政府安全计划源代码协议.doc

政府安全计划源代码协议.doc《政府安全计划源代码协议》程序指南(草案)中国信息安全产品测评认证中心微软公司二OO三年六月介绍(一) 《协议》概述(二) 《协议》的作用(三) 机构作用和职能协调机构承办单位(四) 参与人员三、流程(一) 《协议》签署(二) 《协议》授权流程承办机构申请1、协调机构审查获取源代码访问权审查源代码(1) 安全漏洞报告。(2) 源代码讨论会(3) 访问微软公司(4) 要求获取更多的信息6、授权书续签(1)续签(2)(三)《协议》终止四、联系(一)中国信息安全产品测评认证中心(-)微软公司—、前言随着全球信息化的迅猛发展,信息安全已成为全世界共同关注的重要问题。面对各国政府和国际组织的信息安全需求,微软公司提出了一项全球性的政府安全计划(GSP),通过在该计划框架下实现对Windows源代码及相关技术信息的访问,增强参加该计划的国家政府和国际组织对于微软公司Windows平台安全性的信心。英国、俄罗斯及北约已与微软公司签定了政府安全计划。根据国家计委与微软公司签定的合作备忘录,受国家计委委托,中国信息安全产品测评认证中心代表中国政府与微软公司签署了《政府安全计划源代码协议》(以下简称《协议》),并作为执行该协议的唯一政府协调机构。《协议》为协调机构及政府如何与微软公司在政府安全计划上进行合作制定了一个总体框架。二、介绍《政府安全计划源代码协议》程序指南(以下简称程序指南)是在《协议》框架下,在国家计委的指导与监督下,由中国信息安全产品测评认证中心与微软公司共同制定的《协议》执行程序文件,用以指导各相关机构参与《协议》各项内容,在保护知识产权的基础上访问Windows源代码以及相关技术信息。程序指南中源代码是指微软公司在《协议》框架下明确提供的Windows源代码信息及与源代码有关的信息。《协议》概述《协议》确立了一个为期三年的合作关系,明确了参加政府安全计划(GSP)需要具备的标准以及所有的基本条件。同时,描述了访问和使用源代码的“通行证”的可用类型,并对“通行证”的获取设立了限制条件。《协议》中明确说明,所有参加者使用智能卡访问微软公司“开发者网络高级代码中心”,由此查看源代码。《协议》还提供了对微软公司知识产权及参与各方利益进行保护的相关机制,并建立了在相互之间展开交流的渠道。《协议》中的条款既适用于相关的政府部门工作人员,也适用于获得授权的项目承担者。在签署相应的项目授权书之后,《协议》正式生效。《协议》及相应的授权书签定后,由微软公司向获得授权的机构提供智能卡,用以访问微软公司的“开发者网络高级代码中心”。之后,相关的政府机构将开始着手进行安全审查。在此过程中,为更深入了解Windows某一方面的问题,相关机构可能会产生一些疑问或要求获取更多的信息,或者需要查看某些相关文档。一旦这些需求和疑问经过相关政府机构的确认,相关机构可与微软公司就这些要求和问题进行交流。除此之外,参加者可以通过相关政府机构组织安排,参观和访问微软公司的开发机构,以对Windows源代码的开发、测试以及开发程序等等不同方面进行实地审查,与微软公司的工作人员进行接触和交流,或者就既有的以及将来可能进行的项目同微软公司的安全专家进行探讨。(二)《协议》的作用1、 允许参与者以SSL安全在线方式访问源代码,包括Windows2000、WindowsXP和WindowsServer2003andWindowsCE的当前版本、测试版以及补丁包。2、 通过广泛了解微软公司的技术信息,使参与者从工程层次上理解Windows的架构,增强实行安全审计以及设计、构建和维护安全计算环境的能力,提高解决信息安全问题以及信息系统优化的能力。3、 在美国出口政策许可的范围内,参与者可以访问加密算法源代码以及开发工具。4、 通过参与者与微软公司安全专家进行交流和合作,以及参观访问微软公司位于美国华盛顿Redmond的开发机构等方式,建立与微软公司进行沟通交流的渠道和机制。(三)机构作用和职能1、协调机构为便于协调政府进行的安全审查活动,《协议》指定中国信息安全产品测评认证中心作为唯一的协调机构,具体贯彻和执行为期三年的《协议》内容,并可以代表政府执行安全审查职能。协调机构在国家计委的指导和监督下,具体落实《协议》各项工作。在代表政府与微软公司签署《协议》后,中国信息安全产品测评认证中心作为协调机构和微软公司签署《协议》框架下的第一份《政府安全计划授权书》(以下简称授权书)。《协议》是一个描述在三年有效期内如何访问和查看源代码的总体框架,而授权书则是一个特定项目源代码访问“通行证”,说明将要提供的源代码、对源代码处置的方式及其期限,许可协调机构为执行特定的安全审查项目访问源代码。图]:政府、协调机构以及微软公司之间的关系图在《协议》框架下,协调机构可以访问微软