Google产品多元化陷安全困境

国际报道 就像Windows和Office的普及使微软成为了安全研究的焦点那样，随着产品多元化和进军企业计算市场，Google也在面临着这种情况。

　　在即将于7月16日发表的一份报告中，Ponemon Institute的研究人员详细阐述了IT专业人员对Google Desktop、搜索工具等产品安全的担忧。

　　这项研究以Google Desktop中迄今为止被发现的唯一一个重要的安全缺陷为例，但研究人员却表明了对Google快速扩张的担忧。

　　与最近数年推出的许多其它产品一样，Google Desktop集基于PC和Web的技术于一体。Ponemon研究人员表示，如果Google要成功地以Google Apps取代Office，并推动Desktop等其它软件进一步进入企业，Google必须做好面临对其产品安全影响进行调查的准备。

　　在Ponemon对600多名IT安全专家进行的调查中，71%的人表示他们相信Google Desktop中还有其它安全缺陷。IT安全专家表示他们了解Google Desktop中的这一跨站点脚本缺陷。Ponemon创始人、董事长拉里博士说，调查结果表明，企业对Google应用软件的担忧在日益增长。

　　通过最近收购GreenBorder Technologies和Postini，Google增强了其安全能力。据专家称，如果想成功地转型为企业技术供应商，Google必须做好面临以前微软等业界巨鳄面临的安全困扰的准备。

　　拉里表示，由于在市场上的地位和产品多元化，有许多眼睛在背后盯着Google。最近的这些收购可能会使其产品更为安全，但随着越来越多的黑客和研究人员寻找其产品中的安全缺陷，Google可能成为其成功的受害者。

　　除了公众对Google保存大量用户资料的担忧外，Desktop、Google Apps等产品引起了企业用户对Google遏止黑客攻击其产品能力，利用工具窃取资料的担忧。

　　该报告还表明，81%的了解Desktop跨站点缺陷的被调查者表示，他们认为，在计算机上存储有机密资料的用户不应当利用Desktop的远程查询功能。这样的资料提供了用户对Google集成基于桌面和Web工具计划日益增长的担忧。

　　Ponemon表示，根据与安全界人士的沟通情况，许多人认为Google产品会带来严重的威胁。如果黑客能够攻破它，就能够迅速发现许多机密资料。Google产品已经被应用在大量的计算机上，如果黑客想获得窃取最多资料的攻击通道，Google就成了一个有吸引力的目标。

　　尽管承认Google遭遇的安全问题非常少━━尤其是在与微软等其它大IT厂商相比的情况下，研究人员表示，如果企业开始使用Google的工具，对其产品的安全担忧会不断增长。

　　Ponemon表示，Google产品并不存在许多安全问题，但人们相信，Google工具肯定存在缺陷，黑客最终能够找到一种攻击方法。人们的担心是有理由的，因为他们担心跨站点缺陷仅仅是Google产品中缺陷问题的“冰山一角”。

　　Google代表抱怨说，Ponemon报告“眼光短浅”，极具煽动性，会煽动人们对Google产品安全性的担忧。Google的官员表示，他们正在尽其所能地确保现有和未来产品中不会存在安全问题。

　　Google首席信息官道格拉斯表示，长期以来，Google一直将培育用户的信任看作是其成功的关键。他说，搜索是当前信息经济的“氧气”，但我们认为，如果没有用户对我们在安全和保护隐私方面的信任，搜索业务不可能成功。

　　他指出，自成立第一天起，Google就在不断地提高产品的安全性。我们在运营中使用了Desktop、Google Apps，如果不能确定他们是安全的，我不会向其它企业的信息技术总监推荐它们。

　　道格拉斯表示，Google会对其产品的代码进行严格检查，以便在开发和发布后消除可能的缺陷。他说，通过与安全研究人员公开交流，鼓励他们披露其产品中存在的缺陷，Google一直能够遏止对其产品的攻击。

　　Google目前雇佣有1000名工程师，他们的职责就是测试软件中的漏洞，并开发了专有的代码扫描工具。道格拉斯说，攻击威胁是实实在在地存在的，没有一家企业的技术能够保持金刚不坏之身。

　　他表示，实际情况是，Web应用软件有更大的攻击面，客户端技术已经存在很长时间了，仍然存在安全问题。但在解决安全问题方面，我们有很大的优势，我们只需在自己的服务器上修复缺陷即可，而无须向所有用户发送补丁软件。这并不意味着我们将发现所有问题。安全是一个不断变化的领域，我们对取得的进展很满意。

　　道格拉斯指出，与其它技术相比，Google的产品在安全方面有很大优势，在帮助企业解决和发现数据管理问题方面是非常有用的。在允许访问共享文档前，Google Apps要求用户通过谁，为协作业务活动增加了新的保护层。

　　道格拉斯表示，通过其Google Security Blog和参与Stopbadware.org，Google向用户通报它正在进行的工作，并及时跟踪最新的攻击方法。他说，我们希望继续保持与安全研究人员的密切关系，并继续在研发方面进行投资。

　　业界分析人士表示，在保护用户不会受到产品缺陷困扰方面，Google做得很好，但他们指出，如果要继续地保持正面形象，Google必须吸取微软等公司的教训。

　　Forrester Research分析师鲍罗表示，在潜在的攻击方面，Google与其它任何主流技术供应商处于相同的困境中，并继续接受批评，继续积极地解决可能出现的问题。他对Google将安全研究人员当作朋友而非对手的态度感到很高兴。