信息技术已经成为应 用面极广、渗透性很强的战略性技术。信息安全产品和信息系统固有的敏感性和特殊性,直接影响国家的安全利益和经济利益。各国政府纷纷采取颁布标准,实行测 评和认证制度等方式,对信息安全产品的研制、生产、销售、使用和进出口实行严格、有效的控制。美、英、德、法、澳、加、荷、韩等国家先后建立了国家信息安 全测评认证体系。
源代码:开放的学问
2018-03-29 来源: 中国信息安全测评中心
2003年2月27日,中国信息安全产品测评认证中心(CNITSEC)代表中国政府与微软签署了政府安全计划(GSP)源代码协议,中国成为继俄罗斯、北约和英国之后,第四个与微软签署此协议的国家。在谈判该协议时,全球软件巨擘微软一改之前斩钉截铁地“say no”态度,来了个180度大转弯,表现了积极的合作意愿。根据该协议,中国信息安全产品测评认证中心以及与政府有关的机构可以通过可控的方式查看微软的不涉及第三方知识产权的部分源代码以及相关的技术信息,从而增强政府对Windows平台安全性的信心。 中国信息安全产品测评认证中心是中国目前唯一经国家授权成立的信息技术安全性测评认证机构,也是中国目前按WTO规则和采用国际通用安全评估准则(GB/T18336 idt ISO15408)标准运行的认证实体。在政府安全计划(GSP)源代码协议合作上,中心受国家计委的委托,在政府安全计划(GSP)源代码协议合作上作为中国政府的授权机构与微软签署该协议。作为中国政府的授权机构与微软签署该协议。近日,带着对源代码协议的相关疑问,记者采访了中国信息安全产品测评认证中心副主任兼总工陈晓桦博士。
协议:有限制的开放
记者:此次,微软与中心签署了政府源代码备案计划协议(源代码协议最初的名称),是否代表中国政府可以掌握实质上的源代码?中国政府在源代码开放上的具体权限为何?
陈晓桦:首先必须澄清一个概念,这次的协议应该称为政府安全计划(GSP)源代码协议。由于前期的口头交流,使用了“备案”一词。这个协议所涉及的权限与我们日常对“备案”一词的理解有一些区别。有时候,备案要求象安全方面的密钥托管一样,真正有一把钥匙掌握在身边,需要的时候可以拿出来,以便恢复加密内容。有时候,备案只需要打一个招呼或填一张表。为避免误解,我们不再使用“备案”一词。
在该协议中,我们只能以安全在线方式访问源代码,而且并非是100%的源代码,只是不涉及微软声称的第三方知识产权的部分源代码,并且不能改写或扩散。如要对利用视窗操作系统进行有限修改的源代码,,并加入自行开发的加密技术对其中的密码等模块进行修改或替换,并作为特殊版本发放,则必须需要与微软另签协议。
在开放对象上,只允许我中心和政府授权的有关单位及人员查看源代码。该授权单位必须是在执行政府指定的信息安全项目时需要查看Windows源代码,而且在与我中心和微软三方签署有关协议后,才可以查看源代码。
在开放方式上,分为两种:一种是参考授权,即允许到我中心的源代码查看室,凭个人智能卡通过在线方式访问微软的“开发者网络高级代码中心”,查看Windows源代码。另一种是源代码验证和实验权,即允许有关人员在微软位于美国或其它地方的研发机构中,在双方同意的项目中就源代码与微软人员一起工作。
记者:根据协议,微软只是部分开放源代码,并有诸多限制,外界很多评论将其称为“只能看,不能摸”,您又如何理解呢?
陈晓桦:微软毕竟是一家商业机构,以盈利为目的,与任何一家来华投资的跨国公司相比,都没有区别,因而不能把它和慈善机构相比较。而且源代码确实是微软的知识产权,是它投资多少亿美元才开发出来的,你让它无限制公开了,这也是和保护知识产权方面、和公司自己的保护意识有一定冲突的。此次签约说明了,与政府合作,微软已经迈出了第一步,这是积极的、重要的一步,而且这种合作必然会发展下去。微软这样做,对相关政府部门及获得政府授权的安全项目单位了解其产品的安全性,,有很大的益处是有好处的,所以我国政府部门还是很欢迎的。
记者:那么距离真正看到源代码,国内相关机构、专家或个人还要等上多久?
