当前位置:首页 > 新闻发布

政府安全计划(GSP)源代码协议相关问题解答(FAQ)

2018-03-29   来源: 中国信息安全测评中心

  1. 中国与微软签署政府安全计划(GSP)源代码协议(也称为“政府源代码备案计划”)是一项什么协议?2003年2月27日,中国信息安全产品测评认证中心(CNITSEC)代表中国政府与微软签署了政府安全计划(GSP)源代码协议。该协议是对去年6月国家计委与微软所签定合作备忘录中有关共享源代码内容的落实。根据该协议,中国信息安全产品测评认证中心以及与政府有关的机构可以通过可控的方式查看微软 Windows的源代码以及相关的技术信息,从而增强政府对Windows平台安全性的信心。中国是全球首批与微软签署此协议的国家之一。俄罗斯、北约和英国上个月与微软签署了政府安全计划(GSP)源代码协议。2. 中国政府是否可以得到Windows平台的所有源代码?与世界上其他国家一样,通过政府安全计划(GSP)源代码协议,中国政府可以看到几乎所有的Windows源代码。但有极少数的Windows源代码,由于涉及到第三方的知识产权,微软无权与签约方分享。3. 源代码可否改写或扩散?不可,政府安全计划(GSP)源代码协议是让政府查看源代码而不是改写或扩散源代码。如果在查看源代码的过程中,发现源代码中的安全漏洞,可以经由该协议中有关机制处理。4. 哪些人可以读源代码?如何操作?政府安全计划(GSP)源代码协议允许两类机构及人员可以查看源代码,一是中国信息安全产品测评认证中心可以查看源代码;二是我国政府授权的有关单位,在执行政府指定的信息安全项目时需要查看Windows源代码,在签署有关协议后,也可以查看源代码。具有授权的政府机构或个人需要查看源代码,须到位于北京市海淀区西三环北路27号的中国信息安全产品测评认证中心的源代码查看室或者协议限定的其它场所凭其个人智能卡通过在线方式访问微软的“开发者网络高级代码中心”,查看Windows源代码。5. 政府安全计划(GSP)源代码协议只允许查看源代码,有何实际意义?作为政府安全计划(GSP)源代码协议的核心,微软公司就其源代码开放的权利有两种,一种是参考授权,即允许中国信息安全产品测评认证中心以“只读”方式查看源代码,或使用代码查看程序观看源代码。另一种是源代码验证和实验权,即允许有关人员在微软位于美国或其它地方的研发机构中,在双方同意的项目中就源代码与微软人员一起工作。通过查看源代码可以深入了解Windows的安全架构以及应用程序接口的内部结构,不但可以更加有效地利用这些应用程序接口,也更进一步增强了对Windows操作系统安全性的信心。6. 中国政府得到的源代码是否与其他国家,如俄罗斯、北约等得到的源代码一样?是。所有签署政府安全计划(GSP)源代码协议的国家都是以在线方式访问微软的“开发者网络高级代码中心”,所看到的源代码都是一样的。7. 政府安全计划(GSP)源代码协议是否包括加密算法相关源代码?政府安全计划源代码协议包括加密算法相关的源代码,但因加密算法涉及美国密码出口政策的管理,查看加密算法源代码需要申请美国政府的出口许可证。8. 为什么选择与中国信息安全产品测评认证中心签署政府安全计划(GSP)源代码协议?中国信息安全产品测评认证中心是中国目前唯一经国家授权成立的信息技术安全性测评认证机构,也是中国目前按WTO规则和采用国际通用安全评估准则(GB/T 18336 idt ISO 15408)标准运行的认证实体。去年国家计委代表中国政府与微软签署了合作备忘录,备忘录中的各项工作由具体工作机构来落实。中国信息安全产品测评认证中心是受国家计委的委托,在政府安全计划(GSP)源代码协议合作上代表中国政府与微软签署该协议的工作机构。9. 中国信息安全产品测评认证中心与微软签署政府安全计划(GSP)源代码协议是否表明中国政府对微软产品安全性的认可?政府安全计划(GSP)源代码协议是微软公司专门针对各国政府了解其软件源代码而开展的一项全球性计划,旨在使政府及其指定的单位以可控的方式查看微软 Windows的源代码以及相关的技术信息,从而增强政府对Windows平台安全性的信心。