三步曲:与评测机构间存关联性关系
从上表中不难看出,在对360产品的评测中,漏洞不少。这些评测项目如此过关,除了与360本身有关外,评测机构在评测中,似乎也存在不够严谨的现象。
而这些评测机构,似乎也与360公司在关系上,“过于接近”。
从公开信息中可以查到,2012年3月,工信部发布了《关于申报2012年度电子信息产业发展基金招标项目的通知》,中国软件评测中心智能移动终端测试实验室对相关项目进行了积极的研究和探讨,并最终和北京奇虎科技有限公司携手成功申报了《移动互联网智能手机终端个人信息保护软件研发》项目。这一信息表明,360与中国软件评测中心有重大项目合作关系。
而中国信息安全测评中心是代表国家具体实施信息安全测评认证的实体机构,奇虎360公司副总裁石晓虹代表360公司,先后参与了国家计算机网络与信息安全管理中心、中国信息安全测评中心等多家单位的科研项目,并作为项目负责人。这些项目包括:无线局域网访问系统安全技术要求研究、基于硬件虚拟机的安全技术研究、Vista体系结构分析研究、多引擎恶意代码检测技术研究与开发、Vista内存安全机制分析等10余项。
独立调查员认为,“作为中立的评测机构,保持独立性是最为重要的,但这些机构与360有这样密切的关系,这样的评测很容易有失偏颇。”
此外,独立调查员还指出,360近期尽管做了许多“自证清白”的工作,但它所提供的“第三方测评”,其测试对象只是产品本身,不涉及其产品运营体系。而旗下囊括服务器(云安全中心)和客户端(安全卫士、杀毒、浏览器等)在内的360相关产品之下,360并非传统的独立软件提供商,而是同时兼具其产品的提供商和超级用户的角色,因此其一般用户的系统安全和信息安全风险并非目前的测评标准或规范所能涵盖,这是公共云计算时代在安全领域的崭新课题。这些都是其所谓“权威认证”无可辩驳的硬伤。
![S1FD8IYHLG]H}Y4)E()T0H9.png](../../zt2017/201807/W020180712352492550202.png)