陈晓桦:微软的源代码开放,是很多机构、专家和个人关注的事。中心最近也接到很多对源代码感兴趣的公司和个人打来的询问电话,先不论是不是符合资格,但足见对源代码热衷的程度。不过,到底由谁来看,谁能看,需要制定一套相应的规章制度,我们需要和微软商量,还要请示国家计委、国信办,由几方认可后,再把它公开出去。然后再开始报名、签协议等一步一步地实施。但我们一定会尽快将它制定出来,让感兴趣的相关人士和机构早日见到。
微软:由no到yes的痛苦抉择
记者:在去年5月的反托拉斯诉讼中,微软副总裁Jim Allchin还在一份宣言中表示,公开微软Windows操作系统的源代码“将威胁到美国的国家安全,甚至会使美国在未来战争中陷入不利的境地。”那么是什么趋使微软态度的突然改变?
陈晓桦:虽然微软在全球操作系统市场上仍然处于垄断地位,但对“后门”等安全隐患的担忧以及开放源代码运动的风起云涌,微软一枝独秀的局面得以已被打破,同时也使得包括美国在内的许多国家积极提倡政府机构使用开放源代码操作系统,如Linux系统尤为受欢迎。
一直以来,有关微软视窗操作系统中存在“后门”的传言流传颇广。1996年,澳大利亚海军发现了视窗95会悄悄向微软发送电脑中的信息。1999年9月,加拿大计算机专家费尔南德斯发现了视窗2000的CryptoAPI中带有一个被标为 NSA Key 的密钥,而NSA恰恰是美国国家安全局的缩写。微软对此解释说NSA Key只是程序员随便起的一个名字,只是其实一个功能有限的备份密钥。网上还流传曾经在Windows 2000程序注释中发现过CIA Sign字符串,后来被消除了。对诸如此类的传言,虽然微软公司作出了相应解释,但各国政府对使用Windows操作系统的信息安全问题仍然非常担心。试想,你这个操作系统如此庞大,2000多万行代码发展到现在4000四、五千多万行代码,你又不告诉我里面到底是什么东西,你要做一个后门确实很容易。虽然微软到底有没有这么做,谁都不知道,但是全世界很多政府,包括全世界与安全行业相关的单位、部门都怀疑。如何来消除怀疑呢?最好的办法是“我没有,我给你看”。 微软同时面对着来自开放源代码阵营的强力竞争,微软也不讳言政府越来越在意能否取得软件的源代码。内有系统后门传言带来的负面影响,外有以Linux为代表的开放源代码操作系统的竞争,微软在全球政府采购市场的霸主地位开始岌岌可危。
来自于产业界的呼声,市场的需要,以及为了抢回被渐渐蚕食的市场,巩固其政府采购市场的领先地位,微软专门做了一个庞大的战略计划:GSP。
记者:政府安全计划(GSP)源代码协议与Linux等开放源代码运动有什么区别?
陈晓桦:政府安全计划(GSP)源代码协议是微软公司向各国政府提供源代码在线查看的合作协议,与由公益组织“开放源代码促进会(OSI)”所倡议的“开放源代码(Opensource)”概念有区别。首先,两者开放对象不同。微软的源代码是商业产品,其开放对象是政府,而开放源代码的有关源代码是自由软件,开放对象是公众;其次,对源代码的处理不同。对自由软件,用户可以使用、修改、复制,而微软政府安全计划(GSP)源代码协议中的源代码只能以在线方式查看;第三,开放的性质不同。微软的政府安全计划(GSP)源代码协议对源代码的开放制定配套的管理办法,以保障其知识产权,自由软件则是在通用公共许可证(GPL)约定之下无条件的完全开放。
中国:有益的交流与促进
记者:参加政府安全计划(GSP)后,中国可以获得哪方面的益处?
