您的位置: 网界网 > 周报全文 > 正文

[周报全文]打造可信的生态系统—2006微软安全策略观察

2006年07月18日 15:23:03 | 作者:网络世界记者 方正 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:“我们的成功依赖于你们的成功。我们将给你们所有东西来保证你们的成功。”这是微软公司信息安全战略专家Steve Riley先生在“2006微软信息安全峰会”上一句耐人寻味的话。

标签
Microsoft
 

“我们的成功依赖于你们的成功。我们将给你们所有东西来保证你们的成功。”这是微软公司信息安全战略专家Steve Riley先生在“2006微软信息安全峰会”上一句耐人寻味的话。

日前,在首次于北京召开的微软安全峰会上,微软明确提出“打造可信的互联世界,构建可信的生态系统”理念,由此预示着微软的安全战略正在发生着战略性的变化:即从努力提高自身技术产品的安全性到引导整个产业共同打造一个可信的生态系统。

2002年初微软推出可信赖计算(Trustworthy Computing)开始,到今天已经步入第五个年头。微软从修内功开始,从软件设计之初就强调源代码的安全性,并推出了SDL项目(Security Development Lifecycle,安全开发生命周期),2003年再推出GSP计划(政府源代码协议),2004年推出的SP2实现了从被动性防御到主动性防御,到今天,微软逐步进入了一个强调携手打造安全生态系统的新阶段。    

跨越整个产业的合作

毋庸置疑,微软提出的建立可信的生态系统战略是与今年2月在美国加利福尼亚圣何塞举行的RSA Conference 2006大会上微软董事会主席比尔·盖茨的发言一脉相承的。在那次会上,比尔·盖茨在主题演讲中介绍了微软如何实现更为安全的数字未来愿景,强调实现这一愿景将需要整个行业的通力协作,并提出了可信赖生态系统的理念。

按照微软安全技术事业部副总裁Mike Nash先生的解释是:可信赖生态系统指的是这样一个平台,在其中,人、设备同代码能被正确地识别,我们也能更准确地制订可信任的决策。可信赖生态系统的想法是要建立一个具有名誉服务的系统,用户能借助这一系统来做出更好的决策。为实现这一生态系统,微软正与产业的合作伙伴一起来支持Identity Metasystem,这是一个用于保护用户身份、开放的、支持互操作的架构。

m.jpg在北京,微软公司信息安全战略专家Steve Riley 向记者表示:“微软在安全领域的愿景就是实现跨越整个产业的协作,最终提升用户对其计算环境的信任程度。”与此同时,微软也强调,技术不是万应灵药,完美的安全性并不存在。“当你在选择安全、易用和低成本的时候,你必须要加以权衡,在三者之间你只能取其二。” Steve Riley强调:“只要有软件存在,就必须考虑到它的安全性。在提高人的安全性方面是最为困难的,也是最大的挑战。”

 近年来,微软一直在加强同业界的合作,比如安全IT联盟(SecureIT Alliance)的成员自200510月份成立到如今已经扩大了一倍,达到了80多家。

给用户多一种选择

据公安部公共信息网络安全监察局许剑卓先生介绍,根据目前我国侦破的案件分析,利用客户端漏洞实施的攻击远远超过了其他的攻击方法。同时,通过利用客户端漏洞传播恶意代码,实现大规模入侵的案件近几年来持续增加,造成这一现象的主要原因是很多服务器的维护者已经懂得如何维护自身的安全,入侵服务器相对前几年来说难度增加,而广大个人用户的安全意识却仍然没有明显的增强,所以很多攻击者从原来的攻击服务器端逐步转向攻击客户端。

客户端攻击被排在榜首,而Windows自然首当其冲,因此,微软有更多的理由在客户端承担起更多的责任。微软自从1985年推出第一款Windows产品后,至今已经走过二十年的历程,即将推出的Windows Vista被赋予了更多的期望。Windows Vista一再被推迟发布的一个重要原因就在于提升安全性方面的考虑。作为Windows VistaOffice 2007的主要功能之一,Windows VistaOffice 2007的加密密码可以由用户自己设置,用户可以自己制定加密算法。微软虽然提供了默认的加密算法,但是用户可以关闭,加载自己的加密算法。

为了满足客户端用户在安全方面的需求,一个值得关注的事件是微软在今年的6月初推出了Windows Live OneCareWindows Live OneCare不仅集反病毒、防火墙、数据备份、反间谍和磁盘清理等众多安全功能于一身,而且学习了诺顿的安全服务模式,通过每年收取49.95美元的服务费授权用户使用。此举引起了安全厂商们的一阵恐慌,这或许是微软进军安全市场的实质性的第一步。对此,记者得到的回答是微软强调OneCare是以服务包的形式提供,而不是独立的防病毒产品。针对记者提出的关于是否会将OneCar与操作系统进行捆绑这一问题,微软中国公司首席技术官李志宵博士表示:OneCareIE是两种性质不同的东西,不会像当初将IE集成在操作系统上一样将二者捆绑,微软会将选择权交给用户。微软强调会给用户提供多一种选择。

客观地说,微软的确面临着两难的境地,一方面是用户对微软在安全方面提出越来越多的要求,另一方面是安全厂商对微软是否进入安全市场的警觉。照目前的情况看,微软显然倾向于选择前者。记者认为,微软进入安全市场其实是一件好事情,微软有平台的优势。正如计世资讯高级分析师曹开彬所言:由于微软既有操作系统、数据库,还有备份软件、系统管理软件,因此,微软会成为信息安全整合的最有力推动者。微软对于信息安全最大的贡献在于及时发布相关信息。

其实,同其他安全厂商相比,微软虽然有平台技术的优势(+微信关注网络世界),但是同时其他厂商也有自己的独特优势,比如病毒库,特征码等。如果微软与其他安全厂商能够通力协作,发挥各自在不同领域的特长,从而共同促进安全市场的健康发展,这应该是用户所愿意看到的。       

 开发合作伙伴生态链

目前,随着微软Windows平台安全性地不断提升,黑客的攻击焦点已经从平台本身逐步转移到基于Windows或其他平台的应用上。如何提供应用层的安全,这也是微软强调与合作伙伴加强合作的原因之一。在中国,微软不仅强调自身开发的软件要符合安全开发生命周期要求,同时,也要求所有合作伙伴的应用软件也必须符合安全开发生命周期要求。

微软大中华区首席安全顾问Eric Ashdown先生告诉记者,2007财年微软在中国市场的工作重点就是要发展合作伙伴的生态链,包括在全国一级和省一级,微软将采取“手牵手”的方式来发展合作伙伴生态链。微软的合作伙伴包括服务型和软件开发型两大类。同时,微软将继续与中国各级政府和行业部门积极合作,继续增加在安全领域的投入。比如,微软跟公安部达成的一项关于僵尸网络的专题研究,目前已经取得相当大的进展,

据了解,自2005年以来,微软在北京、上海等34座城市举办了一百多场“信息系统安全”系列活动,与三万七千多名与会者分享了微软的技术经验。目前,微软在中国建有20家微软技术中心,在这些技术中心里微软不占任何股份,微软只是提供创办基金以及培训与技术转移。这些技术中心的一个重要工作就是安全的培训与安全的部署。

当前,某种程度上,保护网络安全正在逐步成为一场全民运动。公安部公共信息网络安全监察局许剑卓先生认为,保护网络安全应该从法律、技术以及整个社会体制等三方面进行,只有全面的防护,才能保证系统的安全,这需要整个社会的努力。诚然,这也正是微软以及所有关注网络安全的人们的共识。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]