据外媒报道,美国五角大楼(DOD)采购负责人上周五在新闻发布会上证实,他们有默默地建立一个“Do
Not Buy” 的名单,拒绝采购那些使用了中国和俄国软件的公司产品。

澳门新葡萄京所有网站 1

继5月下旬政府采购拒绝微软win8系统之后,在保护信息安全方面,政府的态度愈发坚定。8月4日,据外媒报道,中国政府已将美国反病毒软件供应商赛门铁克、俄罗斯的卡巴斯基实验室排除在安全软件供应商之外。

负责采购与维护的国防部副部长 Ellen Lord
表示,五角大楼从6个月前开始编制这份名单,“该部门与其他 DOD
机构分享了这份名单,但还没有强制执行。”

来源:俄罗斯卫星通讯社 2019-8-2

《人民日报》英文Twitter亦有消息称,政府采购单位“已经将赛门铁克与卡巴斯基”从安全软件供应商名单中剔除,5家国产安全软件获批使用。

五角大楼计划与三家国防工业贸易协会合作,提醒供应商哪些是五角大楼认为存在潜在威胁的有问题产品。五角大楼希望这些供应商能够转向被认为安全的产品,为其提供设备和服务。

美国国防部监察署发布报告称,五角大楼不顾美国政府有关安全风险的警告,继续采购中国和俄罗斯生产的技术设备和软件。报告指出,在对国防部采购文件进行审查后,监察署得出结论,尽管中情局警告称中国和俄罗斯产品存在危险,但在2018财政年度五角大楼还是购买了利盟、联想和卡巴斯基实验室的产品。

互联网安全专家在接受记者采访时表示,“棱镜门”事件之后,从信息安全层面考虑,可管可控的国产软件必然受到政策垂青。资深IT分析师孙永杰表示,从信息安全角度考虑,只是简单逻辑,在国产软件底层技术弱势情况下,此举博弈意义更大。

去年,美国官员曾禁止在政府网络上使用俄罗斯反病毒厂商卡巴斯基实验室和中国硬件供应商中兴通讯的产品,理由是担忧中国和俄罗斯可能利用从这些产品中分析获得的知识,对美国公司和政府网络发起网络攻击。

长期以来,美国当局一直称中国电子产品制造商对美国国家安全构成威胁。2012年美国国会收到一份报告,称华为和中兴正积极与中国政府合作,为其提供从事网络间谍活动的设备和技术。两家公司一再否认这些指控,自称是民营企业,没有向当局提供任何用户数据。然而,去年美国通过了一项法律,禁止国家机构和政府使用中国电信巨头的设备。该禁令仅直接涉及华为和中兴的设备,但美国情报部门表示,任何中国制造商都可能与中国当局合作,从而对国家安全构成威胁。

海外厂商资质被叫停

来自:bleepingcomputer

同样,美国情报机构也在宣扬俄罗斯威胁论。2017年2月,国家安全局发布报告称,卡巴斯基杀毒软件可能会被用来监视计算机用户和攻击美国的基础设施。同年5月,中央情报局、国家安全局、联邦调查局和国家情报局的领导人在参议院听证会上公开声称,使用卡巴斯基实验室的软件可能会有危险。卡巴斯基实验室表示,从未卷入过网络攻击活动,将来也不会参与。然而,和中国公司的情况一样,美国没有任何证据。2017年美国总统唐纳德·特朗普签署法令,禁止美国联邦机构使用卡巴斯基实验室的产品。之后,美国家电连锁巨头百思买将卡巴斯基杀毒软件下架。

8月4日,有报道,出于安全因素考虑,中国政府已将美国反病毒软件供应商赛门铁克、俄罗斯的卡巴斯基实验室排除在安全软件供应商之外。

© SPUTNIK / VITALY PODVITSKI 上司, 我们还要买电脑屏幕!

上周日的
《人民日报》英文Twitter发布消息,称政府采购单位“已经将赛门铁克与卡巴斯基”从安全软件供应商名单中剔除出去。政府采购办公室批准使用的5款杀毒软件品牌为启明星辰、北京江民、冠群金辰和瑞星等,均为国产安全软件品牌。

然而,美国国防部监察署报告显示,五角大楼并不急于盲目履行情报部门的意志。审计结果显示,2018财政年度五角大楼在所谓可疑商品上花费了3300万美元,指的是8000台利盟打印机。美国情报部门认为,该公司也与中国情报部门有关,打印机可以发动DDoS攻击并收集机密信息。此外,美国陆军和空军购买了117部GoPro相机,根据监察署的说法,这种相机可在机主不知情的情况下进行拍摄,并把拍到的东西输出。另外,2018年美国空军还购买了1378台联想电脑,尽管近10年来情报机构一直在警告这些电脑可能包含隐藏的”后门”。在五角大楼的众多电脑上似乎仍安装着卡巴斯基实验室的”危险”软件。

昨日下午18时,新浪微博认证“卡巴斯基实验室”回应此消息称“没有任何证据表明卡巴斯基产品被政府禁用”,“近期,我们获悉中央政府采购网现阶段暂时取消了所有国外安全供应商资质,只保留了国产安全供应商。但此变化只涉及中央政府采购预算范围内的中央国家机构,地方政府和国家企事业单位等并不在此规定范围之内。”截至发稿,赛门铁克对此事件未发表观点。

按理说应该严格保护国家军事机密的五角大楼为何会使用这些”危险”的设备和软件呢?南京大学国际关系研究院院长朱锋认为,这意味着五角大楼看问题更加现实,美国军方更加务实。