陈晓桦:我们除了可以通过安全在线方式访问包括Windows 2000、Windows XP和Windows Server 2003 and Windows CE的当前版本、测试版以及补丁包在内的源代码,还能通过广泛了解微软的技术信息,从工程层次上理解Windows的架构,并增强实行安全审计以及设计、构建和维护安全计算环境的能力,提高解决问题以及系统优化的能力。同时还可以在美国出口政策许可的范围内,访问加密算法等部分的源代码以及开发工具,并与微软安全专家进行交流和合作。政府机构的代表还可以参观访问微软位于美国Redmond的开发机构。
记者:“项庄舞剑,意在沛公。”微软开放源代码的最大意图即拓展全球的政府采购市场,钳制Linux在全球的发展势头。对中国的政府采购市场,来自计算机世界资讯的观点认为,中国IT业2003年的增长幅度预计将保持13%的高速度,而政府采购以及电子政务的推广将成为其中的主要拉动因素,市场规模将达到350亿元。微软的这些举动,是否会对我国的政府采购带来一定的影响?
陈晓桦:我们必须强调的一点是,这个协议并不表示中国政府,或者是中国信息安全产品测评认证中心对微软操作系统安全性的认可或认证,而只是说微软有这么一个专门针对各国政府了解其软件源代码而开展的一项全球性计划,那么我们中国也要有个相应的政府机构来承办这件事,与之合作。因此,单从签定协议这个行为来讲,并不意味着它将直接影响我国的政府采购市场。
现实生活中不存在绝对安全。当然,如果通过某种技术手段,能够证明它能够在某种环境下,可以达到某种程度的安全,并且在某种硬环境下,达到某种安全级别,那么政府的某些部门是可以用它的。而且,只有通过研究源代码,才能作出正确的修改、替换或打补丁的决定。不过,我国有一个普遍政策:谁经营谁负责,谁使用谁负责,而不是说,国务院对你负责,计委、中心、微软对你负责。你使用什么产品,管理什么东西,安全方面的需求不一样,在这方面各级政府都不一样。因此,在这方面不能一概而论。
记者:政府安全计划(GSP)源代码协议对我国信息安全的意义?
陈晓桦:信息化是不可逆转社会发展潮流,加入WTO后我们面临的是一个更加开放更加国际化的新环境。这给我国的全面发展提供了难得的历史机遇,同时也给维护信息安全和国家利益带来现实的挑战。就信息安全而言,自主和可控应该是处理发展与安全战略中的务实选择之一。一方面我们要始终坚持自主研究开发的道路,努力推动我国IT产业的发展。另一方面也必须在可控情况下,采用国外先进的信息技术和产品。其实,我国不仅仅在引进国外信息技术和产品过程中遇到安全问题,我们在引进飞机、甚至食品的过程中,也会遇到这样或那样的安全问题。我们的态度并不是全面拒绝,而是采取加强检验、检疫和管理等手段来尽可能避免负面影响。我们应该把能不能看到微软操作系统部分源代码,与能不能立刻看懂这两件事情区分开来。从这个意义上讲,政府安全计划(GSP)源代码协议对我们推动国内产业的发展和实现对国外产品的可控还是具有十分有益的积极意义的。此外,我们希望国家相关的主管部门和业务部门,加强对信息技术产品和系统的安全性的测试、评估和认证工作的研究和重视,提高对信息产品安全性的判别能力,更好地服务于我国信息化建设。 具体从希望查看微软产品源代码开放对象的动机来说各式各样。,比如,有很多科研机构从学术研究的角度出发,厂商从开发更好产品的角度出发,安全专家单纯从了解微软安全性情况的角度出发,都希望看到源代码。现在有一个机会,可以以一种受控的方式、有限的方式,可以看到它的部分源代码,是一件一举数得的事情。从产品来看,现在很多产品都是基于微软平台,比如说防病毒产品,如果公开源代码,防病毒产品厂商就知道产品在底层机制或功能方面如何更好地与操作系统相结合,实现真正地在关键点把住关,提高性能,起到有效防病毒甚至防黑的作用。 社会:关注焦点
