政府安全计划源代码协议.docx

政府安全计划源代码协议.docx《政府安全计划源代码协议》
程序指南
（草案）
中国信息安全产品测评认证中心
微软公司
二OO三年六月
目 录
—. 前言
介绍
（一） 《协议》概述
（二） 《协议》的作用
（三） 机构作用和职能
协调机构
承办单位
（四） 参与人员
三、 流程
（一） 《协议》签署
（二） 《协议》授权流程
1、 承办机构申请
2、 协调机构审查
3、 获取源代码访问权
4、 审查源代码
5、 信息交流
（1）安全漏洞报告。
（2 ）源代码讨论会
（3） 访问微软公司
（4） 要求获取更多的信息
6、 授权书续签
（1） 续签
（2） 继续审查
7、 授权书终止
（三） 《协议》终止
四、 联系
（-）中国信息安全产品测评认证中心
（二）微软公司
—、前言
随着全球信息化的迅猛发展，信息安全已成为全世界共同关注 的重要问题。面对各国政府和国际组织的信息安全需求，微软公司 提出了 一项全球性的政府安全计划（GSP）,通过在该计划框架下实 现对Windows源代码及相关技术信息的访问，增强参加该计划的国 家政府和国际组织对于微软公司Windows平台安全性的信心。英国、 俄罗斯及北约已与微软公司签定了政府安全计划。
根据国家计委与微软公司签定的合作备忘录，受国家计委委托, 中国信息安全产品测评认证中心代表中国政府与微软公司签署了 《政府安全计划源代码协议》（以下简称《协议》），并作为执行该 协议的唯一政府协调机构。《协议》为协调机构及政府如何与微软 公司在政府安全计划上进行合作制定了一个总体框架。
二、介绍
《政府安全计划源代码协议》程序指南（以下简称程序指南） 是在《协议》框架下，在国家计委的指导与监督下，由中国信息安 全产品测评认证中心与微软公司共同制定的《协议》执行程序文件, 用以指导各相关机构参与《协议》各项内容，在保护知识产权的基 础上访问Windows源代码以及相关技术信息。
程序指南中源代码是指微软公司在《协议》框架下明确提供的 Windows源代码信息及与源代码有关的信息。
《协议》概述
《协议》确立了一个为期三年的合作关系，明确了参加政府安 全计划(GSP)需要具备的标准以及所有的基本条件。同时，描述 了访问和使用源代码的“通行证”的可用类型，并对“通行证”的获取 设立了限制条件。《协议》中明确说明，所有参加者使用智能卡访 问微软公司“开发者网络高级代码中心”，由此查看源代码。《协议》 还提供了对微软公司知识产权及参与各方利益进行保护的相关机 制，并建立了在相互之间展开交流的渠道。《协议》中的条款既适 用于相关的政府部门工作人员，也适用于获得授权的项目承担者。 在签署相应的项目授权书之后，《协议》正式生效。
《协议》及相应的授权书签定后，由微软公司向获得授权的机 构提供智能卡，用以访问微软公司的“开发者网络高级代码中心”。 之后，相关的政府机构将开始着手进行安全审查。在此过程中，为 更深入了解Windows某一方面的问题，相关机构可能会产生一些疑 问或要求获取更多的信息，或者需要查看某些相关文档。一旦这些 需求和疑问经过相关政府机构的确认，相关机构可与微软公司就这 些要求和问题进行交流。
除此之外，参加者可以通过相关政府机构组织安排，参观和访 问微软公司的开发机构，以对Windows源代码的开发、测试以及开 发程序等等不同方面进行实地审查，与微软公司的工作人员进行接 触和交流，或者就既有的以及将来可能进行的项目同微软公司的安 全专家进行探讨。
（二）《协议》的作用
1、 允许参与者以SSL安全在线方式访问源代码，包括Windows 2000、Windows XP 和 Windows Server 2003 and Windows CE 的当前版本、测试版以及补丁包。
2、 通过广泛了解微软公司的技术信息，使参与者从工程层次 上理解Windows的架构，增强实行安全审计以及设计、构建 和维护安全计算环境的能力，提高解决信息安全问题以及信 息系统优化的能力。
3、 在美国出口政策许可的范围内，参与者可以访问加密算法
源代码以及开发工具。
4、 通过参与者与微软公司安全专家进行交流和合作，以及参 观访问微软公司位于美国华盛顿Redmond的开发机构等方 式，建立与微软公司进行沟通交流的渠道和机制。
（三）机构作用和职能
1、协调机构
为便于协调政府进行的安全审查活动，《协议》指定中国信息安 全产品测评认证中心作为唯一的协调机构，具体贯彻和执行为期三 年的《协议》内容，并可以代表政府执行安全审查职能。
协调机构在国家计委的指导和监督下，具体落实《协议》各项 工作。
在代表政府与微软公司签署《协议》后，中国