近年来,奇虎360科技有限公司(以下简称360)旗下的相关安全产品,一直处于被舆论质疑的风口浪尖。为此,360在多种场合,向外展示了 “国内外三大权威机构”的相关认证,以自证清白。
然而,《每日经济新闻》记者调查了解到,“国内外三大权威机构”的相关认证也并不一定能证明360所有安全产品就是100%安全的,其中存在偷换标准概念、“替身式”测试以及360以“三步曲”的方式,为360产品勾勒“安全”与“合格”的外衣等作弊嫌疑。
一步曲:认证标准“跳高赛”自降“栏杆”
在跳高资格赛中,一般都会设立一个最低标准,比如1.80米获得资格赛。如果有队员将标杆从1.80米降低为1.60米,然后宣称获得资格赛资格,那算是典型的作弊。
360在安全产品安全等级概念方面,则涉嫌玩弄了这样的手法。
今年2月,360在发布的一份声明中宣称:360所有产品均“通过了中国信息安全测评中心的测评……以及国内外网络安全软件的各项标准,安全可信。”
周鸿?进一步补充说:“将安全浏览器送检两家评测机构检测,主要是因为方舟子质疑360浏览器的安全问题”,“360为此花了两个月时间得到了EAL2级检测结果,而国内没有浏览器达到这个级别。”
2月28日,在360召开的“媒体开放日恳谈会”上,360技术工程师声称,“只要过了EAL1,安全性就很有保证了,而EAL2级是公共系统要求,EAL4已经达到了美国军方的标准。”
EAL2级标准,果真是这样吗?
先来看一看,“EAL2”到底是怎样的一个安全级别标准呢?
安全专家李铁军向《每日经济新闻》记者介绍说,国际上都把CC
(1999年12月正式颁布国际标准ISO/IEC15408《信息技术、安全技术、信息技术安全性评估准则》CommonCriteria,简称为CC)作为评估信息技术安全性的通用尺度和方法。
李铁军进一步介绍说,CC将评估级分为7级,其分别为:
EAL1:功能行为与文档一致;对已知威胁提供了保护。低级安全保证。功能测试。
EAL2:低级到中级安全保证,但无完整开发记录,审查开发者所做的测试和脆弱性分析。结构测试。
EAL3:中级的独立保证的安全保证,彻查开发过程。
EAL4:中级到高级的独立保证的安全性,审查详细设计与重要实现(代码).
EAL5~7:完全代码级。略。
独立调查员描述了“EAL2”在评估等级中的位置:“EAL2级评估仅比功能测试级 (EAL1)稍高一点,而诸如安全加强的高层设计(概要设计)、低层设计 (详细设计)、设计实现(代码)子集、安全策略模型、测试覆盖分析、问题跟踪覆盖、独立的脆弱性分析等重要的安全评估手段全部不涉及。”
中国安全专家、北京知道创宇信息技术有限公司创始人赵伟则指出,浏览器对于安全等级的要求比一般的软件产品高,而微软浏览器InternetExplorer则达到“EAL4+”级。此外,国内主流的防火墙厂商如华为、天融信等一般都达到EAL3。他说:“像所谓安全浏览器此类对于高度敏感的基于云服务的登录管家模块,最少要做EAL4级评估,只做到EAL2级评估纯属隔靴搔痒、无实际意义。”
由此可知,EAL2是安全产品的初级标准,而对360安全浏览器而言,其不仅不能证明其合格,反而证明了其只是一个非常初级的安全产品,但360却将EAL2作为宣扬其产品合格的依据。
![S1FD8IYHLG]H}Y4)E()T0H9.png](../../zt2017/201807/W020180712352492550202.png)
