被攻破看“通用准则认证”究竟能带来什么“安全”?
下面是今天(2003-03-18)美国各主要媒体上关于网络安全的一个头条新闻:
粹: (快捷键 alt+'y') “3月10日黑客利用微软Windows2000缺陷攻击并控制了美军网络服务器,…美国陆军对网络进行扫描之后发现有资料从它的多个内部网络服器上被输出到一个‘不明确的区域’,从而发现这个安全事件。”(2003?3?18 《联邦计算机周刊》:《Window2000安全缺陷导致美军网络服务器被控制》)
因此,我们很容易就能明白为什么美国国防部要采用Linux而抛弃Windows,以便大大增加安全度,并且把原来四十多亿美元的信息运作成本降低为仅仅几亿美元。
很不幸的是,盖茨才刚刚花了大笔市场推广费用及亲自出马给中国送来过Windows2000的“安全”信息。
让我们认真地学习一下微软新闻公告:《微软在中国签署“政府源代码备案”计划协议》:
“政府源代码备案计划是微软公司继获得信息技术安全性评估国际‘通用准则(Common Criteria)的认证’后在信息安全领域的又一重大举措。通用准则认证是全球公认的、最高等级的、独立的、评估信息技术产品安全特性和能力的国际标准(ISO15408),该准则在2001年正式成为中国的国家标准《信息技术安全技术信息技术安全性评估准则》(GB/T18336)。Windows2000在去年10月在美国获得通用准则认证,这意味着Windows2000具有迄今为止操作系统在真实环境下最广泛的适用范围。通用准则认证提供了一套标准,使得全世界的客户可以客观地评价信息技术产品和系统的安全功能。”
上面这段话,也是中国信息安全产品评测认证中心负责人吴世忠签约后对媒体的一系列谈话中所强调的。
于是,我们就可以接下来对“评测认证中心”进行定位。
“中国信息安全产品测评认证中心”是什么“安全级别”的机构
按照微软新闻公告的介绍,“中国信息安全产品测评认证中心”是这样的一个政府机构:
中国信息安全产品测评认证中心(CNITSEC)是中国唯一经国家授权成立的信息技术安全性测评认证机构,也是中国唯一按WTO规则和采用国际通用安全评估准则(GB/T 18336 idt ISO 15408)标准运行的国家认证实体,负责对信息技术产品、信息系统和信息技术服务的安全性进行测试、评估和认证。
米阿仑先生在《如何与“单赢”的微软“继续双赢”?》(3月15日 人民网)一文中指出:“英国政府跟微软公司签定了政府源代码备案计划,而英国政府并没有向本国市场和客户说那是‘增强政府对于Windows平台安全性的信心’,而是明确说明,那是按照信息安全管理(BS ISO/IEC 17799)等国际标准对所有软件采取的普遍措施,目的是为用户和市场提供基本的信息安全管理框架,说明设置某产品可能面临的风险和风险管理指南,没有任何为客户和市场作出该产品安全的推荐或保证的意思。”