时至今日,距签定协议已有一段时日。从最初的兴奋到现在,很多人开始冷静下来考虑其中的细节——对谁有好处,哪些能切实得到好处,好处是哪些,这些好处和期望中的有什么区别?这些都是需要清醒地考虑一番的。
针对微软源代码的开放,国内外众说纷纭,褒贬不一。
当然对政府来说,是持欢迎态度的,并欢迎所有的跨国企业都像微软一样,与政府积极合作,让国内更多的政府部门和相关单位从中受益。而对于信息安全企业来说,由于话题较为敏感,关于源代码开放的具体内容、时间等都尚未明确,因此各家都言辞谨慎,不便深谈。但也一致认为这会给安全产品的研发、技术的深入带来一定的影响,是一件很有意义的事情。
然而,脱离了种种约束的网上谈论却显示了另一番光景,大家无所不谈,毫无顾忌,将心中所思、所虑一吐为快。最普遍的就是质疑微软所谓的“开放”。美国的一个BBS上就有这样两段评论:这一协议不是向中国公开(open)源代码,而是要与中国分享(share)源代码。另一个则认为,这并不是分享,实际上仅仅是“展示(showing)”一下。微软曾经说过:签署“国家安全协议”的国家可以基于国家安全的考虑开发安全性更高的软件系统。然而,这些国家却是绝对不能在微软的源代码上做出修改并进而独立编译出一套新的windows软件的。所以说白了,微软仅仅只是“展示(show)”了一下源代码。
即使公开,也给我们带来一些问题:是否就能证明微软的系统没有传言中的漏洞、后门;如何能在数GB的代码海洋中发现可能的安全漏洞。而且美国国际数据公司的库斯内茨基也认为,新计划效果如何仍存在疑问,因为各国政府看到的只是合同上规定的几个项目,并不是微软操作系统运行“蓝图”的全部,因此也就没有办法确信他们看到的源代码,就是运行微软操作系统的真正“蓝图”。如果真如猜测的那样,那这一公开,又有何意义呢?
与此同时,中国自己的软件企业如何在包括微软在内的国际软件大鳄的夹击下发展也成为讨论的焦点。对于一个大国来说,如果把自己的信息基础设施建立在别人的系统平台之上,那将是非常危险的。因为里面很可能埋藏有“遥控炸弹”,而遥控器则掌握在别人手中。因此从国家安全的角度来讲,拥有一个自己掌握源代码的操作系统才能从根本上保证国家的信息安全。从而,发展自己的软件产业,研发拥有自主产权的操作系统始终是我国政府重视的项目。提倡使用源代码开放的Linux系统,更是政府的政策所向。去年12月还由科技部、信息产业部等召开了推动Linux系统应用的专门会议。才刚送走比尔·盖茨不到一个礼拜,又有消息称,中国拟立法要求各级政府只购国产软件。这种种看似对微软不利的消息,是否能够最终如他们所愿,真正打入中国的政府采购市场,一时之间在网民中激起了讨论热浪。
时隔一个多月,评议之声仍未有减弱之势,微软也尚未完全谢幕,紧接着中国又迎来了比尔·盖茨的“死对头”——Sun CEO司考特·麦克尼利于3月17日访华了。去年10月,微软和SUN就曾为开放源代码是否安全争论不休。此次虽没有就微软的源代码做过多的评论,但两大软件厂商在中国碰出的火花,势必又是其全球战场的延续。 随着微软开放源代码时间表的一步步实现,以及信息安全理念的不断深入,关于源代码的讨论不会结束。
深度链接:
所谓源代码就是生成电脑软件的以程序设计语言形式表现的代码。如果把软件工程比作建筑大楼,那么软件本身则是建成后的大楼,源代码就是大楼的设计图纸。因此有了源代码就等于得到了完整的大楼设计,你就可以知道哪里是不可修改破坏的承重墙,哪里是可以拆除的普通墙。有了源代码,你还可以根据自己的需要将大楼的设计修改得更加适合自己的使用需要,同时也可以修改原有设计中不合理的地方。源代码之所以重要,就是因为如果你没有掌握一个软件的源代码,你就无法知道软件控制计算机具体做了些什么事,并带来很多信息安全方面的问题。
(信息安全与通信保密 2003.4)
协议:有限制的开放
记者:此次,微软与中心签署了政府源代码备案计划协议(源代码协议最初的名称),是否代表中国政府可以掌握实质上的源代码?中国政府在源代码开放上的具体权限为何?
