【问题】
有人说:绿盟科技就是卖产品的,扫描的漏洞有倾向性,可能会比实际的多?而中国信息安全测评中心就不会。
你认同这种看法吗?为什么?
【思考】
坦白的说,商业公司的确会处于商业利益行事。但是如上面这种说法,则有失偏颇。
对于“扫描的漏洞有倾向性,会比实际的多”这种说法,我觉得一个技术公司,应该是不会这样做的。
一个系统是否存在漏洞,应该是一个客观的存在,有就是有,没有就是没有。再说,国际的、国内的权威漏洞库多的是。
而如果通过一种途径能在不入侵系统的情况下来做出判断漏洞是否存在,当然存在一定的误报。然而据此就下论断说该公司有倾向性,恐怕也站不住脚。
中国信息安全测评中心,是国家队,某种程度上来说,不会在厂商间有偏向性。
但按照该问题提出者的逻辑,似乎中国信息安全测评中心应该对美国等非中国的产品,发现的漏洞更多才对。呵呵,貌似实际也是这样。因为国外的IT公司多么?真的是这样吗?
反正我不这样认为。你看到了逻辑的错误,对吗?
要记得,一个产品、一个中心如果他的出发点是国家、是公司,肯定是做不大的。再说,现在的世界,你想要作恶,并且不被人发现,成本还是很高的。
简单的将某个公司和国家的测评中心来对比也是不妥的。
其实业内常说的绿盟漏洞扫描(学名:绿盟远程安全评估系统)也是通过中国信息安全测评中心认证的。
http://www.itsec.gov.cn/export/sites/itsec/product/evaluation/e0bfb9c5-a133-11e0-91be-895f440ddccc/
综上:
说话之前要过过脑子,不要不负责任的乱下论断。
原文:http://www.cnblogs.com/viphhs/p/7233851.html