绿坝，背后几多问？

这里讨论的不是绿坝软件本身的功能缺陷，也不对国家有关部门的良好愿望品头论足，我想和大家分享的是绿坝软件的质量问题，其背后的问题反映了我国软件行业很多发人深思的问题。

根据了解，绿坝软件是经过竞争胜出的，而且经过了专业的测评机构的测试。这就不禁让我想起几个问题：

第一，安全软件本身安全吗? 目前很多安全软件厂商在功能上互相比拼，产品出现同质化倾向，用户关注的主要也是功能性、易用性等方面，很少有人关注软件自身的安全性问题。绿坝软件从功能上看，符合国家有关部门和用户的需要，否则也不会从众多厂商的软件中脱颖而出成为全国推广的作品。但绿坝软件的口令保护实在之脆弱，完全不能成为专业的安全软件，其次，软件防卸载能力很弱，经不起任何攻击。从绿坝事件可以看出，我们的信息安全行业发展还很不成熟，无论厂家，还是用户、测评机构，甚至是政府有关部门。

第二，这样的软件怎么可以在全国推广呢? 既然全国推广，就可能面临极大范围的考验，如竞争对手“鸡蛋里挑骨头”式的测评，“花季”孩子们回绞尽脑汁地破解，如果软件不是很过硬，根本就不能投放市场。决策者应该非常明白者一点才对。不知道权威部门是如何判断该软件足够成熟可以投放市场？是专业的测评机构的测试结果足以让人放心？还是象网上有人指责的那样，里面有潜规则？相信不是潜规则，现在的官员都比较谨慎，一般都严格要求自己，再怎么也不会犯如此低级的错误。如果不是潜规则，那么一定是专业的测评机构出了问题，他们对外常年提供服务，这点风险意识都没有吗？也可能是厂家的推荐，打动了政府部门，我相信，厂家去游说的人一定不是不负责任，而是不懂。我坚信，政府也好，厂家也好，测评机构也好，都不想看见出面后出来的效果，问题是他们对软件的基本规律缺乏应有的认识。

第四，专业测评机构的测试结果可靠吗？据我了解，绿坝软件是经过第三方专业的、“中国”字头的测评中心测试的，如此权威的测评结构经常给国家项目做测试，给一些重要客户做验收测试，为各种各样的鉴定会、验收会提供测试报告。有了这样权威的测评报告，用户放心了，政府放心了，专家也放心了。于是，项目通过验收和鉴定，政府的决策由此而出笼。我在沉思，绿坝的问题，这么简单，都没有测试出来，我们使用的重要的系统如银行系统和税务系统，是不是存在更多问题呢？基于这样的测评结果作出的国家决策是靠得住的吗？测评机构的报告很规范，收费也可观，看样子很权威，很靠谱。究竟如何呢？绿坝事件应该给这样的测评机构当头一棒才对。

第三，产、学、研啥时一体化? 专家做专家的，企业做企业的，用户关心自己的，三者之间完全脱节。在很多场合我已经看出这一问题，实验室的专家和教授研究一些纯理论问题，往往和超前；企业研发自己的产品，将很多技术堆砌在一起，特别是安全产品，功能花里胡哨，但安全方面是如何考虑的却少见交代，弄得专家无从发表意见；用户主要关心的也是产品功能性和易用性，至于安全性如何，他们没足够的水平。记得有一次，政府部门召集专家、政府官员和企业界代表开会，讨论移动存储介质的管理问题，全国知名的专家、学者、官员和企业都云集一堂，厂家介绍产品时，鼓吹功能如何强大，专家听了不好表态，“你上了8道锁，但钥匙放在哪里没有讲清楚，我不能发表言论说你的产品是否安全。”一个负责任的专家说了这样一句话。与此相关的还有个例子，一个鼎鼎有名的专家研究出一个抗拒绝服务攻击（DDOS）产品，根据他本人的介绍，功能很强，对攻击行为，他的产品具有很强的自学习能力，意思是，下次再有攻击发生，系统能自动识别并采取相应措施避免损失。后来他所在的单位在国家有关部门的支持下，成立了安全工程中心，该工程中心成立的意图是将科研院所的科研成果转化成商品，但在转化抗DDOS系统时，该中心的总工程师告诉我说，那位专家研制的系统不能成为商品，仅能参考一些思想，我们还要重新开发。总工程师说得很委婉，其言下之意是那位专家的系统根本不能产业化。他后来和我谈起感想，说从原型到产品很难，从科研角色转换到工程人员角色很难，找到合适的测试人员很难。实际上，我想说明的是：教授做出的东西，离商品化还差得太多太多；厂家做出的东西，在教授眼里也漏洞百出。

我走访了很多大学教授，都是国内非常有名的大学或科研机构，试图将他们的成果应用到企业来，但几年努力下来仍无什么结果。究其根源，科研和厂家脱节严重。绿坝是这种背景下的产物，谁说不是呢？