陈晓桦:首先必须澄清一个概念,这次的协议应该称为政府安全计划(GSP)源代码协议。由于前期的口头交流,使用了“备案”一词。这个协议所涉及的权限与我们日常对“备案”一词的理解有一些区别。有时候,备案要求象安全方面的密钥托管一样,真正有一把钥匙掌握在身边,需要的时候可以拿出来,以便恢复加密内容。有时候,备案只需要打一个招呼或填一张表。为避免误解,我们不再使用“备案”一词。
在该协议中,我们只能以安全在线方式访问源代码,而且并非是100%的源代码,只是不涉及微软声称的第三方知识产权的部分源代码,并且不能改写或扩散。如要对利用视窗操作系统进行有限修改的源代码,,并加入自行开发的加密技术对其中的密码等模块进行修改或替换,并作为特殊版本发放,则必须需要与微软另签协议。
在开放对象上,只允许我中心和政府授权的有关单位及人员查看源代码。该授权单位必须是在执行政府指定的信息安全项目时需要查看Windows源代码,而且在与我中心和微软三方签署有关协议后,才可以查看源代码。
在开放方式上,分为两种:一种是参考授权,即允许到我中心的源代码查看室,凭个人智能卡通过在线方式访问微软的“开发者网络高级代码中心”,查看Windows源代码。另一种是源代码验证和实验权,即允许有关人员在微软位于美国或其它地方的研发机构中,在双方同意的项目中就源代码与微软人员一起工作。
记者:根据协议,微软只是部分开放源代码,并有诸多限制,外界很多评论将其称为“只能看,不能摸”,您又如何理解呢?
陈晓桦:微软毕竟是一家商业机构,以盈利为目的,与任何一家来华投资的跨国公司相比,都没有区别,因而不能把它和慈善机构相比较。而且源代码确实是微软的知识产权,是它投资多少亿美元才开发出来的,你让它无限制公开了,这也是和保护知识产权方面、和公司自己的保护意识有一定冲突的。此次签约说明了,与政府合作,微软已经迈出了第一步,这是积极的、重要的一步,而且这种合作必然会发展下去。微软这样做,对相关政府部门及获得政府授权的安全项目单位了解其产品的安全性,,有很大的益处是有好处的,所以我国政府部门还是很欢迎的。
记者:那么距离真正看到源代码,国内相关机构、专家或个人还要等上多久?
陈晓桦:微软的源代码开放,是很多机构、专家和个人关注的事。中心最近也接到很多对源代码感兴趣的公司和个人打来的询问电话,先不论是不是符合资格,但足见对源代码热衷的程度。不过,到底由谁来看,谁能看,需要制定一套相应的规章制度,我们需要和微软商量,还要请示国家计委、国信办,由几方认可后,再把它公开出去。然后再开始报名、签协议等一步一步地实施。但我们一定会尽快将它制定出来,让感兴趣的相关人士和机构早日见到。
微软:由no到yes的痛苦抉择
记者:在去年5月的反托拉斯诉讼中,微软副总裁Jim Allchin还在一份宣言中表示,公开微软Windows操作系统的源代码“将威胁到美国的国家安全,甚至会使美国在未来战争中陷入不利的境地。”那么是什么趋使微软态度的突然改变?
