独立调查员初评360权威安全报告：存六大致命缺陷

　　在中科院信息工程研究所与IDF互联网情报威慑防御实验室先后发布报告明确指出360浏览器存在“泄露用户隐私”风险后，360方面迅速反应连夜发布公关新闻，先是极力否认以上两家的报告事实，之后向外发布了中国信息安全测评中心、工信部中国软件评测中心近期对360安全浏览器的安全性能评测报告。结论是360安全浏览器安全可靠,消息中还贴出了一份中国信息安全测评中心于11月19日签发的证书照片。虽然看似顺理成章,应对及时，但目前相关专业人士对这一消息的价值产生了怀疑。

　　其中，资深网友“独立调查员”在自己博客发表《初评“权威机构”对360安全浏览器的“安全评估”》一文，针对新闻中所叙内容，提出一针见血的“六大致命缺陷”并做出详细诠释，以表达对“权威报告”的质疑。“独立调查员”认为，从安全评估角度，所谓“权威机构”报告存在无的放矢、以偏概全、做贼心虚、穿越时空、隔靴搔痒、答非所问等六大致命缺陷，无力证明360安全浏览器产品安全性。

　　原文如下：

　　共同缺陷：

　　1、无的放矢：产品版本不明，无法确认是否公开发行版

　　2、以偏概全：仅涉及特定模块，而非整个产品，且完全无视云控制因素

　　3、做贼心虚：完全回避软件后门、登录串号、泄露跟踪记录等要害问题

　　中国信息安全测评中心公文缺陷：

　　4、穿越时空：模块版本竟然比其公开发行的最新版本更高，匪夷所思

　　5、隔靴搔痒：EAL2级仅适用非敏感功能模块

　　中国软件评测中心公文缺陷：

　　6、答非所问：公众关注焦点并非其功能，只做功能测试毫无意义

　　“独立调查员”指出，这两份公文中提及的360产品版本不明，无法确认是否为公开发行版本。同时其涉及的只是特定模块，而非整个产品，更忽视了云控制等因素。此外，两份公文回避了当前公众最关心的软件后门、登录串号、泄露跟踪记录等热点话题和问题要害。

　　“公众关注焦点并非360的功能，因此只做功能性评测毫无意义”。“独立调查员”指出：“以上几大缺陷，事实清楚，证据确凿，可以完全、彻底地否定360方面以此宣称自己产品安全性的证据效力”。

　　微博达人“安全无极限”在微博中也力挺“独立调查员”的观点。他认为：“花钱买到的安全到底还是不是真的安全?早就猜到了360有这一手，起码送测的版本不一样，而且软件这东西，内部有很多版本，人家也可以把往期版本干净的代码做些修改，然后送测，网民又无从得知”。

　　资深网友“双枪老龙”也在微博中表达了对360的不满。他认为：“你说它侵犯隐私，它说我功能都很好用。然后转移概念，对外宣布‘产品很靠谱’。360总是指东打西，不正面回应，采用答非所问的方式，跟‘说相声’似的”。

　　V字认证用户、鹰眼安全文化网发起者、中国计算机取证专家委员会成员“黑客老鹰”通过微博表示：“官方测评绝不可因为厂家背书而失去公信力和信誉。当然，眼下的IDF独立测评报告依然是周总眼中的三无报告，无签字、无公章、无……但一个互联网企业的领导人开始只‘相信’被‘包养’的权威报告而将一切质疑都视为阴谋的话，我真怀疑他自己是否也已被‘绑架’”。

　　据了解，10月25日工信部曾表态对360进行调查，根据消息人士透露，当前已有实质性进展，并有重大发现。因此当前广大网民呼吁工信部加快调查进度、加强力度，尽快让事实真相大白于天下。