中央国家机关集中采购软件项目,是由中央国家机关政府采购中心组织的协议采购项目,是中国政府采购领域级别最高、覆盖面最广的采购项目之一。据了解,在前几年的政府采购中,赛门铁克、卡巴斯基等国外安全软件都榜上有名,但这次的政府采购名单中,国外安全软件厂商几乎全军覆没。

“我个人认为情报部门的这种警告本身就是过于炒作中国和俄罗斯的威胁。尤其是当今的软件、通讯设备,他们都是完整的全球价值链,每个国家都有自己的优势,特别是主要的贸易大国,这种价值链对实际的使用、尤其在成本上都有很重要的意义和作用。所以美国最近的这份报告,只能说是美国军方比情报部门更加务实。因为这种设备的采购,在今天的这种全球价值链、供应链的面前,不可能说以安全为理由就能进行任意的分割。所以在我看来这是五角大楼在面对现实所采取的一种相对务实的举动。此外我认为难以找到替代产品也是一个原因。因为这种相互设备的使用已经不是现在才有的事情了,这种采购都有一定的延续性。”

据业内人士介绍,《人民日报》英文Twitter披露的名单中,除一款产品首次进入政府采购名单外,其余4个品牌往年亦是政府机关安全软件采购客户。

国防部监察署得出结论,五角大楼对待网络安全威胁不够谨慎,称国防部没有专门的部门来评估设备的潜在风险。报告指出,五角大楼的军事系统80%由一般部件组成。而这恰恰间接地解释了专家所说的军队的”务实态度”。从已形成的全球供应链中排除某些组件有时几乎是不可能的。例如,禁止使用华为电信设备看起来很荒谬,因为其他制造商–诺基亚和爱立信也在其设备中使用了华为的一些组件。西方媒体称,美国政府机构根本无法履行禁止使用海康威视和大华监控设备的法令。事实是许多美国供应商在用自己的品牌出产这两家中国公司生产的摄像头。因此,有多少海康威视和大华的摄像头正在监视美国政府机构的走廊,目前还无法确定。

海外软件有泄密可能

瑞星安全专家唐威表示,中央采购部门此举并不突然,“斯诺登事件”后,出于信息安全考虑,政府担心安全软件等国外技术产品威胁信息安全,倡导使用国内信息技术产品,而将赛门铁克与卡巴斯基从安全软件供应商名单中剔除,是出于信息安全考虑作出的最新反应。

排除海外杀毒软件,国产安全软件的可替代性首先被考虑。唐威表示,近几年国产安全杀毒软件基本上可以覆盖到各个领域。在病毒查杀、安全审计、云计算安全管理等技术上都具备了可替代性,综合技术差距在缩小。

唐威分析,国产软件相比海外软件优势主要在三个方面。第一更可管可控,“举个简单例子,近日‘超级手机病毒’爆发之时,国家计算机病毒应急处理中心给国内主要安全厂家发布通知,要求对该病毒提供详细分析数据以及解决方案,海外安全软件工作配合上沟通成本高。”

此外,国产软件有本地化服务优势,“软件杀毒也存在地域性区别,据我们了解,许多国外安全软件并没有在中国设立核心团队,病毒信息数据要从中国传递到亚太区,时效性上本土团队更有优势。”

“另外,海外安全软件大部分服务器都在海外,出于信息反馈需要,国内系统需要频繁与海外服务器通信,甚至收发文件,给信息泄密提供了可能性。”唐威表示。

信息安全or市场博弈

此外,有不具名的业内人士分析,以美国赛门铁克、火眼,俄罗斯卡巴斯基为代表的网络安全公司,正成为国家间网络攻防的
“马前卒”,这些名义上的网络安全公司,也是大国博弈的重要工具。

据悉,2013年初,美国网络安全公司曼迪昂特曾发布报告《APT1:揭露中国网络间谍单位》。报告发出后,中国企业在海外备受质疑,华为遭质疑被排挤出美国市场,并在欧盟、澳大利亚、韩国受阻,一些已经走出海外的中国安全企业也纷纷退回国内。

启明星辰首席战略官潘柱廷接受媒体采访时表示,类似《APT1》的做法,实质是由网络安全公司充当“马前卒”,替美国政府实现丑化中国形象、驱逐中国公司,既让美国产业界直接获益,又为美国官方赢得了可进可退的空间。另有业内人士分析,技术实力强大的网络安全公司,在国家网络安全博弈层面,也是一种战略威慑。

孙永杰对记者表示,国产安全软件在无论是从底层技术架构,还是从病毒库积累、抵御病毒攻击层面,同较早进入安全领域的俄美软件公司,都存在很大差距。国产软件更多像是“被扶上马背”。如果仅把信息安全作为政策原因,是站不住脚的简单逻辑。中央政府机构采购取消海外厂商供应商资质,市场博弈层面意义更具说服力。

除此次瑞星、江民等5家国产安全软件获批中央政府采购名单之外,7月31日,据中央政府采购网最新信息显示,2014年中央国家机关政府采购协议供货商名单中,个人操作系统的名单有Deepin、SPGnux、中标麒麟(NeoKylin)、中科方德、优麒麟、微软、阿里云、龙鑫等8家。除了微软的Windows系统外,国产操作系统所占的比例明显增大。

在入围描述中,YunOS被重点提及安全性。“通过对系统由底向上层层加固,从机密性、完整性、可用性和抗抵赖性等多方面构建了完整的安全体系。”而微软的个人操作系统不再标注具体的系统版。

孙永杰表示,互联网信息安全涉及芯片、硬件、系统、软件应用等各个方面,政府已经在各层面为国产企业在国内市场提供了支持,但仍需要信息行业全产业链的突破性的创新。