陈晓桦:虽然微软在全球操作系统市场上仍然处于垄断地位,但对“后门”等安全隐患的担忧以及开放源代码运动的风起云涌,微软一枝独秀的局面得以已被打破,同时也使得包括美国在内的许多国家积极提倡政府机构使用开放源代码操作系统,如Linux系统尤为受欢迎。
一直以来,有关微软视窗操作系统中存在“后门”的传言流传颇广。1996年,澳大利亚海军发现了视窗95会悄悄向微软发送电脑中的信息。1999年9月,加拿大计算机专家费尔南德斯发现了视窗2000的CryptoAPI中带有一个被标为 NSA Key 的密钥,而NSA恰恰是美国国家安全局的缩写。微软对此解释说NSA Key只是程序员随便起的一个名字,只是其实一个功能有限的备份密钥。网上还流传曾经在Windows 2000程序注释中发现过CIA Sign字符串,后来被消除了。对诸如此类的传言,虽然微软公司作出了相应解释,但各国政府对使用Windows操作系统的信息安全问题仍然非常担心。试想,你这个操作系统如此庞大,2000多万行代码发展到现在4000四、五千多万行代码,你又不告诉我里面到底是什么东西,你要做一个后门确实很容易。虽然微软到底有没有这么做,谁都不知道,但是全世界很多政府,包括全世界与安全行业相关的单位、部门都怀疑。如何来消除怀疑呢?最好的办法是“我没有,我给你看”。 微软同时面对着来自开放源代码阵营的强力竞争,微软也不讳言政府越来越在意能否取得软件的源代码。内有系统后门传言带来的负面影响,外有以Linux为代表的开放源代码操作系统的竞争,微软在全球政府采购市场的霸主地位开始岌岌可危。
来自于产业界的呼声,市场的需要,以及为了抢回被渐渐蚕食的市场,巩固其政府采购市场的领先地位,微软专门做了一个庞大的战略计划:GSP。
记者:政府安全计划(GSP)源代码协议与Linux等开放源代码运动有什么区别?
陈晓桦:政府安全计划(GSP)源代码协议是微软公司向各国政府提供源代码在线查看的合作协议,与由公益组织“开放源代码促进会(OSI)”所倡议的“开放源代码(Opensource)”概念有区别。首先,两者开放对象不同。微软的源代码是商业产品,其开放对象是政府,而开放源代码的有关源代码是自由软件,开放对象是公众;其次,对源代码的处理不同。对自由软件,用户可以使用、修改、复制,而微软政府安全计划(GSP)源代码协议中的源代码只能以在线方式查看;第三,开放的性质不同。微软的政府安全计划(GSP)源代码协议对源代码的开放制定配套的管理办法,以保障其知识产权,自由软件则是在通用公共许可证(GPL)约定之下无条件的完全开放。
中国:有益的交流与促进
记者:参加政府安全计划(GSP)后,中国可以获得哪方面的益处?
陈晓桦:我们除了可以通过安全在线方式访问包括Windows 2000、Windows XP和Windows Server 2003 and Windows CE的当前版本、测试版以及补丁包在内的源代码,还能通过广泛了解微软的技术信息,从工程层次上理解Windows的架构,并增强实行安全审计以及设计、构建和维护安全计算环境的能力,提高解决问题以及系统优化的能力。同时还可以在美国出口政策许可的范围内,访问加密算法等部分的源代码以及开发工具,并与微软安全专家进行交流和合作。政府机构的代表还可以参观访问微软位于美国Redmond的开发机构。
记者:“项庄舞剑,意在沛公。”微软开放源代码的最大意图即拓展全球的政府采购市场,钳制Linux在全球的发展势头。对中国的政府采购市场,来自计算机世界资讯的观点认为,中国IT业2003年的增长幅度预计将保持13%的高速度,而政府采购以及电子政务的推广将成为其中的主要拉动因素,市场规模将达到350亿元。微软的这些举动,是否会对我国的政府采购带来一定的影响?
