检验防黑客软件性能 “悬赏”不安全？_互联网-国际_科技时代

首页 ● 新闻 ● 邮件 ● 搜索 ● 短信 ● 聊天 ● 导航


上移动梦网赢手机大奖	<A HREF="http://ad.cn.doubleclick.net/jump/tech.sina.com.cn/;abr=!ie;sz=468x60;ord=85756695991387980?" target="_new"><IMG SRC="http://ad.cn.doubleclick.net/ad/tech.sina.com.cn/;abr=!ie;sz=468x60;ord=85756695991387980?" border=0 height="60" width="468"></A>

新浪首页 > 科技时代 > 互联网-国际 > 正文

检验防黑客软件性能 “悬赏”不安全？

http://www.sina.com.cn 2001年05月28日 16:07 赛迪网-中国计算机报

　　为了，4月下旬，英国Argus系统公司举行了一次黑客竞赛活动，谁能第一个成功入侵其研制的PitBull安全系统，就可以得到35000英镑的奖金。重赏之下，必有勇夫。可是这种“悬赏”对于提高整个网络安全产业来说，到底能有多大作用？是好还是坏呢？

　　网络安全产品在发布前接受黑客的公开攻击，这在国内外都有先例。前年，一国产路由器厂家搞过一个为期三天，悬赏10万元的活动；去年，某公司防火墙摆下10天“擂台”，

以50万元的“检测费”，悬赏“8341防火墙”的突破者。美国、德国、英国的此类活动更多。四月下旬，英国网络安全软件公司Argus又推出类似的活动，以35000英镑(约合人民币41.2万元)为奖金，悬赏第一个成功入侵其研制的PitBull安全系统的黑客。结果，以Argus公司公开认输告终，在社会上引起了不小的负面效应。下面，我们就来探讨一下这种“悬赏”行为。

　　“悬赏”与一般测试不同

　　在正式软件产品发布前，进行α测试和β测试是软件业的一个惯例，例如，最新Windows操作系统Windows XP的Beta2测试版将分发给全球50万名测试人员进行测试。事实上，悬赏摆擂式的测试和一般的软件测试有着本质的区别。首先，悬赏检测与一般测试的出发点不同。对计算机软件(包括核心为软件的硬件)产品的测试方法，常用的有黑盒测试、白盒测试；模块测试、集成测试、系统测试；功能测试、性能测试、可用性测试；安全测试、认同测试、兼容性测试、比较测试；以及α测试和β测试等等，但由于计算机软件在逻辑上的复杂性，这些测试都不能证明这种软件是100%正确的。软件工程中的一个基本常识就是，软件测试是为了发现软件中的错误，以便对软件做出相应修改而进行的。测试只能证明程序中有错误，而不能证明程序中没有错误，也就是说，不能证明程序的正确性。

　　网络安全产品的悬赏检测，则是以该软件正确为前提，其根本目的是要证明软件是正确的而且非常可靠。而这正是在软件工程中一再强调的在进行测试设计时要尽量避免的思想。实际上，这种悬赏检测的技术价值很小。因为，被测试者为了让系统被攻破的几率尽量小，提供给外部的软件信息就会相应减少，也就无法进行有针对性的检测。

　　悬赏攻击测试从技术上来看，应属于安全测试或脆弱性测试的一部分。安全测试要测试系统在应付非授权的内部/外部访问、故意破坏时的防护情况，这通常需要对系统结构有非常清晰的了解，并应用精密复杂的测试技术来实现，或者需要靠在各种应用环境长期的使用积累中去发现。悬赏攻击测试的另一特点是，它通常不分发给测试者，而是在测试者对产品基本上不了解的情况下，让他们自己想方设法去攻击，这样一来，即使有成千上万通用的攻击方法，也不可能有很高的效率。

　　“悬赏”并非好办法

　　由于网络信息安全产品(如防火墙)是对网络信息系统起防护作用的，所以其本，安全性测试更受到重视。对这类产品的安全性测试，不仅要测系统本身，而且要测其运行时对系统的保护能力。因此，国外的一些安全企业在搞类似活动时，一般会向攻击者公开较多的信息，特别是内网的一些情况，而国内提供的攻击测试则比较苛刻，相关信息也少得多，这样的环境对安全产品的要求，要比实际应用中低得多。没有应用环境的测试，有多少可信度？答案不言自明。

　　由此可知，网络安全公司在举办此类活动时，应该清楚这种测试技术价值不大。那么，这种花巨资悬赏的活动，其目的何在呢？答案显然是做市场宣传。在这里，我们先不论国外的情况，单说说国内的情况。

　　众所周知，我国的网络信息安全产品与国际先进水平相比，无论在技术应用以及产品的技术开发上，均处于比较落后的阶段，需要我们踏踏实实、认认真真地研发产品，同时要努力开拓市场，让国人认识到网络安全的重要性。但以悬赏检测作为市场宣传的手段，我以为并不是好的方法。

　　首先，市场开发是一门艺术，而不是盲目模仿，也不应是炒作。国外在开发一个产品时，一般有较长的开发周期，用于测试的时间也较长。而我国的软件行业却往往迫于市场压力，在人力、时间等资源都不充分的情况下，就将产品匆忙推向市场。对于肯定不完善的产品以这样的方式进行市场推广，难免有浮躁和炒作之嫌。进一步说，如果有了好的技术和产品，却没有市场推广的意识，这是企业自身的问题，反之，如果技术落后的产品，可以轻易地通过炒作对技术出色的产品进行淘汰的话，则是整个业界机制的问题。

　　其次，悬赏黑客进行攻击，实际上与我国的有关法规是有冲突的。我们可以在自己所控制的局域网范围内，进行任意黑客攻击测试。在不受任何单位控制的国际互联网上进行黑客攻击测试，必然会导致有害数据在国际互联网上传播，也就违反了我国有关互联网的管理规定。这些活动在国际互联网公约未出台之时，忽略了一些无道德的黑客可能对整个网络的威胁，因此，至少应经过我国有关职能部门的批准才可进行。

　　再次，对于刚刚起步的网络信息安全产业来讲，这种手法危害甚大。一个产品刚出来，就敢说“用我的产品没事”，不说还好，这一说，哪个单位还敢用？世界上至今没有，以后也不会有哪一个生产安全产品的企业敢说自己的产品100%安全。如果真刀真枪炼一把，肯定有这样那样的问题，结果不仅是对这个公司的声誉造成损害，也是对整个安全行业声誉的损害。国人一旦对中国的安全产品失去了信任，整个中国安全行业要发展就难了。

　　网络安全是一个严肃的产业，来不得半点虚假，它是考验一个公司长期实力的产业。网络安全公司应该做好长期的准备，加强联合，在这个行业奋斗10年、20年甚至更长的时间。只有我们的产品从技术上和质量上全面赶上国外产品的时候，我们用户的安全乃至国家的安全才真的有了保障。请让我们戒急勿躁，努力打造精品网络信息安全产品！（丁欲真）

【发表评论】【IT业界论坛】【科技聊天】【关闭窗口】

新闻查询

分类广告