中国信息安全产品测评认证中心按照国际通行的规则,依据国家有关产品质量认证和信息安全管理的法律法规、技术标准,通过对信息技术产品的安全性实施测评认证来确定产品的安全质量级别。与微软签署政府安全计划(GSP)源代码协议是中国信息安全产品测评认证中心受国家计委委托的一项具体工作,并不表明对微软产品的安全性进行认证或认可。10. 微软产品是否已通过中国信息安全产品测评认证中心的认证?目前还没有。微软公司的Windows 2000+SP3在2002年10月在美国通过了国际通用安全评估准则(ISO 15408)标准认证,该准则在2001年正式成为我国国家标准《信息技术 安全技术 信息技术安全性评估准则》(GB/T 18336)。但是由于中国政府尚未加入国际通用准则认证互认协定(CCRA),微软公司的产品还需向中国信息安全产品测评认证中心申请认证。11. 中国政府及产业界如何从政府安全计划(GSP)源代码协议获益?微软公司是全球操作系统的重要供应商之一,其软件产品在我国也占有相当大的市场份额。为了增强政府对其产品安全性的信心,微软以允许查看源代码的方式与政府达成合作协议,这对我们了解其安全性是有益的。中国信息安全产品测评认证中心将在国家计委的指导下,根据政府安全计划(GSP)源代码协议的有关条款制定具体办法,使相关的政府部门以及获得政府授权的安全项目单位(包括企业事业单位),在执行政府指定的信息安全项目时可以按相关规定查看源代码。12. 政府安全计划(GSP)源代码协议与Linux等开放源代码运动有什么差别?政府安全计划(GSP)源代码协议是微软公司向各国政府提供源代码在线查看的合作协议,与由公益组织“开放源代码促进会(OSI)”所倡议的“开放源代码(Opensource)”概念有区别。首先,两者开放政策不同,微软的源代码是商业产品,其开放对象是政府,而开放源代码的有关源代码是自由软件,开放对象是公众;其次,对源代码的处理不同,对自由软件,用户可以使用、修改、复制,而微软政府安全计划(GSP)源代码协议中的源代码只能以在线方式查看;第三,开放的性质不同,微软的政府安全计划(GSP)源代码协议对源代码的开放制定配套的管理办法,以保障其知识产权。自由软件则是无条件的完全开放。13.能否通过政府安全计划(GSP)源代码协议中看到的源代码生成可安装和运行的操作系统?不能,合作协议只允许查看源代码。此外,从技术角度讲,从源代码生成可执行软件还需要相关的其它环境,如编译器等。根据协议,允许有关人员在微软位于美国或其它地方的研发机构中,在双方同意的项目中就源代码与微软人员一起工作,对源代码进行验证和实验。14.政府安全计划(GSP)源代码协议对我国信息安全的意义?信息化是不可逆转社会发展潮流,加入WTO后我们面临的是一个更加开放更加国际化的新环境。这给我国的全面发展提供了难得的历史机遇,同时也给维护信息安全和国家利益带来现实的挑战。就信息安全而言,自主和可控应该是处理发展与安全战略中的务实选择之一。一方面我们要始终坚持自主研究开发的道路,努力推动我国IT产业的发展。另一方面也必须在可控情况下,采用国外已有的信息技术和产品。从这个意义上讲,政府安全计划(GSP)源代码协议对我们推动国内产业的发展和实现对国外产品的可控具有十分有益和积极的意义。15.政府安全计划(GSP)源代码协议对微软市场有何意义?政府安全计划(GSP)源代码协议是微软与政府建立安全合作机制的开始,不是销售协议。尽管它是微软全球市场战略的一个组成部分,但我们认为政府安全计划(GSP)源代码协议对各国政府增强对微软产品的安全性的了解是十分有益的。在既要保护企业自主的知识产权,又要保证用户在安全性方面的信心形势下,政府安全计划(GSP)源代码协议不失为一种可行的选择。我们也鼓励其它的IT产商采用类似的方法,但是各种信息技术产品的安全性到底如何,最终需要依据有关标准,按照科学规范的方法进行测评认证后才能确定。
X
产品测评咨询电话
010-82341592
系统评估咨询电话
010-82341592
服务资质咨询电话
010-82341582
010-82341551
人员培训咨询电话
010-82341582
010-82341551
投诉与监督
010-82341315
E-mail
jiandu@itsec.gov.cn