陈晓桦:我们必须强调的一点是,这个协议并不表示中国政府,或者是中国信息安全产品测评认证中心对微软操作系统安全性的认可或认证,而只是说微软有这么一个专门针对各国政府了解其软件源代码而开展的一项全球性计划,那么我们中国也要有个相应的政府机构来承办这件事,与之合作。因此,单从签定协议这个行为来讲,并不意味着它将直接影响我国的政府采购市场。
现实生活中不存在绝对安全。当然,如果通过某种技术手段,能够证明它能够在某种环境下,可以达到某种程度的安全,并且在某种硬环境下,达到某种安全级别,那么政府的某些部门是可以用它的。而且,只有通过研究源代码,才能作出正确的修改、替换或打补丁的决定。不过,我国有一个普遍政策:谁经营谁负责,谁使用谁负责,而不是说,国务院对你负责,计委、中心、微软对你负责。你使用什么产品,管理什么东西,安全方面的需求不一样,在这方面各级政府都不一样。因此,在这方面不能一概而论。
记者:政府安全计划(GSP)源代码协议对我国信息安全的意义?
陈晓桦:信息化是不可逆转社会发展潮流,加入WTO后我们面临的是一个更加开放更加国际化的新环境。这给我国的全面发展提供了难得的历史机遇,同时也给维护信息安全和国家利益带来现实的挑战。就信息安全而言,自主和可控应该是处理发展与安全战略中的务实选择之一。一方面我们要始终坚持自主研究开发的道路,努力推动我国IT产业的发展。另一方面也必须在可控情况下,采用国外先进的信息技术和产品。其实,我国不仅仅在引进国外信息技术和产品过程中遇到安全问题,我们在引进飞机、甚至食品的过程中,也会遇到这样或那样的安全问题。我们的态度并不是全面拒绝,而是采取加强检验、检疫和管理等手段来尽可能避免负面影响。我们应该把能不能看到微软操作系统部分源代码,与能不能立刻看懂这两件事情区分开来。从这个意义上讲,政府安全计划(GSP)源代码协议对我们推动国内产业的发展和实现对国外产品的可控还是具有十分有益的积极意义的。此外,我们希望国家相关的主管部门和业务部门,加强对信息技术产品和系统的安全性的测试、评估和认证工作的研究和重视,提高对信息产品安全性的判别能力,更好地服务于我国信息化建设。 具体从希望查看微软产品源代码开放对象的动机来说各式各样。,比如,有很多科研机构从学术研究的角度出发,厂商从开发更好产品的角度出发,安全专家单纯从了解微软安全性情况的角度出发,都希望看到源代码。现在有一个机会,可以以一种受控的方式、有限的方式,可以看到它的部分源代码,是一件一举数得的事情。从产品来看,现在很多产品都是基于微软平台,比如说防病毒产品,如果公开源代码,防病毒产品厂商就知道产品在底层机制或功能方面如何更好地与操作系统相结合,实现真正地在关键点把住关,提高性能,起到有效防病毒甚至防黑的作用。 社会:关注焦点
时至今日,距签定协议已有一段时日。从最初的兴奋到现在,很多人开始冷静下来考虑其中的细节——对谁有好处,哪些能切实得到好处,好处是哪些,这些好处和期望中的有什么区别?这些都是需要清醒地考虑一番的。
针对微软源代码的开放,国内外众说纷纭,褒贬不一。
当然对政府来说,是持欢迎态度的,并欢迎所有的跨国企业都像微软一样,与政府积极合作,让国内更多的政府部门和相关单位从中受益。而对于信息安全企业来说,由于话题较为敏感,关于源代码开放的具体内容、时间等都尚未明确,因此各家都言辞谨慎,不便深谈。但也一致认为这会给安全产品的研发、技术的深入带来一定的影响,是一件很有意义的事情。
然而,脱离了种种约束的网上谈论却显示了另一番光景,大家无所不谈,毫无顾忌,将心中所思、所虑一吐为快。最普遍的就是质疑微软所谓的“开放”。美国的一个BBS上就有这样两段评论:这一协议不是向中国公开(open)源代码,而是要与中国分享(share)源代码。另一个则认为,这并不是分享,实际上仅仅是“展示(showing)”一下。微软曾经说过:签署“国家安全协议”的国家可以基于国家安全的考虑开发安全性更高的软件系统。然而,这些国家却是绝对不能在微软的源代码上做出修改并进而独立编译出一套新的windows软件的。所以说白了,微软仅仅只是“展示(show)”了一下源代码。
即使公开,也给我们带来一些问题:是否就能证明微软的系统没有传言中的漏洞、后门;如何能在数GB的代码海洋中发现可能的安全漏洞。而且美国国际数据公司的库斯内茨基也认为,新计划效果如何仍存在疑问,因为各国政府看到的只是合同上规定的几个项目,并不是微软操作系统运行“蓝图”的全部,因此也就没有办法确信他们看到的源代码,就是运行微软操作系统的真正“蓝图”。如果真如猜测的那样,那这一公开,又有何意义呢?
与此同时,中国自己的软件企业如何在包括微软在内的国际软件大鳄的夹击下发展也成为讨论的焦点。对于一个大国来说,如果把自己的信息基础设施建立在别人的系统平台之上,那将是非常危险的。因为里面很可能埋藏有“遥控炸弹”,而遥控器则掌握在别人手中。因此从国家安全的角度来讲,拥有一个自己掌握源代码的操作系统才能从根本上保证国家的信息安全。从而,发展自己的软件产业,研发拥有自主产权的操作系统始终是我国政府重视的项目。提倡使用源代码开放的Linux系统,更是政府的政策所向。去年12月还由科技部、信息产业部等召开了推动Linux系统应用的专门会议。才刚送走比尔·盖茨不到一个礼拜,又有消息称,中国拟立法要求各级政府只购国产软件。这种种看似对微软不利的消息,是否能够最终如他们所愿,真正打入中国的政府采购市场,一时之间在网民中激起了讨论热浪。
时隔一个多月,评议之声仍未有减弱之势,微软也尚未完全谢幕,紧接着中国又迎来了比尔·盖茨的“死对头”——Sun CEO司考特·麦克尼利于3月17日访华了。去年10月,微软和SUN就曾为开放源代码是否安全争论不休。此次虽没有就微软的源代码做过多的评论,但两大软件厂商在中国碰出的火花,势必又是其全球战场的延续。 随着微软开放源代码时间表的一步步实现,以及信息安全理念的不断深入,关于源代码的讨论不会结束。
深度链接:
所谓源代码就是生成电脑软件的以程序设计语言形式表现的代码。如果把软件工程比作建筑大楼,那么软件本身则是建成后的大楼,源代码就是大楼的设计图纸。因此有了源代码就等于得到了完整的大楼设计,你就可以知道哪里是不可修改破坏的承重墙,哪里是可以拆除的普通墙。有了源代码,你还可以根据自己的需要将大楼的设计修改得更加适合自己的使用需要,同时也可以修改原有设计中不合理的地方。源代码之所以重要,就是因为如果你没有掌握一个软件的源代码,你就无法知道软件控制计算机具体做了些什么事,并带来很多信息安全方面的问题。
(信息安全与通信保密 2003.4)
X
产品测评咨询电话
010-82341592
系统评估咨询电话
010-82341592
服务资质咨询电话
010-82341582
010-82341551
人员培训咨询电话
010-82341582
010-82341551
010-82341592
系统评估咨询电话
010-82341592
服务资质咨询电话
010-82341582
010-82341551
人员培训咨询电话
010-82341582
010-82341551
投诉与监督
010-82341315
E-mail
jiandu@itsec.gov.cn
010-82341315
jiandu@itsec.gov.cn